Este artículo explica cómo el servicio de seguridad IPS en el conjunto de seguridad de Cato Cloud protege su red de los intentos de ransomware de cifrar maliciosamente los recursos en su red.
Cuando habilita IPS para bloquear el tráfico WAN, esto ayuda a proteger contra los intentos de ransomware de moverse lateralmente y propagarse por el WAN.
El ransomware sigue siendo una de las amenazas más peligrosas para las organizaciones, estos ataques pueden bloquear y cifrar los datos de la víctima. Luego hay una demanda de pago para desbloquear y descifrar los datos. Cato utiliza los motores del conjunto de seguridad para neutralizar la cadena de ataque lo más rápido posible.
-
IPS – El IPS de Cato incluye datos de numerosas fuentes de inteligencia de amenazas y puede bloquear ransomware potencial, incluidos:
-
Acceso a sitios web sospechosos que probablemente estén asociados con diferentes amenazas (como C&C de malware, ransomware, phishing, etc.)
-
Host sospechoso malicioso que intenta propagar ransomware
-
Tráfico lateral en el WAN que aprovecharía el actor de la amenaza para el ransomware
-
-
Cortafuegos de Internet – protege a los usuarios de acceder a sitios web maliciosos (como la categoría de Malware) donde accidentalmente pueden descargar una carga útil maliciosa que podría contener ransomware.
-
Anti-Malware y NG Anti-Malware – proporciona una capa adicional de protección y contribuye a la Cato ZTNA (Acceso a Red de Confianza Cero). Estos motores evitan cualquier intento de descarga malicioso y bloquean el ransomware relacionado antes de que se ejecute en el dispositivo del usuario.
Nota
Nota: Estas protecciones de Cato funcionan cuando la acción está configurada para Bloquear.
El equipo de Seguridad de Cato desarrolla y actualiza continuamente algoritmos de tráfico y heurísticas para detectar tráfico SMB asociado con ataques de ransomware. Estos se complementan con datos de malware de una variedad de feeds de inteligencia de amenazas privadas y de código abierto respecto a campañas de ransomware conocidas.
Cato utiliza estas técnicas para bloquear ataques de malware que intentan propagarse por el WAN:
-
Bloquear el tráfico de un solo host que está infectado con ransomware y luego intenta propagar el ransomware a otros hosts (en el WAN)
-
Bloquear tráfico con extensiones de archivo que tienen baja credibilidad y, por lo tanto, son potencialmente ransomware
Además, una vez que IPS identifica un ataque de ransomware, bloquea todo el tráfico del host infectado a través del puerto TCP 445. Esto evita que el ataque infecte y afecte a otros activos de red.
Puede revisar Eventos de Seguridad en Inicio > Eventos y encontrar eventos para ataques de ransomware sospechosos en su cuenta que fueron bloqueados. Hay diferentes subtipos de eventos para estos ataques bloqueados por IPS y por el cortafuegos. Para eventos de IPS, el tipo de amenaza puede clasificarse como Ransomware.
Este es un ejemplo de un evento para un ataque de ransomware sospechoso bloqueado por IPS:
La lógica para esta protección de IPS se basa en contadores, y cuenta la actividad SMB en un marco de tiempo corto (unas pocas horas) para identificar el ataque de ransomware. Durante este marco de tiempo, si el motor IPS determina que un host es la posible fuente del ransomware, entonces bloquea cualquier tráfico WAN SMB (puerto 445) de este host.
Cuando IPS identifica un ataque de ransomware, puede estar basado en tráfico que coincide con un patrón de comportamiento identificado como ransomware. Es posible que el evento sea un falso positivo, y sea realmente tráfico legítimo.
Si descubre que IPS bloqueó un ataque de ransomware, lo más probable es que algunos de sus recursos internos ya hayan sido afectados por ransomware. Las protecciones de IPS de Cato trabajan para prevenir que el ransomware se propague por el WAN, y su solución EPP minimiza el daño en el LAN para los sitios relevantes.
Esta lista contiene los pasos siguientes sugeridos para los recursos internos que fueron afectados por ataques de ransomware:
-
Aislar los hosts infectados de la red (en ambos los cortafuegos de WAN e Internet).
-
Identificar qué activos en su organización fueron el objetivo del ataque de ransomware.
-
Puede ver las recomendaciones de CISA para incidentes de ransomware aquí. Por ejemplo:
-
Identificar qué archivos dañó o impactó el ataque.
-
Confirmar la identidad de la familia o autor del malware.
-
Asegúrese de que todos los dispositivos corporativos tengan instalado el software de protección de endpoints y esté actualizado con firmas que puedan identificar el malware responsable de este ataque.
-
0 comentarios
Inicie sesión para dejar un comentario.