Cet article explique comment le service de sécurité IPS dans la pile de sécurité Cato Cloud protège votre réseau contre les tentatives de ransomware de chiffrer de manière malveillante les ressources de votre réseau.
Lorsque vous activez IPS pour bloquer le trafic WAN, cela aide à protéger contre les tentatives de ransomware de se déplacer latéralement et de se propager sur le WAN.
Le ransomware continue d'être l'une des menaces les plus dangereuses pour les organisations, ces attaques peuvent verrouiller et chiffrer les données de la victime. Ensuite, il y a une demande de paiement pour déverrouiller et déchiffrer les données. Cato utilise les moteurs de la pile de sécurité pour neutraliser la chaîne d'attaque aussi rapidement que possible.
-
IPS – L'IPS de Cato inclut des données provenant de nombreuses sources d'intelligence sur les menaces et peut bloquer les ransomwares potentiels, y compris :
-
Accès à des sites Web suspects susceptibles d'être associés à différentes menaces (telles que C&C de malware, ransomware, phishing, etc.)
-
Hôte malveillant suspecté tentant de propager un ransomware
-
Trafic latéral sur le WAN qui exploiterait l'auteur de la menace pour le ransomware
-
-
Pare-feu Internet – protège les utilisateurs d'un accès à des sites Web malveillants (tels que la catégorie Malware) où ils peuvent accidentellement télécharger une charge utile malveillante qui pourrait contenir un ransomware.
-
Anti-Malware et NG Anti-Malware – fournissent une couche supplémentaire de protection et contribuent au Cato ZTNA (Zero Trust Network Access). Ces moteurs empêchent toute tentative de téléchargement malveillant et bloquent le ransomware concerné avant qu'il ne soit exécuté sur l'appareil de l'utilisateur.
Remarque
Remarque : Ces protections Cato fonctionnent lorsque l'action est définie sur Bloquer.
L'équipe de sécurité Cato développe et met continuellement à jour les algorithmes de trafic et les heuristiques pour détecter le trafic SMB associé aux attaques de ransomware. Ceux-ci sont complétés par des données de malware provenant de diverses sources privées et ouvertes de flux d'intelligence sur les menaces concernant des campagnes de ransomware connues.
Cato utilise ces techniques pour bloquer les attaques de malware qui tentent de se propager sur le WAN :
-
Bloquer le trafic d'un seul hôte infecté par un ransomware et qui tente ensuite de propager le ransomware à d'autres hôtes (dans le WAN)
-
Bloquer le trafic avec des extensions de fichiers ayant une faible crédibilité et donc potentiellement ransomware
En outre, une fois que l'IPS identifie une attaque de ransomware, il bloque tout le trafic de l'hôte infecté par le port TCP 445. Cela empêche l'attaque d'infecter et d'impacter d'autres actifs du réseau.
Vous pouvez consulter les événements de sécurité dans Accueil > Événements et trouver les événements pour les attaques de ransomware suspectées dans votre compte qui ont été bloquées. Il existe différents sous-types d'événements pour ces attaques bloquées par l'IPS et par le pare-feu. Pour les événements IPS, le type de menace peut être classifié comme Ransomware.
Voici un exemple d'un événement pour une attaque de ransomware suspectée bloquée par l'IPS :
La logique pour cette protection IPS est basée sur des compteurs, et elle compte l'activité SMB sur une courte période de temps (quelques heures) pour identifier l'attaque de ransomware. Pendant cette période, si le moteur IPS détermine qu'un hôte est la source possible du ransomware, il bloque ensuite tout le trafic WAN SMB (port 445) de cet hôte.
Lorsque l'IPS identifie une attaque de ransomware, il peut se baser sur le trafic qui correspond à un modèle comportemental identifié comme ransomware. Il est possible que l'événement soit un faux positif et soit en fait un trafic légitime.
Si vous découvrez que l'IPS a bloqué une attaque de ransomware, il est probable que certaines de vos ressources internes aient déjà été touchées par le ransomware. Les protections IPS de Cato visent à empêcher le ransomware de se propager sur le WAN, et votre solution EPP minimise les dommages dans le LAN pour les sites concernés.
Cette liste contient les prochaines étapes suggérées pour les ressources internes touchées par des attaques de ransomware :
-
Isoler les hôtes infectés du réseau (dans les pare-feux WAN et Internet).
-
Identifier quels actifs dans votre organisation ont été la cible de l'attaque ransomware.
-
Vous pouvez consulter les recommandations de la CISA pour les incidents de ransomware ici. Par exemple :
-
Identifier quels fichiers ont été endommagés ou impactés par l'attaque.
-
Confirmer l'identité de la famille de malware ou de l'auteur.
-
Assurez-vous que tous les dispositifs de l'entreprise sont équipés de logiciels de protection des endpoints et qu'ils sont mis à jour avec des signatures capables d'identifier le malware responsable de cette attaque.
-
0 commentaire
Vous devez vous connecter pour laisser un commentaire.