Este artigo explica como o serviço de segurança IPS no stack de segurança do Cato Cloud protege sua rede contra tentativas de ransomware de criptografar maliciosamente recursos em sua rede.
Quando você ativa IPS para bloquear o tráfego WAN, isso ajuda a proteger contra tentativas de ransomware de se mover lateralmente e se espalhar pela WAN.
O ransomware continua a ser uma das ameaças mais perigosas para as organizações, esses ataques podem bloquear e criptografar os dados da vítima. Em seguida, há uma demanda de pagamento para desbloquear e descriptografar os dados. A Cato utiliza os motores do stack de segurança para matar a cadeia de ataque o mais rápido possível.
-
IPS – O IPS da Cato inclui dados de inúmeras fontes de inteligência de ameaças e pode bloquear potencial ransomware, incluindo:
-
Acesso a websites suspeitos que provavelmente estão associados a diferentes ameaças (como C&C de malware, ransomware, phishing, etc.)
-
Host malicioso suspeito que está tentando espalhar ransomware
-
Tráfego lateral na WAN que aproveitaria o ator da ameaça para o ransomware
-
-
Firewall de Internet – protege os usuários de acessar websites maliciosos (como a categoria de Malware) onde acidentalmente podem baixar uma carga maliciosa que pode conter ransomware.
-
Anti-Malware e NG Anti-Malware – fornece uma camada adicional de proteção e contribui para o Cato ZTNA (Zero Trust Network Access). Esses motores impedem qualquer tentativa de download malicioso e bloqueiam o ransomware relacionado antes que sejam executados no dispositivo do usuário.
Nota
Nota: Essas proteções da Cato funcionam quando a ação está definida para Bloquear.
A equipe de Segurança da Cato desenvolve e atualiza continuamente algoritmos de tráfego e heurísticas para detectar tráfego SMB associado a ataques de ransomware. Estes são complementados com dados de malware de uma variedade de feeds de inteligência de ameaças privados e de código aberto sobre campanhas de ransomware conhecidas.
A Cato usa essas técnicas para bloquear ataques de malware que estão tentando se espalhar pela WAN:
-
Bloquear tráfego de um único host que está infectado com ransomware e então tenta espalhar o ransomware para outros hosts (na WAN)
-
Bloquear tráfego com extensões de arquivo que têm baixa credibilidade e, portanto, são potenciais ransomware
Além disso, uma vez que o IPS identifica um ataque de ransomware, ele bloqueia todo o tráfego do host infectado através da porta TCP 445. Isso evita que o ataque infecte e impacte outros ativos da rede.
Você pode revisar eventos de Segurança em Inicial > Eventos e encontrar eventos para ataques de ransomware suspeitos em sua conta que foram bloqueados. Existem diferentes subtipos de eventos para esses ataques bloqueados pelo IPS e pelo firewall. Para eventos de IPS, o tipo de ameaça pode ser classificado como Ransomware.
Este é um exemplo de um evento para um ataque de ransomware suspeito bloqueado pelo IPS:
A lógica para esta proteção IPS é baseada em contadores, e conta a atividade SMB em um curto período de tempo (algumas horas) para identificar o ataque de ransomware. Durante este período, se o motor IPS determinar que um host é a possível fonte do ransomware, ele então bloqueia qualquer tráfego WAN SMB (porta 445) desse host.
Quando o IPS identifica um ataque de ransomware, ele pode ser baseado no tráfego que corresponde a um padrão comportamental que foi identificado como ransomware. É possível que o evento seja um falso positivo, e seja realmente tráfego legítimo.
Se você descobrir que o IPS bloqueou um ataque de ransomware, provavelmente alguns de seus recursos internos já foram atingidos por ransomware. As proteções IPS da Cato trabalham para impedir que o ransomware se espalhe pela WAN, e sua solução EPP minimiza o dano na LAN para os sites relevantes.
Esta lista contém as próximas etapas sugeridas para os recursos internos que foram atingidos por ataques de ransomware:
-
Isole os hosts infectados da rede (em ambos os firewalls da WAN e da Internet).
-
Identifique quais ativos em sua organização foram alvo do ataque de ransomware.
-
Você pode visualizar as recomendações da CISA para incidentes de ransomware aqui. Por exemplo:
-
Identificar quais arquivos o ataque danificou ou impactou.
-
Confirme a identidade da família de malware ou autor.
-
Certifique-se de que todos os dispositivos corporativos estejam com o software de proteção de endpoint instalado e esteja atualizado com assinaturas que possam identificar o malware responsável por este ataque.
-
0 comentário
Por favor, entre para comentar.