В этой статье объясняется, как сервис безопасности Система предотвращения вторжений в Cato Cloud защищает вашу сеть от попыток вымогательского ПО злонамеренно зашифровать ресурсы вашей сети.
Когда вы включаете Систему предотвращения вторжений для блокировки трафика WAN, это помогает защититься от попыток вымогательского ПО передвигаться по локальной сети и распространяться по WAN.
Вымогательское ПО остается одной из самых опасных угроз для организаций, эти атаки могут заблокировать и зашифровать данные жертвы. Затем требуются выплаты для разблокировки и дешифрования данных. Cato использует движки стека безопасности, чтобы блокировать цепочку атак как можно быстрее.
-
Система предотвращения вторжений (IPS) – IPS Cato включает данные из многочисленных источников разведки угроз и может блокировать потенциальное вымогательское ПО, включая:
-
Доступ к подозрительным веб-сайтам, которые могут быть связаны с различными угрозами (такими как вредоносное ПО C&C, вымогательское ПО, фишинг и т.д.)
-
Подозрительный вредоносный хост, пытающийся распространить вымогательское ПО
-
Боковой трафик через WAN, который использует участник угрозы для вымогательского ПО
-
-
Межсетевой экран Интернета – защищает пользователей от доступа к вредоносным веб-сайтам (таким как категория Вредоносное ПО), где они могут случайно скачать вредоносный контент, который может содержать вымогательское ПО.
-
Антивирус и NG Антивирус – обеспечивает дополнительный уровень защиты и способствует Cato ZTNA (Zero Trust Network Access). Эти движки предотвращают любые попытки вредоносных загрузок и блокируют связанные вымогательские программы до их исполнения на устройстве пользователя.
Примечание
Примечание: Эти защиты Cato работают, когда действие установлено на Блокировать.
Команда безопасности Cato постоянно разрабатывает и обновляет алгоритмы трафика и эвристики для обнаружения трафика SMB, связанного с атаками вымогательского ПО. Эти данные дополняются данными о вредоносных программах из различных частных и открытых источников угроз, касающихся известных кампаний вымогательского ПО.
Cato использует эти техники для блокировки атак вредоносного ПО, пытающихся распространяться по WAN:
-
Блокировать трафик от одного хоста, который заражен вымогательским ПО и пытается распространить его на другие хосты (в WAN)
-
Блокировать трафик с расширениями файлов, имеющих низкий уровень доверия, и они могут быть потенциально вымогательским ПО
Кроме того, как только IPS идентифицирует атаку вымогательского ПО, он блокирует весь трафик от зараженного хоста через порт TCP 445. Это предотвращает заражение и воздействие атаки на другие сетевые активы.
Вы можете просматривать события безопасности в Домашняя > События и находить события предполагаемых атак вымогательского ПО в вашей учетной записи, которые были заблокированы. Существуют различные подтипы событий для этих атак, заблокированных системой предотвращения вторжений и межсетевым экраном. Для событий системы предотвращения вторжений тип угрозы может быть классифицирован как Вымогательское ПО.
Это пример события подозреваемой атаки вымогательского ПО, блокированной системой предотвращения вторжений:
Логика этой защиты системы предотвращения вторжений основана на счетчиках, и она отсчитывает активность SMB в течение короткого временного интервала (нескольких часов) для идентификации атаки вымогательского ПО. В течение этого временного интервала, если движок IPS определяет, что хост является возможным источником вымогательского ПО, он блокирует любой трафик SMB WAN (порт 445) от этого хоста.
Когда система предотвращения вторжений идентифицирует атаку вымогательского ПО, она может основываться на трафике, соответствующем поведенческому шаблону, который был идентифицирован как вымогательское ПО. Возможна ситуация, когда событие является ложным срабатыванием и на самом деле это легитимный трафик.
Если вы обнаружите, что система предотвращения вторжений заблокировала атаку вымогательского ПО, вероятно, некоторые из ваших внутренних ресурсов уже пострадали от вымогательского ПО. Защиты системы предотвращения вторжений Cato работают, чтобы предотвратить распространение вымогательского ПО по WAN, и ваше решение EPP минимизирует ущерб в локальной сети для релевантных сайтов.
Этот список содержит предложенные следующие шаги для внутренних ресурсов, которые пострадали от атак вымогательского ПО:
-
Изолируйте зараженные хосты от сети (в обоих межсетевых экранах WAN и Интернета).
-
Определите, какие активы в вашей организации стали целью атаки вымогательского ПО.
-
Вы можете просмотреть рекомендации CISA по инцидентам с вымогательским ПО здесь. Например:
-
Определите, какие файлы атака повредила или на которые воздействовала.
-
Подтвердить идентификацию семейства вредоносных программ или автора.
-
Убедитесь, что на всех корпоративных устройствах установлена защита конечных точек, и она обновлена с сигнатурами, которые могут идентифицировать вредоносное ПО, ответственное за эту атаку.
-
0 комментариев
Войдите в службу, чтобы оставить комментарий.