Endpoint continua sendo a linha de frente contra ransomware

02/04/2024 mindsecblog Artigos, Notícias 0

Endpoint continua sendo a linha de frente contra ransomware. Em 2023, a “resiliência cibernética” tornou-se mais do que apenas uma frase usada nos círculos de TI e conquistou o seu lugar na agenda do conselho executivo.

Simplificando, resiliência significa ir além da implementação de medidas preventivas para resistir a um ataque, garantindo que os resultados do negócio sejam os mesmos, apesar de um ataque.

O aumento da consciencialização sobre a resiliência cibernética na lista de prioridades empresariais está diretamente ligado ao ransomware: dois terços das organizações foram atingidas por ransomware no ano passado. É lógico que mais organizações estejam começando a pensar que é uma questão de quando o ransomware irá afetá-las – e não mais se.

A prevenção ainda tem o papel mais importante a desempenhar quando as organizações analisam a sua postura e resiliência em matéria de cibersegurança. A proteção, o monitoramento e a ação dos endpoints precisam estar em primeiro lugar nessa estratégia. O ransomware vem em muitas formas diferentes, mas muitas das cepas mais prolíficas usam os dispositivos em seu benefício. O risco de ransomware remoto, em particular, quando um endpoint comprometido é usado para criptografar dados em outros dispositivos na mesma rede, confirma a necessidade de uma estratégia de endpoint mais resiliente.

Para executar com eficácia uma estratégia de segurança de endpoint que prioriza a defesa, as empresas precisam seguir esses princípios básicos.

Mantendo uma casa limpa

Manter políticas cibernéticas e garantir que os funcionários as cumpram é um dos maiores problemas da TI – mas é crucial que as políticas sejam seguidas. As pessoas são um dos, senão o mais importante, fator de segurança, tanto em termos dos riscos que apresentam como do seu papel na defesa organizacional. Mesmo com as soluções de cibersegurança mais avançadas implementadas, uma empresa é tão forte quanto o seu elo mais fraco – e em muitos casos, este pode ser o seu pessoal. Se o dispositivo de uma pessoa for exposto, poderá expor toda a empresa.

Além disso, as equipes de TI precisam de visibilidade de todos os dispositivos usados para acessar os dados de seus negócios. Oitenta por cento dos comprometimentos de criptografia remota têm origem em dispositivos não gerenciados na rede.

As equipes de TI precisam ser capazes de encontrar dispositivos que acessam seus dados, descobrir quaisquer vulnerabilidades de software, se há serviços desconhecidos em execução ou extensões de navegador não autorizadas; identificar endpoints e servidores que ainda possuem contas de convidados habilitadas; verifique se o software aprovado está implementado nos dispositivos; e acessar dispositivos remotamente para se aprofundar, se necessário, como editar arquivos de configuração.

Rechaçando Atacantes

Os ataques de ransomware são únicos. Cada ataque combina um conjunto diferente de táticas, técnicas e procedimentos (TTPs) e, como resultado, não existe uma solução de proteção “tamanho único”. O que funciona contra um ataque nem sempre funcionará contra o próximo. Consequentemente, algumas ameaças precisarão de mais atenção das equipes de segurança do que outras.

A proteção de endpoint serve como barreira inicial para as empresas contra muitas dessas ameaças, reduzindo a exposição e permitindo que os defensores respondam. Para as equipes de segurança que monitoram e priorizam as ameaças apresentadas às empresas, a detecção e resposta de endpoints podem filtrar e bloquear automaticamente milhões de ameaças. Os analistas podem voltar sua atenção para questões de segurança mais críticas aos negócios.

Para ter a melhor chance contra a infinidade de ameaças existentes, os analistas de segurança precisam de todos os dados de ameaças que puderem ter em mãos. Uma solução de endpoint que utiliza fontes de dados em tempo real, reunidas em uma grande base de amostras, fornecerá às equipes os dados necessários para priorizar ameaças.

Mitigando Ransomware

As ferramentas de detecção e resposta de endpoint (EDR) podem eliminar processos que tentam fazer uma conexão com portas não padrão, identificar processos que modificaram arquivos ou chaves de registro recentemente e podem acessar remotamente um dispositivo para implantar ferramentas forenses adicionais, desligar dispositivos, e execute scripts ou programas. Os recursos de proteção antiransomware também identificam e bloqueiam tentativas maliciosas de criptografia.

O ransomware remoto representa um desafio mais sutil para as equipes de segurança. O ransomware remoto agora representa cerca de 60% dos ataques de ransomware operados por humanos. Se a tentativa inicial for bloqueada (por exemplo, por tecnologias de segurança nos dispositivos alvo), o adversário raramente desiste, optando, em vez disso, por uma abordagem alternativa e por tentar novamente e novamente.

A maioria dos produtos de segurança de endpoint são ineficazes nesse cenário porque se concentram na detecção de arquivos e processos maliciosos de ransomware no endpoint protegido. No entanto, com ataques de criptografia remota, os processos são executados na máquina comprometida, deixando a proteção do endpoint cega para atividades maliciosas.

As organizações precisam procurar soluções que detectem e interrompam universalmente todos os ransomware em seu caminho, incluindo novas variantes e ataques de ransomware locais e remotos. Usando análise matemática avançada do conteúdo dos arquivos, soluções sofisticadas de endpoint detectam criptografia maliciosa onde quer que ela ocorra. Quaisquer arquivos criptografados maliciosamente são automaticamente revertidos para seu estado não criptografado, independentemente do tamanho do tipo de arquivo, minimizando o impacto nos negócios.

Os adversários tornaram-se mais sofisticados e mais evasivos, exigindo uma estratégia de defesa profunda como a EDR, que inclui proteção, detecção e resposta em todos os pontos da cadeia de ataque e que abrange ambientes inteiros. Investir em soluções de endpoint é fundamental para fornecer às equipes de segurança as ferramentas necessárias para fazer perguntas detalhadas ao caçar ameaças e fortalecer a postura das operações de segurança de TI.