Um incidente de segurança cibernética pode ser uma experiência avassaladora e, também, resultar em endpoints infectados, roubo de dados, interrupção do usuário, extorsão e até mesmo tempo de inatividade que causa interrupção dos negócios. Estes são alguns dos dias mais sombrios para qualquer organização e exigem ações decisivas que podem ter um impacto direto em sua capacidade de recuperar funções essenciais de negócios de maneira rápida.
Como se recuperar de ataques de malware e ransomware com velocidade e precisão
O aumento contínuo de ataques de malware, como Emotet e TrickBot, e ataques de
ransomware com motivação financeira, como Ryuk, Maze, DoppelPaymer, REvil e
Dharma colocaram ênfase considerável nos aspectos de recuperação de uma
violação. Na esteira de um ataque cibernético, fazer com confiança as escolhas
certas sobre como gerenciar uma recuperação é mais crítico do que nunca, e as
operações de recuperação nunca foram tão importantes ou tão caras. É evidente
que uma abordagem mais eficiente e eficaz para a recuperação é essencial - uma
que possa erradicar ataques persistentes e destrutivos rapidamente e com o
mínimo de interrupção.
Recuperação tradicional: “Destruir e reconstruir tudo”
A recuperação dos ataques persistentes de malware e ransomware de hoje
requer uma nova abordagem para remediar o ambiente com velocidade e precisão
para voltar às operações normais de negócios mais rapidamente. A abordagem
tradicional de “derrubar e reconstruir tudo” é muito demorada e cara para os
ataques atuais em toda a empresa, expondo a organização a potenciais
interrupções de negócios e tempo de inatividade. Ataques cibernéticos
persistentes alcançam movimento lateral em uma rede, afetando centenas e até
mesmo milhares de endpoints em um ataque em toda a empresa - e o tempo para
refazer a imagem ou reconstruir centenas, quanto mais milhares, de endpoints pode
levar meses, interrompendo gravemente os usuários e as operações de negócios.
Pior ainda, os ataques persistentes antecipam essa abordagem de recuperação e
restauração de imagens de backup, infectando novamente essas mesmas máquinas,
mesmo depois de serem consideradas limpas.
A abordagem “derrubar e reconstruir tudo”, antes
considerada a única maneira de realmente remover um adversário do ambiente,
agora é uma falácia que expõe uma organização a um risco maior de interrupção
de negócios e reinfecção. Tem que haver uma maneira melhor. E, felizmente,
existe.
Recuperação rápida liderada por inteligência
A CrowdStrike fez uma parceria com Baker Tilly e MOXFIVE para desenvolver um
relatório que discute o valor do uso de uma abordagem de recuperação rápida,
baseada em inteligência, para obter rapidamente a visibilidade de todo o
contexto de ameaça em todo o ambiente e remover cirurgicamente todos os
mecanismos de persistência implantados no ataque (aqui, falamos de centenas e
até mesmo de milhares de terminais, sem a necessidade de refazer a imagem,
reconstruir ou substituir uma grande porcentagem dos sistemas afetados).
Com a evolução dos agentes de ameaças para táticas
de caça de grandes jogos que capitalizam oportunidades de negócios lucrativos e
ataques persistentes em toda a empresa, vemos um aumento nos ataques de malware
e ransomware com motivação financeira. Quanto maior for o alvo, mais ampla será
a superfície de ataque - e maior será o resgate. Embora a abordagem tradicional
possa ser aceitável para um ataque a um único sistema ou mesmo 5 a 10 sistemas,
essa mesma abordagem rapidamente se torna problemática quando estamos falando
de 500 endpoints, 1.000 endpoints ou até 10.000 endpoints.
Usando uma abordagem baseada em inteligência, somos
capazes de identificar e conter rapidamente todos os computadores host que
foram afetados pelo ataque. Ganhar visibilidade para a árvore de processos
executada pelo agente da ameaça nos permite usar o Falcon Real Time Response
remoto para reverter as operações maliciosas - eliminando processos ruins,
excluindo arquivos infectados, restaurando chaves de registro e removendo todo
e qualquer mecanismo de persistência com velocidade e precisão cirúrgica.
Em resumo, a abordagem de recuperação rápida
baseada em inteligência permite:
- Recuperar
sistemas e endpoints usando inteligência de ameaças;
- Ganhar
visibilidade imediata de todo o contexto da ameaça;
- Usar
o Falcon Real Time Response remoto para remover cirurgicamente todos os
mecanismos de persistência;
- Recuperação,
em poucas horas ou dias, de um incidente de malware ou ransomware;
- Minimizar
a interrupção do usuário, sem a necessidade de refazer a imagem dos
endpoints e reiniciar os computadores;
- Impedir
a reinfecção do sistema com caça e monitoramento de ameaças;
- Reduzir
o risco de interrupção dos negócios devido a um processo de recuperação
longo.
Voltando aos negócios mais rápido
Neste artigo, apresentei três casos de uso comparando a abordagem
tradicional à abordagem baseada em inteligência, o custo relativo e o tempo de
ambas as abordagens e o custo potencial de interrupção de negócios ao usar um
processo de recuperação ineficiente. A partir desses casos de uso e vários
outros compromissos de recuperação de endpoint nessas empresas, testemunhamos
uma redução significativa no tempo de recuperação e no custo de recuperação,
permitindo que os negócios voltem às operações normais mais rapidamente e com
menos risco de interrupção das operações de negócios.
Jeferson Propheta - Country Manager da CrowdStrike
CrowdStrike® Inc.
https://www.crowdstrike.com.br/
Nenhum comentário:
Postar um comentário