Impedir a propagação automatizada de ataques de ransomware

Os ataques de ransomware ocupam um lugar de destaque entre as preocupações de segurança cibernética das empresas. A prática comum hoje é proteger contra o Entrega e execução etapas desses ataques. No entanto, quase todas as empresas não têm a capacidade de prevenir proativamente a propagação automatizada of ransomware carga útil que conseguiu ignorar a proteção de entrega e execução. Como essa propagação é a diferença entre um único endpoint infectado e um bloqueio corporativo em massa, a falta de capacidade de evitar isso é uma lacuna crítica de segurança. SilverfortA plataforma Unified Identity Protection da oferece a única solução atualmente que pode utilizar MFA para prevenir eficazmente a propagação automatizada de ransomware, nunca permitindo que a carga maliciosa se expanda além da máquina inicialmente infectada.

A propagação automatizada é o fator X nos ataques de ransomware

Os ataques de ransomware passaram de um incômodo a um risco crítico em 2017, quando o WannaCry e NotPetya os ataques causaram estragos entre empresas em todo o mundo, com danos globais estimados em cerca de 15 mil milhões de dólares. Esses ataques foram os primeiros a acoplar uma carga útil de criptografia de propagação automatizada. Dessa maneira, a engenharia social de um único trabalhador corporativo para abrir um e-mail armado resultou na criptografia de dados não apenas do terminal desse trabalhador, mas de todas as outras máquinas no ambiente corporativo. Esta nova realidade forçou segurança empresarial tomadores de decisão redefinindo prioridades para suas necessidades de segurança, pressionando proteção corporativa contra ransomware para o topo da sua lista.

Anatomia do ataque de ransomware: entrega, execução, propagação

Os ataques de ransomware compreendem os seguintes estágios consecutivos:

Proteção de entrega – verificada

O objetivo do estágio de entrega é colocar a carga do ransomware na máquina do alvo. Existem vários métodos para os invasores conseguirem isso com e-mails de phishing armados, acesso RDP comprometido e poços de água no topo da lista. A tabela abaixo, retirada de Site Statista, mostra uma distribuição mais detalhada dos vetores de entrega:

A proteção contra entrega de ransomware é realizada por gateways de segurança de e-mail que verificam e-mails para detectar e remover conteúdo arriscado antes da interação do usuário, plataformas de proteção de endpoint que impedem o download de malware em potencial e MFA em conexões RDP que impedem a capacidade dos invasores de se conectarem com credenciais comprometidas.

Proteção de Execução – Verificada

O estágio de execução é quando a carga útil do ransomware que foi entregue com sucesso à estação de trabalho ou servidor começa a ser executada com a intenção de criptografar os arquivos de dados na máquina.

Esta mesa, montada da Kaspersky Labs, mostra as famílias de ransomware com melhor desempenho:

As empresas se protegem contra o estágio de Execução implantando Plataformas de Proteção de Endpoint (EPP) em suas estações de trabalho e servidores. O EPP visa encerrar a execução de qualquer processo detectado como ransomware, evitando totalmente a criptografia maliciosa.

Proteção contra propagação – o ponto cego!

O estágio de propagação é onde a carga do ransomware é copiada para muitas outras máquinas no ambiente corporativo por meio de autenticação maliciosa com credenciais comprometidas. Uma das superfícies de ataque mais vulneráveis ​​são as pastas compartilhadas. Em um ambiente corporativo, cada usuário tem acesso a pelo menos alguns deles, abrindo caminho para a propagação do ransomware.

Como explicamos anteriormente, esta é a fase em que o dano em massa é causado. No entanto, esta fase representa hoje um ponto cego na postura de segurança das empresas. Não existe hoje nenhuma solução de segurança capaz de impedir a propagação automatizada de ransomware em tempo real. Na prática, isso significa que se uma variante de ransomware conseguir contornar as medidas de segurança de entrega e execução – e uma certa porcentagem se essas variantes sempre conseguirem – ela poderá se propagar dentro do ambiente corporativo, criptografando qualquer máquina que puder alcançar. E embora os EPPs estejam melhorando na proteção contra novas variedades de malware, os agentes de ameaças estão criando cargas úteis mais evasivas e furtivas – tornando esse desvio um cenário de alta probabilidade.

Qual é o desafio na proteção contra a propagação automatizada de ransomware?

Para entender melhor a causa raiz dessa lacuna de segurança, vamos examinar como funciona a propagação automatizada de ransomware.

Temos o endpoint do paciente zero onde a carga útil do ransomware foi executada inicialmente. Para se propagar para outras máquinas no ambiente, o malware usará credenciais comprometidas e executará um autenticação padrão – fornecer à outra máquina um nome de usuário e credenciais válidos (mas comprometidos). Embora esta atividade seja 100% malicioso dentro de seu contexto, em essência é idêntico a qualquer autenticação legítima no ambiente. Não há como o Provedor de Identidade – Active Directory neste caso – para identificar este contexto malicioso e aprovará a conexão.

Então aqui está o ponto cego na proteção contra ransomware – por um lado, nenhum produto de segurança pode bloquear autenticações em tempo real e, por outro, o único produto que pode fazer isso – o Provedor de Identidade – não tem a capacidade de discernir entre autenticações legítimas e maliciosas.

Aqui é onde Silverfort unificado Proteção de identidade plataforma entra em jogo.

 A solução: plataforma unificada de proteção de identidade

Silverfort foi pioneira no primeiro projeto construído especificamente Proteção de identidade unificada plataforma que evita proativamente ataques que utilizam credenciais comprometidas para acessar recursos corporativos. Silverfort utiliza tecnologia inovadora e sem agente para integração nativa com os provedores de identidade no ambiente corporativo para aplicar monitoramento contínuo, análise de risco e aplicação de políticas de acesso em cada tentativa de acesso a qualquer recurso local e na nuvem. Desta maneira, Silverfort estende a autenticação baseada em risco e MFA a recursos e interfaces de acesso que nunca poderiam ter sido protegidos antes – incluam Active Directory interfaces de acesso remoto de linha de comando das quais depende a propagação automatizada de ransomware.

Então, como é que Silverfort Oferecer proteção em tempo real contra a propagação automatizada de ransomware?

Como explicamos anteriormente, a propagação automatizada utiliza autenticação com credenciais comprometidas para se espalhar no ambiente de destino, com uma inclinação especial para pastas compartilhadas. Vamos entender como Silverfort aborda esse risco:

Monitoramento contínuo

Silverfort analisa continuamente as autenticações e tentativas de acesso das contas dos usuários, construindo um perfil de comportamento de alta precisão das atividades normais dos usuários e das máquinas.

Análise de risco

No caso de propagação automatizada, haverá múltiplas tentativas simultâneas de login originadas de uma única máquina e conta de usuário. SilverfortO mecanismo de risco identificará imediatamente esse comportamento anômalo e aumentará a pontuação de risco da conta do usuário e da máquina.

Aplicação de políticas de acesso

Silverfort permite que os usuários criem políticas de acesso que utilizem sua pontuação de risco em tempo real para desencadear uma ação protetora – intensificando autenticação com MFA ou mesmo bloqueando totalmente o acesso. A política contra a propagação automatizada de ransomware exigiria MFA sempre que a pontuação de risco de uma conta de usuário fosse 'Alta' ou 'Crítica', e se aplicaria a todas as interfaces de acesso – Powershell, CMD e CIFS, que é o protocolo dedicado para fornecer acesso compartilhado para pastas de rede.

Com esta política habilitada, sempre que o ransomware tentar se expandir para outra máquina, a conexão não será permitida sem a verificação MFA do usuários reais cujas credenciais foram comprometidas. Efetivamente, isso significa que a propagação seria evitada e o ataque seria contido no único endpoint do paciente zero.

Conclusão: é necessária uma abordagem de proteção de identidade dedicada para evitar a propagação automatizada

A propagação automatizada é o componente mais letal em ataques de ransomware e é o principal fator de mudança no risco que eles apresentam para as empresas atualmente. Com SilverfortCom a plataforma Unified Identity Protection da Microsoft, você pode finalmente ter esse ponto cego crítico coberto e verificado, aumentando materialmente a resiliência da sua empresa a tentativas de ataques de ransomware.