WYKRYWANIE OPROGRAMOWANIA RANSOMWARE I DZIAŁANIA NAPRAWCZE

W przypadku zagrożeń cybernetycznych, takich jak oprogramowanie ransomware, kluczowe znaczenie mają zaawansowane planowanie i czujność. Szybka reakcja na naruszenie pozwala zminimalizować szkody wyrządzone w sieci. Guardicore Centra udostępnia funkcje, które mogą pomóc zarówno w wykrywaniu zagrożeń, jak i reagowaniu na nie.

Wykrywanie zagrożeń przy użyciu Guardicore Centra Incydenty Guardicore Centra generuje alerty w postaci incydentów, które mogą wskazywać na atak lub zagrożenie dla sieci.

Incydenty mogą obejmować:

Podstępne działania
Wykrywanie i przechwytywanie podejrzanych prób ruchu lateralnego i przekierowywanie ich do dynamicznych pułapek (tzw. honeypotów), dzięki czemu można monitorować i analizować działania cyberprzestępców. Incydenty związane z podstępnym działaniem są bardzo dokładne, dostarczają szczegółowych danych na temat szkodliwej aktywności i następnej fazy ataku cyberprzestępcy.

Skanowanie sieci
Po przedostaniu się do sieci cyberprzestępcy gromadzą informacje wywiadowcze. Wykorzystują skanowanie sieci jako metodę zwiadowczą, aby wykryć otwarte porty lub usługi, których nasłuchują inne serwery. Guardicore Centra automatycznie wykrywa skanowanie sieci i natychmiast ostrzega użytkowników.

Wykrywanie oparte na polityce
Polityki bezpieczeństwa na poziomie sieci i procesów umożliwiają natychmiastowe rozpoznawanie nieautoryzowanej komunikacji i ruchu naruszającego obowiązujące reguły.

Guardicore zapewnia wgląd w poszczególne zasoby dzięki wykorzystaniu narzędzia OSquery. Centra wykorzystuje tę strukturę zapytań do szybkiego wykrywania anomalii, takich jak kopiowanie woluminów w tle (VSS) – najczęstsze działanie w ramach ataku ransomware poprzedzające szyfrowanie. Centra może również wykrywać trojany wykorzystywane do przenoszenia oprogramowania ransomware poprzez identyfikowanie zastosowania popularnej techniki hollowing, która ukrywa złośliwe oprogramowanie w pliku svchost.exe, będącym legalnym procesem systemu Windows.

Usługa Threat Hunting firmy Guardicore ostrzega użytkowników o wszelkich anomaliach zachodzących w ich sieci. W tym celu stosuje się takie techniki, jak analiza przychodzących i wychodzących połączeń internetowych oraz powiązanych z nimi adresów GeoIP, wyszukiwanie nowych programów wykonywalnych, których obecność w sieci wzrasta, co może wskazywać na rozprzestrzenianie się zagrożenia, a także analiza połączeń zasobów w celu znalezienia oznak ruchu lateralnego poprzez anomalie w zakresie liczby sąsiednich węzłów.

Natychmiastowa reakcja

Po wykryciu w sieci zagrożenia, takiego jak oprogramowanie ransomware, należy użyć Guardicore Centra do szybkiego wdrożenia środków zaradczych poprzez zastosowanie polityk na poziomie procesów i użytkowników w celu aktywnego blokowania i izolowania szkodliwych działań.

Mając pierwszy trop lub wskaźnik naruszenia bezpieczeństwa, można rozpocząć poszukiwanie dodatkowych wskaźników, takich jak wzorce komunikacji, procesy, używane porty, zainfekowane zasoby itp. Guardicore Reveal wyszukuje wszystkie zasoby z tym wskaźnikiem (wszystkie zasoby komunikujące się z C2, wszystkie zasoby komunikujące się z unikalnym portem lub wszystkie zasoby z uruchomionym złośliwym procesem). Następnie, w oparciu o graficzną mapę środowiska Guardicore Reveal, można szukać innych podobieństw między zainfekowanymi urządzeniami lub oznak rozprzestrzeniania się infekcji.