A nova abordagem de proteção de identidade evita vulnerabilidades críticas causadas por ransomware. No entanto, quase nenhuma organização é capaz de impedir proativamente a propagação automatizada da carga útil do ransomware depois de contornar as defesas de entrega e execução. Um comentário de Martin Kulendik, Diretor Regional de Vendas DACH em Silverfort.
A ciberextorsão por ransomware continua sendo uma das principais ameaças à segurança enfrentadas pelas empresas. A prática comum em segurança cibernética hoje é proteger contra as fases de entrega e execução desses ataques. No entanto, quase nenhuma organização é capaz de impedir proativamente a propagação automatizada da carga útil do ransomware depois de contornar as defesas de entrega e execução. Como o ransomware faz uma grande diferença entre infectar um único endpoint e criptografar dados corporativos em massa, a falta de capacidade de evitar isso é uma vulnerabilidade de segurança crítica. As medidas de proteção são, portanto, explicadas abaixo para cada fase de um ataque de ransomware - desde a entrega, passando pela execução, até a distribuição automatizada.
Medidas para proteger contra a entrega de ransomware
No estágio de entrega, os invasores colocam a carga útil do ransomware no computador da vítima. Os métodos mais comuns usados pelos cibercriminosos incluem e-mails de phishing, acesso RDP (Remote Desktop Protocol) comprometido e ataques watering hole, em que os cibercriminosos infectam sites frequentemente visitados por funcionários.
A proteção é fornecida por gateways de segurança de e-mail que verificam e-mails para detectar e remover conteúdo arriscado antes da interação do usuário, plataformas de proteção de endpoint que impedem o download de malware em potencial e autenticação multifator (MFA) para conexões RDP, impedindo que invasores se conectem com credenciais comprometidas.
Medidas de proteção contra a execução de ransomware
Na fase de execução, a carga útil do ransomware que foi entregue com sucesso à estação de trabalho ou servidor é executada com a intenção de criptografar os arquivos de dados no computador.
As empresas se protegem disso usando Endpoint Protection Platforms (EPP) em suas estações de trabalho e servidores. O EPP visa encerrar a execução de qualquer processo detectado como ransomware, impedindo totalmente a criptografia maliciosa.
Proteção contra distribuição automática de ransomware
Na fase de propagação, a carga útil do ransomware é copiada para muitos outros computadores no ambiente corporativo por meio de autenticação maliciosa com credenciais comprometidas. Uma das superfícies de ataque mais vulneráveis são as pastas compartilhadas (compartilhadas). Em um ambiente corporativo, cada usuário tem acesso a pelo menos algumas pastas. Isso abre caminho para a propagação do ransomware.
Como explicado anteriormente, este é o estágio em que o maior dano é causado. No entanto, esta fase é agora um ponto cego nas defesas de segurança corporativa. Não há solução de segurança hoje que possa impedir a propagação automática de ransomware em tempo real. Na prática, isso significa que uma variante de ransomware que consegue contornar as medidas de segurança para entrega e execução – e uma certa porcentagem dessas variantes sempre consegue – pode se espalhar dentro do ambiente corporativo e criptografar todas as máquinas que atingir. E mesmo que os EPPs se tornem melhores na proteção contra novos tipos de malware, os agentes de ameaças também estão desenvolvendo melhores métodos de evasão e cargas úteis (cargas) mais furtivas, tornando essa evasão um cenário muito provável.
desafio de proteção
Para entender melhor a causa dessa vulnerabilidade, veja como funciona a proliferação automática de ransomware.
Há um endpoint chamado "paciente zero" onde a carga útil do ransomware foi executada originalmente. Para se espalhar para outros computadores na área, o malware usa credenciais comprometidas e executa autenticação básica fornecendo ao outro computador um nome de usuário e credenciais válidos (mas comprometidos). Embora essa atividade seja 100% maliciosa em seu contexto, ela é essencialmente idêntica a qualquer autenticação legítima no ambiente. Não há como o provedor de identidade - neste caso, o Active Directory - detectar esse contexto malicioso. Ele, portanto, aprovará a conexão.
Portanto, aqui está o ponto cego na proteção contra ransomware: por um lado, nenhum produto de segurança pode bloquear autenticações em tempo real e, por outro lado, o único produto que poderia tornar isso possível - o provedor de identidade - é incapaz de distinguir entre autenticações legítimas e maliciosas.
A Proteção Unificada de Identidade impede a disseminação automatizada de ransomware
O Unified Identity Protection é uma tecnologia sem agente que se integra nativamente com provedores de identidade no ambiente corporativo para realizar monitoramento contínuo, análise de risco e aplicação de política de acesso de cada tentativa de acesso a qualquer recurso local e na nuvem. Dessa forma, a solução unificada de proteção de identidade estende a autenticação baseada em risco e a autenticação multifator a recursos e interfaces de acesso que antes não podiam ser protegidas, incluindo interfaces de acesso remoto de linha de comando do Active Directory, das quais depende a propagação automática de ransomware.
Evite ataques proativamente
Isso pode prevenir proativamente ataques que fazem uso indevido de credenciais comprometidas para acessar recursos corporativos, incluindo a distribuição automatizada de ransomware. Isso ocorre porque o malware usa autenticação de credenciais comprometidas para se espalhar no ambiente de destino, com predileção especial por pastas compartilhadas.
Para reforçar a proteção em tempo real contra a distribuição automatizada de ransomware, o Unified Identity Protection executa as seguintes ações:
1. Monitoramento contínuo
A Unified Identity Protection analisa continuamente as autenticações da conta do usuário e as tentativas de acesso, criando um perfil comportamental altamente preciso da atividade normal do usuário e da máquina.
2. Análise de risco
No caso da distribuição automatizada de ransomware, há várias tentativas simultâneas de login originadas de uma única máquina e conta de usuário. O mecanismo de risco da Unified Identity Protection Platform detecta imediatamente esse comportamento anômalo e aumenta a pontuação de risco da conta do usuário e do computador.
3. Aplicação da política de acesso
O Unified Identity Protection permite que os usuários criem políticas de acesso que usam avaliação de risco em tempo real para acionar uma medida de proteção: como autenticação reforçada com MFA ou até mesmo bloqueio total do acesso. A política contra distribuição automatizada de ransomware requer MFA sempre que a classificação de risco de uma conta de usuário for "Alta" ou "Crítica" e se aplica a todas as interfaces de acesso - Powershell, CMD e CIFS, o protocolo especial (dedicado) para acesso compartilhado na pasta de rede.
Se esta política estiver habilitada, qualquer tentativa do ransomware de se espalhar para outro computador não permitirá a conexão, a menos que a verificação de MFA tenha ocorrido nos usuários reais cujas credenciais foram comprometidas. Isso significa que a propagação é evitada e o ataque é limitado ao ponto de extremidade único inicialmente infectado "paciente zero".
Essa abordagem especial de proteção de identidade pode, portanto, impedir o componente mais fatal dos ataques de ransomware - a disseminação automatizada. Com uma solução de proteção de identidade unificada, as empresas podem finalmente cobrir esse ponto cego crítico na defesa e, assim, aumentar significativamente sua resiliência contra tentativas de ataques de ransomware.
Mais em Silverfort.com
Sobre Silverfort O Silverfort fornece a primeira plataforma unificada de proteção de identidade que consolida os controles de segurança IAM em redes corporativas e ambientes de nuvem para mitigar ataques baseados em identidade. Usando tecnologia inovadora sem agente e sem proxy, Silverfort integra-se perfeitamente com todas as soluções IAM, unificando sua análise de risco e controles de segurança e estendendo sua cobertura a ativos que anteriormente não podiam ser protegidos, como aplicativos legados e domésticos, infraestrutura de TI, sistemas de arquivos, linha de comando ferramentas, acesso máquina a máquina e muito mais.