Atendimento WhatsApp
Image

Somos um Hub de soluções líderes de mercado com a aplicação de Inteligência Artificial para segurança e proteção de dados da sua empresa

Alameda Santos, 1165 Conj 111 - Jardim Paulista - São Paulo, SP - Brasil

+55 11 3090-7642

Darktrace: como neutralizar o ransomware em todas as etapas!
outubro 31, 2022
admin by admin

Darktrace: como neutralizar o ransomware em todas as etapas!

O ransomware é um ataque de vários estágios que pode começar com um único dispositivo de endpoint comprometido e terminar com a criptografia dos dados de toda a empresa. Neste post, aprenda o que o Darktrace/Endpoint pode fazer para neutralizá-lo em cada uma das etapas de invasão.

Intrusão inicial: detecção de exploits

Interromper as ameaças no momento em que elas surgem em um endpoint, rede ou sistema de e-mail é a melhor maneira de evitar interrupções nos negócios. A Darktrace identificou exploits bem conhecidos, como Log4J, Hafnium, Kaseya sem Threat Intelligence, e detecta milhares de exploits menos conhecidos regularmente.

Cada ameaça é diferente, mas alguns padrões incomuns que o Darktrace/Endpoint avalia incluem:

  • RDP de entrada incomum
  • Download de arquivo incomum
  • Arquivo .exe incomumTorrenting

Criação de ponto de apoio e balizamento: busca de anomalias

Nesta etapa, o Darktrace/Endpoint reúne anomalias para detectar quando um invasor está tentando entrar em contato e controlar remotamente um dispositivo. Com essa base, o Darktrace RESPOND/Endpoint neutraliza essa atividade bloqueando conexões específicas ou reforçando o ‘padrão de vida’.

Neste caso, alguns padrões incomuns que o Darktrace/Endpoint pode avaliar ao revelar esse tipo de ataque são:

  • Beaconing para um endpoint jovem
  • Downloads de arquivos anômalos
  • Atividade de sinalização para endpoint raro externo
  • Conexões para endpoint incomum

Exfiltração de dados: busca de desvios sutis

Seja “smash and grab” ou um “low and slow”, o DETECT/Endpoint identifica desvios sutis na atividade para evitar que os dados sejam exfiltrados dos dispositivos da empresa. Para isso, o Darktrace RESPOND/Endpoint neutraliza a atividade bloqueando conexões específicas, reforçando o ‘padrão de vida’ ou colocando o dispositivo em quarentena.

Alguns padrões incomuns que o Darktrace/Endpoint pode avaliar ao revelar esse tipo de ataque:

  • Exfiltração baixa e lenta
  • Saída de 1 GiB incomum
  • Dados enviados para domínio raro
  • Transferência de dados externos incomum
  • Download / upload de dados incomuns para destino raro

Criptografia de dados: detecção sem assinaturas estáticas

Mesmo que ferramentas e métodos familiares sejam usados ​​para conduzir a criptografia – seja simétrica ou assimétrica – o Darktrace detecta a atividade sem usar regras ou assinaturas estáticas. Feito isso, o Darktrace RESPOND/Endpoint neutraliza essa atividade bloqueando conexões específicas, reforçando o ‘padrão de vida’ ou colocando o dispositivo em quarentena.

Alguns padrões incomuns que o Darktrace/Endpoint pode avaliar ao revelar esse tipo de ataque:

  • Extensão adicional anexada ao arquivo SMB
  • Proporção de leitura/gravação SMB suspeita
  • Conversão de tipo MIME sustentada
  • Possível nota de resgate
  • Atividade suspeita de PME

Mais sobre ransomwere:

Posted in Sem categoria