Dlaczego tylko XDR to obrona przed Ransomware klasy Enterprise
Pod koniec 2021 roku analitycy Helpnet Security opublikowali raport dotyczący ataków z wykorzystanie ransomware – a jego treść jest co najmniej niepokojąca. Może brzmieć to zabawnie, ponieważ ransomware spędza bezpiecznikom sen z powiek już od co najmniej 3 lat jednak… Zerknijmy na cyfry: tylko w trzecim kwartale 2021 r. analitycy bezpieczeństwa wykryli 190,4 miliona prób oprogramowania ransomware — prawie tyle samo ataków, co 195,7 miliona infekcji ransomware, które pojawiły się w mediach w pierwszych trzech kwartałach 2020 roku. do końca roku, co stanowi 134% wzrost rok do roku.
Badanie kosztu naruszenia danych z 2021 r. wykazało, że średni koszt infekcji ransomware wzrósł do 4,62 miliona dolarów. Cena była droższa niż 4,24 miliona dolarów, które organizacje wypłaciły po naruszeniu danych. Obejmował koszty: eskalacji, powiadomienia, utraconych transakcji i odpowiedzi, ale nie obejmował kosztu zapłaty okupu.
Opisywana przez nas firm Cybereason dodała kilka interesujących punktów w swoim raporcie Ransomware: The True Cost to Business:
- Dwie trzecie organizacji poniosło znaczną utratę przychodów w wyniku ataku ransomware
- Ponad połowa (53%) organizacji doznała uszczerbku na swojej marce i reputacji po infekcji ransomware
- Około trzy na 10 ofiar oprogramowania ransomware stwierdziło, że straciło talent C-Level i zwolniło niektórych pracowników w bezpośrednim wyniku udanego ataku ransomware
- Jedna czwarta organizacji stwierdziła, że po ataku ransomware doświadczyła zakłóceń w działaniu
Podstawą jest zmiana myślenia…
Przede wszystkim, organizacje muszą zdać sobie sprawę, że sama natura dzisiejszych złożonych, wysoce ukierunkowanych ataków ransomware (RansomOps) sprawia, że tradycyjne metody zapobiegania są w dużej mierze nieskuteczne. RansomOps to inny poziom zagrożenia w porównaniu do zwykłych ataków ransomware z przeszłości, które wykorzystywały taktyki spray&pray, celując w pojedyncze ofiary w celu uzyskania niewielkich żądań okupu, a przede wszystkim wykorzystywały ataki phishingowe polegające na „oszukaniu” celu w celu kliknięcia złośliwego łącza lub otwarcie skażonego dokumentu jako głównego wektora infekcji.
Kampanie RansomOps to ataki o niskim i powolnym działaniu, bardziej zbliżone do operacji APT, w których złośliwi aktorzy najpierw uzyskują dostęp do jak największej części sieci docelowej, zanim zdetonują ładunek oprogramowania ransomware, aby uzyskać maksymalny efekt i możliwość wypłaty wielomilionowego okupu.
…i wychwycenie melodii ataku w szumie zdarzeń…
W dużych firmach skala zdarzeń to dziesiątki tysięcy zdarzeń systemowych i setki gigabajtów surowych logów do przetworzenia. Dane te trzeba spiorytetyzować, posegregować, skorelować i wyciągnąć z nich wnioski. Nic dziwnego, że oparta na playbookach kombinacja SIEM + SOAR dawno przestała wystarczać. Obecnie najbardziej narażone na ataki organizacje sięgają po oparte na sztucznej inteligencji rozwiązania XDR. Mogą one analizować duże zestawy danych telemetrycznych z dużą dokładnością, aby zidentyfikować najbardziej subtelne wskaźniki zachowania (IOB – Indicators of Behavior) w skali, której ręczna analizanigdy nie jest w stanie osiągnąć. Zaletą jest tutaj automatyzacja wykrywania zdarzeń, które zwykle wymagają ludzkiej analizy i odciążenie zespołów bezpieczeństwa od nieefektywnego zadania sortowania sygnału od szumu w sieci.
Sztuczna inteligencja zwiększa wydajność każdego członka zespołu ds. bezpieczeństwa i wzmacnia skuteczność całego stosu bezpieczeństwa. Znalezienie jednego elementu ataku z pojedynczego alertu pozwala obrońcom wiedzieć, że potrzebne jest dalsze dochodzenie. Mimo to nawet najbardziej wykwalifikowani analitycy nie są w stanie szybko i skutecznie przeszukiwać wszystkich dostępnych danych telemetrycznych w czasie rzeczywistym w celu wykrycia znaczących wskaźników ataku z pierwotnej przyczyny.
…a Cybereason wzbudza nasze zaufanie ponieważ…
Najpopularniejsze firmy – takie jak Crowdstrike i SentinelOne, nie mogą zapewnić skutecznej analizy behawioralnej o atakach RansomOps, ponieważ ich platformy nie mogą analizować zdarzeń na dużą skalę i są zmuszone do filtrowania krytycznej telemetrii. Próbują wypromować to jako zamierzoną funkcję, nazywając ją inteligentnym filtrowaniem, ale wyeliminowanie krytycznej telemetrii wymaganej do wykrycia i powstrzymania ataku na najwcześniejszych etapach podważa zdolność do prawdziwego zautomatyzowania wykrywania i reagowania na złożone ataki.
Organizacje wykorzystujące moc opartego na sztucznej inteligencji Cybereason XDR, która łączy:
- wiodący w branży silnik wykrywania MalOp™ – analizuje ponad 23 biliony zdarzeń związanych z bezpieczeństwem tygodniowo
- silnik analityczny Google Cloud – Chronicle – który pozyskuje i normalizuje petabajty danych telemetrycznych z całego świata
…są w stanie zabezpieczyć całe środowisko IT. Dlaczego?
Połączenie możliwości Cybereason i Google oznacza, że absolutnie żadna telemetria nie jest filtrowana, co pozwala analityce predykcyjnej AI/ML na wcześniejsze identyfikowanie aktywności ataków RanomOps i szybszą naprawę zagrożenia.
Pamiętajcie – wczesne wykrywanie wymaga analizy każdej dostępnej telemetrii. I dlatego warto zdecydować się na rozwiązanie, które zapewnia taką możliwość.