Attaques de ransomware se déroulent à un rythme de plus en plus effarant. Les tactiques de déploiement évoluent à un rythme tout aussi rapide. Ransomware en tant que service les fournisseurs sur le dark web utilisent ML pour créer des contraintes zero-day, et les technologies de sécurité traditionnelles ont du mal à suivre. Et si le attaque ransomware n'était-il qu'une diversion par rapport au but réel de l'attaquant ?
La plupart des attaquants s'implantent dans un environnement et effectuent une quantité importante de reconnaissance avant de se déplacer. Ils peuvent être omniprésents dans votre environnement pendant des semaines ou des mois avant de déployer un attaque ransomware. Cela a été corroboré par les rapports annuels sur les menaces d'à peu près tout le monde au cours des dernières années. Et si le but n'était pas la rançon mais plutôt votre propriété intellectuelle ?
L'un de nos partenaires travaillait avec un nouveau client sur un engagement IR. Ils n'avaient acheté aucun service géré auprès du Partenaire MSSP à ce moment. Ce qui a été découvert au cours de l'IR, c'est que pendant qu'ils faisaient face à l'attaque du ransomware, la base de données SQL de leur client a été déversée dans un fichier et exfiltrée via un tunnel DNS. Les attaquants ont également établi plusieurs comptes dans leurs systèmes pour rester persistants.
Il s'agissait d'un exemple classique d'une attaque ransomware. Il est impératif que MSP et Partenaires MSSP peuvent connecter les signaux faibles qu'ils reçoivent chaque les technologies de cybersécurité qu'ils prennent en charge afin de pouvoir détecter les premiers signes d'alerte et comprendre quand d'autres événements sont liés au ransomware. Cela peut s'avérer extrêmement difficile pour un SOC L'équipe est submergée par des milliers d'alertes par jour. Il existe des outils de gestion des incidents, mais ils exigent que l'analyste recherche chaque élément et l'ajoute manuellement à l'incident.
Open XDR peut aider les partenaires à protéger leurs clients de manière proactive en détectant les attaquants dès la phase de reconnaissance. XDR chaîne de destruction. Stellar Cyber est le premier SOC société de sécurité déployer un type spécialisé de L'IA appelée Graph ML L'objectif est de corréler automatiquement tous ces signaux et alertes en incidents. Ensuite, les incidents sont notés et classés selon leur gravité. Cela réduit considérablement le MTTD et la charge administrative. SOC.
Comme vous évaluez SOC technologies, vous devez vous demander comment les détections ont été développées et comment pouvons-nous, en tant que MSP/MSSP interagir avec ces modèles. Stellar Cyber a passé les cinq dernières années à développer des détections spécialisées basées sur sept types différents de ML. Chaque détection de ML peut remplacer 10 à 20 règles de détection dans un SIEM avec une efficacité nettement supérieure. Stellar Cyber offre également la possibilité d'assister à la formation des modèles pour vous donner, ainsi qu'à vos clients, plus de confiance.
Pour en savoir plus sur la façon dont vous pouvez arrêter attaques de ransomware dans la phase de reconnaissance du tuer la chaîne, veuillez nous contacter. Contactez moi au brian@stellarcyber.ai
