David Barton, Chief Information Security Officer, porta in Stellar Cyber oltre 20 anni di esperienza in ruoli di leadership nella sicurezza in una varietà di settori, tra cui telecomunicazioni, sanità, sviluppo software, finanza e governo. Prima di Stellar Cyber, è stato Chief Operating Officer di 5Iron. Prima di 5Iron, ha trascorso tre anni come Chief Information Security Officer di Forcepoint, responsabile della protezione delle informazioni e delle risorse fisiche di Forcepoint su scala globale. Barton ha trascorso tre anni a costruire e guidare il team di sicurezza internazionale di Hireright per proteggere i dati dei clienti e la proprietà intellettuale. In precedenza, ha trascorso quasi otto anni come direttore della sicurezza delle informazioni presso AT & T / Cingular, con sede ad Atlanta, in Georgia, dove ha guidato gli sforzi per proteggere oltre 80 milioni di abbonati wireless. In qualità di group manager delle operazioni di sicurezza e ingegneria presso Sprint / Nextel, ha gestito tutte le attività di sicurezza per lo sviluppo delle applicazioni, l'architettura del database, le policy aziendali e la conformità dei controlli, oltre a creare un team di sicurezza white-hat di livello mondiale. Barton ha conseguito un MBA esecutivo presso l'Università del Missouri, Kansas City, una laurea in sistemi informativi di gestione presso il Simpson College e una certificazione CISSP.Secondo Bleeping Computer, il ransomware maze ha colpito un'azienda di servizi IT molto grande. https://www.bleepingcomputer.com/news/security/it-services-giant-cognizant-suffers-maze-ransomware-cyber-attack/?fbclid=IwAR3-qjIf_1ca2PA6L83YKxDAIqxF20DgxkSKQgy5SrqC_-kwJ2bZvnjf-2k.
In passato, questo malware ha ottenuto l'accesso utilizzando diverse tecniche: kit di exploit tramite download drive-by, connessioni desktop remote (RDP) con password deboli, rappresentazione di posta elettronica e posta indesiderata. Nella maggior parte dei casi in cui viene recapitata l'e-mail di phishing, l'utente fa clic sul collegamento, quindi autorizza l'esecuzione della macro e infine installa il file dannoso. Una volta installato, il maze ransomware inizia a crittografare i dati critici sulla macchina infetta. Mentre il processo di crittografia è in esecuzione, il ransomware esegue anche il filtraggio dei dati su un server su Internet. Quando entrambi questi processi sono stati completati, all'utente viene presentata una richiesta di riscatto e un metodo per recuperare i dati crittografati.
Nel 2011, Lockheed Martin è stata accreditata con l'idea di una catena di uccisione della sicurezza informatica. La kill-chain della sicurezza informatica, così come progettata, organizza le minacce in categorie così come i controlli di sicurezza che possono essere implementati in quelle categorie per mitigare tali rischi. Se applichiamo la kill-chain al ransomware Maze, vediamo quanto segue:
- L'e-mail di phishing, nella categoria di recapito, avrebbe dovuto essere catturata dagli strumenti commerciali di protezione della posta elettronica.
- I file malware (kepstl32.dll, memes.tmp e maze.dll), nella categoria di consegna, avrebbero dovuto essere catturati da strumenti malware e altri strumenti AV. Nota, l'utente finale in questo caso doveva consentire l'esecuzione delle macro. La consapevolezza dell'utente è ancora essenziale per difendersi da questi tipi di attacchi!
- Una volta abilitate le macro, il malware raggiunge un file server e scarica malware aggiuntivo. Questo avrebbe dovuto essere rilevato nella categoria di comando e controllo, nonché nella categoria di consegna. Queste categorie sono generalmente difese da strumenti di intelligence sulle minacce, strumenti malware e strumenti basati su host.
- Vengono creati nuovi file e inizia il processo di crittografia dei file. Questa creazione di file e la successiva crittografia dovrebbero essere catturate nella categoria azioni ed esfiltrazione e protette da strumenti come informazioni sulle minacce, rilevamento di anomalie di processo, firewall e strumenti malware.
Ciò che non è stato considerato nella cyber kill-chain è stato il progresso dell'apprendimento automatico e dell'intelligenza artificiale. L'applicazione di questi strumenti ai dati in ciascuna categoria della kill-chain migliora la nostra capacità di rilevare il comportamento anomalo in ciascuna categoria, oltre a migliorare la mitigazione in ciascuna categoria correlando i rilevamenti.
Stellar Cyber si impegna a utilizzare il nostro Open XDR Piattaforma per rilevare, allertare e rispondere a questi tipi di comportamenti. La nostra raccolta dati pervasiva, abbinata a una gestione avanzata dei dati e all'apprendimento automatico, ci offre molteplici aree in cui possiamo rilevare questi tipi di attacchi lungo la kill chain informatica. Se l'attacco non viene rilevato in una fase della kill chain, lo intercettamo in un'altra. Una volta rilevato, siamo in grado di intraprendere azioni automatizzate contro questi comportamenti anomali. Applicando la nostra tecnologia al ransomware Maze, potremmo potenzialmente rilevarlo e mitigarlo nei seguenti modi:
- Il nostro rilevamento del phishing valuta l'URL dannoso e ne mitiga il rischio.
- Le connessioni RDP verrebbero valutate, avvisate e mitigate automaticamente quando si verificano accessi anomali.
- I file malware a cui si fa riferimento sopra sarebbero stati valutati dal nostro strumento malware e mitigati.
- Se quei file avessero superato il test del malware, il sensore del server avrebbe rilevato il cambiamento di comportamento (ovvero un nuovo processo generato con una nuova connessione al file server Internet).
- Se il file dropper ha superato la valutazione del malware e del sensore del server, la chiamata al file server Internet avrebbe potuto essere mitigata a livello di rete. La piattaforma Stellar Cyber avrebbe segnalato ai firewall di rete di implementare un blocco al server di destinazione.
- I nuovi download di file potrebbero essere stati rilevati e mitigati dal sensore del server o dalla valutazione del malware.
- Il processo di crittografia verrebbe rilevato dal sensore del server e dalle tecniche di mitigazione applicate per impedire / interrompere il processo.
- Infine, il processo di esfiltrazione verrebbe rilevato dal livello di rete, dal sensore host e dalle informazioni sulle minacce.
Il ransomware è un settore enorme. I backup e l'applicazione di patch sono essenziali, ma lo è anche la difesa in profondità. Se non stai proteggendo il tuo ambiente nelle varie fasi della kill-chain, dovresti considerare di farlo. Se stai lottando per implementare questi concetti perché hai troppi strumenti che non interagiscono, chiamaci. Possiamo aiutare!
