Attacchi di ransomware stanno accadendo a un ritmo sempre più impressionante. Le tattiche per implementarlo si stanno evolvendo a un ritmo altrettanto rapido. Ransomware come servizio stanno usando i provider del dark web ML per creare tensioni zero-day e le tecnologie di sicurezza tradizionali faticano a tenere il passo. E se il? attacco ransomware era solo un diversivo dal vero obiettivo dell'attaccante?
La maggior parte degli aggressori stabilisce un punto d'appoggio all'interno di un ambiente ed esegue una notevole quantità di ricognizione prima di effettuare la propria mossa. Possono essere pervasivi nel tuo ambiente per settimane o mesi prima di essere distribuiti a attacco ransomware. Ciò è stato confermato dai rapporti annuali sulle minacce di quasi tutti negli ultimi anni. E se l'obiettivo non fosse il riscatto ma invece la tua proprietà intellettuale?
Uno dei nostri partner stava lavorando con un nuovo cliente su un impegno IR. Non avevano acquistato alcun servizio gestito dal Partner MSSP a quel punto. Ciò che è stato scoperto durante l'IR è che mentre stavano affrontando l'attacco ransomware, il database SQL del loro cliente è stato scaricato in un file ed esfiltrato attraverso un Tunnel DNS. Gli aggressori hanno anche creato diversi account nei loro sistemi per rimanere persistenti.
Questo era un classico esempio di multistadio attacco ransomware. È imperativo che MSP e Partner di MSSP possono collegare i segnali deboli da cui provengono ogni tecnologia di sicurezza informatica che supportano per essere in grado di individuare i primi segnali di allarme e capire quando altri eventi sono collegati al ransomware. Questo può essere estremamente difficile per un SOC Un team che riceve migliaia di avvisi al giorno. Esistono strumenti per la gestione degli incidenti, ma richiedono che l'analista individui ogni artefatto e lo aggiunga manualmente all'incidente.
Open XDR può aiutare i partner a proteggere i propri clienti in modo proattivo rilevando gli aggressori nella fase di ricognizione del XDR catena di uccisioni. Stellar Cyber è il primo SOC società di sicurezza per implementare un tipo specializzato di AI chiamato Grafico ML per correlare automaticamente tutti questi segnali e avvisi in incidenti. Quindi, gli incidenti vengono valutati e classificati in base alla loro gravità. Ciò riduce significativamente l'MTTD e il sovraccarico amministrativo per SOC.
Come stai valutando SOC tecnologie, è necessario chiedere come sono stati sviluppati i rilevamenti e come possiamo noi come MSP/MSSP interagire con quei modelli. Stellar Cyber ha trascorso gli ultimi cinque anni a sviluppare rilevamenti specializzati basati su sette diversi tipi di ML. Ogni rilevamento ML può sostituire 10-20 regole di rilevamento in un tradizionale SIEM con efficacia significativamente maggiore. Stellar Cyber offre anche la possibilità di assistere nell'addestramento dei modelli per dare maggiore fiducia a te e ai tuoi clienti.
Per saperne di più su come fermarti attacchi ransomware nella fase di ricognizione del uccidere la catena, per favore contattaci. Contattami a brian@stellarcyber.ai
