Ataki typu Ransomware mają miejsce w coraz bardziej zawrotnym tempie. Taktyka jego wdrażania ewoluuje w równie szybkim tempie. Ransomware jako usługa dostawcy w ciemnej sieci używają ML aby stworzyć szczepy zero-day, a tradycyjne technologie bezpieczeństwa walczą, aby nadążyć. Co jeśli atak ransomware było tylko odwróceniem się od prawdziwego celu atakującego?
Większość atakujących ustanawia przyczółek w środowisku i wykonuje znaczny rekonesans przed wykonaniem ruchu. Mogą być wszechobecne w Twoim środowisku przez tygodnie lub miesiące, zanim wdrożą atak ransomware. Potwierdzają to coroczne raporty o zagrożeniach od prawie wszystkich z ostatnich kilku lat. Co by było, gdyby celem nie był okup, ale twoja własność intelektualna?
Jeden z naszych partnerów pracował z nowym klientem nad zaangażowaniem IR. Nie kupili żadnych zarządzanych usług od Partner MSSP w tym momencie. Podczas IR odkryto, że gdy mieli do czynienia z atakiem ransomware, baza danych SQL ich klientów została zrzucona do pliku i eksfiltrowana przez Tunel DNS. Osoby atakujące utworzyły również kilka kont w swoich systemach, aby pozostać wytrwałymi.
To był klasyczny przykład wieloetapowego atak ransomware. Konieczne jest, aby MSP i Partnerzy MSSP potrafią połączyć słabe sygnały, z których dochodzą każdy wspierają technologię cyberbezpieczeństwa, aby móc dostrzec wczesne sygnały ostrzegawcze i zrozumieć, kiedy inne zdarzenia są powiązane z ransomware. Może to być niezwykle trudne dla SOC Zespół, który jest zaabsorbowany tysiącami alertów dziennie. Istnieją narzędzia do zarządzania incydentami, ale wymagają one od analityka znalezienia każdego artefaktu i ręcznego dodania go do incydentu.
Open XDR może pomóc partnerom chronić swoich klientów proaktywnie, wykrywając atakujących na etapie rozpoznania XDR łańcuch zabójstw. Stellar Cyber jest pierwszym SOC firma ochroniarska wdrożyć wyspecjalizowany typ AI o nazwie Wykres ML automatycznie korelować wszystkie te sygnały i alerty z incydentami. Następnie incydenty są punktowane i klasyfikowane według ich wagi. To znacznie zmniejsza średni czas do wystąpienia zdarzenia (MTTD) i obciążenie administracyjne. SOC.
Jak oceniasz SOC technologie, musisz zapytać, jak powstały detekcje i jak możemy jako MSP/MSSP współdziałać z tymi modelami. Stellar Cyber spędził ostatnie pięć lat, opracowując wyspecjalizowane detekcje oparte na siedmiu różnych typach ML. Każda detekcja ML może zastąpić 10-20 reguł wykrywania w tradycyjnym SIEM ze znacznie wyższą skutecznością. Stellar Cyber zapewnia również możliwość pomocy w szkoleniu modeli, aby zapewnić Tobie i Twoim klientom większą pewność siebie.
Aby dowiedzieć się więcej o tym, jak możesz przestać ataki typu ransomware w fazie rekonesansu zabić łańcuch, skontaktuj się z nami. Skontaktuj się ze mną na brian@stellarcyber.ai
