Ataques Ransomware estão ocorrendo em um ritmo cada vez mais impressionante. As táticas para implantá-lo estão evoluindo em um ritmo igualmente rápido. Ransomware como serviço provedores na dark web estão usando ML para criar tensões de dia zero, e as tecnologias de segurança tradicionais estão lutando para acompanhar. E se o ataque de ransomware foi apenas um desvio do objetivo real do atacante?
A maioria dos invasores estabelece um ponto de apoio dentro de um ambiente e faz um reconhecimento significativo antes de fazer seu movimento. Eles podem ser difundidos em seu ambiente por semanas ou meses antes de implantar um ataque de ransomware. Isso foi corroborado por relatórios anuais de ameaças de quase todas as pessoas nos últimos anos. E se o objetivo não fosse o resgate, mas sua propriedade intelectual?
Um de nossos parceiros estava trabalhando com um novo cliente em um contrato de RI. Eles não haviam adquirido nenhum serviço gerenciado do Parceiro MSSP nesse ponto. O que foi descoberto durante o IR é que enquanto eles lidavam com o ataque de ransomware, o banco de dados SQL do cliente foi despejado em um arquivo e filtrado por meio de um Túnel DNS. Os invasores também estabeleceram várias contas em seus sistemas para permanecerem persistentes.
Este foi um exemplo clássico de um estágio múltiplo ataque de ransomware. É imperativo que o MSP e Parceiros MSSP pode conectar os sinais fracos que eles estão recebendo qualquer A tecnologia de cibersegurança que eles suportam permite identificar sinais de alerta precoce e entender quando outros eventos estão relacionados ao ransomware. Isso pode ser extremamente difícil para uma SOC Uma equipe sobrecarregada com milhares de alertas por dia. Existem ferramentas para gerenciamento de incidentes, mas elas exigem que o analista encontre cada artefato e o adicione ao incidente manualmente.
Open XDR pode ajudar os parceiros a protegerem seus clientes proativamente, detectando os atacantes na fase de reconhecimento do XDR cadeia de destruição. Stellar Cyber é a primeira SOC compania de segurança para implantar um tipo especializado de AI chamado Graph ML para correlacionar automaticamente todos esses sinais e alertas em incidentes. Em seguida, os incidentes são pontuados e classificados por sua gravidade. Isso reduz significativamente o MTTD (Tempo Médio para Detecção) e a sobrecarga administrativa para o SOC.
Enquanto você está avaliando SOC tecnologias, você precisa perguntar como as detecções foram desenvolvidas e como podemos, como o MSP / MSSP interagir com esses modelos. Stellar Cyber passou os últimos cinco anos desenvolvendo detecções especializadas baseadas em sete tipos diferentes de ML. Cada detecção de ML pode substituir 10-20 regras de detecção em um sistema tradicional SIEM com eficácia significativamente maior. Stellar Cyber também oferece a capacidade de auxiliar no treinamento dos modelos para dar a você e a seus clientes mais confiança.
Para saber mais sobre como você pode parar ataques de ransomware na fase de reconhecimento do corrente de matar, por favor, entre em contato. Entre em contato comigo em brian@stellarcyber.ai
