Atake ng Ransomware ay nangyayari sa isang lalong nakakagulat na bilis. Ang mga taktika para sa pag-deploy nito ay nagbabago sa isang pantay na bilis. Ransomware-bilang-isang-serbisyo Gumagamit ang mga provider sa madilim na web ML upang lumikha ng mga zero-day na strain, at ang mga tradisyonal na teknolohiya ng seguridad ay nagpupumilit na makasabay. Paano kung ang atake ng ransomware isang paglihis lamang mula sa totoong layunin ng umaatake?
Karamihan sa mga umaatake ay nagtatag ng isang talampakan sa loob ng isang kapaligiran at gumawa ng isang makabuluhang halaga ng pagsisiyasat bago gumawa ng kanilang paglipat. Maaari silang lumaganap sa iyong kapaligiran sa loob ng maraming linggo o buwan bago sila mag-deploy ng a atake ng ransomware. Pinatunayan ito ng taunang mga ulat sa pagbabanta mula sa halos lahat sa huling taon. Paano kung ang layunin ay hindi ang pantubos kundi ang iyong intelektuwal na pag-aari?
Ang isa sa aming mga kasosyo ay nagtatrabaho sa isang bagong customer sa isang pakikipag-ugnayan sa IR. Hindi sila bumili ng anumang pinamamahalaang mga serbisyo mula sa Kasosyo sa MSSP sa puntong iyon. Ang natuklasan sa panahon ng IR ay habang nakikipag-usap sila sa pag-atake ng ransomware, ang database ng SQL ng kanilang customer ay itinapon sa isang file at na-exfiltrate sa pamamagitan ng isang Lagusan ng DNS. Ang mga umaatake ay nagtatag din ng maraming mga account sa kanilang mga system upang manatiling paulit-ulit.
Ito ay isang klasikong halimbawa ng isang multi-stage atake ng ransomware. Ito ay kinakailangan na ang MSP at Mga kasosyo sa MSSP maaaring ikonekta ang mga mahinang signal na kinukuha nila bawat teknolohiya sa cybersecurity na sinusuportahan nila upang makita ang mga maagang senyales ng babala at maunawaan kung kailan may ibang mga kaganapan na konektado sa ransomware. Maaari itong maging lubhang mahirap para sa isang SOC isang pangkat na nababalot ng libu-libong alerto bawat araw. May mga tool para sa Pamamahala ng Insidente, ngunit kinakailangan ng iyong analyst na hanapin ang bawat artifact at manu-manong idagdag ito sa insidente.
Open XDR makakatulong sa mga kasosyo na protektahan ang kanilang mga customer nang maagap sa pamamagitan ng pagtukoy sa mga umaatake sa yugto ng pagmamanman ng XDR kadena ng pagpatay. Ang Stellar Cyber ang una SOC kompanya ng seguridad upang mag-deploy ng isang dalubhasang uri ng Tinawag ang AI na Graph ML para awtomatikong iugnay ang lahat ng mga senyales at alerto na ito sa mga insidente. Pagkatapos, ang mga insidente ay binibigyan ng marka at niraranggo ayon sa kanilang kalubhaan. Malaki ang nababawasan nito sa MTTD at sa administratibong gastos para sa SOC.
Tulad ng iyong sinusuri SOC teknolohiya, kailangan mong tanungin kung paano binuo ang mga detection at paano namin bilang MSP / MSSP makipag-ugnay sa mga modelong iyon. Ang Stellar Cyber ay gumastos ng huling limang taon sa pagbuo ng mga dalubhasang detection batay sa pitong magkakaibang uri ng ML. Ang bawat ML detection ay maaaring palitan ang 10-20 mga patakaran sa pagtuklas sa isang tradisyonal SIEM na may makabuluhang mas mataas na espiritu. Nagbibigay din ang Stellar Cyber ng kakayahang tumulong sa pagsasanay ng mga modelo upang bigyan ka at ang iyong mga customer ng higit na kumpiyansa.
Upang matuto nang higit pa tungkol sa kung paano ka maaaring tumigil atake ng ransomware sa reconnaissance phase ng pumatay ng kadena, mangyaring makipag-ugnay. Makipag-ugnay sa akin sa brian@stellarcyber.ai
