Các cuộc tấn công Ransomware đang diễn ra với một tốc độ ngày càng đáng kinh ngạc. Các chiến thuật để triển khai nó đang phát triển với tốc độ nhanh không kém. Ransomware dưới dạng dịch vụ các nhà cung cấp trên dark web đang sử dụng ML để tạo ra các chủng loại zero-day và các công nghệ bảo mật truyền thống đang phải vật lộn để theo kịp. Điều gì xảy ra nếu tấn công ransomware chỉ là một sự đánh lạc hướng khỏi mục tiêu thực sự của kẻ tấn công?
Hầu hết những kẻ tấn công thiết lập một chỗ đứng trong một môi trường và thực hiện một số lượng lớn do thám trước khi thực hiện hành động của chúng. Chúng có thể phổ biến trong môi trường của bạn trong vài tuần hoặc vài tháng trước khi triển khai tấn công ransomware. Điều này đã được chứng thực bởi các báo cáo về mối đe dọa hàng năm từ tất cả mọi người trong vài năm qua. Điều gì sẽ xảy ra nếu mục tiêu không phải là tiền chuộc mà thay vào đó là tài sản trí tuệ của bạn?
Một trong những đối tác của chúng tôi đang làm việc với một khách hàng mới về cam kết IR. Họ đã không mua bất kỳ dịch vụ được quản lý nào từ Đối tác MSSP tại thời điểm đó. Những gì được phát hiện trong IR là trong khi họ đang đối phó với cuộc tấn công ransomware, cơ sở dữ liệu SQL của khách hàng của họ đã được kết xuất vào một tệp và được tách ra thông qua một Đường hầm DNS. Những kẻ tấn công cũng thiết lập một số tài khoản trong hệ thống của chúng để duy trì hoạt động.
Đây là một ví dụ cổ điển về nhiều giai đoạn tấn công ransomware. Điều bắt buộc là MSP và Đối tác MSSP có thể kết nối các tín hiệu yếu mà họ đang nhận được mỗi Công nghệ an ninh mạng mà họ hỗ trợ nhằm mục đích phát hiện các dấu hiệu cảnh báo sớm và hiểu được khi nào các sự kiện khác có liên quan đến phần mềm tống tiền. Điều này có thể cực kỳ khó khăn đối với một... SOC Nhóm của bạn phải xử lý hàng nghìn cảnh báo mỗi ngày. Có các công cụ quản lý sự cố, nhưng chúng yêu cầu chuyên viên phân tích phải tìm từng bằng chứng và thêm chúng vào sự cố theo cách thủ công.
Open XDR có thể giúp các đối tác bảo vệ khách hàng của họ một cách chủ động bằng cách phát hiện những kẻ tấn công trong giai đoạn trinh sát. XDR Chuỗi tiêu diệt. Stellar Cyber là trò chơi đầu tiên SOC công ty bảo mật để triển khai một loại chuyên biệt của AI được gọi là Graph ML Hệ thống tự động liên kết tất cả các tín hiệu và cảnh báo này thành các sự cố. Sau đó, các sự cố được chấm điểm và xếp hạng theo mức độ nghiêm trọng. Điều này giúp giảm đáng kể thời gian khắc phục sự cố (MTTD) và chi phí quản lý. SOC.
Như bạn đang đánh giá SOC công nghệ, bạn cần hỏi làm thế nào các phát hiện được phát triển và làm thế nào chúng tôi có thể MSP / MSSP tương tác với các mô hình đó. Stellar Cyber đã dành năm năm qua để phát triển các tính năng phát hiện chuyên biệt dựa trên bảy loại ML khác nhau. Mỗi phát hiện ML có thể thay thế 10-20 quy tắc phát hiện trong một SIEM với hiệu quả cao hơn đáng kể. Stellar Cyber cũng cung cấp khả năng hỗ trợ đào tạo các mô hình để mang lại cho bạn và khách hàng của bạn sự tự tin hơn.
Để tìm hiểu thêm về cách bạn có thể dừng lại các cuộc tấn công ransomware trong giai đoạn trinh sát của giết chuỗi, vui lòng liên hệ. Liên hệ với tôi tại brian@stellarcyber.ai
