Ataques de ransomware têm se tornado o maior problema de segurança. Parece que a cada semana uma nova variedade é anunciada – Ransom32, 7eve3n. Novas variedades como o Chimera não apenas sequestram seus dados, mas também expõem online se você não pagar.
Alguns usaram soluções de segurança de endpoint na esperança de que isso seja detectado e pare o crypto-malware. No entanto, a indústria limita-se ao fato de que softwares de antivírus com detecção baseada em assinatura nos quais muitas empresas confiam não podem lidar com ataques modernos. Enquanto uma abordagem baseada em assinatura reduz a performance do sistema, também implica que algum arquivo seja infectado por um pedaço do malware para que ele possa ser identificado, analisado e as demais informações sejam protegidas. Nesse meio tempo, pode ser criado um novo malware que a defesa baseada em assinatura não pode combater.
Ou seja, soluções de segurança de endpoint não podem bloquear variantes desconhecidas de ransomware. Eles estão ligados a um dispositivo/usuário/processo e não fornecem nenhuma técnica de depuração.
Prevenção Ransomware que funciona
A melhor tecnologia para proteger seus arquivos do ransomware é a User Behavior Analytics (UBA). Ela compara o que usuários em um sistema normalmente fazem – suas atividades e padrões de acesso – com atividades fora do normal de alguém que tenha roubado suas credenciais de acesso. Primeiro, o UBA monitora o comportamento usual, registrando as ações individuais de cada usuário – acessos de arquivo, logins e atividades de rede. Depois, o UBA gera um perfil que descreve o que significa ser aquele usuário.
Identificando Ransomware com modelos automatizados de UBA da Varonis
Sem qualquer configuração, os modelos UBA da Varonis apontam os sinais de ataques de ransomware – quando os arquivos estão sendo encriptados – e a partir daí podem parar esses ataques sem nenhuma dependência de uma lista estática de assinaturas.
Uma vez detectado, uma combinação de passos automatizados pode desencadear a prevenção da propagação da infecção, por exemplo: desabilitando o usuário infectado, o computador infectado, unidades de rede na máquina infectada.
Com Varonis