Como impedir o ransomware com o CrowdStrike Falcon Endpoint Protection

Como impedir o ransomware com o CrowdStrike Falcon Endpoint Protection

O CrowdStrike Falcon  oferece proteção contra ransomware. Esse recurso se torna cada vez mais valioso à medida que a popularidade do ransomware continua aumentando. Nossa abordagem com esse recurso é impedir que o ransomware infecte um sistema e criptografe seus arquivos. Acreditamos que uma abordagem de prevenção é absolutamente necessária, porque a descriptografia é muitas vezes impossível, e porque ninguém quer pagar o resgate ou restaurar a partir de backups.

 

O CrowdStrike usa seu sensor de ponto de extremidade para detectar comportamentos de ransomware e, em seguida, finaliza o processo ofensivo antes que ele possa cumprir sua meta de criptografar arquivos. Isso é feito usando padrões de Indicador de Ataque CrowdStrike (IoA) no endpoint. Estes funcionam tanto online como offline e são eficazes contra novas variantes e variantes polimórficas de ransomware que frequentemente ignoram as assinaturas de antivírus legadas .

Pré-requisitos

Para habilitar a proteção de ransomware , os seguintes requisitos devem ser atendidos:

  • Sistema operacional do cliente: Windows 7 SP1 ou superior
  • Versão de configuração do Falcon: 3908 ou superior

Procedimento passo a passo para parar o ransomware

A proteção contra ransomware é ativada no Falcon, ativando três recursos.

  1. Vá para https://falcon.crowdstrike.com
  2. Faça o login na interface do Falcon

login-screen

  1. Navegue para o Aplicativo de Configuração -> Políticas de Prevenção e, em seguida, selecione a política ou as políticas para as quais deseja ativar a prevenção, clicando no Nome da Política.

Existem vários recursos de proteção para o ransomware no Falcon. Os próximos passos irão destacar cada tecnologia.

 

  1. Ativar Aprendizado de Máquina – Configuração do Sensor Anti-Malware. Nesta seção, o usuário pode ajustar a detecção e a prevenção para a análise de atribuição de arquivos e a análise de arquivos. Uma coisa que pode não ser imediatamente óbvia, mas faz sentido, é que você não será capaz de ativar a prevenção em uma configuração mais alta do que a detecção. Selecione as configurações desejadas e salve as alterações.

  1. Aprendizado de máquina no sensor – No sensor ML, há proteção quando os sistemas não podem ser conectados à nuvem, incluindo proteção contra ransomware. Para fazer alterações nesta seção, comece primeiro ativando a opção “Next-Gen Antivirus”. O restante será ativado e as alterações serão permitidas.

 

  1. Bloqueio de processos suspeitos – A Falcon usa vários recursos de detecção para impedir quebras não apenas aprendizado de máquina ou “inteligência artificial”. Uma delas é poder identificar processos suspeitos e pará-los. Isso é útil em muitos tipos de malware e ransomware. Para habilitar a rolagem para baixo do aprendizado da Machine Machine e encontrar a “Proteção contra Malware – Evitar Processos Suspeitos”.

OBSERVAÇÃO: a seção “Bloqueio personalizado” permite que os IOCs se tornem eventos com capacidade de bloqueio. Se essa alternância não estiver ativada, eles serão eventos de detecção.

 

  1. Proteção Baseada no Comportamento – Ransomware. Esta seção permite a detecção de ransomware com base em comportamentos. Muitas vezes nos referimos a eles como Indicadores de Ataque ou IOAs. CrowdStrike pode identificar 100 de diferentes indicadores de ataque e pará-los em suas trilhas. O ransomware tem um comportamento bastante típico, como exclusão de backup e criptografia de arquivos. O uso de IOAs quando esses e outros dados contextuais importantes são observados nos permite proteger os clientes do ransomware, mesmo quando outros métodos de detecção são ignorados. Para ativar o Ransomware Prevention, continue a rolar para baixo na página da política de prevenção. Na seção “Prevenção Baseada em Comportamento – Ransomware”, ative todas as alternâncias.

Atualização: 5-15-2017 WannaCryptor

O ransomware Wana (também conhecido como WanaCry) explodiu na cena do ransomware em 12 de maio de 2017, com uma campanha de massa impactando organizações em muitos países. Esta segunda variante do ransomware tem aproveitado a vulnerabilidade EternalBlue (MS-17010), lançada pelos agentes do Shadow Brokers (ver CSA-17082 ), para se espalhar pelas redes de vítimas através do protocolo de compartilhamento de arquivos do Windows, SMB ), após uma infecção inicial. O CrowdStrike Falcon oferece proteção para essa variante por meio de dois tipos de cobertura. O Falcon tem uma camada de Aprendizado de Máquina (no Nível Moderado) e uma camada de IOA Comportamental (Processo Suspeito). Para garantir que este ransomware seja impedido, as Políticas de Prevenção devem estar ativadas (ativadas).

Os clientes da CrowdStrike estão protegidos contra essa variante de ransomware com a tecnologia atual na plataforma CrowdStrike Falcon. A avançada proteção de terminal do Falcon – com antivírus de última geração que incorpora aprendizado de máquina aprimorado com análise comportamental que procura indicadores de ataque – detecta comportamento suspeito antes que um ataque ocorra. Esses recursos de prevenção bloqueiam o ransomware WannaCry e impedem que ele execute e criptografe os dados da organização de destino.

4 tecnologias na plataforma Falcon que impedem o WannaCry

Aprendizado de Máquina na Nuvem

A maneira mais ampla e fácil de ativar a prevenção do WannaCry no Falcon é ativar a opção “Prevenção” na aprendizagem automática. Para fazer isso, navegue até o aplicativo de configuração -> Políticas de prevenção e, em seguida, selecione a política ou as políticas para as quais você gostaria de ativar a prevenção. Role para baixo até a seção “Aprendizado de Máquina – Configuração do Sensor Anti-Malware” e ative a Prevenção como “moderada”. Por padrão, suas configurações de Detecção devem corresponder, pelo menos, às suas configurações de prevenção.

Aprendizado de Máquina com Sensor

Quando os sistemas não estão conectados à Internet, o Falcon ainda pode fornecer contra o WannaCry e outras ameaças através do mecanismo On-Sensor Machine Learning. Para ativar o aprendizado de máquina com sensor, navegue novamente para o aplicativo de configuração -> Políticas de prevenção e, em seguida, selecione a política ou as políticas que você deseja ativar. Na seção “Configuração de proteção contra malware – Configuração do sensor antimalware”, ative a proteção “On-sensor ML” para o nível moderado.

 

Bloqueio de processo suspeito

Além dos recursos de aprendizado de máquina, a Falcon também oferece proteção via Bloqueio de processo suspeito. Quando o WannaCry é executado e o aprendizado de máquina não está habilitado, existe uma capacidade adicional de proteção que protegerá os clientes contra infecções. O Falcon identifica os processos associados a essa variante do ransomware como suspeitos e os bloqueia. A ativação desse recurso está na mesma seção do aprendizado de máquina; Configuração do aplicativo -> Políticas de prevenção, selecione a política ou as políticas que você deseja ativar. Na seção “Proteção contra malware – Impedir processos suspeitos” e garantir que a alternância “Impedir o processo suspeito” esteja ativada.

 

Prevenção Baseada no Comportamento

Finalmente, a maioria dos ransomwares tem algum comportamento previsível. Usamos esse comportamento para nossa vantagem e fornecemos recursos de proteção além do aprendizado de máquina. Na mesma página da Política de Prevenção, desça até “Proteção Baseada no Comportamento – Ransomware” e ative as alternâncias nesta seção.

Não se esqueça de salvar suas alterações para enviar a nova política para todos os hosts.

 

Conclusão

É possível parar o ransomware e o Falcon facilita isso. Ao ativar os recursos de proteção do ransomware, todos os terminais protegidos pelo Falcon serão protegidos. Isso é possível porque o CrowdStrike oferece padrões de Indicador de Ataque (IoA) para ransomware. Esse tipo de proteção garante que a proteção esteja disponível quando o cliente está online e offline, e os padrões são mais persistentes e duráveis ​​do que as assinaturas de antivírus – portanto, você não precisa se preocupar com atualizações diárias. Essa abordagem garante que a proteção seja eficaz e fácil de usar.