Como prevenir ataques do tipo fileless com o Crowdstrike Falcon
Ataques do tipo fileless, também conhecidos como “malware-free”, são ataques avançados que não dependem da execução de arquivos maliciosos para serem bem-sucedidos. Ao contrário, eles exploram diferentes técnicas e vulnerabilidades para se infiltrar em um sistema.
Segundo dados da Crowdstrike, em 2022 ataques fileless representaram 71% dos ataques a endpoints. Por serem mais difíceis de detectar, eles são um dos maiores desafios da Segurança da Informação e da proteção de endpoints.
Neste artigo de suporte, nós vamos mostrar como prevenir ataques malware-free com o Crowdstrike Falcon, aproveitando ao máximo as ferramentas de bloqueio de exploits e Indicadores de Ataques (IOAs) da plataforma.
Principais tópicos deste artigo
Configurando o Crowdstrike Falcon para prevenir ataques malware-free
1. Configure as políticas de prevenção
Navegue até Configuration Policy. No app de Configuração, é possível configurar as features de prevenção – basta escolher Prevention Policies (Políticas de Prevenção). Não se esqueça que é preciso ter privilégios de administrador para configurar as features de prevenção. Escolha editar uma política existente clicando no ícone à direita.
2. Habilite a mitigação de exploits
Um dos desafios dos ataques malware-free é que eles podem injetar comandos diretamente na memória. Usando kits de exploits, esses ataques tiram proveito de vulnerabilidades dos sistemas.
É por isso que o Falcon fornece uma função de bloqueio de exploits. Para ativar ou desativar uma mitigação de exploits, basta deslizar o botão na mitigação que deseja alterar. Em nosso exemplo, vamos ativar a mitigação Force ASLR.
Deslize o botão para a direita, clique em “Save” e confirme as mudanças.
Se o botão estiver verde, é porque a mitigação está ativa.
Se você deseja desabilitar a prevenção para um exploit, deslize o botão para a esquerda, clique em “salvar” e confirme que deseja desabilitar.
Aqui está um exemplo de detecção de bloqueio de exploit na interface do usuário do Falcon.
3. Previna-se com o uso de indicadores de ataque
O bloqueio de exploits é uma camada adicional de proteção, mas nem sempre é suficiente para deter ataques avançados, como são os ataques fileless. Isso porque alguns ataques não usam kits de exploit, e sim exploram erros de usuários, usam credenciais roubadas ou são baseados em estratégias para ataques direcionados.
Por isso, o Falcon também usa o que chamamos de Indicadores de Ataques (IOAs) para proteger os sistemas. Basicamente, os IOAs analisam atividades legítimas e atividades suspeitas para detectar cadeias furtivas de eventos que indicam tentativas de infecção por malware.
Por padrão, os IOAs que impedem ataques malware-free já estão ativados. Porém, para ataques como adware e ransomware, IOAs específicos podem ser configurados.
Você pode ativá-los ou desativá-los na janela atual, deslizando os botões, como fizemos no bloqueio de exploits.
Abaixo está um exemplo de ataque ransomware que foi bloqueado com base em um Indicador de Ataque.
Também há opções para configurar políticas para detecções comportamentais focadas em exploits, movimentação lateral e credenciais de acesso.
Conclusão
Embora os ataques fileless sejam um grande desafio na proteção de endpoints, o Crowdstrike Falcon reúne diferentes recursos avançados de prevenção para ajudar as organizações a se protegerem.
E tudo isso com configurações simples, que podem ser aplicadas rapidamente.
Ainda não é cliente? Solicite um Free Trial do Falcon
Quer ver na prática como o Falcon atua?
Solicite o seu free trial e ainda receba suporte técnico especializado desde o primeiro contato.
Receba Notícias
Artigos Mais Recentes
