![](https://www.oblock.com.br/wp-content/uploads/2023/06/Como-prevenir-ataques-do-tipo-fileless-com-o-Crowdstrike-Falcon.jpg)
Como prevenir ataques do tipo fileless com o Crowdstrike Falcon
Ataques do tipo fileless, também conhecidos como “malware-free”, são ataques avançados que não dependem da execução de arquivos maliciosos para serem bem-sucedidos. Ao contrário, eles exploram diferentes técnicas e vulnerabilidades para se infiltrar em um sistema.
Segundo dados da Crowdstrike, em 2022 ataques fileless representaram 71% dos ataques a endpoints. Por serem mais difíceis de detectar, eles são um dos maiores desafios da Segurança da Informação e da proteção de endpoints.
Neste artigo de suporte, nós vamos mostrar como prevenir ataques malware-free com o Crowdstrike Falcon, aproveitando ao máximo as ferramentas de bloqueio de exploits e Indicadores de Ataques (IOAs) da plataforma.
Principais tópicos deste artigo
Configurando o Crowdstrike Falcon para prevenir ataques malware-free
1. Configure as políticas de prevenção
Navegue até Configuration Policy. No app de Configuração, é possível configurar as features de prevenção – basta escolher Prevention Policies (Políticas de Prevenção). Não se esqueça que é preciso ter privilégios de administrador para configurar as features de prevenção. Escolha editar uma política existente clicando no ícone à direita.
![Escolha editar uma política existente clicando no ícone à direita.](https://www.oblock.com.br/wp-content/uploads/2023/06/1-configuracoes-politicas-1024x249.png)
2. Habilite a mitigação de exploits
Um dos desafios dos ataques malware-free é que eles podem injetar comandos diretamente na memória. Usando kits de exploits, esses ataques tiram proveito de vulnerabilidades dos sistemas.
É por isso que o Falcon fornece uma função de bloqueio de exploits. Para ativar ou desativar uma mitigação de exploits, basta deslizar o botão na mitigação que deseja alterar. Em nosso exemplo, vamos ativar a mitigação Force ASLR.
![Ativar a mitigação Force ASLR.](https://www.oblock.com.br/wp-content/uploads/2023/06/2.-habilite-mitigacao-exploits-1024x222.png)
Deslize o botão para a direita, clique em “Save” e confirme as mudanças.
![](https://www.oblock.com.br/wp-content/uploads/2023/06/3.-habilite-mitigacao-exploits-1024x231.png)
Se o botão estiver verde, é porque a mitigação está ativa.
![Mitigação ativa.](https://www.oblock.com.br/wp-content/uploads/2023/06/4.-habilite-mitigacao-exploits-1024x196.png)
Se você deseja desabilitar a prevenção para um exploit, deslize o botão para a esquerda, clique em “salvar” e confirme que deseja desabilitar.
Aqui está um exemplo de detecção de bloqueio de exploit na interface do usuário do Falcon.
![](https://www.oblock.com.br/wp-content/uploads/2023/06/5.-habilite-mitigacao-exploits-1024x468.png)
3. Previna-se com o uso de indicadores de ataque
O bloqueio de exploits é uma camada adicional de proteção, mas nem sempre é suficiente para deter ataques avançados, como são os ataques fileless. Isso porque alguns ataques não usam kits de exploit, e sim exploram erros de usuários, usam credenciais roubadas ou são baseados em estratégias para ataques direcionados.
Por isso, o Falcon também usa o que chamamos de Indicadores de Ataques (IOAs) para proteger os sistemas. Basicamente, os IOAs analisam atividades legítimas e atividades suspeitas para detectar cadeias furtivas de eventos que indicam tentativas de infecção por malware.
Por padrão, os IOAs que impedem ataques malware-free já estão ativados. Porém, para ataques como adware e ransomware, IOAs específicos podem ser configurados.
Você pode ativá-los ou desativá-los na janela atual, deslizando os botões, como fizemos no bloqueio de exploits.
![](https://www.oblock.com.br/wp-content/uploads/2023/06/6.-previna-com-indicadores-de-ataque-1024x197.png)
Abaixo está um exemplo de ataque ransomware que foi bloqueado com base em um Indicador de Ataque.
![](https://www.oblock.com.br/wp-content/uploads/2023/06/7.-previna-com-indicadores-de-ataque-1024x479.png)
Também há opções para configurar políticas para detecções comportamentais focadas em exploits, movimentação lateral e credenciais de acesso.
![](https://www.oblock.com.br/wp-content/uploads/2023/06/8.-previna-com-indicadores-de-ataque-1024x292.png)
Conclusão
Embora os ataques fileless sejam um grande desafio na proteção de endpoints, o Crowdstrike Falcon reúne diferentes recursos avançados de prevenção para ajudar as organizações a se protegerem.
E tudo isso com configurações simples, que podem ser aplicadas rapidamente.
Ainda não é cliente? Solicite um Free Trial do Falcon
Quer ver na prática como o Falcon atua?
Solicite o seu free trial e ainda receba suporte técnico especializado desde o primeiro contato.