Como prevenir infecções por malware com o Crowdstrike Falcon
Como uma solução completa para proteção de endpoints, a Crowdstrike implementa diversas tecnologias para prevenir e detectar malware. Esses métodos fazem parte da plataforma Falcon e incluem aprendizado de máquina, bloqueio de exploits, blacklist personalizada e análise comportamental com o que chamamos de “Indicadores de ataque” (IOAs).
Essa combinação unificada de abordagens e tecnologias de cibersegurança protege sua organização contra malware conhecido, malware desconhecido e fileless malware.
Neste artigo de suporte, nós vamos mostrar como configurar cada método na plataforma Falcon e, assim, garantir assertividade na prevenção a malware.
Principais tópicos deste artigo
Como configurar a prevenção de malware no Crowdstrike Falcon
1. Na interface do Falcon, acesse as configurações de prevenção
Você pode configurar recursos de prevenção no aplicativo de configuração. Uma vez no app, verifique se você está em “Política de Prevenção” (Prevention Policy). Observe que você precisa de privilégios de administrador para configurar os recursos de prevenção.
Além disso, as alterações de configuração são quase imediatas e levam apenas alguns segundos para serem atualizadas nos endpoints.
2. Configure o aprendizado de máquina (machine learning)
Vamos começar configurando o Machine Learning. O aprendizado de máquina permite que o Falcon bloqueie malware sem usar assinaturas. Em vez disso, ele se baseia em algoritmos matemáticos para analisar arquivos.
Há dois tipos de análises. Uma é a análise de atributo de arquivos (File Attribute Analysis), que fornece análise de machine learning com base nos metadados do arquivo. Já a outra é a análise estática (Static File Analysis), que oferece análise de características e recursos extraídos de arquivos executáveis.
Observe que você pode configurar limites independentes para detecção e prevenção. Assim, você pode, por exemplo, optar por receber alertas de detecção de qualquer arquivo suspeito, mesmo que seja um risco baixo, selecionando “Agressivo” (Agressive).
Por outro lado, pode optar por bloqueios automáticos apenas se o machine learning tiver certeza de que o arquivo é malicioso, selecionando “Cauteloso” (Cautious).
Para editar essas configurações, clique em Editar e escolha a configuração desejada. Você pode definir prevenção e detecção separadamente, mas as configurações de Detecção sempre devem ser mais fortes ou iguais à configuração de Prevenção.
Não se esqueça de clicar em Salvar quando terminar.
Na imagem abaixo, veja um exemplo do que será exibido.
Abaixo, um exemplo de ransomware sendo detectado pelo aprendizado de máquina.
3. Ative o bloqueio de exploit para prevenir fileless malware
O mecanismo de aprendizado de máquina do Falcon é ótimo para bloquear malwares conhecidos e desconhecidos, mas nem sempre o malware vem na forma de um arquivo que pode ser analisado pelo aprendizado de máquina.
Malware do tipo fileless não depende da execução de arquivos. Pelo contrário, ele é executado diretamente na memória usando kits de exploit. Por isso, o Falcon também inclui uma função de bloqueio de exploit.
Cada uma das proteções contra exploits pode ser ativada ou desativada na mesma janela da configuração de aprendizado de máquina.
Para ativar ou desativar uma mitigação de exploit, basta deslizar o botão de alternância para a opção que você deseja alterar.
Em nosso exemplo, vamos ativar a mitigação Force ASLR.
Vamos deslizar o botão de alternância para a direita e confirmar as alterações.
O botão muda para verde, o que significa que a opção está habilitada.
Se você deseja desabilitar a prevenção para esse exploit, deslize o botão para a esquerda e confirme que deseja desabilitar.
Abaixo, mostramos um exemplo de detecção de bloqueio de exploit na interface do usuário do Falcon.
Fileless malware x ataques sem malware
É importante destacar que fileless malware e ataques sem malware são conceitos diferentes.
Fileless malware é um malware (software malicioso) que não depende de arquivos para ser executado. Ele não é gravado em disco, mas sim executado diretamente na memória.
Já nos ataques sem malware, o hacker simplesmente não usa nenhum tipo de software malicioso. O criminoso aposta, por exemplo, golpes baseados em engenharia social, exploits ou roubos de credenciais.
O Falcon evita os dois tipos de ameaças, usando bloqueio de exploits e indicadores de ataques.
4. Configure os indicadores de ataques para bloquear malware avançado
Como mencionamos na introdução, para prevenir e detectar malware é necessário contar com diferentes métodos e tecnologias. O bloqueio de exploits, que mencionamos no ponto 3, fornece uma camada adicional de proteção. Porém, ela pode não ser suficiente, já que alguns fileless malware não usam kits de exploit.
É o caso de alguns tipos de ransomware, por exemplo, que podem ser fileless e não usar exploits.
Por isso, o Crowdstrike Falcon conta também com uma análise dos chamados Indicadores de Ataques (IOAs) para proteger endpoints.
Os IOAs analisam atividades legítimas e atividades suspeitas para detectar eventos que indiquem tentativas de infecção por malware.
Como a maioria dos indicadores de ataque também evita ataques que não usam malware, eles são ativados por padrão no Falcon. Mas alguns, como IOAs específicos de adware e ransomware, podem ser configurados.
Você pode ativá-los ou desativá-los na janela atual, deslizando os botões de alternância exatamente como fizemos para o bloqueio de exploits.
Lembra que anteriormente nós mostramos um exemplo de ransomware bloqueado por machine learning? Agora, podemos ver outro ransomware que foi bloqueado pelo Falcon, mas neste caso ele foi detectado por um indicador de ataque.
5. Configure uma blacklist personalizada para prevenção de malware
Por fim, um recurso adicional para prevenção de malware é a blacklist personalizada.
Em determinadas situações, você pode querer colocar alguns aplicativos na lista negra porque tem certeza de que nunca deseja que eles sejam executados em seu ambiente.
O Falcon permite que você carregue hashes de suas próprias blacklists ou whitelists.
Para isso, é preciso acessar o aplicativo de configuração e abrir a janela “Hashes de prevenção” (Prevention Hashes). Para adicionar hashes à lista negra, selecione “Upload Hashes” no canto superior direito. Observe que você precisará de privilégios de administrador para fazer essa configuração.
Em seguida, arraste e solte a lista. A lista pode ser um arquivo de texto com um hash MD5 ou SHA1 por linha. Todos os hashes MD5 e SHA256 válidos serão carregados. Linhas com formato de hash que não sejam MD5/SHA256 serão ignoradas.
Depois de clicar em “Aplicar”, é preciso selecionar uma ação a ser executada quando os hashes forem encontrados no ambiente. Se estiver criando uma whitelist, selecione “Nunca bloquear”. Nesse caso, como exemplo, selecionamos “Sempre bloquear” e depois “Aplicar”.
Você pode ver que o hash foi carregado. Se quiser carregar mais hashes mais tarde, clique no ícone de upload no canto superior direito da janela.
Agora também precisamos garantir que a prevenção de blacklist personalizada (“Custom Blacklisting”) esteja habilitada.
Para isso, vamos voltar para a página de configurações e verificar. Se a opção não estiver ativada, clique no botão de alternância para ativá-la.
Por fim, é assim que essa prevenção aparece na interface do Falcon, com bloqueios de acordo com a política da sua organização.
Conclusão
O Falcon usa uma variedade de métodos para proteger sua organização contra malware conhecido, malware desconhecido e fileless malware. Esses métodos incluem:
- Aprendizado de máquina
- Bloqueio de exploits
- Indicadores de ataque
- Blacklisting e whitelisting
O Falcon combina de forma única esses métodos poderosos em uma abordagem integrada que protege os endpoints com mais eficiência contra malware e outros tipos de ataque.
Ainda não é cliente? Solicite um Free Trial do Falcon
Quer ver na prática como o Falcon atua?
Solicite o seu free trial e ainda receba suporte técnico especializado desde o primeiro contato.
Receba Notícias
Artigos Mais Recentes
