CrowdStrike Falcon: Primeira Proteção de Endpoint a Integrar a Capacidade de Detecção de Ataque de Firmware

CrowdStrike Falcon: Primeira Proteção de Endpoint a Integrar a Capacidade de Detecção de Ataque de Firmware

As soluções de segurança de endpoints de hoje foram projetadas principalmente para examinar o sistema operacional local (OS) e os aplicativos que residem sobre ele, permanecendo cegos para as camadas de computação abaixo do sistema operacional. Esta semana, CrowdStrike ®  torna-se o primeiro provedor de soluções de proteção de endpoint a integrar capacidade de detecção de ataque firmware, que brilha uma luz brilhante em um dos últimos cantos escuros remanescentes dos PCs modernos: a BIOS.

À medida que as tecnologias de segurança se tornam mais sofisticadas, há menos lugares para os adversários se esconderem. Tecnologias como detecção e resposta de endpoint (EDR), aprendizado de máquina e detecção comportamental melhoraram muito as organizações de visibilidade e conscientização, expondo técnicas de invasão que antes eram ocultas e interrompendo ataques que resultariam em uma violação. Como resultado dessas defesas avançadas, os invasores são continuamente levados às margens, forçados a caçar novos caminhos de infiltração. O BIOS surgiu como uma nova e única avenida de ataque.

Por que proteger o BIOS?

O BIOS (sistema básico de entrada / saída) é um firmware que reside na própria plataforma do computador e é executado enquanto o computador é inicializado, antes de o sistema operacional ser iniciado. O BIOS representa um alvo tentador para os invasores por vários motivos.

O BIOS pode ativar a persistência

O BIOS de um endpoint representa um ambiente de execução altamente privilegiado, e qualquer vulnerabilidade ou malware no BIOS pode ter sérias implicações, potencialmente permitindo que um invasor obtenha controle total sobre todos os recursos do sistema. O BIOS existe bem abaixo do sistema operacional, garantindo que um ataque bem-sucedido persista além de reinicializações, toalhetes de disco e recriação de imagens. Para tornar as coisas mais complicadas, o BIOS raramente é corrigido na maioria das organizações, e as vulnerabilidades conhecidas geralmente permanecem por anos após serem divulgadas.

Ferramentas de segurança padrão são cegas aos ataques do BIOS

A maioria das ferramentas de segurança atuais não é capaz de fornecer a visibilidade que as organizações precisam para detectar e impedir ataques de BIOS. Ferramentas típicas de segurança de terminal fornecem visibilidade do modo de usuário e talvez também do kernel. No entanto, a posição do BIOS abaixo do sistema operacional significa que seu conteúdo não é visível para as ferramentas tradicionais de monitoramento de segurança. Além disso, as ferramentas de avaliação de segurança padrão, como os verificadores de vulnerabilidades, não fornecem visibilidade das vulnerabilidades ou da configuração do BIOS.

BIOS e outros tipos de firmware representam uma exposição massiva, em uma área onde as organizações têm muito pouca visibilidade. Este é exatamente o tipo de lacuna que os adversários modernos procuram explorar em ataques direcionados. O melhor exemplo de um adversário do mundo real aproveitando essa lacuna de visibilidade veio à tona em setembro de 2018, quando foi relatado que o grupo adversário FANCY BEAR tinha implantado com sucesso um rootkit de BIOS em vários PCs pertencentes a entidades governamentais. Esses ataques podem ser fornecidos por meio de técnicas tradicionais de ataque para obter acesso inicial ao sistema, como phishing ou ataques de cadeia de suprimentos mais avançados A falta de visibilidade no BIOS torna muito difícil entender a verdadeira extensão dessa ameaça.

CrowdStrike acende as luzes

Com o anúncio desta semana , a CrowdStrike se torna o primeiro e único provedor de segurança de terminais a integrar a capacidade de detecção de ataques de firmware, fornecendo visibilidade do estado do BIOS em toda a empresa e reduzindo essa lacuna crítica de visibilidade. A plataforma CrowdStrike Falcon® foi aprimorada para fornecer monitoramento contínuo do BIOS de um endpoint, para ajudar a determinar sua integridade e identificar outros problemas, como versões antigas e vulneráveis ​​do BIOS. Milhões de terminais protegidos pelo CrowdStrike Falcon em todo o mundo agora se beneficiarão do monitoramento contínuo de ataques de firmware. Além disso, por meio de uma integração com o Dell SafeBIOS, o CrowdStrike permite a detecção aprimorada de ameaças baseadas em BIOS / firmware em sistemas Dell.

Visibilidade instantânea e completa no BIOS

Agora, as organizações terão uma imagem clara do firmware que está sendo executado em sua empresa, revelando intrusões potencialmente devastadoras, como rootkits de firmware. Além disso, as organizações terão a capacidade de auditar as configurações do BIOS relacionadas à segurança , como a proteção da memória flash SPI, que pode ser fundamental para impedir a modificação não autorizada do BIOS. Esse recurso é fornecido por meio do agente leve e único do CrowdStrike, que é instalado com zero reinicializações e sem sobrecarregar os pontos de extremidade nem interferir no usuário.

A CrowdStrike espera ampliar os níveis adicionais de visibilidade e detecção de ameaças da BIOS, em parceria contínua com a Dell, bem como com outros fabricantes de hardware de computador. Expor as poucas áreas remanescentes onde os atacantes podem se esconder é uma das chaves para o sucesso contínuo de nossa missão final: parar as violações.

 

Fonte: https://www.crowdstrike.com/blog/whats-in-your-wallet-resource-draining-cryptojacking-attacks-are-on-the-rise-2/