Como prevenir ransomware com o CrowdStrike Falcon
Os ataques ransomware continuam representando uma das maiores ameaças à segurança cibernética de organizações de todos os portes. Quando o ataque é bem sucedido, o processo de recuperação de dados é longo e desafiador. Por isso, a CrowdStrike foca em estratégias para ajudar as empresas a prevenir ransomware, impedindo que as ameaças se concretizem.
Neste artigo de suporte, nós vamos mostrar como ativar os recursos do CrowdStrike Falcon para proteção contra ransomware. Na prática, o Falcon analisa Indicadores de Ataque (IoA) para detectar comportamentos de ransomware e, em seguida, bloquear o ataque antes que ele possa atingir seu objetivo final, que é criptografar dados.
A grande vantagem dessa abordagem é que ela é eficaz contra novos ataques e também contra variantes polimórficas de ransomware, que geralmente conseguem escapar da detecção do antivírus legado, baseado em assinaturas.
Principais tópicos deste artigo
Passo a passo para prevenir ransomware usando o CrowdStrike Falcon
A proteção contra ransomware é habilitada no Falcon a partir de quatro recursos principais:
- Machine Learning na nuvem;
- Machine Learning no sensor;
- Bloqueio com base em processos suspeitos;
- Prevenção baseada em comportamento.
Para começar a ativar esses recursos, faça login na interface do usuário do Falcon e navegue até o aplicativo de configuração. Acesse “Políticas de prevenção”. Em seguida, selecione a política ou políticas para as quais deseja habilitar a prevenção clicando no ícone “Editar Política”.
Machine Learning na nuvem
A forma mais abrangente de proteção contra ransomware no CrowdStrike Falcon é o uso de Machine Learning (aprendizado de máquina) baseado na nuvem.
Para ativar essa funcionalidade na política selecionada, role a tela até chegar em “Machine Learning – Anti-Malware Sensor Configuration”. Depois, habilite a prevenção para “Moderate”. Por padrão, suas configurações de Detecção devem no mínimo ser iguais às suas configurações de Prevenção.
Machine Learning no sensor
Além do aprendizado de máquina na nuvem, a CrowdStrike também conta com um recurso de Machine Learning no próprio sensor. Assim, garante proteção mesmo quando os sistemas não podem ser conectados à nuvem, incluindo proteção contra ransomware.
Para ativar essa funcionalidade, comece primeiro ativando a opção “Antivírus de última geração”. Depois, em “Malware Protection – Anti-malware sensor configuration” habilite a proteção, idealmente no nível moderado.
Bloqueio com base em processos suspeitos
O Falcon usa vários recursos de detecção para impedir violações, não apenas aprendizado de máquina ou inteligência artificial. Uma delas é a capacidade de identificar processos suspeitos e interrompê-los.
Essa funcionalidade é essencial para prevenir alguns tipos de malware e ransomware, e funciona mesmo quando o machine learning não está ativado.
Para ativá-la, encontre “Malware Protection – Prevent Suspicious Processes” na política selecionada. Depois, assegure-se de que o item “Prevent Suspicious Process” está habilitado.
NOTA: a seção “Bloqueio Personalizado” permite que os IOCs se tornem eventos bloqueáveis. Se esta alternância não estiver habilitada, eles são eventos de detecção.
Prevenção baseada em comportamento
Outra funcionalidade importante para detectar ransomware é com base em comportamentos, no que chamamos de Indicadores de Ataque ou IOA’s.
O CrowdStrike Falcon consegue identificar centenas de diferentes indicadores de ataque, incluindo comportamentos comuns em ransomware, como exclusão de backup e criptografia de arquivos.
O uso desses indicadores, aliados a outros dados contextuais, permitem detectar ransomware mesmo quando outros métodos de detecção falham. Para habilitar a Prevenção contra Ransomware, continue na página da política de prevenção e procure por “Behavior-Based Prevention – Ransomware”. Em seguida, habilite todas as opções.
Atenção: Depois de habilitar os recursos, clique em “salvar” no canto superior direito da página para atualizar todos os hosts na política.
Em caso de detecção, o Falcon interrompe a execução do ransomware, sem mensagens ao usuário final nem elementos na interface de usuário que indiquem que um ransomware foi interrompido. Essa validação é feita no console administrativo, no aplicativo de Detecções.
Prevenir ransomware é possível com a proteção de endpoints da CrowdStrike
Ao habilitar todos recursos para prevenção contra ransomware no CrowdStrike Falcon, sua organização garante máxima proteção em todos os endpoints.
A abordagem da CrowdStrike, com recursos avançados que não dependem de assinaturas, garante uma proteção eficaz e fácil de usar.
Se você ainda não é cliente CrowdStrike, peça já um free trial!
Ainda não é cliente? Solicite um Free Trial do Falcon
Quer ver na prática como o Falcon atua?
Solicite o seu free trial e ainda receba suporte técnico especializado desde o primeiro contato.