Varonis | Segurança de dentro para fora

Como o UBA protege sua empresa dos ataques de ransomware

Escrito por Emilia Bertolli | Apr 20, 2016 9:38:00 AM

Ataques de ransomware têm se tornado o maior problema de segurança. Parece que a cada semana uma nova variedade é anunciada – Ransom32, 7eve3n. Novas variedades como o Chimera não apenas sequestram seus dados, mas também expõem online se você não pagar.

Alguns usaram soluções de segurança de endpoint na esperança de que isso seja detectado e pare o crypto-malware. No entanto, a indústria limita-se ao fato de que softwares de antivírus com detecção baseada em assinatura nos quais muitas empresas confiam não podem lidar com ataques modernos. Enquanto uma abordagem baseada em assinatura reduz a performance do sistema, também implica que algum arquivo seja infectado por um pedaço do malware para que ele possa ser identificado, analisado e as demais informações sejam protegidas. Nesse meio tempo, pode ser criado um novo malware que a defesa baseada em assinatura não pode combater.

Ou seja, soluções de segurança de endpoint não podem bloquear variantes desconhecidas de ransomware. Eles estão ligados a um dispositivo/usuário/processo e não fornecem nenhuma técnica de depuração.

Prevenção Ransomware que funciona

A melhor tecnologia para proteger seus arquivos do ransomware é a User Behavior Analytics (UBA). Ela compara o que usuários em um sistema normalmente fazem – suas atividades e padrões de acesso – com atividades fora do normal de alguém que tenha roubado suas credenciais de acesso. Primeiro, o UBA monitora o comportamento usual, registrando as ações individuais de cada usuário – acessos de arquivo, logins e atividades de rede. Depois, o UBA gera um perfil que descreve o que significa ser aquele usuário.

Identificando Ransomware com modelos automatizados de UBA da Varonis

Sem qualquer configuração, os modelos UBA da Varonis apontam os sinais de ataques de ransomware – quando os arquivos estão sendo encriptados – e a partir daí podem parar esses ataques sem nenhuma dependência de uma lista estática de assinaturas.

Uma vez detectado, uma combinação de passos automatizados pode desencadear a prevenção da propagação da infecção, por exemplo: desabilitando o usuário infectado, o computador infectado, unidades de rede na máquina infectada.

 

Com Varonis