Ransomware detection и enhanced recovery теперь включены в Cristie Software recovery and replication portfolio
Ransomware detection и enhanced recovery теперь включены в Cristie Software recovery and replication portfolio
Когда киберпреступники организуют кибератаку под руководством человека, они могут потратить месяцы на выявление и преодоление средств защиты, чтобы максимизировать воздействие своей атаки. Независимо от того, было ли их проникновение через обычное вредоносное ПО или использование устаревшего или неправильно настроенного веб-сервера, конечной конечной целью будет шифрование файлов для хранения жизненно важных операционных данных с целью получения выкупа. Хакеры обычно используют асимметричное шифрование. Это криптография, которая использует пару ключей для шифрования и дешифрования файла. Пара открытых и закрытых ключей генерируется злоумышленником для жертвы уникальным образом, а закрытый ключ используется для расшифровки файлов, хранящихся на сервере злоумышленника. Атаки, проводимые людьми, пытаются распространяться в пределах инфраструктуры организации, и когда полезная нагрузка шифрования выполняется, файлы могут быть зашифрованы с угрожающе высокой скоростью. Быстрое обнаружение аномалий в файловой структуре и именовании может обеспечить самое раннее предупреждение об активной кибератаке, и эта возможность теперь включена в портфель решений Cristie Software для восстановления и репликации системы.
Cristie Software объявили о выдаче патента в Великобритании на автоматическое самовосстановление ошибок или сбоев, возникающих во время восстановления или репликации системы. Эта технология основана на алгоритмах, которые анализируют файлы журналов во время выполнения, чтобы обеспечить автоматическое устранение сбоев при восстановлении системы с помощью машинного обучения. Команда разработчиков Cristie Software применила эти технологии, чтобы обеспечить расширенное обнаружение аномалий файлов, которое может иметь место в процессе восстановления и репликации системы. Резервное копирование системы является жизненно важной защитой от программ-вымогателей, а процесс резервного копирования предоставляет идеальную возможность сравнить файловую структуру между последующими образами заданий резервного копирования. Некоторые файлы будут регулярно изменяться в ходе обычных бизнес-операций из-за действий, выполняемых в связанных с ними приложениях; однако процесс шифрования вредоносных файлов будет следовать одному из нескольких обнаруживаемых шаблонов. Именно эти паттерны технология обнаружения аномалий Cristie Software будет стремиться идентифицировать и обеспечивать максимально раннее предупреждение о том, что атака находится в процессе.
Чтобы быть эффективными, программы-вымогатели должны шифровать файлы, то есть считывать содержимое файлов с диска, а затем записывать содержимое зашифрованных файлов на диск. То, как это делается, может различаться: некоторые полезные нагрузки программ-вымогателей записывают в другой файл, а затем удаляют исходный файл. Некоторые будут записывать в исходный файл и, возможно, переименовывать файл после его шифрования. Поэтому наблюдение за массовыми удалениями и переименованиями — часть процесса, но это только верхушка айсберга. Фактический процесс шифрования также различается: некоторые полезные нагрузки шифруют фрагменты файлов, а другие могут шифровать весь файл. Шифрование файла обнаруживается путем вычисления энтропии файла. Энтропия файла измеряет случайность данных в файле и используется для определения того, содержит ли файл скрытые данные или подозрительные сценарии. Шкала случайности варьируется от 0 (неслучайно) до 8 (абсолютно случайно), например, в зашифрованном файле. Конечно, любой процесс резервного копирования, использующий шифрование и/или сжатие данных, также будет демонстрировать эти свойства, включая переименование файлов с расширением, например «.bak», а также последующее увеличение энтропии файла. Следовательно, любой алгоритм обнаружения файловых аномалий должен уметь различать подозрительное и ожидаемое поведение, чтобы избежать ложных срабатываний. Типичные атаки программ-вымогателей будут иметь характеристики, которые могут быть обнаружены алгоритмами обнаружения аномалий Cristie путем сравнения с известными шаблонами. Процесс обнаружения можно запускать после каждого резервного копирования системы. Затем отчеты об активности файлов и градуированные оповещения представляются через панель безопасности в пользовательском интерфейсе Cristie Virtual Appliance (VA). Оповещения также могут отправляться по электронной почте и записываться в журналы событий.
В недавней статье, опубликованной платформой технологических новостей ZDNET, сообщалось, что исследователи проверили, насколько быстро 10 основных штаммов программ-вымогателей могут шифровать сети. На момент написания они обнаружили, что самой быстрой формой программы-вымогателя был штамм вредоносного ПО под названием LockBit, которому в среднем требовалось всего 5 минут 50 секунд для шифрования 100 000 файлов. В последующем тесте LockBit потребовалось всего 4 минуты и 9 секунд, чтобы зашифровать 53,83 ГБ файлов в разных операционных системах Windows и аппаратных спецификациях. Эти цифры демонстрируют, как быстро программы-вымогатели могут стать серьезным кризисом кибербезопасности для жертвы атаки. Способность обнаруживать и предупреждать о подозрительной файловой активности означает, что потенциальные атаки программ-вымогателей могут быть идентифицированы в движении и приняты немедленные меры.
Учитывая скорость, с которой шифрование программ-вымогателей может распространяться по зараженной сети, весьма вероятно, что резервные копии системы будут содержать файлы, зашифрованные вредоносными программами. Этот сценарий обычно требует проведения киберкриминалистического расследования, чтобы определить «последнюю известную чистую» копию данных резервной копии, которая может обеспечить безопасную точку восстановления. Это может быть своевременным мероприятием, которое приведет к длительному простою и потенциальной потере дохода. Способность Cristie Software обнаруживать аномалии может помочь сократить это время, поскольку файлы резервных копий также можно сканировать на наличие аномалий путем сравнения с несколькими моментальными снимками предыдущих резервных копий, на которые виртуальное устройство может ссылаться в рамках обычных операций.
Учитывая скорость, с которой шифрование программ-вымогателей может распространяться по зараженной сети, весьма вероятно, что резервные копии системы будут содержать файлы, зашифрованные вредоносными программами. Этот сценарий обычно требует проведения киберкриминалистического расследования, чтобы определить «последнюю известную чистую» копию данных резервной копии, которая может обеспечить безопасную точку восстановления. Это может быть своевременным мероприятием, которое приведет к длительному простою и потенциальной потере дохода. Способность Cristie Software обнаруживать аномалии может помочь сократить это время, поскольку файлы резервных копий также можно сканировать на наличие аномалий путем сравнения с несколькими моментальными снимками предыдущих резервных копий, на которые виртуальное устройство может ссылаться в рамках обычных операций.
Автоматизация восстановления, репликации и миграции системы была основным направлением пакета Cristie Software с самого начала, основанного на инновационных методах и последних достижениях в области вычислительной техники. Добавление функции обнаружения программ-вымогателей — это естественное расширение наших функций аварийного восстановления, и наши программные инструменты обладают уникальными возможностями для решения этой проблемы. Все основные облачные платформы и платформы виртуализации могут поддерживаться в качестве целей репликации или восстановления, а специальные расширения доступны для улучшения восстановления системы из решений резервного копирования, включая Dell Technologies Avamar, Dell Technologies Networker, IBM Spectrum Protect, Cohesity DataProtect и Rubrik Security Cloud.
