Ransomware detection і enhanced recovery тепер включені в Cristie Software recovery and replication portfolio
Ransomware detection і enhanced recovery тепер включені в Cristie Software recovery and replication portfolio
Коли кіберзлочинці організовують кібератаку під керівництвом людини, вони можуть витратити місяці на виявлення та подолання засобів захисту, щоб максимізувати вплив своєї атаки. Незалежно від того, чи було їх проникнення через звичайне шкідливе програмне забезпечення або використання застарілого або неправильно налаштованого веб-сервера, кінцевою метою буде шифрування файлів для зберігання життєво важливих операційних даних з метою отримання викупу. Хакери зазвичай використовують асиметричне шифрування. Це криптографія, яка використовує кілька ключів для шифрування та дешифрування файлу. Пара відкритих і закритих ключів генерується зловмисником для жертви унікальним чином, а закритий ключ використовується для розшифрування файлів, що зберігаються на сервері зловмисника. Атаки, що проводяться людьми, намагаються поширюватися в межах інфраструктури організації, і коли корисне навантаження шифрування виконується, файли можуть бути зашифровані із загрозливо високою швидкістю. Швидке виявлення аномалій у файловій структурі та іменуванні може забезпечити раннє попередження про активну кібератаку, і ця можливість тепер включена в портфель рішень Cristie Software для відновлення та реплікації системи.
Cristie Software оголосили про видачу патенту у Великій Британії на автоматичне самовідновлення помилок або збоїв, що виникають під час відновлення або реплікації системи. Ця технологія ґрунтується на алгоритмах, які аналізують файли журналів під час виконання, щоб забезпечити автоматичне усунення збоїв при відновленні системи за допомогою машинного навчання. Команда розробників Cristie Software застосувала ці технології, щоб забезпечити розширене виявлення аномалій файлів, що може мати місце у процесі відновлення та реплікації системи. Резервне копіювання системи є життєво важливим захистом від програм-вимагачів, а процес резервного копіювання надає ідеальну можливість порівняти файлову структуру між наступними образами завдань резервного копіювання. Деякі файли будуть регулярно змінюватися під час звичайних бізнес-операцій через дії, що виконуються у пов'язаних з ними додатках; однак процес шифрування шкідливих файлів буде слідувати одному з декількох шаблонів, що виявляються. Саме ці патерни технологія виявлення аномалій Cristie Software буде прагнути ідентифікувати та забезпечувати максимально раннє попередження про те, що атака знаходиться у процесі.
Щоб бути ефективними, програми здирники повинні шифрувати файли, тобто зчитувати вміст файлів з диска, а потім записувати вміст зашифрованих файлів на диск. Те, як це робиться, може відрізнятися: деякі корисні навантаження програм-вимагачів записують в інший файл, а потім видаляють вихідний файл. Деякі будуть записувати у вихідний файл і, можливо, перейменовувати файл після його шифрування. Тому спостереження за масовими видаленнями та перейменуваннями – частина процесу, але це лише верхівка айсберга. Фактичний процес шифрування також відрізняється: деякі корисні навантаження шифрують фрагменти файлів, інші можуть шифрувати весь файл. Шифрування файлу виявляється шляхом обчислення ентропії файлу. Ентропія файлу вимірює випадковість даних у файлі та використовується для визначення того, чи містить файл приховані дані чи підозрілі сценарії. Шкала випадковості варіюється від 0 (не випадково) до 8 (абсолютно випадково), наприклад, у зашифрованому файлі. Звичайно, будь-який процес резервного копіювання, що використовує шифрування та/або стиснення даних, також демонструватиме ці властивості, включаючи перейменування файлів з розширенням, наприклад «.bak», а також подальше збільшення ентропії файлу. Отже, будь-який алгоритм виявлення файлових аномалій повинен вміти розрізняти підозрілу та очікувану поведінку, щоб уникнути помилкових спрацьовувань. Типові атаки програм-вимагачів будуть мати характеристики, які можуть бути виявлені алгоритмами виявлення аномалій Cristie порівняння з відомими шаблонами. Процес виявлення можна запускати після кожного резервного копіювання системи. Потім звіти про активність файлів і градуйовані оповіщення подаються через панель безпеки в інтерфейсі користувача Cristie Virtual Appliance (VA). Оповіщення також можуть надсилатися електронною поштою та записуватися до журналів подій.
У нещодавній статті, опублікованій платформою технологічних новин ZDNET, повідомлялося, що дослідники перевірили, наскільки швидко 10 основних штамів програм-вимагачів можуть шифрувати мережі. На момент написання вони виявили, що найшвидшою формою програми-здирника був штам шкідливого ПЗ під назвою LockBit, якому в середньому вимагалося всього 5 хвилин 50 секунд для шифрування 100 000 файлів. У наступному тесті LockBit знадобилося всього 4 хвилини та 9 секунд, щоб зашифрувати 53,83 ГБ файлів у різних операційних системах Windows та апаратних специфікаціях. Ці цифри демонструють, як швидко програми-здирники можуть стати серйозною кризою кібербезпеки для жертв атаки. Здатність виявляти і попереджати про підозрілі файлові активності означає,
Враховуючи швидкість, з якою шифрування програм-вимагачів може поширюватися по зараженій мережі, ймовірно, що резервні копії системи міститимуть файли, зашифровані шкідливими програмами. Цей сценарій зазвичай вимагає проведення кіберкримінального розслідування, щоб визначити «останню відому чисту» копію даних резервної копії, яка може забезпечити безпечну точку відновлення. Це може бути своєчасним заходом, який призведе до тривалого простою та потенційної втрати доходу. Здатність Cristie Software виявляти аномалії може допомогти скоротити цей час, оскільки файли резервних копій також можна сканувати на наявність аномалій шляхом порівняння з кількома миттєвими знімками попередніх резервних копій, на які віртуальний пристрій може посилатися в рамках звичайних операцій.
Враховуючи швидкість, з якою шифрування програм-вимагачів може поширюватися по зараженій мережі, ймовірно, що резервні копії системи міститимуть файли, зашифровані шкідливими програмами. Цей сценарій зазвичай вимагає проведення кіберкримінального розслідування, щоб визначити «останню відому чисту» копію даних резервної копії, яка може забезпечити безпечну точку відновлення. Це може бути своєчасним заходом, який призведе до тривалого простою та потенційної втрати доходу. Здатність Cristie Software виявляти аномалії може допомогти скоротити цей час, оскільки файли резервних копій також можна сканувати на наявність аномалій шляхом порівняння з кількома миттєвими знімками попередніх резервних копій, на які віртуальний пристрій може посилатися в рамках звичайних операцій.
Автоматизація відновлення, реплікації та міграції системи була основним напрямом пакету Cristie Software із самого початку, заснованого на інноваційних методах та останніх досягненнях у галузі обчислювальної техніки. Додавання функції виявлення програм-вимагачів — це природне розширення наших функцій аварійного відновлення, і наші програмні інструменти мають унікальні можливості для вирішення цієї проблеми. Всі основні хмарні платформи та платформи віртуалізації можуть підтримуватися як цілі реплікації або відновлення, а спеціальні розширення доступні для покращення відновлення системи з рішень резервного копіювання, включаючи Dell Technologies Avamar, Dell Technologies Networker, IBM Spectrum Protect, Cohesity DataProtect та Rubrik Security Cloud.
