Qual a sua estratégia para lidar com ransomware?

Fonte: 2021 Ransomware Threat Report – Darktrace

Uma Nova Era de Ameaças

As equipes de segurança do setor privado e público estão sendo forçadas a repensar suas estratégias para lidar com ransomware, pois as defesas existentes se mostram repetidamente inadequadas. As defesas baseadas em assinatura nas quais as organizações confiam são muito lentas, estáticas e isoladas para impedir ameaças sofisticadas e rápidas.

À medida que novas técnicas de ataque continuam a surgir, as organizações estão sendo pegas de surpresa. A velocidade e a escala das campanhas de ataque significam que as equipes humanas sozinhas não podem reagir a tempo. A tecnologia de IA de autoaprendizagem que entende o negócio está se tornando fundamental para capacitar os defensores a lutar contra esse cenário de ameaças cada vez mais hostil.

Este relatório de ameaças explora tendências emergentes em técnicas de invasores e inclui sete ataques de ransomware do mundo real descobertos e interrompidos pela IA da Darktrace em ambientes de clientes.

Capitalizando em Condições de Trabalho Remoto

Novas práticas de trabalho exacerbaram o risco de ransomware enfrentado pelas organizações, com o trabalho híbrido tornando a infraestrutura de missão crítica acessível remotamente – resultando em dados confidenciais espalhados por uma infinidade de ambientes. Os cibercriminosos foram rápidos em capitalizar isso, com um aumento na exploração de RDP – seja como resultado de exposição acidental ou força bruta.

Mas, de longe, o método mais comum de entrada de ransomware é o e-mail. Os ataques estão se afastando das técnicas de “pray-and-spray” para campanhas cada vez mais personalizadas e direcionadas, que aproveitam os últimos ciclos e tendências de notícias para fazer com que as vítimas se envolvam com campanhas de phishing e cliquem em links maliciosos – resultando em um download de ransomware.

Fig. 1 – A Darktrace protege os usuários onde quer que operem e onde os dados estejam

Aumentando o profissionalismo dos atores de ameaças

Os invasores estão cientes das ferramentas defensivas que estão tentando evitar e conhecem melhor do que ninguém as limitações da abordagem herdada e em silos da qual a maioria das organizações ainda confia. E em todas as áreas eles estão inovando, desenvolvendo novas técnicas para contorná-los – como a criação de malware sem arquivo e novos métodos de movimentação lateral. O resultado são milhões em lucros para os agentes de ameaças.

Parte do modelo de crime cibernético cada vez mais baseado em receita é o aumento dos ataques “fora de pico”, com a detonação de ransomware nas primeiras horas da manhã ou no fim de semana, quando os tempos de resposta humanos são lentos.

Além disso, o Ransomware-as-a-Service – uma tendência sinistra na qual o ransomware é vendido ou alugado para afiliados – está crescendo, com muitos tendo suporte ao cliente 24 horas por dia, 7 dias por semana, códigos de “ética” e até mesmo análises de terceiros. O resultado é um malware altamente avançado e com velocidade de máquina disponível para mercenários pouco qualificados, que geralmente são menos seletivos em relação ao alvo.

Ransomware de extorsão dupla

Um aumento nas campanhas de extorsão dupla – em que os dados são primeiro exfiltrados e depois criptografados – forneceu aos invasores mais vantagem caso uma organização se recusasse a pagar. A liberação de dados confidenciais resulta em danos à reputação, multas de conformidade e desvantagem competitiva. Mas enquanto muitos esperam que o pagamento acabe com o problema, a maioria acaba sem dinheiro e sem seus dados e sistemas restaurados conforme prometido.

Antes do surgimento das campanhas de dupla extorsão, a resiliência dos negócios significava backups de dados no caso de criptografia. Agora, significa manter as coisas em movimento quando as operações e os sistemas estão sendo mantidos reféns.

IA ofensiva: Ransomware sobrecarregado

O desafio de parar o ransomware está ficando cada vez mais difícil à medida que os ataques com inteligência artificial surgem à solta. Em um relatório publicado pelo MIT Tech Review, espera-se que a IA ofensiva aumente a escala, a velocidade e a sofisticação das ameaças cibernéticas, aumentando cada estágio da cadeia de morte cibernética.

A análise de aprendizado profundo permitirá que a IA aumente a personalização dos ataques, levando a maior precisão e maior taxa de sucesso. Ao mesmo tempo, os cibercriminosos poderão prever melhor o layout e a estratégia defensiva da infraestrutura digital e dos dados das vítimas.

Hoje, a segurança cibernética não é mais um problema de escala humana: é uma luta máquina a máquina. É fundamental que as organizações adotem IA defensiva para se proteger contra essa próxima geração de ransomware automatizado.

A tecnologia Autonomous Response é fundamental para impedir o ransomware em andamento – não importa quão novo ou sofisticado. A IA de autoaprendizagem entende como e quando responder para conter atividades maliciosas de maneira direcionada e proporcional, mantendo as operações comerciais normais.

Ferramentas históricas versus novas ameaças

A abordagem tradicional de defesa vem de várias formas, desde firewalls e ferramentas antivírus até gateways de e-mail e controles preventivos. Embora eles possam identificar ameaças básicas por meio de mecanismos de detecção simples, sua dependência de regras, assinaturas e manuais predefinidos os torna incapazes de impedir cepas de ransomware novas e sem assinatura.

Por definição, um sistema projetado para identificar futuras campanhas de ransomware com base nas características de ataques encontrados anteriormente é fundamentalmente incapaz de capturar ameaças novas e emergentes.

Além disso, a segurança cibernética evoluiu em silos: e-mail, nuvem, rede, segurança industrial e segurança de endpoints se desenvolveram de forma independente. Mas, com o comportamento imprevisível dos funcionários em uma ampla gama de serviços e infraestrutura, as soluções pontuais isoladas não têm a visibilidade e o contexto necessários para determinar o mal-intencionado de benigno, com o ransomware capaz de se espalhar entre ambientes sem ferramentas de segurança conectando os pontos.

Fig. 2 – A compreensão em evolução da Darktrace sobre o ‘eu’ permite interromper ameaças novas e desconhecidas que outras ferramentas perdem

Resposta Automatizada x Autônoma

Dada a velocidade, escala e sofisticação do ransomware moderno, as equipes humanas sozinhas não são mais capazes de ficar à frente dos invasores. As organizações precisam de uma tecnologia que possa não apenas detectar ransomware, mas também contê-lo – sem um especialista “de plantão” para autorizar uma ação.

Isso levou a soluções de resposta automatizada, como SOARs, gateways de e-mail e IPS de última geração. Embora respondam a ameaças conhecidas, estão vinculados a dados históricos de ataque e regras predefinidas.

Como resultado, seus mecanismos de resposta são mecânicos, inflexíveis e pesados, favorecendo uma abordagem de tamanho único. Muitas vezes, isso se traduz em uma escolha entre sistemas criptografados ou desligamentos drásticos quando o ransomware atinge.

Em vez de correr o risco de enfrentar esse difícil dilema, milhares de organizações estão se voltando para a IA de autoaprendizagem, que oferece uma resposta direcionada e proporcional – interrompendo ataques cibernéticos em andamento e permitindo que as operações comerciais continuem normalmente.

A tecnologia funciona formando uma compreensão dinâmica e evolutiva dos “padrões de vida” normais para cada usuário e dispositivo em uma organização e todas as conexões entre eles. Isso permite que a IA identifique os sinais mais sutis de ransomware nunca visto antes em tempo real, antes de aplicar cirurgicamente o “normal”.

Fig. 3 – A Darktrace Antigena toma medidas cirúrgicas e proporcionais para interromper as ameaças, mantendo as operações comerciais normais

IA de autoaprendizagem

Enquanto as soluções tradicionais definem “ruim” ou “benigno”, a IA de autoaprendizagem desenvolve uma compreensão em evolução de sua organização para identificar e interromper os ataques direcionados que inevitavelmente entram. Isso permite que a tecnologia interrompa cepas conhecidas e desconhecidas de ransomware para as quais as ferramentas de segurança estáticas são cegas.

Aumentando a capacidade da equipe com investigações baseadas em IA

Quando ocorre um incidente, é fundamental entender a origem e a natureza da ameaça. Para cada evento de segurança detectado pela IA de autoaprendizagem, o Cyber AI Analyst, a tecnologia de investigação de IA da Darktrace, inicia automaticamente uma investigação: triagem, interpretação e relatórios sobre todo o escopo de incidentes de segurança.

Usando aprendizado profundo, o Cyber AI Analyst contextualiza eventos de segurança, adapta-se a novas técnicas e traduz suas descobertas em uma narrativa de segurança em linguagem natural que pode ser acionada em minutos – reduzindo o tempo de triagem em até 92%. Atualmente, investiga mais de 1,4 milhão de incidentes de segurança por semana.

Evitando interrupções nos negócios quando o ransomware ataca

A tecnologia de resposta autônoma da Darktrace, Darktrace Antigena, opera como uma estrutura de tomada de decisão de IA que atua em segundos para neutralizar cirurgicamente o ransomware novo e sem assinatura em tempo real, permitindo que as organizações criem negócios de autodefesa.

O Darktrace Antigena calcula a melhor ação a ser tomada para conter de forma autônoma o ransomware em andamento na velocidade da máquina. Ao contrário das ferramentas tradicionais, a IA de autoaprendizagem reage dinamicamente em tempo real para impedir comportamentos incomuns à medida que surgem e se desdobram – em e-mail, nuvem, SaaS, rede tradicional, endpoints, IoT e OT.

A Resposta Autônoma funciona impondo os “padrões de vida” normais para usuários e dispositivos comprometidos. Apenas a atividade maliciosa é interrompida, com funcionários e sistemas livres para desempenhar suas funções normalmente.

Esses recursos só são possíveis por meio de uma compreensão em constante evolução de como é o “normal” para cada parte do ecossistema digital.

A resposta altamente proporcional e direcionada do Darktrace Antigena garante que o ransomware seja interrompido – mas não à custa do tempo de inatividade e das operações comerciais.

Fig. 4 – Darktrace Antigena interrompe ransomware na velocidade da máquina

Proteção 24 horas por dia

A tecnologia de Resposta Autônoma é usada por milhares de organizações em todo o mundo para interromper o ransomware segundos depois de surgir, não importa onde ele surja. Fornecendo defesa autônoma 24 horas por dia, 7 dias por semana, o Darktrace Antigena protege dados e sistemas críticos quando as equipes estão sobrecarregadas, despreparadas ou simplesmente indisponíveis – à noite, nos finais de semana e feriados.

Ao aprender “no trabalho”, a Darktrace Antigena ajuda as organizações a desenvolver resiliência cibernética ao longo do tempo – entendendo cada vez melhor como a infraestrutura, os dispositivos e os usuários normalmente se comportam, enquanto neutraliza cirurgicamente os comportamentos maliciosos em tempo real.

Em todo o mundo, a Darktrace Antigena neutraliza uma ameaça a cada segundo – recuperando o tempo crítico e liberando os funcionários para priorizar tarefas estratégicas.

Fig. 5 – A Resposta Autônoma neutraliza as ameaças onde e quando elas ocorrerem – sem a necessidade de intervenção humana

Parando o Ransomware na origem

O ransomware costuma ser o último estágio da cadeia de eliminação, com a maioria dos casos entregues por e-mail. Mas, devido à dependência dos gateways de e-mail de regras e assinaturas predefinidas, ataques sutis geralmente escapam.

O Darktrace for Email neutraliza campanhas de “spear phishing” direcionadas e ataques de personificação que outras ferramentas não percebem. Ao entender o “normal” para cada usuário e correspondente, a Darktrace é a única tecnologia que realmente entende o ser humano por trás das comunicações por e-mail.

Isso permite que a IA determine de forma inteligente se um determinado e-mail se desvia significativamente das interações normais entre remetente, destinatário e a organização em geral. O Darktrace for Email interrompe a ameaça na origem – bloqueando links de forma autônoma, convertendo anexos em tipos de arquivos inofensivos e retendo e-mails.

Isso é vital no caso de ransomware, pois a Resposta Autônoma interrompe a ameaça antes que ela atinja a primeira vítima: antes que o ransomware possa ser baixado, antes que ele se espalhe lateralmente e antes que a criptografia comece.