Uma Abordagem Moderna para Remediação de Terminais

20 janeiro 2020
StorageOne
0
Categories: Blog

Por que é hora de parar de criar novamente imagens de seus endpoints.

Mesmo com uma solução abrangente de proteção em várias camadas, nenhuma organização pode impedir todos os ataques aos terminais. Uma solução eficaz precisa incluir três componentes críticos – proteção, detecção e resposta Um fator chave para melhorar os processos de resposta a incidentes é diminuir o tempo médio de resposta (MTTR) ou o tempo de espera.

Quais são as tendências atuais de resposta a incidentes (IR)?

De acordo com as equipes de resposta a incidentes, o malware é a causa raiz de 68% dos incidentes investigados. Quase 15% dos orçamentos de segurança dos EUA destinam-se a remediar compromissos ativos. Então, quanto tempo leva para se recuperar desses ataques? Em 2017, 28% das equipes de RI relataram que o tempo entre a detecção e a correção foi de 6 a 24 horas e 23% exigiram um mínimo de 1 a 5 horas para se recuperar. De acordo com “Os verdadeiros custos do cibercrime” de Osterman, o relatório indica o custo médio para a correção de apenas um grande evento de segurança é de aproximadamente US $ 290 mil para uma organização de 2.500 funcionários. Nos EUA, o custo médio aumenta para mais de US $ 429 mil.

Abordagem tradicional de recriação de imagens.

A recriação de imagens de um endpoint infectado tem um longo legado como padrão de fato. No entanto, essa abordagem também é repleta de ineficiências de tempo e riscos inerentes, isso pode resultar em horas de restauração de dados e configurações, trabalho perdido entre o último backup e o tempo da infecção, além da perda da produtividade dos funcionários.

Abordagem Tradicional de Remediação

Uma infecção típica por malware realiza entre 70 e 80 alterações em um endpoint. Isso pode incluir a desativação do software de segurança existente, a modificação dos valores do registro, as alterações nos arquivos do sistema etc. A maioria das soluções tradicionais de remediação corrige apenas os componentes ou a carga útil do malware ativo – isso não fornece a correção completa. Quando as alterações de infecção no nó de extremidade não são completamente revertidas, como deixar uma porta aberta, ele deixa os pontos vulneráveis à reinfecção rápida ou a novos ataques focados nessa vulnerabilidade específica.

Remediação do mecanismo de vinculação

Diferentemente das abordagens tradicionais de correção, a Correção do Malwarebytes Linking Engine proprietária mapeia todas as alterações associadas a uma infecção. Ele detecta todos os artefatos de infecção relacionados e, em seguida, é capaz de remover completamente os artefatos dinâmicos e relacionados para retornar os pontos de extremidade a um estado verdadeiramente íntegro, minimizando o impacto para o usuário final.

Três modos de isolamento de endpoint

A correção rápida evita o movimento lateral em todo o estado do nó de extremidade, impedindo que o malware ligue para casa e os atacantes remotos sejam bloqueados. Você pode manter um sistema online com segurança para análises detalhadas via Malwarebytes Management Console. O Malwarebytes Endpoint Protection and Response (EPR) é o primeiro produto a oferecer três maneiras de isolar um endpoint.

1. Isolamento de rede para restringir quais processos podem se comunicar.

2. Isolamento do processo para restringir qual processado pode ser executado.

3. Isolamento da área de trabalho para alertar os usuários finais e interromper a interação.

Reversão de até 72 horas para Ransomware.

O Malwarebytes oferece exclusivamente a capacidade de reverter o ransomware por até 72 horas para garantir a cobertura durante um longo fim de semana ou para ambientes exclusivos do cliente. A tecnologia Ransomware Rollback permite que você volte no tempo para negar o impacto do ransomware, aproveitando os backups just-in-time. O Malwarebytes registra e associa alterações a processos específicos. Todas as alterações feitas por um processo são registradas. Se um processo faz coisas “ruins”, você pode reverter facilmente essas alterações para restaurar arquivos que foram criptografados, excluídos ou modificados. O armazenamento de dados é minimizado usando a tecnologia de exclusão dinâmica proprietária que aprende o que os aplicativos “bons” fazem.

Correção automatizada.

Agora, mais do que nunca, as organizações precisam mudar de reativos para processos automatizados de resposta a incidentes. Diante dos recursos limitados e da constante ameaça de ameaças avançadas, uma abordagem de correção automatizada pode aprimorar seu modelo de segurança e fazer a ponte entre silos operacionais. A integração entre o Malwarebytes e várias plataformas de visibilidade e orquestração Enterprisegrade permite que fluxos de trabalho de resposta automatizados ricos acionem a correção antes mesmo que um ser humano tenha reconhecido o incidente, reduzindo fortemente o tempo médio de recuperação (MTTR). Isso evita o movimento lateral, a exfiltração de dados e deixa zero chance para os atacantes.

A integração do Malwarebytes ao ServiceNow fornece automação e orquestração para reduzir o MTTR. A integração permite que as organizações:

  • Gere incidentes de segurança com base em detecções de malware e outros eventos de proteção em tempo real do Malwarebytes;
  • Análise ameaças e detecções de malware diretamente no ServiceNow;
  • Inicie varreduras e correção do Malwarebytes sob demanda com um único clique;
  • Respond Responda automaticamente a incidentes de segurança com correção Zero-Touch;
  • Integr Integre facilmente a Correção do Malwarebytes em fluxos de trabalho complexos de Resposta a Incidentes usando um pacote de atividades.

Caça proativa por malware.

O Malwarebytes capacita sua equipe de RI a executar verificações agendadas que buscam proativamente os Indicadores de Compromisso (IOCs) recentemente relatados em toda a empresa. A solução integrada facilita a adoção de um processo de assumir o compromisso para garantir que sua correção inclua buscas por movimento lateral e desinfecção de todos os pontos de extremidade afetados.

Isso transforma qualquer inteligência de ameaças que você possui, de dentro (por exemplo: sandboxing) ou de fora da sua organização (por exemplo: feeds inscritos).

Ele permite que o respondedor de incidentes estenda o escopo das detecções do Malwarebytes às suas necessidades, enquanto ainda se beneficia do seu mecanismo de correção líder do setor.

A integração do Malwarebytes com o ForeScout fornece:

  • Hunting Caça pró-ativa de COI de qualquer fonte de terceiros;
  • Detecção e correção rápidas de ameaças;
  • Permitir, negar ou limitar o acesso à rede com base nas ameaças detectadas e no estágio de resposta da correção;
  • Avalie terminais de alto risco e corrija ameaças instantaneamente;
  • Resposta automatizada a ameaças;
  • Automatize fluxos de trabalho de resposta a incidentes além de apenas ações de quarentena.

A integração do Malwarebytes com o Splunk fornece:

  • Representação e visualização de endpoints, detecções, quarentena com relatórios históricos e em tempo real;
  • Pesquisa fácil do fluxo de trabalho, de alto a baixo nível;
  • Panels Painéis de painel pré-construídos para fácil criação personalizada do painel pelo usuário;
  • Action Ação de alerta personalizada para executar a correção com base em vários gatilhos;
  • Hunting Caça proativa por malware com MBBR e COI de terceiros.

Proteção e resposta do Malwarebytes Endpoint

Com 500 mil downloads e 4 milhões de eventos de correção por dia, a Malwarebytes é o fornecedor de correção mais confiável do setor. Ao contrário de outras soluções de detecção e resposta de endpoints no mercado, o Malwarebytes Endpoint Protection e Response não apenas gera alertas, mas também corrige o problema. Ele fornece recursos de resposta imediata no caso de uma infecção. A correção proprietária do Linking Engine fornece correção completa e completa. O isolamento do ponto final interrompe rapidamente o sangramento e a tecnologia de reversão permitem que você volte no tempo para negar o impacto do ransomware.

Em Resumo

As equipes de RI podem se beneficiar da adoção de uma solução automatizada de endpoint que efetivamente elimina o malware pelas raízes. Para oferecer benefícios além da criação de imagens, a correção precisa ser rápida, completa e restaurar pontos de extremidade com perfeição ao estado saudável de pré-infecção. As vantagens da correção automatizada sobre a criação de imagens:

  • Oferece correção automatizada, precisa e completa;
  • Aumenta bastante a eficiência do tempo de resposta;
  • Reduz o tempo de permanência do malware;
  • Fecha a lacuna na falta de pessoal e habilidades;
  • Reduz o custo e a complexidade do gerenciamento da resposta a incidentes;
  • Minimiza o tempo de inatividade da estação de trabalho e dos funcionários;
  • Restaura todo o trabalho dos funcionários.

SABER MAIS

Para saber mais sobre a Proteção e resposta do Malwarebytes Endpoint, visite: malwarebytes.com/business/endpointprotectionandresponse/

Para saber mais sobre as integrações da tecnologia Malwarebytes, visite: malwarebytes.com/integrations/