Blog Top Society - Karla Cruz

Recuperação rápida baseada em inteligência: voltando aos negócios mais rapidamente

17/01/2021    Karla Cruz

img/topsocie_blog/4830_post_6077.jpg

Por Jeferson Propheta, Country Manager da CrowdStrike

Um incidente de segurança cibernética pode ser uma experiência avassaladora e, também, resultar em endpoints infectados, roubo de dados, interrupção do usuário, extorsão e até mesmo tempo de inatividade que causa interrupção dos negócios. Estes são alguns dos dias mais sombrios para qualquer organização e exigem ações decisivas que podem ter um impacto direto em sua capacidade de recuperar funções essenciais de negócios de maneira rápida.

Como se recuperar de ataques de malware e ransomware com velocidade e precisão
O aumento contínuo de ataques de malware, como Emotet e TrickBot, e ataques de ransomware com motivação financeira, como Ryuk, Maze, DoppelPaymer, REvil e Dharma colocaram ênfase considerável nos aspectos de recuperação de uma violação. Na esteira de um ataque cibernético, fazer com confiança as escolhas certas sobre como gerenciar uma recuperação é mais crítico do que nunca, e as operações de recuperação nunca foram tão importantes ou tão caras. É evidente que uma abordagem mais eficiente e eficaz para a recuperação é essencial - uma que possa erradicar ataques persistentes e destrutivos rapidamente e com o mínimo de interrupção.

Recuperação tradicional: “Destruir e reconstruir tudo”
A recuperação dos ataques persistentes de malware e ransomware de hoje requer uma nova abordagem para remediar o ambiente com velocidade e precisão para voltar às operações normais de negócios mais rapidamente. A abordagem tradicional de “derrubar e reconstruir tudo” é muito demorada e cara para os ataques atuais em toda a empresa, expondo a organização a potenciais interrupções de negócios e tempo de inatividade. Ataques cibernéticos persistentes alcançam movimento lateral em uma rede, afetando centenas e até mesmo milhares de endpoints em um ataque em toda a empresa - e o tempo para refazer a imagem ou reconstruir centenas, quanto mais milhares, de endpoints pode levar meses, interrompendo gravemente os usuários e as operações de negócios. Pior ainda, os ataques persistentes antecipam essa abordagem de recuperação e restauração de imagens de backup, infectando novamente essas mesmas máquinas, mesmo depois de serem consideradas limpas.

A abordagem “derrubar e reconstruir tudo”, antes considerada a única maneira de realmente remover um adversário do ambiente, agora é uma falácia que expõe uma organização a um risco maior de interrupção de negócios e reinfecção. Tem que haver uma maneira melhor. E, felizmente, existe.

Recuperação rápida liderada por inteligência
A CrowdStrike fez uma parceria com Baker Tilly e MOXFIVE para desenvolver um relatório que discute o valor do uso de uma abordagem de recuperação rápida, baseada em inteligência, para obter rapidamente a visibilidade de todo o contexto de ameaça em todo o ambiente e remover cirurgicamente todos os mecanismos de persistência implantados no ataque (aqui, falamos de centenas e até mesmo de milhares de terminais, sem a necessidade de refazer a imagem, reconstruir ou substituir uma grande porcentagem dos sistemas afetados).

Com a evolução dos agentes de ameaças para táticas de caça de grandes jogos que capitalizam oportunidades de negócios lucrativos e ataques persistentes em toda a empresa, vemos um aumento nos ataques de malware e ransomware com motivação financeira. Quanto maior for o alvo, mais ampla será a superfície de ataque - e maior será o resgate. Embora a abordagem tradicional possa ser aceitável para um ataque a um único sistema ou mesmo 5 a 10 sistemas, essa mesma abordagem rapidamente se torna problemática quando estamos falando de 500 endpoints, 1.000 endpoints ou até 10.000 endpoints.

Usando uma abordagem baseada em inteligência, somos capazes de identificar e conter rapidamente todos os computadores host que foram afetados pelo ataque. Ganhar visibilidade para a árvore de processos executada pelo agente da ameaça nos permite usar o Falcon Real Time Response remoto para reverter as operações maliciosas - eliminando processos ruins, excluindo arquivos infectados, restaurando chaves de registro e removendo todo e qualquer mecanismo de persistência com velocidade e precisão cirúrgica. 

Em resumo, a abordagem de recuperação rápida baseada em inteligência permite:

Recuperar sistemas e endpoints usando inteligência de ameaças;
Ganhar visibilidade imediata de todo o contexto da ameaça;
Usar o Falcon Real Time Response remoto para remover cirurgicamente todos os mecanismos de persistência; 
Recuperação, em poucas horas ou dias, de um incidente de malware ou ransomware;
Minimizar a interrupção do usuário, sem a necessidade de refazer a imagem dos endpoints e reiniciar os computadores;
Impedir a reinfecção do sistema com caça e monitoramento de ameaças;
Reduzir o risco de interrupção dos negócios devido a um processo de recuperação longo.
Voltando aos negócios mais rápido
Neste artigo, apresentei três casos de uso comparando a abordagem tradicional à abordagem baseada em inteligência, o custo relativo e o tempo de ambas as abordagens e o custo potencial de interrupção de negócios ao usar um processo de recuperação ineficiente. A partir desses casos de uso e vários outros compromissos de recuperação de endpoint nessas empresas, testemunhamos uma redução significativa no tempo de recuperação e no custo de recuperação, permitindo que os negócios voltem às operações normais mais rapidamente e com menos risco de interrupção das operações de negócios.

Sobre a CrowdStrike
A CrowdStrike® Inc. (Nasdaq: CRWD) é uma líder global em cibersegurança, e está redefinindo a segurança para a era da nuvem com uma plataforma de proteção de endpoint e carga de trabalho desenvolvida do zero para impedir violações. Para mais informações, acesse https://www.crowdstrike.com.br/.
Compartilhe nas redes sociais:
Busque no Blog
Publicidade
Redes Sociais
Curta Nossa Página