Por Jeferson Propheta, Country Manager da CrowdStrike

Um incidente de segurança cibernética pode ser uma experiência avassaladora e, também, resultar em endpoints infectados, roubo de dados, interrupção do usuário, extorsão e até mesmo tempo de inatividade que causa interrupção dos negócios. Estes são alguns dos dias mais sombrios para qualquer organização e exigem ações decisivas que podem ter um impacto direto em sua capacidade de recuperar funções essenciais de negócios de maneira rápida.

Como se recuperar de ataques de malware e ransomware com velocidade e precisão

O aumento contínuo de ataques de malware, como Emotet e TrickBot, e ataques de ransomware com motivação financeira, como Ryuk, Maze, DoppelPaymer, REvil e Dharma colocaram ênfase considerável nos aspectos de recuperação de uma violação. Na esteira de um ataque cibernético, fazer com confiança as escolhas certas sobre como gerenciar uma recuperação é mais crítico do que nunca, e as operações de recuperação nunca foram tão importantes ou tão caras. É evidente que uma abordagem mais eficiente e eficaz para a recuperação é essencial - uma que possa erradicar ataques persistentes e destrutivos rapidamente e com o mínimo de interrupção.

Recuperação tradicional: “Destruir e reconstruir tudo”

A recuperação dos ataques persistentes de malware e ransomware de hoje requer uma nova abordagem para remediar o ambiente com velocidade e precisão para voltar às operações normais de negócios mais rapidamente. A abordagem tradicional de “derrubar e reconstruir tudo” é muito demorada e cara para os ataques atuais em toda a empresa, expondo a organização a potenciais interrupções de negócios e tempo de inatividade. Ataques cibernéticos persistentes alcançam movimento lateral em uma rede, afetando centenas e até mesmo milhares de endpoints em um ataque em toda a empresa - e o tempo para refazer a imagem ou reconstruir centenas, quanto mais milhares, de endpoints pode levar meses, interrompendo gravemente os usuários e as operações de negócios. Pior ainda, os ataques persistentes antecipam essa abordagem de recuperação e restauração de imagens de backup, infectando novamente essas mesmas máquinas, mesmo depois de serem consideradas limpas.

A abordagem “derrubar e reconstruir tudo”, antes considerada a única maneira de realmente remover um adversário do ambiente, agora é uma falácia que expõe uma organização a um risco maior de interrupção de negócios e reinfecção. Tem que haver uma maneira melhor. E, felizmente, existe.

Recuperação rápida liderada por inteligência

A CrowdStrike fez uma parceria com Baker Tilly e MOXFIVE para desenvolver um relatório que discute o valor do uso de uma abordagem de recuperação rápida, baseada em inteligência, para obter rapidamente a visibilidade de todo o contexto de ameaça em todo o ambiente e remover cirurgicamente todos os mecanismos de persistência implantados no ataque (aqui, falamos de centenas e até mesmo de milhares de terminais, sem a necessidade de refazer a imagem, reconstruir ou substituir uma grande porcentagem dos sistemas afetados).

Com a evolução dos agentes de ameaças para táticas de caça de grandes jogos que capitalizam oportunidades de negócios lucrativos e ataques persistentes em toda a empresa, vemos um aumento nos ataques de malware e ransomware com motivação financeira. Quanto maior for o alvo, mais ampla será a superfície de ataque - e maior será o resgate. Embora a abordagem tradicional possa ser aceitável para um ataque a um único sistema ou mesmo 5 a 10 sistemas, essa mesma abordagem rapidamente se torna problemática quando estamos falando de 500 endpoints, 1.000 endpoints ou até 10.000 endpoints.

Usando uma abordagem baseada em inteligência, somos capazes de identificar e conter rapidamente todos os computadores host que foram afetados pelo ataque. Ganhar visibilidade para a árvore de processos executada pelo agente da ameaça nos permite usar o Falcon Real Time Response remoto para reverter as operações maliciosas - eliminando processos ruins, excluindo arquivos infectados, restaurando chaves de registro e removendo todo e qualquer mecanismo de persistência com velocidade e precisão cirúrgica. 

Em resumo, a abordagem de recuperação rápida baseada em inteligência permite:

Recuperar sistemas e endpoints usando inteligência de ameaças;

Ganhar visibilidade imediata de todo o contexto da ameaça;

Usar o Falcon Real Time Response remoto para remover cirurgicamente todos os mecanismos de persistência; 

Recuperação, em poucas horas ou dias, de um incidente de malware ou ransomware;

Minimizar a interrupção do usuário, sem a necessidade de refazer a imagem dos endpoints e reiniciar os computadores;

Impedir a reinfecção do sistema com caça e monitoramento de ameaças;

Reduzir o risco de interrupção dos negócios devido a um processo de recuperação longo.

Voltando aos negócios mais rápido

Neste artigo, apresentei três casos de uso comparando a abordagem tradicional à abordagem baseada em inteligência, o custo relativo e o tempo de ambas as abordagens e o custo potencial de interrupção de negócios ao usar um processo de recuperação ineficiente. A partir desses casos de uso e vários outros compromissos de recuperação de endpoint nessas empresas, testemunhamos uma redução significativa no tempo de recuperação e no custo de recuperação, permitindo que os negócios voltem às operações normais mais rapidamente e com menos risco de interrupção das operações de negócios.

Sobre a CrowdStrike

A CrowdStrike® Inc. (Nasdaq: CRWD) é uma líder global em cibersegurança, e está redefinindo a segurança para a era da nuvem com uma plataforma de proteção de endpoint e carga de trabalho desenvolvida do zero para impedir violações. Para mais informações, acesse https://www.crowdstrike.com.br/.