Anti-Ransomware: całościowe oprogramowanie do ochrony przed ransomware
23.05.2023
Autor: Mateusz Żurek
Kategorie: Aktualności,Artykuł
Ransomware przekształciło się w podstępne i kosztowne zagrożenie bezpieczeństwa, które wisi nad firmami. ManageEngine Anti-Ransomware to gotowe rozwiązanie, które ma na celu wykrywanie i usuwanie infekcji ransomware na wczesnym etapie, powodując jednocześnie jak najmniej zakłóceń. Inteligentne techniki wykrywania zachowań oprogramowania szybko wykrywają anomalie w aktywności plików z maksymalną dokładnością i umożliwiają aktywne przygotowanie frontu przed przyszłymi atakami. Jest również wyposażony w funkcję bezpiecznego odzyskiwania, która bezpiecznie przywraca dane. Praca w Anti-Ransomware przebiega w trzech krokach. System automatycznie wykrywa nietypowe zmiany plików na punktacj końcowych, które przypominają ataki ransomware, co stanowi pierwszy krok. Kolejnym etapem jest tak zwane rozstrzygnięcie. Użytkownik analizuje incydenty i ustala, czy był to prawdziwy pozytywny wynik, czy fałszywie pozytywny. Ostatnim krokiem jest odzyskiwanie. W sposób natychmiastowy możemy uzyskać nieusuwalną kopię zapasową wszystkich plików, które zostały naruszone podczas ataku.
Analiza zachowania wspomagana uczeniem maszynowym
Anti-Ransomware wykorzystuje algorytmy wykrywania zachowań oparte na uczeniu maszynowym, aby poszerzyć zakres i zwiększyć dokładność wykrywania ataków ransomware, co stanowi znaczną poprawę w stosunku do przestarzałych metod opartych na sygnaturach. Gdy proces przypominający wzorzec ransomware przejrzy plik, zaszyfruje go i zaktualizuje, generowany jest alert. Następnie alerty są sortowane i dokumentowane jako incydenty.
Jednoetapowa technika reagowania na incydenty
Po wykryciu anomalii jest ona rozwiązywana poprzez zbadanie procesu i oznaczenie go jako zdarzenia prawdziwie pozytywnego lub fałszywie pozytywnego. Proces odzyskiwania pliku jest inicjowany, jeśli wynik jest prawdziwy. Jeśli proces zostanie zidentyfikowany jako fałszywie dodatni, podobny proces w przyszłości zostanie automatycznie oznaczony jako fałszywie dodatni.
Odzyskiwanie chronionych kopii zapasowych plików jednym kliknięciem w celu niezawodnego przywracania
Anti-Ransomware wykorzystuje usługę VSS firmy Microsoft do uzyskiwania kopii w tle wszystkich plików na punkcie końcowym co trzy godziny. Wszystkie zainfekowane pliki są przywracane do najnowszej zapisanej kopii pliku, po potwierdzeniu, po ataku ransomware. Pliki są automatycznie przywracane, jeśli ten sam atak ransomware wystąpi ponownie.
Zaufane pliki wykonywalne można wykluczyć, aby zapewnić płynny przepływ pracy
Jeśli chodzi o ochronę punktów końcowych, Anti-Ransomware stosuje podejście zerowego zaufania. Zaufane pliki wykonywalne, o których wiadomo, że są bezpieczne i nieszkodliwe, można wykluczyć za pomocą funkcji Wykluczenia i zwolnić z wykrywania zachowań w czasie rzeczywistym i powiadomień o incydentach w celu zachowania produktywności. Aby zapobiec niezamierzonym atakom za pośrednictwem listy wykluczeń, tę listę wykluczeń można dodatkowo ograniczyć, określając podpisane certyfikaty i dozwolone foldery, w których mają być wykluczone.
Konfiguracja narzędzia
Moduł Anti-Ransomware w dużym stopniu działa automatycznie, lecz konfiguracje również są dostępne. Poniżej zostały przedstawione najważniejsze przykłady związane z konfiguracją systemu.
W module możemy zdefiniować wyjątki, które będą pomijane w trakcie skanowania. Dostępne wyjątki to Certyfikat typu SHA-256, Certyfikat Code Signing lub ręczne zdefiniowanie lokalizacji plików do pominięcia jn.
b. Konfiguracja powiadomień polega na włączeniu/wyłączeniu powiadomień mailowych lub komunikatów na stacji roboczej w przypadku wykrycia zdarzenia ransomware oraz zdefiniowaniu adresu e-mail, na który ma zostać wysłane powiadomienie.
c. Możliwe jest ograniczenie funkcjonowania narzędzia do samych powiadomień o wykryciu ransomware.
d. Od nas zależy jak długo będziemy przetrzymywać wykryte incydenty w bazie danych. Najmniejszy okres to 30 dni, największy 300.
e. Moduł Anti-Ransomware pozwala administratorowi całkowicie wyłączyć narzędzie w razie potrzeby. Wystarczy jedno kliknięcie, aby go dezaktywować.
23.05.2023
Autor: Mateusz Żurek
Kategorie: AktualnościArtykuł
Udostępnij:
Mateusz Żurek
ITSM Evangelist
W IT zawodowo od ponad 10 lat, w tym 8 lat w MWT Solutions. Zaczynał jako specjalista ds. supportu, obecnie na stanowisku ITSM & UEM Team Leader kieruje zespołem odpowiedzialnym za product management oraz wdrożenia systemów z obszaru ITSM oraz UEM.