Skip to content
ataques de ransomware EDRs

Por que as empresas com EDRs e XDRs ainda sofrem ataques de ransomware?

Os sistemas de detecção e resposta de endpoint (EDRs) prometem proteger os endpoints de seus sistemas de TI contra ataques malware, ransomware e outros tipos de código malicioso. Como resultado, empresas de todos os tamanhos se apressaram em adicionar EDRs aos seus esforços de segurança (conforme evidenciado pela taxa de crescimento da indústria de EDR).

No entanto, mesmo as empresas com EDRs ainda sofrem ataques de ransomware. Na verdade, no mesmo período em que os EDRs se tornaram mais populares, não apenas o número de ataques de malware que as empresas vivenciam cresceu ano após ano, mas, de acordo com o “Relatório de custo de violação de dados 2021” da IBM, o tempo para detectar e conter uma violação agora aumentou para impressionantes 287 dias em média.

O que levanta a questão “como isso é possível se mais empresas estão adotando EDRs e XDRs?”

A resposta curta é que isso é resultado da maneira como os EDRs e os XDRs funcionam. Abaixo, detalhamos por que os EDRs não estão equipados para evitar 100% dos ataques de malware e ransomware (por design) e por que as empresas devem se concentrar na prevenção em vez da detecção para garantir que estejam totalmente protegidos..

Por que os EDRs e XDRs não podem impedir ataques de malware e ransomware desconhecidos

A maioria dos EDRs hoje funciona de maneira semelhante ao seu sistema imunológico quando seu corpo está infectado por um vírus. Ao detectar um comportamento malicioso, eles desenvolvem o software equivalente aos anticorpos (uma resposta) para evitar que o ataque cause mais danos.

Isso funciona para interromper muitos dos danos que malware e ransomware podem causar à sua organização. Mas, como os EDRs precisam que seus sistemas sejam infectados antes que possam interromper um ataque, eles não podem evitar totalmente os danos de um ataque.

Leia também:  Ransomware: Como Detectar

Isso é verdade, não importa o quão sofisticado seja o seu EDR ou XDR. Mesmo os XDRs que usam IA e outras tecnologias de ponta para detectar códigos maliciosos ainda requerem um ataque contínuo iniciado antes que uma resposta possa ser desenvolvida.

Conteúdo Relacionado: Ransomware: Como Detectar

Para evitar ataques de malware, use os pontos fortes do malware contra ele

Para impedir que o malware afete seus sistemas de TI por completo, você não pode esperar que ele se revele antes de agir – em primeiro lugar, você deve impedi-lo de executar um ataque. E a melhor maneira de fazer isso é usar os pontos fortes e as tendências do malware contra ele, para que nunca seja executado.

Por exemplo, o malware sem arquivos (File-less) usa outro software para entrar em seu sistema e é executado em sua memória virtual (RAM), não em seus discos rígidos. Como resultado, é extremamente difícil para um EDR detectar e parar o ataque.

No entanto, você pode usar a força desse tipo de malware contra si mesmo com uma regra que exige que todo o código-fonte seja executado a partir do seu disco rígido.

As táticas evasivas que o malware usa para evitar ser detectado também podem ser usadas para prevenir um ataque de maneira semelhante.

Por exemplo, se um trecho de código malicioso deseja evitar um ambiente sandbox (onde seria detectado), ele frequentemente consultará o sistema operacional para perguntar se está em uma máquina virtual (VM) ou qual é a resolução da tela. Então, para criar um ambiente onde ele não queira ser executado por medo de ser detectado, você pode dizer ao malware “sim, você está em uma VM” ou “você está executando em uma resolução de 800×600” (resolução sandbox típica) até embora esse não seja realmente o caso.

Conteúdo Adicional: Tendências de malware que estão tirando vantagem da pandemia

Por que criamos o Minerva

Uma vez que os EDRs são reativos em vez de proativos, eles não te equipam para evitar que um malware ataque seus sistemas e roube seus dados usando os métodos descritos acima. Por isso, criamos o Minerva para fornecer às empresas uma plataforma de segurança de endpoint que interrompe os ataques de malware antes que eles ocorram, e não depois de terem começado.

Leia também:  Gerenciamento de Acesso Privilegiado (PAM) - Melhores Práticas

 

Minerva Dashboard-ataques de ransomware EDRs

Na verdade, usando as táticas acima (e outros métodos patenteados), Minerva interrompe os ataques de malware sem precisar identificar que tipo de ameaça pode ser. Como resultado, ele elimina a possibilidade de seus dados serem roubados ou retidos para resgate.

Conheça o Minerva, preencha o formulário abaixo para conhecer.

Texto original: Minerva Labs 

Comente o que achou do artigo