Страшный сон любого системного администратора, ставший реальностью: день, когда компания Garmin, занимающаяся производством GPS-трекеров и «умных» часов стала жертвой нового вируса-вымогателя WastedLocker. Этот зловред шифровал данные и требовал выкуп за разблокировку. Цена вопроса составляла $10 млн. Такие атаки происходят всё чаще, поскольку киберпреступники наращивают свой потенциал и наносят удар по всем секторам экономики.
Но быть целью атаки не означает стать ее жертвой. Компании могут надежно защитить данные на конечных точках благодаря грамотному развертыванию ИБ-решений.
Лучшая защита начинается с предотвращения угрозы. Как гласит известная пословица: «предупрежден — значит вооружен». Так, с помощью MVISION Insights клиенты получают предварительное уведомление, когда в их секторе экономики или ближайшем регионе происходят атаки вирусов-вымогателей. Например, если произошла атака на медицинское учреждение, MVISION Insights определит тенденцию роста атак данного типа на другие медицинские организации и поделится этой информацией с пользователями сервиса, чтобы они могли применить превентивные меры по минимизации воздействия или устранению возможных последствий.
MVISION Insights поможет командам реагирования понять, в состоянии ли системы безопасности и их настройки защитить их от подобного рода атак. Если нет, то выдается подробный совет о том, какие меры защиты стоить предпринять еще до того, как атака затронет инфраструктуру. Это первая фаза защиты, с которой можно ознакомиться по ссылке: https://www.mcafee.com/enterprise/en-us/lp/insights-preview.html
Рассмотрим типичный прием, когда компания постоянно укрепляет свою инфраструктуру безопасности, расширяя список используемых средств защиты, но злоумышленник всё же обнаруживает лазейку в виде одной из рабочих станции, которая некорректно настроена. Когда в организации тысячи конечных точек, возможно, что одна будет недостаточно защищена. Но прежде, чем злоумышленник начнет атаку, в игру вступают технологии противодействия.
McAfee использует интегрированный стек технологий, который включает техники машинного обучения, защиту от эксплойтов, блокировку подозрительного поведения и динамическое сдерживание приложений. Это помогает остановить не только традиционное заражение через передаваемые файлы, но и бесфайловые атаки.
Глобальный репутационный источник McAfee Global Threat Intelligence задействует более 1 миллиарда сенсоров по всему миру и использует машинное обучение для выявления новых типов атак. Вместо использования сигнатур система анализирует атрибуты файлов и калькулирует общий показатель, основанный на множестве векторов, которые позволяют определить, соответствует ли файл политикам безопасности или его следует пометить как потенциально вредоносный.
Технологии искусственного интеллекта McAfee также помогают в предотвращении угроз. В случае, когда злоумышленник создает программу-вымогатель, таким образом, чтобы запутать системы обнаружения, путём изменения исходного кода. В этом случае мы применяем динамическое машинное обучение, которое анализирует непосредственное поведение системного процесса. Зловредное ПО ведёт себя особым образом, а сами программы-вымогатели действуют по очень специфическим схемам. Со своей стороны решения McAfee прогоняют все поведенческие модели через движок машинного обучения, после чего анализируют необходимость выполнения компенсационных или блокирующих действий обследуемого процесса.
Рассмотрим случай, когда злоумышленнику действительно удается заразить конечную точку вирусом-вымогателем, и вредоносное ПО начинает распространяться по сети.
Это именно тот случай, где технология предотвращения вторжений уровня узла от McAfee помогает остановить горизонтальное распространение программ-вымогателей, чтобы не произошло заражения остальных конечных точек. Система класса EDR обнаружит и определит приоритетность оповещений об аномальном поведении, чтобы службы реагирования смогли принять ответные меры: например, изолировать или поместить в карантин определенные конечные точки.
Раньше после атаки вируса-вымогателя у компаний, как правило, было только два возможных пути. Если им посчастливилось сделать резервные копии, то они могли восстановить состояние своих устройств. Но это довольно трудоемкий процесс, который требовал много времени и мог быть довольно дорогостоящим. Второй вариант: подчиниться требованиям злоумышленника и заплатить выкуп, чтобы вернуть необходимую информацию.
Решение McAfee для конечных точек имеет уникальную функцию, которая позволяет компаниям отменять последствия атаки вирусов-вымогателей с помощью усовершенствованной технологии, которая может восстанавливать зашифрованные данные. Организации смогут экономить в среднем 500 долларов на каждую конечную точку с помощью функции Rollback Remediation, ведь им не придется повторно восстанавливать данные компьютеров.
Rollback Remediation в действии: https://youtu.be/OwJSZT2U4kM
Динамическое сдерживание приложений (DAC) — еще одна технология, разработанная McAfee для дополнительной защиты конечных точек. DAC ограничивает возможности потенциально опасного ПО вносить изменения в систему. При этом снижается нагрузка на пользователя и системы, поскольку не задействуются сложные и ресурсоемкие технологии виртуализации приложений или отдельного решения типа «песочница». Технология работает как онлайн, так и офлайн.
Объединение человека и машины
Собрав телеметрию из огромного озера данных, наши исследователи угроз применяют ИИ, чтобы трансформировать её в удобный и полезный вид для использования заказчиками по всему миру. Совместные усилия специалистов в области кибербезопасности McAfee и ИИ представляют собой мощную комбинацию, которая позволяет компаниям оставаться на шаг впереди надвигающейся угрозы. Службы безопасности могут просматривать обновления в реальном времени по мере того, как ситуация в регионе и отрасли меняется, чтобы быть в курсе возможных угроз.
Как определить ложные срабатывания в огромном количестве предупреждений? McAfee предоставляет полную и реалистичную картину атак.
Платформа безопасности конечных точек предупреждает обо всех устройствах в сети, которые не имеют достаточной защиты. После чего можно изолировать устройства, подверженные риску атак, или предпринять другие действия.
Очевидно, что компании все чаще подвергаются атакам вирусов-вымогателей. Именно поэтому будущее за интеллектуальной безопасностью конечных точек.
Для получения дополнительной информации посмотрите запись вебинара на русском языке:
https://www.youtube.com/watch?v=4HMAmopw4dI&feature=youtu.be