Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Contenção de ransomware

Como atender às orientações sobre ransomware Phobos da CISA com o Illumio

Editorial Illumio
,
April 24, 2024
23 leitura mínima

Recentemente, o Federal Bureau of Investigation (FBI), a Agência de Segurança Cibernética e de Infraestrutura (CISA) e o Centro Multiestadual de Compartilhamento e Análise de Informações (MS-ISAC) lançaram um novo consultoria de cibersegurança com o objetivo de informar organizações governamentais e de infraestrutura crítica sobre como se proteger contra o ransomware Phobos.

Nesta postagem do blog, saiba o que é o ransomware Phobos, como as autoridades governamentais recomendam se preparar para o Phobos e como o Painel de Proteção contra Ransomware da Illumio pode ajudar a alcançar essas recomendações.

O que é o ransomware Phobos?

O ransomware Phobos está relacionado a várias variantes de ransomware, incluindo Elking, Eight, Devos, Backmydata e Faust ransomware. A variante Backmydata foi usada em um ataque de fevereiro de 2024 na Romênia que resultou na desativação de sistemas por volta de 100 estabelecimentos de saúde.

O comunicado compartilha táticas, técnicas e procedimentos (TTPs) e indicadores de comprometimento (IOCs) conhecidos associados às variantes do ransomware Phobos observadas recentemente, em fevereiro de 2024. A Phobos opera como um modelo de ransomware como serviço (RaaS) e tem como alvo vários setores desde maio de 2019, incluindo governo, serviços de emergência, saúde e educação.

Como se proteger contra o ransomware Phobos

O comunicado fornece três dicas principais para mitigar a atividade do ransomware Phobos:

  1. Proteja as portas RDP para evitar que os agentes de ameaças abusem e utilizem as ferramentas RDP.
  1. Priorize a correção de vulnerabilidades conhecidas exploradas.
  1. Implemente soluções de EDR para interromper as técnicas de alocação de memória de agentes de ameaças.

O Plataforma de segmentação Illumio Zero Trust pode ajudá-lo a lidar com todas essas três recomendações.

1. Use o painel de proteção contra ransomware da Illumio para proteger as portas RDP

Com apenas algumas etapas rápidas, sua organização pode fazer grandes melhorias para impedir os malfeitores e impedir movimentos laterais em seu ambiente. Se você puder evitar movimentos laterais, garanta que, mesmo que os invasores entrem, eles não cheguem muito longe nem acessem aplicativos essenciais.

Vamos percorrer as três etapas para proteger as portas RDP usando o Painel de proteção contra ransomware:

  1. Identifique onde há Tráfego RDP em seu ambiente
  1. Siga as ações recomendadas no Painel de Proteção contra Ransomware da Illumio
  1. Avalie a melhoria na pontuação de proteção contra ransomware
Illumio’s Ransomware Protection Dashboard
De Illumio Ransomware O Protection Dashboard oferece visibilidade fundamental do risco para que você possa priorizar e enfrentar a ameaça do ransomware.
Identifique o tráfego RDP em seu ambiente

O Painel de Proteção contra Ransomware da Illumio rastreia facilmente os serviços de maior risco em seu ambiente. Um desses serviços é o RDP. Se ele for exposto em seu ambiente sem que a política o controle, você poderá vê-lo em seu relatório dos 5 principais serviços de risco. Como alternativa, você também pode acessar o mapa para pesquisar especificamente o tráfego RDP.

A screenshot of a computerDescription automatically generated
O Painel de Proteção contra Ransomware fornece uma lista fácil de entender dos cinco serviços mais arriscados.

Na imagem acima, você pode ver que o RDP está listado entre os cinco principais serviços de risco, mas também não há nenhuma política em vigor que controle esse serviço.

É aqui que você pode fazer análises de negócios para entender o impacto. Por exemplo, há certas pessoas na organização que precisam da capacidade de usar o RDP. Isso é muito útil para a TI, que pode estar ajudando funcionários que não estão no local a solucionar um problema. No entanto, não é algo que a carga de trabalho média precisa ter disponível.

É aqui que as ações recomendadas do painel entram em ação.

Siga as ações recomendadas do Painel de Proteção contra Ransomware

Uma das ações recomendadas no painel é criar uma regra de negação. Essa é uma maneira fácil de criar proteção rapidamente à medida que você avança no que pode ser maior. A jornada Zero Trust.

A screenshot of a computer programDescription automatically generated
O painel fornece ações recomendadas para implementar que reduzam o risco.

Nesse caso, como a CISA recomenda proteger as portas RDP, a próxima etapa é criar uma regra de negação para bloquear esse tráfego. Exceções podem ser adicionadas conforme necessário, mas geralmente isso será bloqueado. Isso fornece proteção proativa contra qualquer ataque de ransomware Phobos.

Quando você aplica regras de negação com o Illumio, sua nova política é implantada em toda a sua organização em minutos, independentemente da escala.

Avalie a melhoria da segurança na Pontuação de Proteção contra Ransomware

Uma ótima maneira de medir seu progresso na proteção de seu ambiente é com a Pontuação de Proteção contra Ransomware do painel. À medida que você implementa a política e faz grandes mudanças, como bloquear o tráfego RDP, você pode ver essa pontuação aumentar.

O Illumio não apenas fornece sua pontuação atual, mas também essa pontuação ao longo do tempo. Essa é uma ótima maneira de medir como você está protegendo sua organização contra ameaças em constante evolução.

A graph on a screenDescription automatically generated
O Ransomware Protection Score fornece uma representação visual de como a segurança melhorou ao longo do tempo.

2. Corrija vulnerabilidades conhecidas exploradas com a segmentação Zero Trust

A Segmentação Zero Trust (ZTS) pode ajudá-lo a reduzir o impacto de ataques de ransomware como o Phobos, vendo e abordando onde vulnerabilidades em sua rede foram explorados.

Veja e corrija falhas de segurança

O Mapa Illumio ajuda a revelar sistemas ou aplicativos com comunicação excessiva, desnecessária ou não compatível. Ele pode até mesmo combinar essas informações com dados de scanners de vulnerabilidade.

Usando esse insight, as equipes de segurança podem definir políticas de segmentação granulares e flexíveis para reduzir a exposição à vulnerabilidade e impedir a propagação de violações inevitáveis. Ao entender o contexto e a exposição, as cargas de trabalho podem ser protegidas rapidamente antes que um patch seja lançado.

Illumio’s Real-time Map Provides Visibility Into Application Behavior
O mapa em tempo real da Illumio fornece visibilidade do comportamento do aplicativo e dos fluxos de tráfego em qualquer data center e nuvem.
Quantifique o risco com insights baseados em dados sobre vulnerabilidades

Diante de ameaças como o ransomware Phobos, é crucial não apenas identificar, mas também quantificar possíveis vulnerabilidades em sua rede. O Illumio mostra os pontos fracos da rede para que as equipes possam implementar medidas proativas exatamente onde são mais necessárias.

Esse insight capacita equipes multifuncionais com insights acionáveis para resolver lacunas, promover a tomada de decisões baseada em dados e aprimorar as estratégias de mitigação de riscos em todo o ambiente.

Crie defesas contra vulnerabilidades de forma proativa

Modele, teste e implemente a segmentação granular de ativos de alto risco como um controle de compensação, protegendo sistemas críticos quando a aplicação de patches não for viável ou quando introduzir uma complexidade operacional inaceitável.

A conscientização é fundamental. Se o tráfego se conectar a uma porta com uma vulnerabilidade conhecida, o centro de operações de segurança (SOC) será alertado sobre a violação, incluindo o contexto de vulnerabilidade e gravidade com dados fornecidos pela Illumio.

3. Combine EDR e segmentação Zero Trust para detectar e proteger automaticamente contra movimentos laterais

complementos Illumio EDR reduzindo a superfície de ataque com políticas de segmentação Zero Trust, que deixam pouco espaço de manobra para os atacantes. O Illumio preenche a lacuna entre incidente e detecção, independente do padrão de ataque.

De acordo com o comunicado de segurança cibernética, o EDR é uma peça importante de proteção contra ataques de ransomware, como o Phobos. Mas quando um ataque eventualmente viola um endpoint, o EDR não tem como impedir que essa violação continue se movendo lateralmente pela rede da sua organização. É por isso que é essencial combinar o EDR com o ZTS. Quando o sistema EDR detecta uma violação, a ZTS pode automaticamente desligar e colocar em quarentena qualquer carga de trabalho infectada.

Illumio Endpoint brings ZTS to Your Devices
O Illumio Endpoint traz a segmentação Zero Trust para seus dispositivos de endpoint para impedir a propagação de ataques cibernéticos inevitáveis.

A combinação de tecnologia proativa, como a ZTS, com tecnologia reativa, como EDR, em cada terminal diminui a fraqueza do tempo de permanência e, ao mesmo tempo, aumenta significativamente as capacidades de resposta. Na verdade, de acordo com testes realizados por Bispo Fox, combinando EDR com Illumio, reduziu radicalmente a propagação de um atacante enquanto detectava 4 vezes mais rápido.

Entre em contato conosco para saber como a segmentação Zero Trust pode ajudar você a cumprir as orientações da CISA e impedir ataques de ransomware como o Phobos atualmente.

Tópicos relacionados

Contenção de ransomware

Artigos relacionados

Hive Ransomware: como limitar sua ação com a segmentação Illumio Zero Trust
Contenção de ransomware

Hive Ransomware: como limitar sua ação com a segmentação Illumio Zero Trust

Saiba mais sobre o ransomware Hive e como a Illumio pode ajudar a mitigar os riscos impostos à sua organização.

Leia mais
Concentre-se novamente no ransomware: 3 verdades para construir uma rede pronta para ransomware
Contenção de ransomware

Concentre-se novamente no ransomware: 3 verdades para construir uma rede pronta para ransomware

Obtenha informações sobre a criação de redes seguras contra a propagação de ataques de ransomware.

Leia mais
Redução de ransomware 101: movimento lateral entre terminais
Contenção de ransomware

Redução de ransomware 101: movimento lateral entre terminais

Leia mais
3 etapas para reduzir o risco de ransomware com o novo painel de proteção contra ransomware da Illumio
Contenção de ransomware

3 etapas para reduzir o risco de ransomware com o novo painel de proteção contra ransomware da Illumio

Saiba como o Painel de Proteção contra Ransomware e a interface de usuário (UI) aprimorada da Illumio oferecem visibilidade fundamental sobre o risco de ransomware.

Leia mais
Contenha o ransomware em sua origem com a segmentação Zero Trust
Contenção de ransomware

Contenha o ransomware em sua origem com a segmentação Zero Trust

Saiba por que a ameaça do ransomware é tão crítica e como conseguir a contenção do ransomware com a segmentação Zero Trust.

Leia mais
Como conter ataques de ransomware LockBit com o Illumio
Contenção de ransomware

Como conter ataques de ransomware LockBit com o Illumio

Descubra como o ransomware LockBit opera e como a Illumio Zero Trust Segmentation conteve um ataque de ransomware LockBit no verão de 2022.

Leia mais

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais