Na batalha constante contra o ransomware, as empresas estão se tornando mais resilientes. Relatórios da Coveware by Veeam e Chainalysis revelam uma queda significativa nos pagamentos de ransomware no quarto trimestre de 2024. Esse resultado positivo é creditado a diversos fatores, como a implementação de regulamentações federais mais rigorosas, a desarticulação bem-sucedida de grandes grupos de cibercriminosos e, principalmente, ao aumento da preparação e resiliência das empresas para enfrentar e se recuperar de ataques de malware criptográfico.
A proteção de dados evoluiu significativamente nos últimos anos. As discussões mudaram da deduplicação em linha vs. pós-processo para tópicos focados em segurança, como imutabilidade de cargas de trabalho, resposta a incidentes e detecção de malware. A verificação de backups para detectar malware nunca teve a intenção de substituir as ferramentas tradicionais de segurança de endpoint ou as soluções avançadas de detecção e resposta. O objetivo é fornecer uma camada adicional de detecção para uma abordagem de defesa profunda a fim de detectar malware. A Veeam fornece os recursos mais práticos e abrangentes de verificação de malware antes, durante e depois de um backup no setor de proteção de dados. Vamos explorar cada caso de uso.
Antes do backup: Avaliação proativa de ameaças
Com base na estrutura MITRE ATT&CK e nos dados da Coveware by Veeam, sabemos que os agentes de ameaças visam os backups assim que conseguem o acesso inicial. A Veeam é o único provedor que procura proativamente por comportamentos suspeitos antes da realização de um backup.
- Recon Scanner: Fornece alertas proativos sobre ameaças potenciais ao seu servidor de backup, detectando eventos suspeitos como IPs desconhecidos tentando acesso remoto ou contas comprometidas tentando ataques de força bruta. Isso ajuda a identificar vulnerabilidades e cria uma linha do tempo de eventos para localizar pontos de restauração limpos.
- Observabilidade, análise & insights com tecnologia de IA: Detecta anomalias no ambiente de produção antes de um backup, identificando padrões incomuns de VMs, ataques de força bruta contra ESXi e vCenter e atividades suspeitas de SSH.
- API de incidentes da Veeam: Permite que ferramentas de segurança de terceiros se integrem à Veeam, identificando possíveis pontos de restauração maliciosos e ativando backups fora de banda para cargas de trabalho ativamente criptografadas.
Durante o backup: Múltiplas camadas de detecção em linha
A Veeam identifica e mitiga proativamente as ameaças em tempo real durante os backups, superando as soluções que dependem de varreduras pós-processamento e do envio de metadados para a nuvem apenas para detectar alterações básicas em blocos.
- IoC Scanner: Valida a execução de ferramentas maliciosas conhecidas utilizadas por cibercriminosos em máquinas e detecta também ferramentas recém-instaladas, incluindo aquelas que operam como “living off the land”, que podem exfiltrar, criptografar ou comprometer dados.
- Análise de Entropia: Analisa blocos de dados em busca de aleatoriedade, identificando a presença de dados criptografados, links onion e notas de resgate.
- Indexação de arquivos: Usa uma análise baseada em assinatura para verificar o banco de dados da Veeam em busca de extensões de malware conhecidas, garantindo a identificação rápida de ameaças potenciais.
- Backups imutáveis: Garante que os backups sejam recuperáveis de ataques virtuais criptografados com opções como o Repositório Seguro da Veeam, storage do Veeam Vault e imutabilidade de terceiros.
Após o backup: Garantindo uma recuperação limpa e rápida
Infelizmente, o ransomware não seria um problema se as ferramentas de prevenção e detecção fossem capazes de capturar todas as ameaças. As organizações devem se preparar para o pior, mas esperar pelo melhor. A varredura pós-processo é crucial para garantir uma restauração de dados limpa e evitar a reinfecção se um agente ameaçador escapar da detecção.
- Raio de impacto do reconhecimento: Identifica o escopo real de um ataque de ransomware, detectando arquivos corrompidos ou não criptografados e estabelecendo uma linha do tempo de eventos.
- Threat Hunter: Examina os pontos de restauração em busca de malware utilizando um mecanismo antivírus baseado em assinatura, assegurando que apenas dados limpos sejam utilizados na recuperação.
- Varredura baseada em regras YARA: Busca por indicadores de comprometimento, identificando malware que pode ter sido negligenciado por outras ferramentas ou que representa uma ameaça zero-day
- Recursos de restauração & orquestrada em sala limpa: Cria planos de recuperação detalhados, testando e validando a recuperação de aplicativos críticos.
Juntando as peças
Esses recursos de varredura são mais eficazes quando as equipes de segurança estão envolvidas. O encaminhamento de eventos para as ferramentas e painéis que sua equipe de segurança já utiliza permite processos automatizados. Vamos juntar tudo isso em um exemplo para visualizar melhor como todos esses componentes funcionam juntos:
- A Veeam ou uma ferramenta EDR/XDR identifica comportamentos suspeitos em uma máquina antes ou durante a execução de um backup.
- O evento é encaminhado para a ferramenta SIEM da organização.
- Um plano de ação é acionado automaticamente, iniciando uma restauração instantânea da máquina suspeita de infecção para um ambiente isolado, onde será analisada por um especialista do Veeam Threat Hunter.
- Se a varredura resultar em um ambiente limpo, o evento será classificado como um falso positivo.
- Se a verificação confirmar malware, o Recon Blast Radius verificará as máquinas para entender melhor a linha do tempo e o escopo dos dados afetados.
- Por fim, não se limite a recuperar apenas backups armazenados em disco rígido. Recupere-se a partir de mais do que apenas um backup quando o escopo do ataque for conhecido e o agente da ameaça estiver devidamente erradicado.
Conclusion
Veeam’s commitment to cybersecurity extends throughout the entire data lifecycle. From before backup, during backup, and after backup. Veeam ensures that your data is protected at every stage. This comprehensive approach not only minimizes the risk and impact of cyberattacks but also ensures that organizations can recover quickly and efficiently. In conclusion, Veeam’s sophisticated scanning technologies and proactive strategies make it the most reliable solution for malware detection and recovery. By integrating advanced tools and maintaining a vigilant approach to cybersecurity, Veeam helps organizations stay one step ahead of cyber threats, ensuring that their data remains resilient and their operations uninterrupted.