Trend Micro acredita em soluções endpoint para proteger empresas do Ransomware

CyberwarFirewallGestãoSegurança

Ataques ransomware podem somar US$ 1 bilhão em prejuízos, segundo estudo do FBI. E essas ameaças estão crescendo, encorajando cada vez mais os cibercriminosos a expandirem suas bases de alvos, na avaliação da empresa de segurança cibernética Trend Micro. De acordo com a companhia, empresas de pequeno e médio porte (PMEs) normalmente estão entre as que têm recursos limitados para arcar com soluções robustas de segurança.

Apesar das várias camadas de segurança, segundo a Trend Micro, redes corporativas podem ainda estar correndo risco caso as ameaças sejam provenientes de fontes conhecidas e confiáveis, tais como parceiros terceirizados, fornecedores ou dos próprios funcionários.

Nesse cenário, a Trend Micro listou algumas das soluções endpoint que podem ser a melhor forma de defesa contra ameaças de sequestro de dados. Entre as diversas funcionalidades, são oferecidos monitoramento de comportamento e controle de aplicativos suspeitos.

Monitorando o comportamento

O monitoramento do comportamento, que está presente em soluções como o Trend Micro Smart Protection Suites e o Trend Micro Worry-Free Services Advanced, rastreia e bloqueia qualquer “anomalia” ou modificações incomuns do sistema.

Com isso, a Trend Micro age de forma proativa na execução de variantes de ransomware e cripto-ransomware provenientes de táticas ou recursos conhecidos e desconhecidos, que incluem criptografia, manipulação de processos, despejo de arquivos, comunicação de servidor de comando e controle (C&C), entre outros. Ele também bloqueia variantes de ransomware que roubam informações tais como os ransomware RAA e MIRCOP.

Para ter certeza de que a ferramenta de monitoramento usada segue todos os requisitos, a Trend Micro faz alguns alertas. Se um programa de execução não faz parte de uma lista de programas autorizados ou está associado a um ransomware, a ferramenta deve ser capaz de impedir imediatamente a sua execução.

​Scripts capazes de ofuscar o código malicioso, tais como os usados ​​para distribuir os ransomware Locky, TeslaCrypt 4.0 (detectado como CRYPSTELA) e CryptoWall 3.0 (detectado como CRYPTWALL) também são detectados por ferramentas endpoints de qualidade.

​Variantes de ransomware podem usar de programas, serviços ou frameworks legítimos para evitar a remoção do sistema. De acrdo com a empresa, uma boa ferramenta de monitoramento de comportamento deve evitar que programas/serviços/frameworks normais se comportem de uma maneira maliciosa e sejam usados para criptografia.

Outra dica é que usuários comuns podem não ser alertados imediatamente de uma infecção via ransomware, especialmente quando o código malicioso é injetado num processo normal como o explorer.exe.

​O monitoramento do comportamento também pode ajudar em tais casos, tendo em vista que comportamentos como injeção e ligação de rotinas podem ser sinalizados e, consequentemente, bloqueados.

Controle de aplicativos

Além do monitoramento de comportamento, outra boa característica das soluções de endpoint, segundo a Trend Micro, é o controle de aplicativos (também conhecido como aplicativo de whitelisting) uma vez que impede que o ransomware seja executado nos sistemas e possivelmente cause mais danos aos backups. Ele faz isso permitindo que apenas rotinas/arquivos/processos não-maliciosos estabelecidos pelos administradores de TI sejam executados nos sistemas.

O setor de TI pode criar listas com base em um inventário de terminais existentes, por categoria, fornecedor, aplicativos ou outros atributos dinâmicos de reputação. Quando um aplicativo é permitido, suas versões posteriores/atualizações também são autorizadas. Os administradores de TI podem usar uma extensa lista padrão de aplicativos seguros, que vão desde arquivos de sistema, aplicativos de desktop e aplicativos móveis e assim, criar regras de bloqueio para diretórios específicos.


Clique para ler a bio do autor  Clique para fechar a bio do autor