Anti-Ransomware: całościowe oprogramowanie do ochrony przed ransomware

Ransomware przekształciło się w podstępne i kosztowne zagrożenie bezpieczeństwa, które wisi nad firmami. ManageEngine Anti-Ransomware to gotowe rozwiązanie, które ma na celu wykrywanie i usuwanie infekcji ransomware na wczesnym etapie, powodując jednocześnie jak najmniej zakłóceń. Inteligentne techniki wykrywania zachowań oprogramowania szybko wykrywają anomalie w aktywności plików z maksymalną dokładnością i umożliwiają aktywne przygotowanie frontu przed przyszłymi atakami. Jest również wyposażony w funkcję bezpiecznego odzyskiwania, która bezpiecznie przywraca dane. Praca w Anti-Ransomware przebiega w trzech krokach. System automatycznie wykrywa nietypowe zmiany plików na punktacj końcowych, które przypominają ataki ransomware, co stanowi pierwszy krok. Kolejnym etapem jest tak zwane rozstrzygnięcie. Użytkownik analizuje incydenty i ustala, czy był to prawdziwy pozytywny wynik, czy fałszywie pozytywny. Ostatnim krokiem jest odzyskiwanie. W sposób natychmiastowy możemy uzyskać nieusuwalną kopię zapasową wszystkich plików, które zostały naruszone podczas ataku.

Analiza zachowania wspomagana uczeniem maszynowym

Anti-Ransomware wykorzystuje algorytmy wykrywania zachowań oparte na uczeniu maszynowym, aby poszerzyć zakres i zwiększyć dokładność wykrywania ataków ransomware, co stanowi znaczną poprawę w stosunku do przestarzałych metod opartych na sygnaturach. Gdy proces przypominający wzorzec ransomware przejrzy plik, zaszyfruje go i zaktualizuje, generowany jest alert. Następnie alerty są sortowane i dokumentowane jako incydenty.

Jednoetapowa technika reagowania na incydenty

Po wykryciu anomalii jest ona rozwiązywana poprzez zbadanie procesu i oznaczenie go jako zdarzenia prawdziwie pozytywnego lub fałszywie pozytywnego. Proces odzyskiwania pliku jest inicjowany, jeśli wynik jest prawdziwy. Jeśli proces zostanie zidentyfikowany jako fałszywie dodatni, podobny proces w przyszłości zostanie automatycznie oznaczony jako fałszywie dodatni.

Odzyskiwanie chronionych kopii zapasowych plików jednym kliknięciem w celu niezawodnego przywracania

Anti-Ransomware wykorzystuje usługę VSS firmy Microsoft do uzyskiwania kopii w tle wszystkich plików na punkcie końcowym co trzy godziny. Wszystkie zainfekowane pliki są przywracane do najnowszej zapisanej kopii pliku, po potwierdzeniu, po ataku ransomware. Pliki są automatycznie przywracane, jeśli ten sam atak ransomware wystąpi ponownie.

Zaufane pliki wykonywalne można wykluczyć, aby zapewnić płynny przepływ pracy

Jeśli chodzi o ochronę punktów końcowych, Anti-Ransomware stosuje podejście zerowego zaufania. Zaufane pliki wykonywalne, o których wiadomo, że są bezpieczne i nieszkodliwe, można wykluczyć za pomocą funkcji Wykluczenia i zwolnić z wykrywania zachowań w czasie rzeczywistym i powiadomień o incydentach w celu zachowania produktywności. Aby zapobiec niezamierzonym atakom za pośrednictwem listy wykluczeń, tę listę wykluczeń można dodatkowo ograniczyć, określając podpisane certyfikaty i dozwolone foldery, w których mają być wykluczone.

Konfiguracja narzędzia

Moduł Anti-Ransomware w dużym stopniu działa automatycznie, lecz konfiguracje również są dostępne. Poniżej zostały przedstawione najważniejsze przykłady związane z konfiguracją systemu.

W module możemy zdefiniować wyjątki, które będą pomijane w trakcie skanowania. Dostępne wyjątki to Certyfikat typu SHA-256, Certyfikat Code Signing lub ręczne zdefiniowanie lokalizacji plików do pominięcia jn.

b. Konfiguracja powiadomień polega na włączeniu/wyłączeniu powiadomień mailowych lub komunikatów na stacji roboczej w przypadku wykrycia zdarzenia ransomware oraz zdefiniowaniu adresu e-mail, na który ma zostać wysłane powiadomienie.