A medida que los atacantes continúan evolucionando y avanzando en sus técnicas, tácticas y procedimientos (TTP), es crucial que las organizaciones empresariales implementen las contramedidas y defensas necesarias para proteger sus redes. Elastic Security proporciona una plataforma de protección de punto final (EPP) con algunas de las protecciones y prevenciones de punto final más avanzadas y efectivas del mercado actual. Entre estas protecciones y prevenciones se encuentra la protección contra el comportamiento del ransomware, que exploraremos en profundidad en esta publicación de blog. Para probar de manera más efectiva esta característica, desarrollamos un marco que denominamos DCART: componentes desacoplados para pruebas automáticas de ransomware.

El ransomware puede considerarse una categoría no lineal de malware. Aunque la carga útil final puede ser un ejecutable que simplemente encripta archivos, los componentes que permiten que la infección inicial del sistema y la carga útil se eliminen y se inicien son igual de importantes. Elastic Security tiene un enfoque por capas para la protección de puntos finales que es ideal para prevenir y limitar las infecciones de ransomware debido a la capacidad de detectar funcionalidades maliciosas estáticas y de comportamiento. Las detecciones estáticas de nuestra solución pueden detectar y prevenir exploits, junto con binarios y documentos maliciosos, antes de la ejecución. Las detecciones de comportamiento, como la inyección de procesos y las detecciones basadas en reglas que pueden identificar y encadenar eventos anómalos (es decir, eliminación de instantáneas de volumen), proporcionan vías adicionales para mitigar el comportamiento malicioso a medida que ocurre.

Si una pieza de ransomware logra eludir nuestro modelo de protección en capas, la protección contra el comportamiento del ransomware entra en juego. Al monitorear constantemente la actividad del sistema de archivos en todos los procesos en el sistema de archivos, la protección contra el comportamiento del ransomware funciona sobre la base de identificar y mitigar rápidamente la actividad anómala del sistema de archivos a medida que ocurre. Para obtener más detalles sobre la capacidad de protección contra el ransomware de Elastic Endpoint Security, consulte nuestra publicación de blog anterior: ¿Entonces quiere detener el ransomware ?

A lo largo de la investigación y el desarrollo de esta característica, las pruebas contra muestras conocidas de ransomware han sido críticas para determinar las deficiencias y las áreas de mejora en la búsqueda de la máxima eficacia. La prueba consta de los siguientes pasos:

• Sensor / inicio de funciones
• Detonación de ransomware
• Monitoreo de salida
• Determinación de una muestra detectada 

Aunque este proceso es bastante sencillo y fue suficiente al evaluar la eficacia de detección con respecto a una sola muestra, no se mantiene bien en términos de escalabilidad debido a las siguientes consideraciones:

• Los procesos en segundo plano y los servicios del sistema tienen un efecto directo en el tiempo de detección
• Los cambios introducidos en el algoritmo de detección requieren una nueva prueba manual de la muestra
• El ransomware puede dañar el entorno de prueba y volverlo inestable.

https://youtu.be/ko9rzpU0Jes

Más información e informe completo desde la web de Elastic