Crowdstrike ha un rollback

Cosa sono gli attacchi di downgrade

In generale, qualsiasi sistema che impiega qualsiasi forma di compatibilità arretrata può essere suscettibile a un attacco di downgrade. L’equilibrio tra la massima utilità e la massima sicurezza è difficile da colpire: per quanto alla tentazione possa essere per far rispettare i visitatori per mantenere aggiornati i loro sistemi, si desidera che le persone possano accedere al tuo server utilizzando la tecnologia più vecchia.

Crowdstrike ha un rollback

Il ransomware è diventato un problema con cui tutti hanno a che fare. In Crowdstrike, riconosciamo che questo attacco continuerà ad essere un problema fintanto che è redditizio e, per questo motivo, Crowdstrike ha più metodi di prevenzione progettati per fermare questo attacco da più vettori di minaccia. In questo video, dimostriamo alcuni di questi vettori di attacco e i diversi modi in cui Crowdstrike è costruito per fermarli.

Come Crowdstrike Falcon protegge dal ransomware

In questa demo, illustreremo i diversi modi in cui Falcon-la soluzione di protezione dell’endpoint di prossima generazione di Crowdstrike-ti protegge dal ransomware. Vedremo come Falcon utilizza più metodi complementari, come l’apprendimento automatico e gli indicatori di attacco, per bloccare il ransomware. E infine, vedremo come Falcon blocca il ransomware e non usa nemmeno gli eseguibili ma funziona tramite lo script PowerShell che tenta di caricare un processo direttamente in memoria. Per il nostro primo tentativo, consentiremo il rilevamento dell’apprendimento automatico nell’interfaccia utente di Falcon nella pagina di configurazione. Anche in questa pagina ci sono IOAS di Crowdstrike o indicatori di attacco – per rilevare il comportamento associato al ransomware.

Sul desktop, ho tre diversi campioni di ransomware. Per eseguirli, aggiungerò l’estensione corretta e quindi selezionerò l’esecuzione. Mentre provo a eseguire ciascuno di questi campioni, ricevo un errore di autorizzazione di Windows. Questo è Falcon che non consente l’esecuzione del file.

Nella console, aggiorneremo e noteremo che ci sono tre nuovi rilevamenti. Ispezionando questi rilevamenti, vediamo che sono bloccati a causa dell’algoritmo di apprendimento automatico che riconosce questi file come dannosi. Possiamo anche vedere che ci sono altri 45 motori AV che rilevano questo particolare campione come dannoso. Li segneremo come vero positivo e torneremo alla nostra pagina di configurazione. Ma cosa succede se Ransomware riesce a ottenere l’apprendimento automatico?

Falcon usa gli indicatori di attacco – o ioa per corto – per rilevare e bloccare il ransomware. Per simulare quella situazione, disabiliterò l’apprendimento automatico e eseguirò di nuovo il campione. Guardando i documenti sul nostro desktop, possiamo vedere che nessun file sembra essere stato crittografato. Questa volta nell’interfaccia utente di Falcon, vediamo tre avvisi simili all’ultima volta. Ma dopo un’ulteriore ispezione, questi blocchi non sono stati avviati dall’apprendimento automatico. Sono stati fermati perché hanno innescato un indicatore di attacco indicativo dell’attività ransomware.

Nel primo campione, è stato bloccato perché c’era un tentativo di eliminare i backup. Il prossimo campione è associato a Locky. E poi l’ultimo campione è associato a Cryptowall. Se Falcon non avesse IOA o apprendimento automatico, i campioni avrebbero crittografato i file. C’è una domanda che rimane, tuttavia, cosa succede se non esiste un file da analizzare? Se il ransomware viene eseguito direttamente in memoria?

Esploriamo questo scenario: useremo PowerShell per eseguire un campione, che viene caricato in memoria e non rilascia un file sul target. Ancora una volta, i file sul desktop sembrano non essere influenzati. Nell’interfaccia utente, abbiamo ulteriori rilevamenti. E su ulteriori ispezioni, vediamo che è stato il comportamento del malware a impedire all’host di essere infettata. Non importa se il thread è elenchi di file o file – il comportamento rimane lo stesso, così come la capacità di Falcon di fermare la minaccia.

Abbiamo visto come Falcon utilizza più metodi complementari, come l’apprendimento automatico e gli indicatori di attacco, per bloccare il ransomware. E infine, abbiamo visto come il Falcon può bloccare il ransomware [impercettibile]. La redditività del ransomware ha creato un grosso problema per le organizzazioni che sono costantemente attaccate da questa minaccia. Crowdstrike Falcon può aiutarti a risolvere questo problema. Per ulteriori informazioni o per fare un test drive, dai un’occhiata a Crowdstrike.com.

Cosa sono Attacchi di downgrade?

Mantenere una buona sicurezza informatica significa proteggere da più tipi di attacco. Uno di questi tipi di attacco si chiama “Attacco di downgrade.”Questa forma di attacco crittografico è anche chiamata” attacco di rollback versione “o” attacco di offerta.”In un attacco di downgrade, un attaccante costringe il sistema di destinazione a passare a una modalità di funzionamento meno sicura di bassa qualità e meno sicura.

Gli attacchi di downgrade possono assumere una varietà di forme. Parleremo qui delle forme più comuni di attacco di downgrade: la forma che questi attacchi possono prendere, quali funzioni servono e di come funzionano. Per fortuna, gli attacchi di downgrade sono ben noti e ben documentati a questo punto, quindi non devi aprire nuove terre per proteggere la tua azienda da loro.

Cosa sono gli attacchi di downgrade?

Il mondo della sicurezza informatica è vasto e vario, ma non tutti gli attacchi informatici impiegano le ultime tecniche e gli exploit. Gli attacchi di downgrade sfruttano la compatibilità all’indietro di un sistema per costringerlo a modalità operative meno sicure. Poiché possono utilizzare connessioni crittografate o non crittografate, sistemi come StartTL che impiegano la crittografia opportunistica sono a maggior rischio dagli attacchi di downgrade.

Punti chiave:

Crowdstrike ha più metodi di prevenzione progettati per fermare gli attacchi ransomware da più vettori di minaccia.
Crowdstrike Falcon utilizza l’apprendimento automatico e gli indicatori di attacco per bloccare il ransomware.
L’interfaccia utente di Falcon consente la configurazione del rilevamento dell’apprendimento automatico e degli indicatori di attacco.
I campioni di ransomware sono bloccati dall’algoritmo di apprendimento automatico e IOA di Falcon.
Se il ransomware bypassa l’apprendimento automatico, IOA di Falcon può comunque rilevare e bloccare l’attacco.
Falcon è in grado di bloccare il ransomware anche se funziona direttamente in memoria senza far cadere un file sul target.
Gli attacchi di downgrade costringono un sistema a passare a una modalità di funzionamento meno sicura.
Gli attacchi di downgrade possono utilizzare connessioni crittografate o non crittografate.
I sistemi che impiegano la crittografia opportunistica, come StartTLS, hanno un rischio maggiore di attacchi di downgrade.
In un attacco di downgrade HTTPS, i visitatori di un sito Web potrebbero essere costretti a utilizzare le connessioni HTTP anziché HTTPS.

Domande:

In che modo Crowdstrike Falcon protegge dal ransomware?

Crowdstrike Falcon utilizza più metodi, come l’apprendimento automatico e gli indicatori di attacco, per bloccare il ransomware. Può rilevare e bloccare campioni di ransomware in base al loro comportamento e alle associazioni con famiglie di ransomware note.

Quali sono alcuni dei metodi di prevenzione impiegati da Crowdstrike per fermare il ransomware?

Crowdstrike impiega l’apprendimento automatico, gli indicatori di attacco e altre tecniche avanzate per prevenire gli attacchi di ransomware. Questi metodi aiutano a identificare e bloccare file e attività dannose associate al ransomware.

In che modo Falcon rileva ransomware se bypassing machine learning?

Se Ransomware riesce a bypassare l’apprendimento automatico, Falcon si basa su indicatori di attacco (IOAS) per rilevare e bloccare l’attività del ransomware. Gli IOA sono schemi comportamentali e azioni associate al ransomware, consentendo a Falcon di identificare e fermare la minaccia.

Può bloccare il ransomware Falcon che funziona direttamente in memoria senza far cadere un file sul target?

Sì, Falcon può bloccare il ransomware che funziona direttamente in memoria senza far cadere un file sul target. La capacità di Falcon di rilevare e bloccare il ransomware non dipende dalla presenza di un file, ma piuttosto dal comportamento mostrato dal malware.

Cos’è un attacco di downgrade?

Un attacco di downgrade è una forma di attacco crittografico in cui un aggressore costringe un sistema target per passare a una modalità di funzionamento meno sicura. Ciò può essere ottenuto sfruttando la compatibilità all’indietro e costringendo il sistema a utilizzare protocolli o configurazioni meno sicuri.

Quali sistemi sono a maggior rischio dagli attacchi di downgrade?

I sistemi che impiegano la crittografia opportunistica, come StartTLS, hanno un rischio maggiore rispetto agli attacchi di downgrade. Questi sistemi possono utilizzare connessioni sia crittografate che non crittografate, rendendo più facile per gli aggressori forzare un downgrade a una modalità meno sicura.

Come può un attacco di downgrade influire sui visitatori del sito Web?

In un attacco di downgrade HTTPS, i visitatori del sito Web potrebbero essere costretti a utilizzare le connessioni HTTP anziché le connessioni HTTP più sicure. Ciò può esporre i loro dati a potenziali intercettazioni e intercettazioni da parte degli aggressori.

Quali sono alcune forme comuni di attacchi di downgrade?

Le forme comuni di attacchi di downgrade includono la forzatura di un sistema a utilizzare versioni più vecchie e vulnerabili di protocolli o algoritmi crittografici, disabilitare o bypassare le caratteristiche di sicurezza e manipolare le configurazioni per ridurre il livello di sicurezza complessivo del sistema.

Sono attacchi di downgrade ben documentati?

Sì, gli attacchi di downgrade sono ben noti e ben documentati nella comunità della sicurezza informatica. Ciò significa che le organizzazioni possono implementare misure specifiche per proteggere dagli attacchi di downgrade senza dover scoprire nuove vulnerabilità o sviluppare nuove contromisure.

Cosa sono gli attacchi di downgrade

In generale, qualsiasi sistema che impiega qualsiasi forma di compatibilità arretrata può essere suscettibile a un attacco di downgrade. L’equilibrio tra la massima utilità e la massima sicurezza è difficile da colpire: per quanto alla tentazione possa essere per far rispettare i visitatori per mantenere aggiornati i loro sistemi, si desidera che le persone possano accedere al tuo server utilizzando la tecnologia più vecchia.

Crowdstrike ha un rollback

Il ransomware è diventato un problema con cui tutti hanno a che fare. A Crowdstrike riconosciamo che questo attacco continuerà ad essere un problema finché’s redditizio e per questo motivo Crowdstrike ha più metodi di prevenzione progettati per fermare questo attacco da più vettori di minaccia. In questo video dimostriamo alcuni di questi vettori di attacco e i diversi modi in cui Crowdstrike è costruito per fermarli.

Come Crowdstrike Falcon protegge dal ransomware

In questa demo, noi’illustrerà i diversi modi in cui Falcon – Crowdstrike’S Soluzione di protezione dell’endpoint di prossima generazione: protegge dal ransomware. Vedremo come Falcon utilizza più metodi complementari, come l’apprendimento automatico e gli indicatori di attacco, per bloccare il ransomware. E infine, noi’Vediamo come Falcon blocca il ransomware e non utilizza nemmeno gli eseguibili, ma funziona tramite lo script PowerShell che tenta di caricare un processo direttamente in memoria. Per il nostro primo tentativo, consentiremo il rilevamento dell’apprendimento automatico nell’interfaccia utente di Falcon nella pagina di configurazione. Anche in questa pagina sono presenti crowdstrike’s ioas– o indicatori di attacco – per rilevare il comportamento associato al ransomware.

Sul desktop, ho tre diversi campioni di ransomware. Per eseguirli, io’Aggiungi l’estensione corretta, quindi seleziona Esegui. Mentre provo a eseguire ciascuno di questi campioni, ricevo un errore di autorizzazione di Windows. Questo è Falcon che non consente l’esecuzione del file.

Nella console, noi’Aggiorna e nota che ci sono tre nuovi rilevamenti. Ispezionando questi rilevamenti, vediamo che sono bloccati a causa dell’algoritmo di apprendimento automatico che riconosce questi file come dannosi. Possiamo anche vedere che ci sono altri 45 motori AV che rilevano questo particolare campione come dannoso. Noi’Segnali come veri positivi e torna alla nostra pagina di configurazione. Ma cosa succede se Ransomware riesce a ottenere l’apprendimento automatico?

Falcon usa gli indicatori di attacco – o ioa per corto – per rilevare e bloccare il ransomware. Per simulare quella situazione, io’LL Disabilita l’apprendimento automatico ed esegui di nuovo il campione. Guardando i documenti sul nostro desktop, possiamo vedere che nessun file sembra essere stato crittografato. Questa volta nell’interfaccia utente di Falcon, vediamo tre avvisi simili all’ultima volta. Ma dopo ulteriore ispezione, questi blocchi non’T avviato dall’apprendimento automatico. Sono stati fermati perché hanno innescato un indicatore di attacco indicativo dell’attività ransomware.

Permettere’S Esplora questo scenario – noi’sarà per utilizzare PowerShell per eseguire un campione, che viene caricato in memoria e non’t eliminare un file sull’obiettivo. Ancora una volta, i file sul desktop sembrano non essere apprezzati. Nell’interfaccia utente, abbiamo ulteriori rilevamenti. E su ulteriori ispezioni, vediamo che è stato il comportamento del malware a impedire all’host di essere infettata. Non lo fa’t importa se il thread è elenchi di file o file – il comportamento rimane lo stesso … come fa Falcon’S capacità di fermare la minaccia.

Noi’Ve ha visto come Falcon utilizza più metodi complementari – come l’apprendimento automatico e gli indicatori di attacco – per bloccare il ransomware. E infine, noi’VE ha visto come Falcon può bloccare il ransomware [impercettibile]. La redditività del ransomware ha creato un grosso problema per le organizzazioni che sono costantemente attaccate da questa minaccia. Crowdstrike Falcon può aiutarti a risolvere questo problema. Per ulteriori informazioni o per fare un test drive, dai un’occhiata a Crowdstrike.com.

Cosa sono Attacchi di downgrade?

Mantenere una buona sicurezza informatica significa proteggere da più tipi di attacco. Uno di questi tipi di attacco si chiama A “Attacco di downgrade.” Questa forma di attacco crittografico è anche chiamata a “Attacco di rollback della versione” o a “Attacco di offerta.” In un attacco di downgrade, un utente malintenzionato costringe il sistema di destinazione a passare a una modalità di funzionamento meno sicura di bassa qualità e meno sicura.

Gli attacchi di downgrade possono assumere una varietà di forme. Noi’Parla qui delle forme più comuni di attacco di downgrade: la forma che questi attacchi possono prendere, quali funzioni servono e come funzionano. Per fortuna, gli attacchi di downgrade sono ben noti e ben documentati a questo punto, quindi non’deve rompere nuove terre per proteggere la tua azienda da loro.

Cosa sono gli attacchi di downgrade?

Il mondo della sicurezza informatica è vasto e vario, ma non tutti gli attacchi informatici impiegano le ultime tecniche e gli exploit. Gli attacchi di downgrade sfruttano un sistema’s Compatibilità all’indietro per costringerlo a modalità di funzionamento meno sicure. Poiché possono utilizzare connessioni crittografate o non crittografate, sistemi come StartTL che impiegano la crittografia opportunistica sono a maggior rischio dagli attacchi di downgrade.

In un attacco di downgrade HTTPS, i visitatori del tuo sito Web potrebbero essere costretti a utilizzare le connessioni HTTP anziché HTTPS. Un attacco di downgrade può essere una piccola parte di un’operazione maliziosa più ampia, come nel 2015 quando è stato sviluppato l’attacco di Logjam. Un attacco di downgrade TLS come Logjam consente agli aggressori man-in-the-middle di downgrade le connessioni TLS (TLS). Noi’Spiegano di più su Logjam e altri tipi di attacco di downgrade nella sezione successiva.

Tipi di attacchi di downgrade

Gli attacchi di downgrade possono assumere molte forme, ma hanno tutti alcuni elementi in comune. La maggior parte di loro sono attacchi man-in-the-middle (chiamati anche attacchi MITM). In questi attacchi, gli attori dannosi si mettono tra i tuoi utenti e la tua rete.

Alcuni degli attacchi di downgrade più noti includono:

BARBONCINO: L’imbottitura Oracle sull’attacco di crittografia legacy declassata si inserisce in sessioni di comunicazione, costringendo alcuni browser Web a downgrade per proteggere i livelli di prete (SSL) 3.0 quando TLS non è disponibile.
CAPRICCIO: Simile al Poodle, il factoring RSA Export Keys Vulnerability costringe i clienti a utilizzare la crittografia debole, ottenendo l’accesso al traffico di dati che può quindi essere facilmente decrittografato.
Logjam: Un exploit di Logjam combina le vulnerabilità in RSA con un difetto nel protocollo TLS. Negli attacchi di downgrade di Logjam, il messaggio che un server invia per lo scambio di tasti viene sostituito con una variante più debole.
BESTIA: Exploit browser contro il protocollo SSL/TLS utilizza la crittografia della modalità di incapacità del blocco cifera. Questo attacco può consentire agli aggressori di decrittografare le sessioni client-server HTTPS e persino ottenere token di autenticazione nei prodotti SSL e TLS più vecchi.
PIGRIZIA: Noto anche come perdite di sicurezza da hash trascrizioni obsoleti e troncati, gli attacchi di bradipi consentono a un uomo nel mezzo di costringere i browser Web di fare affidamento su vecchi e deboli algoritmi di hashing.

Rischi di attacchi di downgrade

Poiché lo spettro degli attacchi di downgrade è così ampio, può essere difficile quantificare i loro rischi. Un attacco di downgrade che utilizza una versione più bassa del protocollo di trasferimento di posta può causare un livello di danno molto diverso da quello che impiega un attacco crittografico. In tutti i casi, tuttavia, essere vulnerabili a un attacco di downgrade rende anche il tuo server più vulnerabile a una serie più ampia di attacchi informatici.

Pensa a un attacco di downgrade come a un blocco: mentre usi uno su qualcun altro’Il sistema è un crimine a sé stante, il suo vero pericolo è ciò che un aggressore può fare con l’accesso che guadagna. Un attacco di downgrade può lasciare tutta la tua azienda’S Dati vulnerabili, dalle credenziali dell’account utente e dalle informazioni di pagamento ai dati medici personali.

Con ogni potenziale attacco di downgrade, considera quali informazioni sono a maggior rischio. Un sistema che forza un downgrade da Kerberos a NTLM, ad esempio, è vulnerabile a molti tipi di forza bruta e “Passa l’hash” attacchi. Chiediti a quali informazioni gli hacker possono ottenere l’accesso e bloccare le strade dell’accesso a queste informazioni.

Più anziani sono i protocolli, più efficace può essere un attacco di downgrade. In un mondo ideale, nessuno dovrebbe supportare le versioni precedenti di TLS, per esempio. In pratica, tuttavia, molte reti devono ancora supportare queste versioni. Le imprese possono ridurre al minimo il loro livello di rischio consentendo solo la compatibilità all’indietro in situazioni specifiche e applicando la conformità a versioni specifiche e moderne di TLS quando possibile.

Saperne di più

I certificati SSL scaduti possono lasciare un sito Web esposto a violazioni della sicurezza e attacchi come gli attacchi di downgrade. Saperne di più!Blog: i rischi dei certificati SSL scaduti

Come proteggere dagli attacchi di downgrade

Gli account e i server più sicuri sono quelli che spiegano gli attacchi di downgrade e proteggono in modo proattivo da loro. La prevenzione vale più di una cura in questo caso: mantenere la configurazione TLS la più aggiornata possibile e rimuovere la compatibilità all’indietro inutile. Se devi supportare le versioni precedenti del protocollo, è sempre necessario implementare TLS_Fallback_SCSV come misura protettiva.

TLS 1.3 include meccanismi di protezione del downgrade proattivo, garantendo che tutti i partecipanti a un “stretta di mano” stanno utilizzando i protocolli di sicurezza più aggiornati anche se c’è un uomo nel monitoraggio medio le trasmissioni. Altre migliori pratiche per prevenire gli attacchi di downgrade includono quanto segue:

Non utilizzare un linguaggio che assicura ai tuoi utenti una connessione sicura a meno che non sia necessario che tale connessione sia in una sessione HTTPS convalidata.
Dai priorità all’utilizzo di protocolli Web come HTTP/2 che utilizzano solo TLS, senza fornire ai visitatori la possibilità di downgrade.
Soprattutto, servire più traffico possibile su TLS, anche quando quel traffico non è’t sensibile. L’implementazione di TLS come metodo di connessione predefinito impedisce la stragrande maggioranza degli attacchi di downgrade di prendere piede, indipendentemente da cos’altro.

Una volta tu’Ve ha implementato queste migliori pratiche, puoi concentrarti sulla costruzione di infrastrutture che rilevano e mitigano i tentativi di downgrade mentre si verificano. Mantieni la versione dei TL che usi aggiornati, anche quando l’aggiornamento significa dedicare molto tempo e sforzi. Una volta che lo fai, dovresti essere facilmente in grado di tracciare un traffico meno sicuro sui tuoi server. A sua volta, questo ti consente di individuare i cambiamenti del traffico e rilevare gli uomini nel mezzo prima che possano fare danni estesi ai tuoi server, alla tua reputazione e alla tua azienda nel suo insieme.

Soluzione di prevenzione del crowdstrike cyberack

Gli attacchi di downgrade possono sembrare semplici da soli. Tuttavia, gli aggressori astuti possono usarli come strumento in un arsenale molto più grande, rendendo la protezione da questi attacchi un elemento critico di qualsiasi azienda’O operazioni di sicurezza informatica. Se non sei’t Sicuro dove cominciare quando si tratta di prevenire un attacco di downgrade, consultare un team di esperti di sicurezza informatica per scoprire cosa funziona bene e quali elementi delle tue operazioni puoi migliorare.

Crowdstrike’Il team di esperti è caccia in modo proattivo, indaga e consigli sull’attività nel tuo ambiente per garantire che le minacce informatiche non siano perse. Per saperne di più sulla piattaforma Crowdstrike Falcon®, contattare la nostra organizzazione per programmare una demo o iscriversi a una prova.

Conosci l’autore

BART è senior marketing di marketing di Intelligence delle minacce presso Crowdstrike e detiene +20 anni di esperienza nel monitoraggio, al rilevamento e all’intelligenza delle minacce. Dopo aver iniziato la sua carriera come analista di operazioni di sicurezza della rete presso un’organizzazione finanziaria belga, Bart si è trasferito sulla costa orientale degli Stati Uniti per unirsi a più società di sicurezza informatica tra cui 3com/toccopt, RSA Security, Symantec, McAfee, Venafi e Fireeye-Mandiant, in possesso di entrambi i prodotti, nonché a ruoli di marketing di prodotto.

Crowdstrike’S RODUZIONE AUTOMATIATA

Crowdstrike Tech Center

Gli attacchi oggi sono sofisticati con molte parti in movimento che possono lasciare una scia di detriti anche se vengono rilevati e fermati. Potrebbero esserci ulteriori processi persistenti, file che potrebbero essere eliminati o meccanismi di avvio messi in atto per cercare di stabilire la persistenza.

Mentre Crowdstrike blocca i file dannosi in base ai suoi attributi, sfruttando gli indicatori di attacco per analizzare una minaccia’Il comportamento è un approccio estremamente potente per identificare l’intento di ciò che un aggressore sta cercando di realizzare e prevenire le violazioni.

Per rilevare gli indicatori di attacco, le fasi precedenti di tattiche, tecniche e procedure (TTP) potrebbero essere state eseguite sull’ospite prima che il danno effettivo venga bloccato. Questi TTP potrebbero potenzialmente generare artefatti che sono sfruttati in diverse fasi dell’attacco.

Con crowdstrike’s Rosediazione automatizzata, esso’LL pulire in modo sicuro generato artefatti di supporto dopo aver rilevato comportamenti dannosi in base a un indicatore di attacco.

video

Facile da implementare

La bonifica automatizzata è semplice da abilitare nella politica di prevenzione. Dopo ciò’s abilitato, esso’Lavoro automaticamente da qui in poi.

Rimuovere automaticamente i sistemi colpiti da comportamenti dannosi

Quando si verifica un’attività dannosa su un host, Crowdstrike analizzerà i suoi comportamenti. Se il processo viene condannato, Crowdstrike rimuoverà automaticamente gli artefatti anche se non sono mai stati visti prima e sono collegati al processo solo dal fatto che ne sono stati creati.

Esso’LL uccide anche automaticamente i processi associati e le modifiche al registro inversa.

Nella console Falcon, possiamo vedere un indicatore che indica che è stata eseguita un’azione di risanamento quando guardiamo al rilevamento.

Rilevamento automatizzato di risanamento

Una sequenza temporale mostrerà tutte le azioni di bonifica che sono state eseguite. I dettagli delle azioni di risanamento, come qualsiasi file in quarantena, i processi uccisi e i valori del registro eliminati sono disponibili. C’è anche la capacità di rilasciare anche eventuali file in quarantena.

Cronologia automatizzata di risanamento

È disponibile anche un elenco di tutte le attività di bonifica nell’intera organizzazione. Questo ci aiuterebbe a capire meglio quali host vengono riparati e se ci sono ulteriori passaggi che potrebbero essere presi per prevenire future violazioni.

Conclusione

Crowdstrike’La bonifica automatizzata può risparmiare tempo e aiutare a proteggere l’organizzazione rimuovendo automaticamente gli artefatti eliminati da attori dannosi. Questo semplice approccio può aiutare a ridurre i rischi e consente agli analisti di concentrarsi su attività di priorità più elevate.

Più risorse

Crowdstrike Prova gratuita di 15 giorni
Richiedere una demo
Guida alla sostituzione AV
Prodotti crowdstrike
Crowdstrike Cloud Security

Procedura di processo e file con risposta in tempo reale

Crowdstrike Tech Center

Crowdstrike va oltre la tradizionale protezione degli endpoint fornendo ampie capacità di visibilità e bonifica su più piattaforme, come Windows, MacOS e Linux. CrowdsTrike Real Time Response fornisce uno strumento di accesso remoto robusto che può rimediare a quasi tutti i tipi di attività dannose svolte da un avversario.