IBM® QRadar SIEM membantu mendeteksi ransomware sebelum dapat menyandera data Anda
Ransomware telah menjadi salah satu model bisnis terkuat kejahatan siber, merugikan organisasi hingga miliaran dolar setiap tahun. Dalam serangan ransomware, penjahat siber mencuri atau mengenkripsi data berharga dan kemudian meminta pembayaran agar data dikembalikan dengan aman. Serangan ini telah berkembang dari gangguan tingkat konsumen menjadi malware canggih dengan kemampuan enkripsi tingkat lanjut, dan tidak ada satu pun industri, geografi, atau ukuran bisnis yang kebal.
Melindungi organisasi Anda dari ransomware dan jenis malware lainnya memerlukan tanggapan yang cepat, karena untuk setiap detik yang berlalu, semakin banyak file yang dienkripsi dan semakin banyak perangkat yang terinfeksi, sehingga meningkatkan kerusakan dan biaya. IBM® QRadar SIEM membantu Anda mendeteksi ancaman ini dengan cepat, sehingga Anda dapat segera mengambil tindakan yang tepat untuk mencegah atau meminimalkan dampak serangan.
Dalam pertempuran melawan ransomware, deteksi dini dan pencegahan sangat penting. QRadar SIEM menawarkan analitik keamanan cerdas yang memberi Anda wawasan yang dapat ditindaklanjuti terhadap ancaman penting.
dari seluruh serangan siber adalah ransomware.¹
Rata-rata biaya serangan ransomware adalah USD 5,13 juta.¹
Organisasi dengan AI keamanan dan otomatisasi dapat mengidentifikasi dan mengatasi pelanggaran data 108 hari lebih cepat.¹
Ransomware, seperti kebanyakan malware, berkembang dalam beberapa fase. QRadar SIEM dapat menemukan ransomware yang dikenal dan tidak dikenal di semua fase tersebut. Deteksi dini dapat membantu mencegah kerusakan yang akan timbul pada fase lanjutan. QRadar menyediakan ekstensi konten yang menyertakan ratusan contoh penggunaan untuk memberikan peringatan di semua fase. Ekstensi konten disediakan melalui App Exchange dan bisa digunakan untuk mendapatkan contoh penggunaan terbaru.
Sebagian besar malware dan ransomware yang "dikenal" dapat ditemukan pada fase awal. Untuk mendeteksi ransomware yang tidak dikenal, QRadar SIEM menyediakan kasus penggunaan yang berfokus pada pendeteksian perilaku ransomware. Visibilitas di seluruh endpoint, server aplikasi (di lokasi dan cloud), dan perangkat jaringan (firewall) memungkinkan QRadar SIEM Use Case Manager untuk mendeteksi pola perilaku ransomware yang menjangkau infrastruktur TI dan OT Anda. Use Case Manager dapat membantu Anda memvisualisasikan jika Anda memiliki kasus penggunaan, atau aturan, yang menjangkau fase ini dengan menggunakan matriks MITRE ATT&CK.
Ransomware terlihat seperti malware lain selama fase ini. Ransomware menggunakan teknik phishing untuk memikat karyawan Anda yang tidak menaruh curiga untuk mengeklik tautan atau dapat juga dilakukan melalui email, Honeypot, media sosial, atau pesan teks.
Contoh kasus penggunaan QRadar SIEM untuk menemukan perilaku distribusi dan ransomware yang diketahui:
- Dapat dieksekusi tertanam dalam email
- Email atau komunikasi web dengan host yang agresif
- Subjek email yang mencurigakan
Ini adalah saatnya hitungan dimulai. Ransomware sekarang ada di lingkungan Anda. Jika ransomware menggunakan "dropper" (pengirim program) untuk menghindari deteksi pada fase distribusi, ini adalah saat dropper mulai menetap di lingkungan Anda dan mengunduh "file dapat dieksekusi nyata" dan menjalankannya.
Contoh kasus penggunaan QRadar SIEM untuk menemukan perilaku infeksi:
- Deteksi file atau proses berbahaya
- Deteksi IOC berbahaya
- Dekode atau unduh file diikuti dengan aktivitas yang mencurigakan
Ransomware sedang memindai mesin untuk menganalisis hak administratif yang dapat diperolehnya, menjalankan dirinya sendiri saat boot, menonaktifkan mode pemulihan, menghapus salinan bayangan, dan banyak lagi.
Contoh kasus penggunaan QRadar SIEM untuk menemukan perilaku pementasan:
- Mencoba penghapusan salinan bayangan, cadangan
- Pemulihan dinonaktifkan dalam konfigurasi boot
Sekarang ransomware memiliki mesin dari fase awal dan akan memulai fase pengintaian jaringan (jalur serangan), folder dan file dengan ekstensi yang telah ditentukan, dan lainnya.
Contoh kasus penggunaan QRadar SIEM untuk menemukan perilaku pengintaian:
- Mencoba penghapusan salinan bayangan, cadangan
- Pembatasan ukuran transfer data
Kerusakan sebenarnya dimulai sekarang. Tindakan umum meliputi: membuat salinan setiap file, mengenkripsi salinan, menempatkan file baru di lokasi aslinya. File asli mungkin ditransfer secara ilegal dan dihapus dari sistem, yang memungkinkan penyerang memeras korban dengan ancaman untuk menyebarluaskan pembobolan yang mereka lakukan, atau bahkan membocorkan dokumen yang dicuri.
Contoh kasus penggunaan QRadar SIEM untuk menemukan perilaku enkripsi:
- Penghapusan atau pembuatan file yang berlebihan
- Jumlah file yang mencurigakan diganti namanya atau dipindahkan pada mesin yang sama (UNIX)
- Pembatasan ukuran transfer data
Kerusakan terjadi dan pengguna menerima pemberitahuan tentang cara membayar uang tebusan untuk mendapatkan kunci dekripsi. Pada titik ini tidak banyak lagi yang bisa dideteksi, kecuali pembuatan file instruksi dekripsi.
Contoh kasus penggunaan QRadar SIEM untuk menemukan perilaku pemberitahuan tebusan:
- Instruksi dekripsi ransomware dibuat
Contoh Penggunaan untuk menemukan ransomware tersedia di Ekstensi Konten berikut yang ditemukan di App Exchange :
Waktu sangat penting setelah fase infeksi awal. Semakin cepat Anda mendeteksi, semakin cepat Anda dapat memulai rencana respons insiden (IR) Anda. Semakin baik rencana IR, semakin cepat Anda dapat menghentikan kemajuan ransomware di semua fase. NIST dan SANS memiliki pedoman IR yang telah teruji oleh waktu. Ada beberapa aspek kunci dari setiap rencana IR.
Tersedia cadangan. Dukungan offline sangat penting dalam serangan ransomware. Pastikan Anda memahami di mana cadangan itu berada dan cara memulihkan sistem Anda. Sertakan langkah-langkah tentang siapa yang harus dihubungi untuk setiap aset TI penting dalam proses IR Anda.
Tim, alat, dan peran yang diidentifikasi. Saat ransonware berkembang melalui berbagai fase dari infeksi awal hingga enkripsi, komposisi tim respons berubah. Hal ini biasanya berarti lebih banyak orang yang perlu terlibat di seluruh organisasi. Hal ini sering kali bisa mencakup penggunaan layanan pihak ketiga untuk membantu atau, dalam kasus pelanggaran, menghubungi bagian hukum, pembuat peraturan eksternal, dan pelanggan. Mengetahui siapa yang harus dihubungi dan kapan sesuatu dianggap penting. Memperbarui daftar kontak itu penting, tetapi mengintegrasikan peran kontak tersebut ke dalam proses Anda sangat penting untuk memberikan respons yang efektif. Dokumen cetak dan PDF sudah memadai, tetapi memiliki alat dan otomatisasi yang tepat dan memberi seluruh tim akses ke proses respons ransomware, tindakan, dan dokumentasi historis adalah kuncinya.
Proses dan otomatisasi yang ditetapkan dengan baik. Proses IR dapat berisi banyak tugas dan menyertakan banyak poin keputusan. Menyelaraskan proses Anda dengan fase yang diuraikan oleh NIST dan SANS merupakan praktik yang baik. Misalnya Anda dapat mengatur proses IR dengan tahapan berikut:
- Temukan dan Identifikasi
- Pengayaan dan Validasi
- Penahanan dan Perbaikan
- Pemulihan dan Komunikasi
QRadar SOAR menyediakan pedoman untuk menentukan proses IR Anda dan mengotomatiskan banyak tindakan yang mungkin perlu dilakukan oleh seorang analis untuk menyelesaikan fase dengan cepat. Respons pembobolan QRadar SOAR dapat membuat tugas pelaporan regulator yang diperlukan berdasarkan PI yang diekspos.
Inventarisasi aset TI, pemilik, PI. Saat sistem terinfeksi, analis keamanan perlu mengetahui pemilik sistem dan aplikasi serta data. Solusi manajemen aset seperti ServiceNow atau SAP dapat membantu mengelola kontak untuk sistem. IBM® Guardium Discover and Classify dapat membantu menemukan sumber data dan PI di setiap sumber. Jadi jika terjadi pelanggaran data, analis mengetahui apakah ada peraturan yang terlibat.
Kota Los Angeles, LA Cyber Lab, dan IBM bergabung untuk menghadirkan intelijen ancaman dan memperkuat bisnis lokal yang rentan.
Mengintegrasikan data, menganalisis log, dan memprioritaskan insiden membantu perusahaan investasi dan pengembangan real estat Vietnam mendeteksi dan merespons ancaman.
Dengan menghosting solusi QRadar SIEM pada penyimpanan IBM FlashSystem® berkinerja tinggi, Data Action (DA) menawarkan keamanan yang lebih baik untuk bank alternatif.
Deteksi ancaman dari pusat ke endpoint dengan QRadar SIEM melindungi organisasi Anda dengan berbagai cara.
Gabungkan solusi perburuan ancaman siber IBM Security ke dalam strategi keamanan Anda untuk melawan dan memitigasi ancaman dengan lebih cepat.
Integrasikan paket kepatuhan ke dalam QRadar SIEM untuk memastikan kepatuhan dan otomatisasi pelaporan.
Hentikan serangan siber dengan cepat menggunakan deteksi ancaman nyaris real-time dari QRadar SIEM.
Pelajari bagaimana QRadar membantu pertahanan dari berbagai ancaman yang terus berkembang sekaligus memodernisasi dan meningkatkan skala operasi keamanan melalui visibilitas, deteksi, investigasi, dan respons yang terintegrasi.
Lihat bagaimana QRadar SIEM membantu analis menyelidiki pelanggaran, menentukannya sebagai ancaman, dan mengirimkannya ke SOAR untuk remediasi.
Sebuah pendekatan perburuan ancaman yang efektif untuk mengurangi waktu dari intrusi hingga penemuan,
mengurangi jumlah kerusakan yang dapat ditimbulkan penyerang.