SolarWinds EDR rollback – la máquina del tiempo es real

En una entrada anterior del blog, hablé sobre las diferencias entre el Antivirus Administrado (MAV) y la Detección y Respuesta del Punto Final (EDR).

EDR es una solución más completa y es especialmente adecuada para empresas con información de identificación personal (PII) u otros datos sensibles en riesgo. Sin embargo, la función de retroceso es lo que realmente diferencia al EDR del MAV. Es una tecnología increíble que puede proteger a sus clientes y a su propio negocio.

Echemos un vistazo a este aspecto de SolarWinds® EDR que cambia las reglas del juego, impulsado por SentinelOne.

El modo de retroceder

SolarWinds EDR ofrece cinco opciones diferentes cuando señala una amenaza. Tres pueden clasificarse como preventivas, lo que significa que ponen fin a los daños causados por la amenaza. Las otras dos opciones pueden clasificarse como respuesta, lo que significa que puede devolver un punto final a su estado anterior al ataque.

PREVENTIVO

  • Eliminar: Esta opción detiene el ataque inmediatamente, piensa en ello como el gran botón rojo que se presiona para evitar que la guarida del villano malvado se autodestruya. La actividad maliciosa es captada y eliminada, ya sea que esté actuando en uno o más lugares.
  • Cuarentena: La opción de la cuarentena coge cualquier archivo ejecutable que sea una amenaza y lo mueve a un zona cerrada. Estos archivos pueden ser revisados para un análisis adicional en un entorno de cuarentena.
  • Desconectar de la red: Esta opción permite desconectar un punto final de la red. Para los administradores de red, esto es especialmente útil porque limita el acceso de la red saliente a la consola de gestión, evitando así la propagación de malware en las redes a las que está conectado un punto final. A continuación, puedes investigar lo ocurrido utilizando el conjunto profundo de herramientas forenses disponibles en la plataforma.

REACCIÓN

  • Recuperar: Esta es la penúltima opción. Elimina el daño causado por la amenaza, pero no debe considerarse un retroceso total, que, como vemos a continuación, “rebobina” hasta un punto específico en el tiempo.
  • Retroceso: Durante un rollback, el dispositivo afectado es restaurado a una instantánea guardada del Servicio de Copia de Sombra de Volumen (VSS), que invierte cualquier daño. Es una característica especialmente útil en un ataque de rescate. En tal caso, al hacer retroceder los archivos infectados se elimina la encriptación, lo que anula la necesidad de considerar siquiera el pago del rescate.

Mejor que un DeLorean

La tecnología clave detrás de Rollback es VSS. Es una característica de los sistemas operativos de Microsoft Windows. VSS es capaz de mantener múltiples copias de volúmenes o archivos de computadora, incluso mientras están en uso.

¿Cómo funciona esto? Es más o menos como tomar una foto digital, que tiene un sello de tiempo y fecha – VSS no es diferente. Crea una imagen digital de todo el sistema en un intervalo y tiempo específicos, y la almacena para que pueda ser usada para sobrescribir un punto final corrupto. El VSS le da al usuario final una imagen espejo de su sistema antes del ataque. Es una tecnología poderosa que se utiliza aún más en el retroceso.

Suena genial, crees, y tal vez intensivo en recursos. Buenas noticias, no lo es. El VSS es altamente eficiente. Cuando mueve los archivos a la ubicación temporal, lo hace de manera incremental. Sólo mueve los archivos que han cambiado desde la última instantánea.

Para aquellos que se lo pregunten, VSS fue introducido en Microsoft Windows XP/Server 2003, y ha estado disponible en todas las versiones de Windows desde entonces. Rollback está incluido en los agentes para Windows Vista/Windows Server 2008 R2 y posteriores. En este momento, no está soportado en Mac OS y Linux.

¿Por qué retroceder?

Un simple clic puede infectar toda su red. Nuestra infografía de Ransomware Rescue entra en gran detalle sobre este flagelo y cómo ayudar a prevenirlo, pero considera las siguientes estadísticas que se encuentran en el documento:

  • 16,2 días es la cantidad promedio de tiempo de inactividad que las empresas experimentaron a finales de 2019 debido a los ataques de software de rescate
  • 1 negocio cada 11 segundos es la frecuencia prevista que los negocios serán víctimas de un ataque de rescate para el 2021
  • 20.000 millones de dólares es el costo previsto de los daños causados por el rescate en 2021.

Retroceso: análisis de coste-beneficio

En este punto, probablemente estés pensando, “Estoy vendido. ¿Cuánto cuesta esta función?” Aunque el EDR cuesta un poco más que el MAV tradicional, es importante considerar lo que se gana en funcionalidad en lugar de un costo incremental.

Lo hemos dicho antes, y vale la pena repetirlo: hay un lugar en las organizaciones tanto para el MAV como para el EDR, dependiendo de los casos de uso. Pero si caes en este último campo por las razones delineadas al principio de este artículo, considera lo que cuesta más: un poco más por asiento para EDR o de cuatro a seis horas para reimaginar un punto final infectado. El costo aumenta en órdenes de magnitud si se apoya una gran organización. Y no olvides que el tiempo de inactividad es el costo más crítico de todos. Cuando los empleados no están trabajando, la productividad y los beneficios siguen un camino paralelo. EDR puede negar todo esto.

Retroceso en acción

Un ataque con rescate es simple en su intención, pero extraordinariamente complejo en su ejecución. Para ello, hemos creado un vídeo de demostración que simula un ataque con rescate y muestra cómo funciona la función de retroceso. Es una gran mirada a cómo se desarrolla un ataque y cómo Rollback gana el día, deshaciendo el daño.

Algunas cosas son demasiado buenas para ser verdad. La función de retroceso no es una de ellas. Ser capaz de proporcionar a tus clientes una increíble tranquilidad y reforzar su seguridad, especialmente cuando los ataques depredadores a las empresas están en alza, es enorme. Obtenga más información sobre SolarWinds EDR aquí, o póngase en contacto con su representante de cuenta. Se alegrará de haberlo hecho.

 

Ver articulo original aquí

Deja un comentario