Search

  1. Sweden
  2. Kunskap
  3. Blogg
  4. Ransomware
  5. Kan en EDR-lösning upptäcka ransomware?

Kan en EDR-lösning upptäcka ransomware?

Blogg Cybersäkerhet Ransomware

Share

Vår research-grupp har utsatt några Endpoint Detection Respons (EDR)-lösningar för ett test. Det vi vill ha svar på: kommer de att upptäcka de 23 ransomware-exempel de kommer utsättas för?

Bakgrunden till vårt experiment

Vi ville genomföra ett prov på förmågan kring dagens moderna EDR-lösningar mot några ransomware-exempel.

För test- och automatiseringsändamål tyckte vi att det var användbart att använda ”rThreat a breach and attack simulation framework”. Detta gav oss en samling ransomware-exempel som sträcker sig från kända till några, visserligen, kända men mer förlagda i det dunkla.

Fyra EDR-lösningar valdes och konfigurerades med hjälp av de föreslagna och rekommenderade standardkonfigurationerna och agenter installerades i en uppdaterad Windows 10-dator. Exemplen kördes och resultatet utvärderades av ”rThreat” vilken analyserade om filen kördes, hur länge och om den stoppades.

Våra resultat för de 23 exemplen påvisade att EDR-verktygen jobbar efter olika metoder och agerade inte på samma sätt eftersom de inte har samma signaturdatabaser, vilket inte var särskilt överraskande. Naturligtvis är det svårt att jämföra EDR-lösningar eftersom det finns så många faktorer som påverkar och så många konfigurationsalternativ.

I efterhand inser vi att alla tester borde ha körts samtidigt i fall att det finns delning av signaturer mellan de olika lösningarna. Det bör noteras att testerna kördes över två dagar.

Observationer

EDR 1

  • 18/23 ransomware kunde inte köras.
  • 5/23 ransomware kördes i mer än 10 sekunder, varav tre kända i det dunkla, två stoppades.
  • 3/23 ransomware exekverades framgångsrikt och krypterade filer, två kända i det dunkla, och ett känt.

Här kan vi se att 18 ransomware plockades upp genom statisk analys och fem missades. Av de fem prover som kunde utföras stoppades två av beteendeanalys och tre kunde köras framgångsrikt.

EDR 2

  • 18/23 ransomware kunde inte köras
  • 5/23 ransomware kördes i mer än 10 sekunder (alla skiljer sig från EDR 1), alla kända, alla stoppades av beteendeanalys

Av detta kan vi se att 18 prover plockades upp genom statisk analys och fem missades men plockades upp genom beteendeanalys

EDR 3

  • 22/23 ransomware kunde inte köras
  • 1/23 ransomware kördes i mer än 10 sekunder, känt i det dunkla, stoppades

Här kan vi se att 22 ransomware plockades upp genom statisk analys och att den som kom igenom, upptäcktes genom beteendeanalys

EDR 4

  • 23/23 kördes i mer än 10 sekunder, ransomware stoppades av EDR

Från detta kan vi se att denna EDR-konfiguration möjliggjorde exekvering av alla ransomware, men de stoppades alla omedelbart. Vilket tyder på att denna lösning verkar förlita sig mest på beteendeanalys.

Kan en EDR-lösning upptäcka ransomware? Slutsats: vilken sida lyckades?

På en teknisk nivå visade vårt lilla experiment att kommersiella EDR/EDP-lösningar lyckades stoppa körningen av de flesta ransomware-exempel. Även när några exempel tog sig igenom den statiska analysen plockades de i allmänhet upp genom beteendeanalys.

Framgången för dessa lösningar inom cybersäkerhet är mycket beroende på konfigurationerna, och man måste se till att ha valt och testat de mest effektiva konfigurationerna för dem.

Men, i en värld där operativsystem och applikationer ständigt har nya sårbarheter att utnyttja och funktioner som kan missbrukas, blir det en svår uppgift att upprätthålla regler för att förebygga och detektera. Ransomware-grupperingar kommer ständigt att utvecklas och därmed hitta nya sätt att köra sin skadliga kod. Detta skapar även fortsättningsvis en miljö där både försvarare och angripare för den kamp som funnits där sedan starten.

Eftersom riktade attacker blir mer populära, där angripare navigerar runt i ett nätverk och använder en mängd olika verktyg för rekognosering och exportera data, är det av stort värde att se till att detta beteende upptäcks innan den faktiska krypteringen sker.

Sedan har vi dessa ”förmedlingstjänster”. Dessa hotaktörer hittar ett sätt att få åtkomst till en organisations interna nätverk och säljer det sedan på dark webb-forum. Om denna första aktivitet upptäcks kan en ransomware-attack potentiellt förhindras.

Med tanke på att ransomwaregrupper inte bara går efter klienterna utan krypterar nätverksenheter och nyligen även virtuella hårddiskar, är det viktigt att implementera lösningar för att skydda dessa områden också. Allt detta påvisar komplexiteten i att försvara sig mot ransomware och att det för närvarande inte finns någon ”silver-bullet”-lösning på problemet.

Med tanke på den stora utbetalningen som krävs vid en ransomware-attack och det faktum att det finns så många organisationer med närvaro på Internet, kanske tyder på att grupper inte ens behöver en hög grad av framgång för att försörja sig ordentligt. Att se till att det inte finns något enkelt sätt att komma åt ditt interna nätverk, kan hjälpa din organisation att vara ett mindre attraktivt mål för ransomware-grupper.

 

Läs om hur ransomware startade här

Läs om ökningen av ransomware här

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.