SentinelOne – Cách khôi phục và đảm bảo an toàn khi bị Ransomware

giải pháp chống Ransomware

Ransomware vẫn là mối quan tâm hàng đầu của các tổ chức trong các ngành công nghiệp. Các bộ ransomware ngày càng dễ tiếp cận với giá cả phải chăng và có thể tạo ra các cuộc tấn công không cần tệp đang được sử dụng bởi nhiều kẻ tấn công. Ngoài ra, các chương trình ransomware ngày càng trở nên tinh vi hơn và khó bị phá hủy hơn sau khi được triển khai.

Ransomware là gì?

Ransomware là một dạng phần mềm độc hại mã hóa các tập tin, từ chối quyền truy cập của người dùng. Những kẻ tấn công sau đó có thể yêu cầu một khoản tiền chuộc để mở khóa dữ liệu của chính người bị tấn công. Ransomware có thể bao gồm từ việc khóa một máy đơn giản đến các cuộc tấn công nâng cao nhắm vào toàn bộ mạng, một số ứng dụng nhất định và các tệp được chia sẻ.

Chi phí tổn hạn khi bị tấn công ransomware

Theo SafetyDetectives, cuộc tấn công ransomware trung bình tiêu tốn 5.900 USD cho mỗi sự cố vào năm 2019, tăng từ 4.300 USD vào năm 2018. Chi phí trung bình của thời gian chết do ransomware gây ra đã tăng từ 46.800 USD vào năm 2018 lên 141.000 USD vào năm 2019, theo cùng một nguồn tin.

Cách SentinelOne xử lý Ransomware

SentinelOne bảo vệ các điểm cuối thông qua nền tảng Singularity, chống lại các phần mềm độc hại thực thi, các cuộc tấn công không lọc, khai thác tài liệu, khai thác trình duyệt, tập lệnh nội bộ và thông tin đăng nhập trực tiếp. Endpoint protection platform (EPP) còn vượt xa việc phát hiện ransomware đã biết bằng cách sử dụng công cụ kiểm tra thực thi dự đoán. EPP quan sát việc thực hiện từng quy trình hoặc luồng hệ thống trong thời gian thực. Bằng cách hiểu hành vi thực thi của các ứng dụng, chương trình và quy trình trong thời gian thực, SentinelOne EPP có thể cung cấp khả năng bảo vệ vô song chống lại ransomware.

Ransomware Protection 

Roll-back 

Ransomware thường dựa vào việc mã hóa hệ thống và các tệp dữ liệu. Nhiều biến thể phức tạp hơn còn đi xa hơn bằng cách loại bỏ khả năng khôi phục dữ liệu từ các “shadow copies” do hệ điều hành tạo ra. SentinelOne lưu và bảo vệ các bản sao bóng của tệp dữ liệu, cho phép các nhóm khôi phục sau khi bị nhiễm ransomware. 

Phát hiện hành vi theo thời gian thực

Nền tảng của SentinelOne tập trung vào phát hiện và khắc phục trong thời gian thực. Phần mềm có thể cung cấp khả năng hiển thị rộng rãi cho các điểm cuối và các quy trình, đồng thời thêm ngữ cảnh xung quanh các quy trình. Phần mềm sau đó có thể dự đoán các cuộc tấn công ransomware nâng cao hoặc ẩn dựa trên hành vi thực thi.

Hoạt động Kernel-Space

Các agent của SentinelOne hoạt động trong không gian kernel-space, cho phép tạo ra một dấu ấn nhỏ hơn so với các endpoint agent khác. Ngoài ra, phần mềm này có khả năng chống giả mạo cao đối với các tấn công của ransomware nhằm trốn tránh hoặc vô hiệu hóa agent.

Kiểm tra thực thi dự đoán

Không giống như các bộ lọc tĩnh, công cụ kiểm tra của SentinelOne cho phép giám sát việc thực thi giới hạn tất cả các phần mềm đáng ngờ, bao gồm ransomware dựa trên bộ nhớ và dựa trên tập lệnh để hiểu hành vi của nó. Nền tảng này có thể tìm thấy phần mềm tống tiền tinh vi không hoạt động dưới dạng đĩa hoặc tệp hoặc không có bất kỳ dấu hiệu xâm phạm nào.

Phản hồi tự động và giảm thiểu rủi ro

Nền tảng Singularity cho phép phản hồi tự động và giảm thiểu ransomware trong thời gian thực. Các hoạt động mở rộng của sản phẩm cho phép các nhóm bảo mật hành động nhanh chóng và hiệu quả.

Hỗ trợ trên nhiều nền tảng

Trong khi hầu hết ransomware nhắm mục tiêu vào các điểm cuối trên Windows, các hệ điều hành khác như Mac OS X và hệ điều hành di động cũng có nguy cơ bị tấn công. SentinelOne hỗ trợ Mac OS X cũng như các thiết bị iOS và Andriod. Nền tảng này cũng hỗ trợ các môi trường ảo như Linux.

Chính sách bảo hành ransomware của SentineIOne

SentinelOne cung cấp một chế độ bảo hành cạnh tranh cho khách hàng. Chính sách được công bố vào năm 2016 và đã liên tục cung cấp các chính sách bảo hành hào phóng sau đó. Theo điều khoản bảo hành hiện tại (ngày 3 tháng 6 năm 2020):

1. Điều kiện để được bảo hành

Trong Thời hạn Bảo hành, miễn là Công ty đăng ký giải pháp tuân theo Điều khoản, các điểm cuối của Công ty sẽ được bảo vệ bởi giải pháp, sàng lọc mọi Ransomware. Bảo hành được cấp ở đây sẽ áp dụng cho tất cả các điểm cuối như vậy với điều kiện:

(a) Các Giải pháp được triển khai trong các Điểm cuối phù hợp với Tài liệu và các Điểm cuối đó hiện đang hoạt động và được định cấu hình đúng cách;

(b) Chỉ các Tệp nằm trên Điểm cuối mới được bảo hành theo Bảo hành này;

(c) Tất cả các Điểm cuối của Công ty có các cấu hình bắt buộc sau:

     (i) Các giải pháp:

  • Chế độ chính sách được đặt thành Threats: Protect và Suspicious: Protect.
  • Tất cả các động cơ đều BẬT
  • Kết nối đám mây không bị tắt
  • Anti Tamper đang BẬT
  • Snapshots đang BẬT
  • Scan New Agents đang BẬT
  • Phiên bản General Availability (GA) mới nhất (hoặc GA với Gói dịch vụ bảo mật quan trọng Service Pack (SP), nếu được phát hành) hoặc phiên bản GA (hoặc GA với SP quan trọng, nếu được phát hành) ngay trước phiên bản GA mới nhất đó của SentinelOne Windows Endpoint Agent được triển khai trước thời điểm lây nhiễm Ransomware.
  • Không có hành động đang chờ xử lý nào (như Khởi động lại) được liệt kê trên bất kỳ điểm cuối nào được đề cập
  • Phiên bản được hỗ trợ của Bảng điều khiển quản lý được triển khai
  • Các loại trừ được chỉ định trong bài viết “Không phải loại trừ được đề xuất” trong Cơ sở kiến ​​thức SentinelOne, không được triển khai trong Bảng điều khiển hoặc Agent
  • Một phiên bản được hỗ trợ của Bảng điều khiển quản lý được triển khai.
  • Xác thực 2 yếu tố được bật =
  • Binary Vault được bật (nếu có)

    (ii) Hệ điều hành:

  • Bảo hành áp dụng Standard Windows Agents (không kế thừa) và trên các phiên bản được hỗ trợ của Microsoft Windows (như được chỉ định trong bài viết “System Requirements” của SentinelOne Knowledge Base).
  • Mỗi điểm cuối không có phần mềm độc hại trước khi cài đặt SenintelOne Windows Agent
  • Hệ điều hành được cập nhật và vá đầy đủ trên mỗi điểm cuối được bảo hiểm
  • VSS (Volume Shadow Copy Service) được bật và hoạt động trên tất cả các điểm cuối của Windows. Phân bổ sử dụng không gian đĩa VSS phải được định cấu hình với ít nhất 10% trên tất cả các đĩa.

(d) Công ty tuân thủ các thao tác thủ công sau khi lây nhiễm (tức là khi phát hiện ra Ransomware):

  • Ngay lập tức (không quá một giờ sau khi phát hiện) thêm mối đe dọa Ransomware cụ thể vào danh sách đen;
  • Trong trường hợp ransomware không bị chặn (chỉ được phát hiện) – hãy thực hiện hành động khắc phục và khôi phục trong vòng 1 giờ kể từ khi lây nhiễm / phát hiện ransomeware
  • Thông báo cho SentinelOne những phát hiện ransomware trong vòng 24 giờ tạiwarranty@sentinelone.com. Mục 1 (d) này sẽ không áp dụng nếu Công ty đã đăng ký dịch vụ Ứng phó Cảnh giác trong Thời hạn Bảo hành.

2. Phạm vi của bảo hành

Theo các điều khoản của Thỏa thuận bảo hành này, bao gồm các yêu cầu cụ thể của Mục 1 ở trên, trong trường hợp tấn công bằng ransomware thành công vào các điểm cuối của Công ty được bảo hành, như thể hiện trong SentinelOne’s logs và các hồ sơ khác, SentinelOne sẽ thanh toán như một biện pháp khắc phục duy nhất và độc quyền thiệt hại thực tế đối với Công ty do cuộc tấn công đó gây ra, giới hạn ở mức 1.000 USD cho mỗi điểm cuối bị ảnh hưởng bởi ransomware và tiếp tục giới hạn ở mức 1.000.000 USD cho mỗi 12 tháng liên tiếp trong đó Công ty đăng ký Giải pháp liên quan đến điểm cuối bị ảnh hưởng.

3. Điều kiện tiên quyết để thanh toán bảo hành

SentinelOne sẽ chỉ cung cấp biện pháp khắc phục Vi phạm Bảo hành như được mô tả ở trên nếu (i) cuộc tấn công Ransomware đã xảy ra, được Công ty phát hiện và báo cáo cho SentinelOne trong Thời hạn Bảo hành và Công ty đăng ký giải pháp theo Điều khoản; (ii) Điểm cuối của Công ty và giải pháp được định cấu hình phù hợp với tài liệu và Mục 1 ở trên; (iii) Công ty yêu cầu bằng văn bản khôi phục các thiệt hại do hành vi vi phạm gây ra; (iv) Công ty cung cấp đầy đủ bằng chứng hỗ trợ số tiền đòi tiền chuộc cho mỗi trường hợp nhiễm Ransomware được bảo hành bởi Bảo hành này; (v) Công ty cung cấp đầy đủ bằng chứng và đảm bảo rằng Công ty sẽ không sử dụng khoản thanh toán Bảo hành nào để thanh toán cho bất kỳ cá nhân hoặc tổ chức nào chịu các lệnh trừng phạt kinh tế do Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC của Bộ Tài chính Hoa Kỳ quản lý hoặc thi hành) ).

4. Loại trừ

Bảo hành sẽ không áp dụng cho vi phạm chủ yếu do (i) bất kỳ việc triển khai, cấu hình và / hoặc sử dụng giải pháp nào (hoặc một phần trong đó) vì bất kỳ lý do nào hoặc không theo cách không phù hợp với tài liệu hoặc các yêu cầu của Phần 1 ở đây; (ii) Sơ suất hoặc có hành vi sai trái gây ra bởicủa Công ty; hoặc (iii) các sản phẩm và / hoặc dịch vụ khác trực tiếp hoặc gián tiếp gây ra sự cố hoặc không hoạt động của Giải pháp liên quan đến Ransomware đối tượng.

5. Biện pháp khắc phục duy nhất và độc quyền

Biện pháp khắc phục vi phạm nói trên sẽ là biện pháp khắc phục duy nhất và độc quyền của Công ty và là toàn bộ trách nhiệm pháp lý của SentinelOne đối với bất kỳ vi phạm Bảo hành nào.

Để biết toàn bộ văn bản về chính sách bảo hành ransomware của SentineIOne, bạn có thể tìm hiểu thêm tại đây.

Bảo hành không bao gồm bất kỳ thiệt hại nào khác như tài sản trí tuệ bị đánh cắp hoặc ảnh hưởng đến thương hiệu / danh tiếng.

Để nhận tư vấn về sản phẩm SentineIOne, khách hàng vui lòng liên hệ qua: contact@smartnet.net.vn hoặc qua số điện thoại (+84) 866107561, (+84)382586996