Acronis Academy

Acronis Academy
 Academia

Cyber Protect Cloud

Tech Associate
Advanced Security + EDR

Curso de Recertificação 2024

#CyberFit

Acronis Academy
Resumo do Curso

Avaliação:

20 perguntas
• Treinamento técnico
60 min de tempo
ministrado por instrutor
70% para • Curso de recertificação
aprovação projetado para parceiros
Tentativas existentes que foram
ilimitadas, com
consulta previamente certificados

Acronis Academy
Módulos do Curso

1. Estudo de caso
2. Visão geral e recapitulação
• Acronis Cyber Protect Cloud
• Recursos a serem enfatizados novamente
3. Novos recursos
4. Principais problemas e suas soluções

Acronis Academy
Cyber Protect Cloud
Estudo de caso

Acronis Academy
Estudo de Caso EDR – Patch Perdido/Esquecido de Corrigir

Patch que impede invasores de executar remotamente código em aplicativo

Web direcionado não foi aplicado

1. Atacante realiza reconhecimento

2. Solicitação http enviada com código mal-intencionado no cabeçalho do tipo de
conteúdo
3. Executa consultas (melhor noção da estrutura do banco de dados / quantos registros)
4. Comando SQL (identificar detalhes gerais de tabelas de dados e selecionar amostra de
registros)
5. Exemplo: CWE de validação de entrada imprópria

Acronis Academy
Estudo de Caso EDR – Patch Perdido/Esquecido de Corrigir

Patch que impede invasores de executar remotamente código em aplicativo

Web direcionado não foi aplicado

1. Carrega "shells web" (para obter acesso ao servidor web)

2. Posicionado para coletar credenciais (acesso a bancos de dados back-end)
3. Executa uma série de comandos SQL para localizar dados valiosos
4. Armazena dados roubados em arquivos temporários
5. Atacante mantém transmissões de dados pequenas (evita suspeitas)

Acronis Academy
Estudo de Caso EDR – Patch Perdido/Esquecido de Corrigir

Patch que impede invasores de executar remotamente código em aplicativo

Web direcionado não foi aplicado

1. Após a exfiltração, exclui arquivos compactados (para minimizar trilha)

2. Invasor profundo o suficiente: pode usar canais de comunicação criptografados existentes para enviar
consultas e comandos (parecendo atividade normal)
3. Consulta banco de dados para obter informações específicas e armazenar em arquivos de saída
4. Cria arquivo compactado de resultados: copia para diretório diferente e baixa

Acronis Academy
Estudo de Caso EDR – Patch Perdido/Esquecido de Corrigir

Patch que impede invasores de executar remotamente código em aplicativo

Web direcionado não foi aplicado

1. Dados nas mãos do invasor: exclui o arquivo

2. Executa ao longo de várias semanas para obter informações e extorquir
3. Imagine
a. Dia zero: CVE pode estar no NIST NVD (os invasores sabem)
b. Os dados do cliente têm alvos de alto perfil (executivos) e coleta de inteligência
(informações pessoas usados como alavancagem)

Acronis Academy
Cyber Protect Cloud
Visão geral e recapitulação

Acronis Academy
Plataforma Integrada de Proteção Cibernética
Uma solução integrada de segurança cibernética, backup, recuperação de desastres, gerenciamento e
automação criados especificamente para SPs

Segurança

Segurança padrão Segurança Avançada + EDR

▪ Pontuação #Cyberfit ▪ Antimalware com proteção
▪ Avaliação de vulnerabilidade baseada em assinaturas locais
▪ Proteção anti-ransomware ▪ Filtragem de URL
▪ Controle de dispositivos ▪ Prevenção de exploração
▪ Backups forenses
▪ Planos de Proteção Inteligente
▪ Detecção e resposta de
endpoint (EDR)

Técnicos

Proprietário

Acronis Academy
Garantir conformidade e presença local
Mais de 50 data centers em todo o mundo para armazenar dados – Acronis Hosted, Google
Cloud e Microsoft Azure

Mais de 50
CENTROS DE DADOS

Acronis Google Azure

Acronis Academy
Cyber Protect Cloud
Recursos a serem enfatizados
novamente

Acronis Academy
Como os ataques acontecem
Reconhecimento Reunir informações sobre o alvo

Armação Criar malware ou cargas maliciosas

Entrega Trabalhar no acesso/infectar a primeira carga de trabalho (exemplo de e-mail

de phishing)
Exploração Código malicioso executado. Descobrir outros dispositivos
(Detonação) conectados para se infiltrar ainda mais

Acronis Academy
Como os ataques acontecem
Reconhecer Reunir informações sobre o alvo

Armar Criar malware ou cargas maliciosas

Entregar Trabalhar no acesso/infectar a primeira carga de trabalho (exemplo de e-mail

de phishing)
Explorar (Detonação) Código malicioso executado. Descubrir outros dispositivos conectados para
se infiltrar ainda mais

Instalar Escalonamento de privilégios. Instalar na rede

Comando e Controle Rastreie, monitore e oriente as "armas" implantadas e pilhas de ferramentas

(C2) (Ofuscação ou DoS). Mover-se lateralmente
Ação/ Objetivo de execução (semanas/meses). Exfiltração de dados, criptografia,
Monetização ataques à cadeia de suprimentos, extorsão tripla

Acronis Academy
O que é EDR e por quê?
Plataforma de segurança de correlação de
eventos
• Capaz de identificar ameaças avançadas ou ataques
em andamento
• Coleta eventos dos computadores
• Correlaciona-se com algoritmos de aprendizado
de máquina para destacar incidentes de
segurança
• Duas vantagens principais
• Investigação de Incidentes
• Resposta a incidentes (contenção e remediação)
• Registra atividades/eventos que ocorrem em
endpoints
• Dá visibilidade de incidentes que de outra forma
estariam invisíveis

Acronis Academy
Prevenção VS Detecção
Prevenção e detecção: cobrindo diferentes
partes do cenário de ameaças

• Prevenção
• Ótimo para evitar que os ataques comecem
• Escopo restrito (pare o que uma ameaça conhecida)
• Baixa taxa de falsos positivos
• Escopo restrito: pode produzir falsos negativos

Acronis Academy
Prevenção VS Detecção
Prevenção e detecção: cobrindo diferentes
partes do cenário de ameaças

• Detecção (EDR)
• Preocupação é com intenção de agressor
• Permite analisar alertas suspeitos/benignos sobre
carga de trabalho
• Toda sequência de eventos é analisada (entenda o
que pode levar a má intenção)
• Amplo espectro de detecção
• Pode levar a alguns falsos positivos

Acronis Academy
Correlação do EDR – um assalto a banco
Detecção de Segurança Bancária & Resposta
Resposta
•• •AEquipe dedevigilância
O segurança
equipe nãodesconhece
segurança conseguiu qualquer
identificar
analisa e valida o
a violação.
manutenção
• •Suspeito é
assaltante nas câmeras
retirado;
devidoequipe
à decorrige
sua vigilância
lacunas
imitação no processo
•• AAlto Técnico
câmera não
não temser
deve
número de da
emprego
atividades
pertoado
desativada, cofre
menos
de manutenção câmera, suspeitas
por exemplo, técnicos
1 • que seja etapa:
Próxima
conhecidos
obtidaEscalonamento
permissão préviapara de
apenas com verificações a equipe de
antecedentes
segurança 5
4. 1.Iniciar
5.2.Evento
3.Evento
Potencial evento
Ação desuspeito
resposta
violação
Assaltante
Equipe de
disfarçado segurança
de técnico entra no •• incidente
• Outra
Um EDR registra
Investigar
atividadeé mais,oconter
criado evento
suspeita: benigno
oameaças
e o MSP podetenta
EDR revisar a cadeia de
•• Remediar
Nota:
eventos A e recuperar
solução
relacionados. AV não consegue derruba suspeito
banco correlacionar essa atividade
• EDR registra os eventoscom outras
• Impedir
• relacionadas,
Cada passo doque
detectar ameaças
ataque
oaque voltem
é explicado
ameaça
pode (sem aa uma
ocorrer
mostrando
levarcorrespondênciao que o
violação
atacante fez e como
em seu banco de dados)
2 Segurança Avançada + EDR

3 4

Avança para o
Vault Equipe de vigilância
é escalada para
Desativa câmeras equipe de segurança

Acronis Academy
 Prevenção VS Detecção
Acronis Avançado Segurança + EDR ✓ Quantidade vs
Complexidade:
▪ Malware conhecido ▪ Kits de exploração comuns ▪ Exploits (vulnerabilidades ▪ Ameaças evasivas: zero- Primeiras 3 colunas
▪ Kits de phishing recentes) days, ferramentas de
▪ Malware polimórfico hacking, fileless, APTs de camadas de
▪ Variantes de malware
conhecido ▪ Técnicas de ofuscação prevenção
Número de ataques

✓ EDR: aumento de
custos para
atacantes e técnicas
Tecnologias de prevenção:
mais complexas
Proteção em tempo real, Acronis Active Protection, anti-exploit, Tecnologias de
filtragem de URL, varredura baseada em assinatura, IA/ML, detecção – EDR
análise de comportamento, gerenciamento de patches

Baixo Complexidade do ataque Alto Muito Alto

Acronis Academy
Alerta e Investigação com EDR
Segurança Avançada + EDR - Alerta Segurança Avançada + EDR – Investigação

Acronis Academy
Alertas de incidentes
Receber alertas no console ou e-mail quando
incidentes são detectados

Configurações para alertas

• Quando estiver logado, vá para
"Minhas configurações" no canto
superior direito
• Edite as notificações e selecione quais
notificações de incidentes de segurança
deseja e clique em concluído

Acronis Academy
Remediar todo o incidente

✓ Segurança integrada com backup, recuperação de

desastres e gerenciamento de patches. Todas as ações
com um agente e console.

Acronis Academy
 Resumo da Seção

O EDR analisa a atividade do sistema, do processo e do usuário

1 para detectar ameaças à segurança. Além disso, fornece orientação
corretiva para ameaças que ignoram os controles de prevenção e
também permite investigações de ameaças de endpoint. A
prevenção e a detecção abrangem diferentes partes do cenário de
ameaças.

A capacidade de remediar um incidente inteiro simplifica a

2 eficiência operacional para a continuidade dos negócios. Isso é
para opções de segurança cibernética, backup, recuperação de
desastres e aplicação de patches, juntamente com a lista de
bloqueio em planos de proteção para evitar ocorrências futuras.

Acronis Academy
Cyber Protect Cloud
Novos recursos

Acronis Academy
Função de usuário de analista de
segurança (setembro de 2023)

✓ Atribuir permissões e direitos de

acesso específicos para operar
Segurança Avançada + EDR
✓ Usuários para gerenciar incidentes
EDR e sem acesso a outras áreas

Acronis Academy
Conector SIEM genérico (junho de
2023)

✓ Qualquer SIEM que suporte o

formato de evento CEF sobre
SYSLOG
✓ Integração com dispositivos
externos

Acronis Academy
Integração com Microsoft
Sentinel (junho de 2023)
✓ Permite pesquisar ameaças em cargas
de trabalho gerenciadas e
correlacionar eventos (aplicativos de
segurança e proteção de dados)

Acronis Academy
Integração com Logsign (junho de
2023)

✓ Permite alertas Acronis fornecendo

informações para coleta de dados de
segurança e respostas centralizadas
✓ Plataforma unificada de operações de
segurança da Logsign

Acronis Academy
Integração com Fluency (julho de
2023)

✓ Habilita alertas Acronis no Fluency

para correlação usuário/entidade para
detecção e alerta de ameaças

Acronis Academy
Integração com IBM Qradar
(outubro de 2023)

✓ Habilita alertas Acronis na solução

Qradar SIEM
✓ Agiliza a resposta a incidentes e
fornece melhores SLAs.

Acronis Academy
Lista de integrações únicas no Portal
de Gerenciamento e no
https://solutions.acronis.com

✓ Lista de integrações/categorias ISV no portal de

gerenciamento e no site da Acronis
(https://solutions.acronis.com).
✓ Busca por categoria (segurança no nosso caso)

Cenários
• Navegue por todas as integrações com o Acronis, pesquise
integrações por nome ou filtre por categoria de integração.
• Pode ver mais detalhes sobre como a integração funciona e os
benefícios clicando em "Saiba mais" no bloco de integração.

Acronis Academy
Cyber Protect Cloud
Principais problemas e suas
soluções

Acronis Academy
Solução de problemas de EDR

Problema Solução

Mitigado automaticamente: quando as

camadas de prevenção interrompem um
ataque. Pode investigar o que exatamente o
malware fez antes de ser interrompido
Qual é a diferença entre incidentes EDR "Mitigados (exemplo: instalou um serviço antes de
automaticamente" e "Não mitigados"? criptografar arquivos)
Não mitigada: atividade suspeita detectada
pelo EDR e que deve ser investigada e
remediada

Acronis Academy
Solução de problemas de EDR
Problema Solução

Se o EDR executar um isolamente de

rede de uma carga de trabalho - Após o isolamento, o dispositivo ainda pode ser conectado
apenas ao EDR e a outros serviços para tomar ações de resposta
como se tem acesso à carga de e correção e fornecer investigação adicional.
trabalho para realizar uma

investigação mais aprofundada?

Acronis Academy
Solução de problemas de EDR

Problema Solução

Depende do componente e do tipo de ameaça

Diferentes listas de permissões serão atualizadas
O que acontece com o incidente quando marcado como Depende do que é adicionado à allowlist
"Falso Positivo" e adicionado a uma lista de permissões. Arquivo / URL – entidade específica não
Que tipo de exclusões seriam adicionadas com base será detectada como maliciosa novamente
e impedirá para o futuro
nisso?

Acronis Academy
Onde encontrar informações de
versão por mês

Altere a data de lançamento para o mês

desejado (no exemplo abaixo, 23.08,
sendo 23 o ano e 08 o mês)

https://dl.managed-
protection.com/u/baas/rn/23.08/en-
US/AcronisCyberCloud_relnotes.htm

Apresenta inclusive problemas

conhecidos e limitações / soluções
alternativas

Acronis Academy
Cyber Protect Cloud
O que vem por aí

Acronis Academy
Revise os materiais

Faça o download e
revise os materiais do
curso
Assista novamente aos
vídeos quantas vezes
quiser

Acronis Academy
Faça seu teste

Avaliação:

20 perguntas

60 min de tempo

70% para
aprovação
Tentativas
ilimitadas, com
consulta

Acronis Academy
 Obrigado por assistir!

Acronis Academy
Acronis Academy
Acronis Academy
Cyber Foundation
Construindo um futuro com mais conhecimento

Crie, Divulgue e Proteja o

Conhecimento Conosco!
www.acronis.org
#CyberFit
Construindo Novas Escolas
Programas de Educação Editorial
Publicação de Livros

Acronis Academy