por Portnet Tecnologia | Segurança em TI
A criptografia Secure Sockets Layer/Transport Layer Security (SSL/TLS), ou o tráfego de HTTPS, tem se tornado um meio universal de proteger dados confidenciais em trânsito na Internet. A questão é: como você pode manter intactas a integridade e a privacidade da comunicação SSL, ao mesmo tempo que garante a segurança da rede e dos dados sendo trocados?
O ideal é descriptografar o tráfego criptografado que entra na sua rede para permitir que o firewall de segurança de rede verifique o tráfego e identifique ameaças ocultas. Para isso, os firewalls de hoje em dia aplicam uma inspeção profunda de pacotes de tecnologia Secure Sockets Layer (DPI SSL).
Entretanto, mesmo os fornecedores de firewall que alegam oferecer a inspeção e a descriptografia SSL podem não ter a capacidade de processamento para lidar com o nível de tráfego SSL que passa pela rede hoje em dia. Ao considerar uma solução DPI SSL, é recomendado realizar uma avaliação com prova de conceito.
A melhor solução utiliza a tecnologia full-stack inspection engine para verificar o tráfego criptografado em SSL contra ameaças e então envia o tráfego ao seu destino, caso nenhuma ameaça ou vulnerabilidade seja encontrada. Também é importante ter uma configuração simples e segura que reduza a sobrecarga e a complexidade da configuração.
Considerações de implantação
Para implementações de tráfego intenso, é necessário excluir fontes confiáveis a fim de aumentar o desempenho da rede. Além disso, você deseja poder direcionar o tráfego específico da inspeção de SSL ao personalizar uma lista que determina o endereço, assim como o serviço, os grupos ou os objetos de usuários.
Também é essencial inspecionar o tráfego SSL, independentemente de ele vir por trás da LAN do firewall para acessar o conteúdo na WAN ou vice-versa. Esse nível de inspeção protege todos os usuários na LAN contra intrusão, vírus, cavalos de Troia e outros ataques perigosos à rede ocultos pela criptografia. Ele também protege todos os usuários na WAN, inclusive clientes remotos, contra ataques criptografados ocultos.
Outra consideração é uma solução de hardware de segurança de firewall que possa escalar facilmente para fornecer DPI-SSL server-side e client-side sem comprometer a eficácia da segurança. A resposta é um “sanduíche de firewall”.
Um sanduíche de firewall é uma configuração com base em firewalls de próxima geração (NGFWs) que podem ajustar a escalabilidade vertical com DPI-SSL de entrada e de saída. O sanduíche de firewall é altamente eficiente, pois ele ajusta a escalabilidade horizontal de maneira linear. Ele contém uma arquitetura baseada em rede que conta com NGFWs em uma camada única, em vez de appliances adicionais para a filtragem de conteúdo ou descriptografia SSL. Essa abordagem adiciona proteção sem prejudicar a taxa de transferência e evita que a baixa escalabilidade e os custos atinjam o próximo grande chassi.
Observe que os firewalls utilizados para essa abordagem devem ser projetados com processadores com vários núcleos a fim de que possam escalar ao serem executados em paralelo uns com os outros. Diversas marcas de NGFW podem não escalar de maneira linear, o que pode levar à degradação do desempenho caso um componente nessa configuração atinja o limite máximo. Com a combinação certa de firewalls, você pode recuperar o desempenho perdido ao inspecionar a SSL nos firewalls existentes ou independentes e escalar a DPI-SSL para até 80 Gbit/s.
Melhores práticas para proteção
A boa notícia é que existem maneiras de aproveitar os benefícios de segurança da criptografia SSL/TLS sem fornecer um túnel para os invasores:
1. Se você não fez uma auditoria de segurança recentemente, realize uma análise de riscos abrangente para identificar seus riscos e necessidades.
2. Atualize para um NGFW eficiente e extensível com um IPS integrado e um design de inspeção de SSL que possa escalar o desempenho para oferecer suporte ao crescimento futuro.
3. Atualize suas políticas de segurança para se defender contra uma grande variedade de vetores de ameaças e estabelecer múltiplos métodos de defesa de segurança para responder a ambos os ataques de HTTP e HTTPS.
4. Treine a sua equipe continuamente para que ela esteja consciente dos perigos das mídias sociais, dos downloads e sites de engenharia social suspeitos, além das tentativas de phishing e spam.
5. Informe os usuários a nunca aceitarem um certificado inválido e autoassinado.
6. Certifique-se de que todo o seu software esteja atualizado. Isso ajudará a protegê-lo contra exploits de SSL antigos que já foram neutralizados
Existem maneiras eficientes de manter a integridade e a privacidade da comunicação SSL, e ao mesmo tempo proteger a rede e os dados que são trocados. Converse com a Portnet e saiba como podemos ajudar a sua organização a interromper ameaças ocultas com as soluções SonicWall.
Fonte: © 2017 SonicWall Inc.
por Portnet Tecnologia | Segurança em TI
Hoje em dia, provavelmente a maioria das sessões da Web de seus usuários é criptografada com HTTPS ou com a criptografia Secure Sockets Layer/Transport Layer Security (SSL/TLS). Isso acontece porque existe atualmente uma enorme tendência no setor que almeja partir para uma Internet totalmente criptografada a fim de alcançar dois objetivos principais:
• Dificultar a interceptação de criminosos cibernéticos em conexões da Web
• Manter as informações pessoais protegidas e privadas
A criptografia tem se tornado o vetor de ameaça favorito para os hackers mascararem seus ataques, burlarem os sistemas de defesa e, por fim, abrirem backdoors diretamente na sua rede. Afinal, seus controles de segurança não podem impedir o que não conseguem ver. Se não forem combatidos, quaisquer ataques que utilizarem SSL/TLS terão uma taxa de sucesso de 100% no comprometimento da sua rede, o que leva à perda de dados classificados, IP e reputação.
A criptografia está em todo lugar
Geralmente, a criptografia SSL/TLS é utilizada para tudo, desde e-commerce até transações bancárias on-line. Ela protege uma crescente quantidade de tráfego corporativo e representa a maior parte do tráfego na rede em alguns setores. A SSL protege os dados em movimento ao criar um canal criptografado na Internet pública ou em redes privadas, o que impede que os dados sejam capturados ou comprometidos.
Além disso, a SSL verifica se o destino final dos dados não foi falsificado por um hacker como um destino confiável. Dados importantes e confidenciais, como informações de cartões de crédito, nomes de usuários e senhas, são transportados de forma que, exceto pelo destinatário pretendido, qualquer pessoa tenha dificuldade em acessá-los. Enquanto sites e servidores FTP e Telnet eram os usuários originais da SSL, hoje há uma grande variedade de aplicativos que utilizam o protocolo, inclusive aplicativos baseados em Java, serviços de gerenciamento de aplicativos e serviços baseados em cloud. O Facebook e o Twitter são dois dos aplicativos mais populares com a SSL ativada.
Firewalls podem ser desafiados ao inspecionar o tráfego criptografado
Por meio da SSL/TLS, invasores experientes conseguem codificar comunicações de comando e controle, além de códigos mal-intencionados, para burlar os sistemas de prevenção de intrusão (IPS) e os sistemas de inspeção antimalware. Esses ataques podem ser extremamente eficazes, simplesmente porque a maioria das organizações não possui a infraestrutura adequada para detectá-los. Soluções de segurança de rede legadas normalmente não têm capacidade de inspecionar tráfego criptografado por SSL/TLS ou seu desempenho é tão baixo que elas se tornam inutilizáveis ao realizar a inspeção. A inspeção de tráfego de HTTPS por um firewall de próxima geração (NGFW) requer seis processos adicionais de computação, em comparação à inspeção de tráfego de texto sem formatação.
Os dois processos que mais afetam o desempenho são:
• Estabelecer uma conexão segura
• Descriptografar e voltar a criptografar o tráfego para uma troca de dados seguros
A queda do desempenho pode ser alta em alguns casos, o que impede a inspeção de SSL/TLS para empresas que operam em sistemas de segurança legados. A maioria dos ataques cibernéticos é oportunista e possui motivação financeira. Isso significa que todas as organizações correm o risco de serem comprometidas.
Conclusão
A criptografia está em todos os lugares e é considerada hoje como o vetor de ameaça favorito para os hackers. A sua segurança de rede precisa descriptografar o tráfego para interromper ameaças ocultas.
Podemos te ajudar a implantar uma rede segura e capaz de descriptografar o tráfego para interromper ameaças ocultas. Entre em contato com a gente!
Fonte: © 2017 SonicWall Inc.
por Portnet Tecnologia | Segurança em TI
O ransomware é uma forma de malware que nega o acesso a dados ou sistemas até que a vítima pague uma taxa ao criminoso cibernético para que ele remova a restrição. Ele já existe há vários anos, mas ultimamente se tornou muito mais popular e lucrativo. CryptoLocker, CryptoWall e RSA4096 são exemplos de ransomwares conhecidos.
De acordo com o FBI, mais de US$ 209 milhões já foram pagos nos primeiros três meses de 2016 nos Estados Unidos, comparado a US$ 25 milhões em taxas durante todo o ano passado.
Como um ransomware funciona
Um ransomware pode entrar nos sistemas de diversas formas, quando a vítima faz download e instala um aplicativo mal-intencionado. Uma vez no dispositivo, o aplicativo será disseminado em todo o sistema e arquivos criptografados no disco rígido ou simplesmente bloqueará todo o sistema. Em alguns casos, ele pode bloquear o acesso ao sistema com a exibição de imagens ou de uma mensagem na tela do dispositivo para convencer o usuário a pagar uma taxa ao operador do malware para que uma chave de criptografia desbloqueie os arquivos ou o sistema.
Bitcoins são uma forma popular de pagamento de ransomware, pois a moeda digital é difícil de rastrear.
E-mails de phishing
Um dos métodos mais comuns de distribuição de ransomware são os e-mails de phishing. Esses tipos de e-mails tentam fazer com que os destinatários abram a mensagem e cliquem no link de um site. O site pode solicitar informações confidenciais ou conter malware, como o ransomware, cujo download é feito no sistema da vítima.
De acordo com o relatório de investigação de violação de dados da Verizon, 23% dos destinatários abrem e-mails de phishing e 11% clicam nos anexos.
Malvertisements
Outra forma popular de distribuir ransomware é o “malvertising”, ou publicidade mal-intencionada, que utiliza anúncios online para disseminá-lo. O invasor se infiltra nas redes publicitárias, algumas vezes como um anunciante ou uma agência falsa, e insere anúncios com malware em sites legítimos. Visitantes inocentes desses sites nem precisam clicar no anúncio para que seus sistemas sejam infectados.
Além de iniciar o ransomware, os “malverts” podem ser utilizados para extrair números de cartões de crédito, números de previdência social e outras informações confidenciais dos clientes.
Exploração de aplicativos e sistemas sem patch
Vários ataques são baseados em vulnerabilidades conhecidas de sistemas operacionais, navegadores e aplicativos comuns. Os criminosos cibernéticos podem explorar essas vulnerabilidades para iniciar seus ataques de ransomware em sistemas desatualizados com os patches de software mais recentes.
Navegadores, aplicativos e sistemas operacionais sem patches podem conter vulnerabilidades que os criminosos cibernéticos podem explorar para iniciar ataques de ransomware.
Dispositivos externos
Dispositivos externos, como unidades USB, são usados para armazenar e transferir arquivos, o que os torna alvos de disseminação de ransomware em vários sistemas. Alguns desses arquivos contêm um recurso avançado, conhecido como macros, que pode ser utilizado por hackers para a execução do ransomware quando eles forem abertos.
Por que os métodos tradicionais falham na prevenção de ataques de ransomware
Vários controles de segurança tradicionais geralmente falham em detectar ransomwares caso procurem somente por comportamentos atípicos e indicadores padrão de comprometimento. Uma vez no sistema, o ransomware se comporta como um aplicativo de segurança e pode negar o acesso a outros sistemas/programas. Normalmente, ele deixa os sistemas e arquivos subjacentes inalterados e restringe o acesso somente à interface.
O ransomware, combinado com engenharia social, pode criar um ataque muito eficaz.
Ransomware oculto
O ransomware também pode entrar sem ser detectado em firewalls que não conseguem descriptografar e inspecionar o tráfego da Web criptografado por SSL. Soluções de segurança de rede legadas normalmente não têm capacidade de inspecionar tráfego criptografado por SSL/TLS ou seu desempenho é tão baixo que elas se tornam inutilizáveis ao realizar a inspeção. Além disso, os criminosos cibernéticos aprenderam a ocultar o malware em tráfegos criptografados.
De acordo com o relatório da Dell Security 2016, o uso da criptografia por SSL/TLS (Secure Sockets Layer/Transport Layer Security) continua em crescimento, o que resultou em invasões despercebidas e que afetaram pelo menos 900 milhões de usuários em 2015.
Conclusão
A Portnet e a SonicWall conseguem aprimorar a proteção em sua organização ao inspecionar todos os pacotes e governar todas as identidades. Dessa forma, seus dados são protegidos onde quer que eles estejam, além do compartilhamento de inteligência para mantê-lo seguro contra diversas ameaças, inclusive ransomware. Quer saber mais? Fale com um especialista!
Fonte: © 2017 SonicWall Inc.
por Portnet Tecnologia | Segurança em TI
As ameaças avançadas, como exploits de zero-day e malware personalizado, estão em alta. Hoje, organizações de todos os portes são alvos de criminosos cibernéticos que continuamente procuram, localizam e exploram brechas em softwares vulneráveis. Eles fazem isso para obter acesso a redes, sistemas e dados, e geralmente perpetuam danos graves dentro de apenas alguns minutos. Para melhor detectar essas ameaças desconhecidas, os profissionais de segurança implantam tecnologias avançadas de detecção de ameaças, como sandboxes virtuais, que analisam o comportamento de arquivos suspeitos e malwares ocultos desconhecidos.
Entretanto, as ameaças se tornam cada vez mais inteligentes. Hoje em dia, o malware é projetado para detectar a presença de sandboxes virtuais e evitá-las. Isso limita a eficácia das tecnologias de detecção de ameaças. As organizações precisam de uma nova abordagem para proteger seus negócios contra essas ameaças avançadas. Em particular, isso requer que a tecnologia de análise de ameaças não seja detectada ou ignorada por códigos mal-intencionados. Para isso, uma solução de proteção contra ameaças avançadas (ATP) de ponta deve ser capaz de:
• Análises de sandbox em camadas dinâmicas
• Examinar o tráfego criptografado
• Analisar todos os arquivos
• Bloquear os arquivos até que eles sejam verificados
• Acelerar a correção de ameaças identificadas
Análises de sandbox camadas dinâmicas
Fornecer camadas adicionais de análises de ameaças com um sandbox multimotor é muito mais eficaz para descobrir ameaças de zero-day do que uma abordagem com somente um motor. O malware consegue detectar e evitar um sandbox de motor único muito mais facilmente. Idealmente, uma plataforma eficaz de análise de ameaças combina múltiplas camadas de motores de análise de malware, incluindo não apenas ambientes virtuais de sandbox mas também sandboxing de emulação de hardware e sistema operacional, combinado com análises de memória.
Com essa abordagem, o código suspeito pode ser executado em uma plataforma de sandbox multimotor, que inclui um sandbox virtualizado, emulação completa de sistema e tecnologia de análise no nível do hypervisor. O comportamento de qualquer arquivo suspeito pode ser analisado, fornecendo uma visibilidade abrangente de atividades mal-intencionadas, ao mesmo tempo que resiste a táticas de evasão e aumenta a detecção de ameaças de zero-day.
Também é importante que seja possível adicionar camadas de análises de ameaças de forma dinâmica. Como as ameaças são constantemente ocultadas de novas formas, é necessária uma plataforma de análise de ameaças que altere e adote novos mecanismos de detecção e ameaça conforme necessário. A única coisa que não vai mudar é que as técnicas de ataque serão modificadas continuamente. Para a proteção contra ameaças de zero-day, as soluções que podem adicionar dinamicamente novos mecanismos de análise de malware, conforme o cenário de ameaças evolui, são mais eficazes na detecção de ameaças e malwares avançados atuais e futuros.
Examinar o tráfego criptografado
As ameaças avançadas de hoje em dia aplicam métodos complexos e sofisticados para permanecerem não detectadas. Elas usam metodologias completamente novas ou adotam os mecanismos de defesa já existentes, como a ocultação no tráfego SSL criptografado. Para ser eficaz, uma solução avançada de detecção de ameaças deve inspecionar todo o tráfego de arquivos suspeitos, seja ele criptografado ou não. Geralmente impossível com fornecedores de produtos independentes, as sandboxes que trabalham com um firewall de próxima geração podem aproveitar o uso de uma tecnologia de encerramento de SSL para analisar arquivos criptografados.
Analisar todos os arquivos
Além de ocultar tráfego criptografado, os criadores de malware ocultam códigos mal-intencionados nos arquivos e nos aplicativos. Para combater essa atividade, as sandboxes devem ser capazes de analisar o malware oculto em diversos tipos de arquivos, tamanhos de arquivo e ambientes operacionais para melhor fornecer uma detecção de ameaças de zero-day abrangente. Essa configuração deve incluir a análise de diversos tipos arquivos, inclusive programas executáveis, PDFs, documentos do MS Office, arquivamentos, arquivos JAR e APK, assim como múltiplos ambientes de sistemas operacionais, como Windows, Android, Mac OS X e ambientes com vários navegadores. Para maior flexibilidade, a solução deve permitir análises personalizadas por tipo de arquivo, tamanho de arquivo, remetente, destinatário e protocolo. Além disso, também deve permitir o envio manual de arquivos para análise.
Bloquear os arquivos até que eles sejam verificados
A detecção de ameaças de zero-day é essencial. Mas a detecção sozinha não é suficiente. Uma solução viável não deve inspecionar somente o tráfego a procura de códigos mal-intencionados, como também deve fornecer a capacidade de bloquear a entrada de códigos suspeitos na rede até que eles sejam analisados e uma decisão seja tomada. A decisão de algumas sandobxes em silos é tomada somente após a permissão de um arquivo na rede. Nesses casos, ele funciona como um alarme em vez de uma medida preventiva.
Acelerar a correção de ameaças identificadas
Quando uma ameaça é identificada, atualizações rápidas e automáticas de assinatura são essenciais. A eficácia da proteção contra ameaças depende da diminuição de tarefas demoradas de manutenção manual de uma posição de segurança proativa. Para evitar ataques posteriores, as assinaturas para malwares recém-descobertos devem ser geradas rapidamente e distribuídas automaticamente nos dispositivos de segurança de rede, o que evita futuras infiltrações da ameaça de malware identificada. Nesse cenário, quando um arquivo é identificado como malintencionado, uma nova assinatura é implantada imediatamente nos firewalls para a inclusão em bancos de dados de assinaturas IPS e antivírus de gateway, assim como bancos de dados de reputação de domínio e IP de URL. De forma ideal, você gostaria de um painel imediato para monitorar a detecção de ameaças avançadas e fornecer relatórios de análises detalhados.
Conclusão
Os ambientes atuais de sandbox devem ser tão abrangentes e dinâmicos quanto as ameaças que eles desejam impedir. Ao seguir essas melhores práticas na seleção de uma solução de sandbox de ameaças avançadas, as organizações se beneficiarão da eficácia na detecção, proteção e alta segurança, além de tempos rápidos de resposta.
Descubra como a Portnet e a SonicWall podem ajudá-lo a fornecer a garantia de proteção avançada contra ameaças! Entre em contato com a gente para saber como o Capture ATP pode proteger seus negócios.
Fonte: © 2017 SonicWall Inc.
