Segurança de endpoints: o que você precisa saber ao comprar a solução

Segurança de endpoints: o que você precisa saber ao comprar a solução

O gerenciamento e a segurança dos endpoints são essenciais no ambiente atual de crimes cibernéticos crescentes. Os usuários finais conectam-se e desconectam-se continuamente da rede com seus dispositivos de endpoint. Ao mesmo tempo, esses endpoints são o campo de batalha para panorama de ameaças atual. As ameaças criptografadas estão cada vez mais atingindo endpoints não verificados, ransomware está aumentando e o roubo de credenciais persiste silenciosamente. No entanto, a crescente ameaça de ransomware e de outros ataques mal-intencionados baseados em malware provou que as soluções de proteção de clients não podem ser medidas com base apenas na conformidade dos endpoints.

Os desafios da proteção de endpoints

Os produtos de segurança de endpoints estão no mercado há anos, mas os administradores enfrentam os seguintes desafios:
• Manter produtos de segurança atualizados
• Aplicar políticas e conformidade
• Obter relatórios
• Ameaças provenientes de canais criptografados
• Compreender alertas e etapas de correção
• Gerenciamento de licenças
• Impedir ameaças avançadas, como ransomware

Manter produtos de segurança atualizados

Os administradores precisam garantir que os endpoints gerenciados estejam executando a versão correta dos componentes de software de segurança instalados conforme exigido pela política de conformidade.

Para impedir ataques emergentes, os administradores de segurança de rede precisam de endpoints gerenciados para avaliar a postura de segurança e relatar seu status de forma contínua.

Alguns administradores precisam interromper o tráfego entre servidores em seus data centers, o que geralmente
representa a maior parte do tráfego entre seus switches. Eles precisam da opção de colocar um dispositivo em quarentena localmente caso ele não esteja em conformidade ou seja infectado. Nestes casos, o firewall deve bloquear o acesso à Internet, assim como bloquear esse dispositivo a partir da LAN, restringindo assim os caminhos de rede para os mesmos locais de quarentena que o firewall está restringindo.

Além disso, os administradores de segurança precisam garantir que todos os dados entre o cliente unificado e o console de gerenciamento centralizado não possam ser adulterados durante o trânsito, a fim de garantir a integridade dos dados.

Aplicar políticas e conformidade

Se os endpoints estiverem em um estado não coberto pela política, os administradores precisarão ser capazes de impedir que o dispositivo de endpoint use os serviços UTM para passar o tráfego pelo firewall. Os usuários finais também têm uma importante função a desempenhar na segurança de enpoints. Eles realizam seus trabalhos em notebooks corporativos e outros endpoints. Os usuários precisam saber imediatamente se algum software ou comportamento mal-intencionado for detectado para que possam agir ou arquivar um tíquete, se necessário.

Obter relatórios

Em alguns casos, os administradores podem gerenciar múltiplos firewalls, mas seus usuários são configurados em um único pool. Eles precisam ser capazes de obter o login único (SSO) de qualquer administrador de firewall ou de consoles de gerenciamento de segurança para gerenciar as políticas do cliente. Ao mesmo tempo, as regulamentações de conformidade geralmente determinam que todas as funções de administrador cumpram o princípio de privilégio mínimo, de modo que o gerenciamento do cliente unificado tenha controle de acesso baseado em função suficiente para acesso privilegiado. Por exemplo, isso pode ser limitado a duas funções, uma com acesso de leitura/gravação e outra com acesso somente leitura.

Ameaças provenientes de canais criptografados

Com mais aplicativos da Web sendo protegidos por canais criptografados, como HTTPS, e o malware também recorrendo à criptografia para ignorar a inspeção baseada em rede, tornou-se imperativo ativar a Inspeção Profunda de Pacotes de tráfego SSL/TLS (DPI-SSL). No entanto, isso não é facilmente aplicado sem a implantação em massa de certificados SSL/TLS confiáveis para todos os endpoints a fim de evitar a experiência do usuário e os desafios de segurança. Isso requer um mecanismo subjacente para distribuir e gerenciar certificados e a forma como os navegadores confiam neles.

Compreender alertas e etapas de correção

Os usuários finais normalmente são menos conscientes do risco de segurança do que os profissionais de segurança e, portanto, eles precisam da plataforma de proteção de endpoints para alertá-los sobre o perfil de risco em mudança enquanto viajam com seus notebooks entre diferentes locais e para aconselhá-los sobre como ficar protegidos.

Por exemplo, um alerta pode ser gerado a partir de um cliente unificado ou de um software de terceiros ou pode fornecer um redirecionamento para uma fonte externa, como uma página da Web.

Para corrigir rapidamente qualquer problema de conformidade com a política da empresa, pode ser benéfico para os usuários finais e a TI para que os usuários finais tenham acesso a informações de autoajuda. Se o dispositivo de um usuário ficar fora da política e esse usuário estiver em quarentena, os usuários também precisarão de orientação sobre as ações necessárias para voltar à conformidade.

Gerenciamento de licenças

Os administradores precisam garantir que qualquer software de segurança de endpoint adquirido seja atualizado automaticamente para sua interface de gerenciamento para que eles possam manter os endpoints licenciados corretamente. Por exemplo, todas as informações de licença relacionadas a um cliente devem ser monitoradas e armazenadas centralmente. No caso de uma nova compra de licença, um sinal deve ser enviado ao gerenciamento centralizado do cliente unificado para alertar e iniciar o direito de software.

Em uma programação periódica, alguns administradores precisam executar relatórios de conformidade em relação a todas as licenças de terceiros implantadas para pagar seus parceiros.

Impedir ameaças avançadas, como o ransomware

As abordagens tradicionais podem, às vezes, deixar lacunas no cumprimento dos requisitos administrativos. A abordagem das tecnologias tradicionais de antivírus, baseada em assinaturas com muitos conflitos, falhou em relação ao ritmo no qual novos malwares são desenvolvidos e suas técnicas de evasão, trazendo a
necessidade de uma abordagem diferente para a proteção do cliente. Isso não deve apenas fornecer mecanismos avançados de detecção de ameaças, mas também oferecer suporte a uma estratégia de defesa em camadas nos endpoints.

Uma limitação importante nas soluções pontuais atuais (conhecidas como clientes de AV reforçados) é que o desenvolvimento é específico de um determinado terceiro e foi incorporado às ofertas dele. Os administradores precisam de um modelo mais aberto, permitindo uma adição relativamente rápida de módulos de
segurança adicionais caso o negócio ou o setor exijam isso.

Conclusão

Devido ao aumento do uso de endpoints como um vetor de ataque cibernético, os profissionais de segurança precisam agir para proteger os dispositivos de endpoint. Além disso, com a proliferação de teletrabalho, mobilidade e BYOD, há uma necessidade extrema de fornecer proteção consistente para qualquer cliente, em qualquer lugar.

Os administradores de segurança precisam avaliar as soluções de endpoint com os requisitos do mundo real em mente.

Fonte: © 2018 SonicWall Inc. 

 

 

Como o Ransomware pode manter seu negócio refém

Como o Ransomware pode manter seu negócio refém

O ransomware é uma forma de malware que nega o acesso a dados ou sistemas até que a vítima pague uma taxa ao criminoso cibernético para que ele remova a restrição. Ele já existe há vários anos, mas ultimamente se tornou muito mais popular e lucrativo. CryptoLocker, CryptoWall e RSA4096 são exemplos de ransomwares conhecidos.

De acordo com o FBI, mais de US$ 209 milhões já foram pagos nos primeiros três meses de 2016 nos Estados Unidos, comparado a US$ 25 milhões em taxas durante todo o ano passado.

Como um ransomware funciona

Um ransomware pode entrar nos sistemas de diversas formas, quando a vítima faz download e instala um aplicativo mal-intencionado. Uma vez no dispositivo, o aplicativo será disseminado em todo o sistema e arquivos criptografados no disco rígido ou simplesmente bloqueará todo o sistema. Em alguns casos, ele pode bloquear o acesso ao sistema com a exibição de imagens ou de uma mensagem na tela do dispositivo para convencer o usuário a pagar uma taxa ao operador do malware para que uma chave de criptografia desbloqueie os arquivos ou o sistema.

Bitcoins são uma forma popular de pagamento de ransomware, pois a moeda digital é difícil de rastrear.

E-mails de phishing

Um dos métodos mais comuns de distribuição de ransomware são os e-mails de phishing. Esses tipos de e-mails tentam fazer com que os destinatários abram a mensagem e cliquem no link de um site. O site pode solicitar informações confidenciais ou conter malware, como o ransomware, cujo download é feito no sistema da vítima.

De acordo com o relatório de investigação de violação de dados da Verizon, 23% dos destinatários abrem e-mails de phishing e 11% clicam nos anexos.

Malvertisements

Outra forma popular de distribuir ransomware é o “malvertising”, ou publicidade mal-intencionada, que utiliza anúncios online para disseminá-lo. O invasor se infiltra nas redes publicitárias, algumas vezes como um anunciante ou uma agência falsa, e insere anúncios com malware em sites legítimos. Visitantes inocentes desses sites nem precisam clicar no anúncio para que seus sistemas sejam infectados.

Além de iniciar o ransomware, os “malverts” podem ser utilizados para extrair números de cartões de crédito, números de previdência social e outras informações confidenciais dos clientes.

Exploração de aplicativos e sistemas sem patch

Vários ataques são baseados em vulnerabilidades conhecidas de sistemas operacionais, navegadores e aplicativos comuns. Os criminosos cibernéticos podem explorar essas vulnerabilidades para iniciar seus ataques de ransomware em sistemas desatualizados com os patches de software mais recentes.

Navegadores, aplicativos e sistemas operacionais sem patches podem conter vulnerabilidades que os criminosos cibernéticos podem explorar para iniciar ataques de ransomware.

Dispositivos externos

Dispositivos externos, como unidades USB, são usados para armazenar e transferir arquivos, o que os torna alvos de disseminação de ransomware em vários sistemas. Alguns desses arquivos contêm um recurso avançado, conhecido como macros, que pode ser utilizado por hackers para a execução do ransomware quando eles forem abertos.

Por que os métodos tradicionais falham na prevenção de ataques de ransomware

Vários controles de segurança tradicionais geralmente falham em detectar ransomwares caso procurem somente por comportamentos atípicos e indicadores padrão de comprometimento. Uma vez no sistema, o ransomware se comporta como um aplicativo de segurança e pode negar o acesso a outros sistemas/programas. Normalmente, ele deixa os sistemas e arquivos subjacentes inalterados e restringe o acesso somente à interface.

O ransomware, combinado com engenharia social, pode criar um ataque muito eficaz.

Ransomware oculto

O ransomware também pode entrar sem ser detectado em firewalls que não conseguem descriptografar e inspecionar o tráfego da Web criptografado por SSL. Soluções de segurança de rede legadas normalmente não têm capacidade de inspecionar tráfego criptografado por SSL/TLS ou seu desempenho é tão baixo que elas se tornam inutilizáveis ao realizar a inspeção. Além disso, os criminosos cibernéticos aprenderam a ocultar o malware em tráfegos criptografados.

De acordo com o relatório da Dell Security 2016, o uso da criptografia por SSL/TLS (Secure Sockets Layer/Transport Layer Security) continua em crescimento, o que resultou em invasões despercebidas e que afetaram pelo menos 900 milhões de usuários em 2015.

Conclusão

A Portnet e a SonicWall conseguem aprimorar a proteção em sua organização ao inspecionar todos os pacotes e governar todas as identidades. Dessa forma, seus dados são protegidos onde quer que eles estejam, além do compartilhamento de inteligência para mantê-lo seguro contra diversas ameaças, inclusive ransomware. Quer saber mais? Fale com um especialista!

 

Fonte: © 2017 SonicWall Inc.