por Portnet Tecnologia | Segurança em TI
Um advanced persistent threat (APT) é um conjunto de processos ocultos e contínuos de invasão de computadores, muitas vezes organizados por criminosos com foco em uma entidade específica. Com frequência, essas ameaças incluem malware não documentado e desconhecido, incluindo ameaças de zero day. São projetadas para serem crescentes, polimórficas e dinâmicas. E são destinadas a extrair ou comprometer dados confidenciais, incluindo informações de controle, acesso e identidade. Embora esses tipos de ataques sejam menos comuns do que as ameaças automatizadas ou comoditizadas, que são mais amplamente direcionadas, as APTs representam uma séria ameaça.
Para detectar melhor as APTs, os profissionais de segurança estão implantando tecnologias de detecção de ameaça avançadas que, muitas vezes, incluem sandboxes virtualizados, que analisam o comportamento de arquivos suspeitos e detectam malwares ocultos anteriormente desconhecidos. No entanto, as ameaças estão ficando mais inteligentes e várias técnicas de sandbox dos fornecedores simplesmente não as acompanharam. Este resumo examina as cinco áreas em que as técnicas de sandbox legados falham, e explora o que é necessário para que a sua empresa fique à frente das APTs.
1. Infiltração antes da análise
Primeiro, algumas soluções de sandbox não chegaram a uma conclusão da análise até que um arquivo potencialmente perigoso já tivesse entrado no perímetro da rede. Isso aumenta os possíveis vetores que um arquivo de malware executado tem para se infiltrar pela rede no perímetro.
2. Análises de arquivo limitadas
Segundo, algumas soluções de sandbox de gateway são limitadas em termos de tamanho e tipo de arquivos, ou pelo ambiente operacional que podem analisar. Elas somente podem cuidar das ameaças destinadas a um único ambiente de computação. Ainda assim, as empresas de hoje operam em vários sistemas operacionais, incluindo Windows, Android e Mac OSX.
Além disso, o aumento na adoção de dispositivos móveis e conectados ampliou a superfície de ataque de destino das ameaças. Em 2015, o SonicWall viu uma ampla variedade de novas técnicas ofensivas e defensivas que tentaram aumentar a força dos ataques contra o ecossistema Android, que corresponde a quase 85 por cento de todos os smartphones globalmente. Muitas vezes, as tecnologias de detecção de ameaça avançadas de hoje apenas analisam e detectam ameaças destinadas aos aplicativos e sistemas operacionais de produtividade em escritório legado. Isso também pode deixar as organizações vulneráveis a ataques destinados a ambientes modernos de dispositivo móvel e conectado.
Além disso, elas podem não conseguir processar uma ampla variedade de tipos de arquivos de negócios padrão, incluindo programas executáveis (PE), DLL, PDFs, documentos do MS Office, arquivamentos, arquivos JAR e APK. Tais limitações podem fazer com que as ameaças de zero day desconhecidas passem pela rede sem análise e identificação.
3. Mecanismo de sandbox isolado
Terceiro, as soluções de sandbox de mecanismo único autônomas não são mais adequadas.
O Malware está agora sendo projetado para detectar a presença de um sandbox virtual e evitar a descoberta, limitando a eficácia das tecnologias de sandbox de primeira geração. As soluções de sandbox de mecanismo único apresentam um destino particularmente fácil para técnicas de evasão.
Além disso, as técnicas de mecanismo único criam lacunas de análise. Por exemplo, as análises que buscam chamadas entre aplicativos e sistemas operacionais podem ser menos granulares do que as análises que buscam chamadas entre hardware e sistemas operacionais, já que a maioria dessas chamadas está oculta das camadas de aplicativos.
Uma técnica mais eficiente seria integrar as camadas de vários mecanismos de sandbox. E, no entanto, as soluções de sandbox são muitas vezes dispositivos autônomos de mecanismo único e isolados ou serviços em cloud. Implantar várias tecnologias de sanbox, se fosse viável, poderia aumentar significativamente a complexidade de configuração, a sobrecarga administrativa e os custos.
4. Ameaças criptografadas
Por muitos anos, instituições financeiras e outras empresas que lidam com informações confidenciais optaram pelo protocolo HTTPS seguro que criptografa as informações compartilhadas. Agora outros sites, como Google, Facebook e Twitter, também estão adotando essa prática em resposta a uma crescente demanda por privacidade e segurança do usuário. Embora haja muitos benefícios em usar mais criptografia de Internet, surge uma tendência menos positiva conforme os hackers exploram essa criptografia como uma maneira de “ocultar” malware de firewalls corporativos.
Por meio do uso da criptografia Secure Sockets Layer (SSL) e Transport Layer Security (TLS) (SSL/TLS), ou do tráfego de HTTPS, os invasores experientes conseguem codificar comunicações de comando e controle e código malicioso para burlar os sistemas de prevenção de intrusão (IPS) e os sistemas de inspeção antimalware. Esses ataques podem ser extremamente eficazes, simplesmente porque a maioria das empresas não tem a infraestrutura adequada para detectá-los. Soluções de segurança de rede legadas normalmente não têm capacidade de inspecionar tráfego criptografado de SSL/TLS ou seu desempenho é tão baixo que elas se tornam inutilizáveis ao realizar a inspeção.
5. Correção bloqueada
Além disso, muitas vezes as tecnologias de detecção de ameaças avançadas de hoje somente relatam sobre a presença e o comportamento do malware. Mesmo se a técnica de sanbox identificar de maneira eficiente uma nova ameaça evoluída em um endpoint específico, as organizações não possuem uma maneira clara de corrigir essa ameaça. Elas não possuem uma maneira simples e eficiente de atualizar todas as assinaturas de firewall em uma rede distribuída globalmente.
Quando o malware é descoberto, provavelmente após um sistema ser infectado, a correção recai sobre a organização de TI, deixando a equipe de TI com a demorada tarefa de rastrear e eliminar o malware e os danos associados dos sistemas infectados. Além disso, a equipe de TI também precisa criar e implantar rapidamente novas assinaturas de malware na organização para evitar ataques adicionais.
O que é necessário
Embora os sandboxes legados possam ser falhos, seu princípio subjacente é sólido. Ainda assim, esses problemas precisam ser resolvidos para que a sandbox seja eficiente. Para isso, sua solução de sandbox deve:
• Aplicar uma análise baseada em cloud em arquivos suspeitos para detectar e bloquear ameaças desconhecidas fora do gateway até que um veredito seja determinado;
• Analisar uma ampla variedade de tipos de arquivos e ambientes operacionais, independentemente da criptografia ou do tamanho do arquivo;
• Atualizar de maneira rápida e automática as assinaturas de correção;
• Integrar vários mecanismos de sandbox para resistir melhor às táticas de evasão, obter melhor visibilidade do comportamento mal-intencionado e aumentar a detecção de ameaças;
• Complexidade e custos mais baixos.
Saiba como proteger os dados confidenciais da sua organização, fale com os especialistas Portnet!
Fonte: © 2017 SonicWall Inc.
por Portnet Tecnologia | Segurança em TI
Você com certeza conhece o filtro URL, mas já parou para pensar em como as suas decisões sobre quais sites bloquear podem afetar toda a empresa?
Para gerir uma lista negra eficiente, é preciso ter bom senso e, ao mesmo tempo, balancear segurança e produtividade. Hoje vamos discutir um pouco mais sobre o que levar em conta para não errar nas suas escolhas:
Como funciona o filtro de URL?
O bloqueio de sites por meio de filtros de URL é uma das práticas de segurança mais comuns em empresas, por ser simples e eficiente no que se propõe. A técnica consiste em, basicamente, criar uma lista negra de endereços web que representam algum risco potencial ou atrapalham na produtividade da empresa.
Esse tipo de controle pode ser feito tanto com configurações manuais da TI quanto com o auxílio de ferramentas automatizadas dentro do sistema.
O filtro de URL vale a pena?
Em uma resposta curta, claro que vale. Praticamente todas as empresas que lidam com sistemas tecnológicos possuem algum tipo de filtragem de URL implementada.
Mas a questão principal ao avaliar essa pergunta é até quando o filtro contribui com a produtividade e segurança e os prejuízos que são causados ao ultrapassar o limite do bom senso.
A decisão de bloquear cada site deve vir de uma comparação entre os ganhos e as perdas da restrição de acesso. Um controle muito liberal pode tirar o foco da equipe e comprometer o sistema, enquanto um controle muito rígido pode capar o esforço produtivo de todos os funcionários.
O ideal é que haja a participação de vários departamentos nessa decisão e que ela seja acompanhada pela elaboração de termos de uso, para que todos usuários estejam cientes da importância dessa limitação e otimizem a sua própria estação de trabalho em acordo com as normas.
O que considerar quando aplicar filtros de URL?
Sempre que o gerente de TI criar uma lista de URLs filtradas, ele precisa levar em conta uma série de aspectos do cotidiano de uma empresa e, como dissemos, usar o bom senso para decidir a melhor forma de atacar cada decisão. Veja quais são os principais aspectos:
Segurança
Com certeza, a segurança deve ser o primeiro item na sua lista de checagem para definir o bloqueio ou não de um site. Se houver qualquer suspeita de ambiente inseguro ou a possibilidade de phishing, é melhor ouvir a reclamação de alguns funcionários do que botar todo o sistema em risco.
Consumo de banda
Mesmo que assistir vídeos durante o expediente não seja um problema, por exemplo, é interessante cogitar sites de entretenimento para sua lista de URLs filtradas. O consumo de mídia é um dos maiores devoradores de banda que existem e, no caso de um pico de uso, o sistema pode ficar instável ou até cair, gerando perda de produção e tempo com manutenção.
Armazenamento e compartilhamento de arquivos
Muitas pessoas atualmente usam portais e sites com serviços de nuvem para criar, armazenar e compartilhar seus arquivos pessoais. A liberação ou não desses endereços deve ser muito bem estudada, já que, apesar de aumentar a produtividade em alguns casos, esse tipo de serviço pode ser uma porta de entrada para ameaças não previstas.
Produtividade
Falando em produtividade, essa deve ser sempre a busca final de um gerente de TI ao lado da segurança. A decisão de bloquear ou liberar uma URL deve sempre estar em uma balança bem sensível: de um lado, o quanto determinado site ajuda no bem estar e na motivação dos funcionários; de outro, o seu impacto na produção quando somado ao longo dos dias.
Afinal, o filtro de URL é apenas uma das armas que um bom profissional de TI tem em mãos para garantir uma empresa mais segura e eficiente. Se é esse poder que você procura, então continue a se inteirar do assunto neste artigo sobre como garantir a segurança em um ambiente BYOD.
por Portnet Tecnologia | Segurança em TI
A proteção de dados corporativos é vital por causa do crescimento dos ciberataques, como o ocorrido em maio e junho de 2017, quando uma onda de incidentes com rasomwares chegou a atingir pelo menos 150 países.
Para se proteger deles, e dos prejuízos causados, é preciso adotar sistemas de segurança eficientes. Entre eles, temos os diferentes tipos de firewall, que funcionam como uma das primeiras barreiras contra invasões vindas de redes externas.
Quer saber que tipos de firewall são esses e como eles podem ajudar na segurança da sua empresa? Acompanhe nosso post e descubra!
O que é um firewall?
Firewall, traduzido literalmente como “parede de fogo”, consiste num sistema de segurança voltado para software/hardware. Ele analisa o tráfego de rede e tem como parâmetros regras predefinidas, visando identificar quais operações de recepção/transmissão de dados podem ser realizadas.
Resumindo: ele bloqueia tráfego de dados indesejados e suspeitos, permitindo acessos a conteúdos considerados seguros.
Quais os principais tipos de firewall?
Proxy Services
Proxy Services, ou Firewall de Aplicação, é um tipo que age intermediando uma rede interna, ou equipamento, com outra rede externa, geralmente a web. Ele regula um grande número de informações, motivo pelo qual normalmente é instalado em dispositivos mais potentes.
Esse tipo não possibilita a comunicação direta entre origem e destino, de modo que toda a troca de informações passa por ele. Isso permite que se estabeleçam regras de bloqueios ou impedimentos em relação a determinados endereços.
Entre suas atividades, destacam-se o armazenamento de dados muito usados em cache e a liberação de funcionalidades específicas somente por meio de autenticação do usuário.
Packet Filtering
Packet Filtering, ou Filtragem de Pacotes, é um tipo de firewall mais simples. Ele funciona analisando uma série de regras estabelecidas pelo desenvolvedor para liberar o tráfego de dados. Se as informações recebidas ou enviadas combinam com as instruções, o usuário e o fluxo são autorizados.
A filtragem de pacotes pode ocorrer de forma estática, com os dados sendo avaliados com base nas regras, sem se observar a ligação que os pacotes possuem entre si. A filtragem também pode ser de forma dinâmica, em que é possível o estabelecimento de regras que se adaptem à situação.
Stateful Inspection
Um firewall Stateful Inspection, ou Inspeção de Estados, realiza uma espécie de comparação entre o que se espera que ocorra num tráfego de informações e o que realmente está ocorrendo.
Ele avalia todo o tráfego de dados procurando por padrões permitidos ou aceitáveis com base em suas regras. Esses serão, em primeira instância, usados para manter a comunicação. Após isso, essas informações serão guardadas e utilizadas novamente como parâmetro para o tráfego seguinte.
Como esses tipos de firewall precisam ser avaliados além do básico?
Embora os firewall sejam soluções de segurança com bons níveis de proteção, é importante pensá-los além do básico, visando aumentar a segurança. Para isso, veja alguns pontos a avaliar:
Considere as permissões dadas aos usuários
É fundamental estabelecer níveis de permissões para os colaboradores da empresa, estipulando quais usuários possuirão acesso amplo e quais terão limitações.
Avalie possíveis automações de segurança
Há firewalls que trazem recursos de automação de segurança, como o NGFW focado em ameaças. Ele permite a identificação de quais recursos têm um risco maior, graças a um reconhecimento total de contexto. Também reage de modo rápido a ataques com automação de segurança inteligente, a qual estipula políticas e fortalece as defesas de maneira dinâmica.
Esteja atento a novos riscos
É importante adotar uma solução que seja atualizada periodicamente pelo desenvolvedor, com base em previsões de segurança modernas, de modo que esteja apta a proteger os sistemas contra novos riscos.
Observe as limitações desse tipo de proteção
Os firewalls são importantes para a proteção dos dados, mas eles também possuem limitações. Por exemplo, podem não conseguir identificar ações maliciosas que ocorram por descuidos dos usuários, como cliques em links suspeitos em e-mails.
Cibercriminosos podem encontrar brechas num firewall utilizado, passando a contaminar a rede por meio deles. Nesse ponto, vale ressaltar a importância de se contar com uma solução atualizada constantemente para se evitar tal falha e utilizá-la em conjunto com um antivírus e antimalware.
Quer ficar por dentro de mais artigos sobre segurança da informação? Então assine nossa newsletter e receba nossos conteúdos direto no seu e-mail!
