por Portnet Tecnologia | Segurança em TI
Hoje em dia, provavelmente a maioria das sessões da Web de seus usuários é criptografada com HTTPS ou com a criptografia Secure Sockets Layer/Transport Layer Security (SSL/TLS). Isso acontece porque existe atualmente uma enorme tendência no setor que almeja partir para uma Internet totalmente criptografada a fim de alcançar dois objetivos principais:
• Dificultar a interceptação de criminosos cibernéticos em conexões da Web
• Manter as informações pessoais protegidas e privadas
A criptografia tem se tornado o vetor de ameaça favorito para os hackers mascararem seus ataques, burlarem os sistemas de defesa e, por fim, abrirem backdoors diretamente na sua rede. Afinal, seus controles de segurança não podem impedir o que não conseguem ver. Se não forem combatidos, quaisquer ataques que utilizarem SSL/TLS terão uma taxa de sucesso de 100% no comprometimento da sua rede, o que leva à perda de dados classificados, IP e reputação.
A criptografia está em todo lugar
Geralmente, a criptografia SSL/TLS é utilizada para tudo, desde e-commerce até transações bancárias on-line. Ela protege uma crescente quantidade de tráfego corporativo e representa a maior parte do tráfego na rede em alguns setores. A SSL protege os dados em movimento ao criar um canal criptografado na Internet pública ou em redes privadas, o que impede que os dados sejam capturados ou comprometidos.
Além disso, a SSL verifica se o destino final dos dados não foi falsificado por um hacker como um destino confiável. Dados importantes e confidenciais, como informações de cartões de crédito, nomes de usuários e senhas, são transportados de forma que, exceto pelo destinatário pretendido, qualquer pessoa tenha dificuldade em acessá-los. Enquanto sites e servidores FTP e Telnet eram os usuários originais da SSL, hoje há uma grande variedade de aplicativos que utilizam o protocolo, inclusive aplicativos baseados em Java, serviços de gerenciamento de aplicativos e serviços baseados em cloud. O Facebook e o Twitter são dois dos aplicativos mais populares com a SSL ativada.
Firewalls podem ser desafiados ao inspecionar o tráfego criptografado
Por meio da SSL/TLS, invasores experientes conseguem codificar comunicações de comando e controle, além de códigos mal-intencionados, para burlar os sistemas de prevenção de intrusão (IPS) e os sistemas de inspeção antimalware. Esses ataques podem ser extremamente eficazes, simplesmente porque a maioria das organizações não possui a infraestrutura adequada para detectá-los. Soluções de segurança de rede legadas normalmente não têm capacidade de inspecionar tráfego criptografado por SSL/TLS ou seu desempenho é tão baixo que elas se tornam inutilizáveis ao realizar a inspeção. A inspeção de tráfego de HTTPS por um firewall de próxima geração (NGFW) requer seis processos adicionais de computação, em comparação à inspeção de tráfego de texto sem formatação.
Os dois processos que mais afetam o desempenho são:
• Estabelecer uma conexão segura
• Descriptografar e voltar a criptografar o tráfego para uma troca de dados seguros
A queda do desempenho pode ser alta em alguns casos, o que impede a inspeção de SSL/TLS para empresas que operam em sistemas de segurança legados. A maioria dos ataques cibernéticos é oportunista e possui motivação financeira. Isso significa que todas as organizações correm o risco de serem comprometidas.
Conclusão
A criptografia está em todos os lugares e é considerada hoje como o vetor de ameaça favorito para os hackers. A sua segurança de rede precisa descriptografar o tráfego para interromper ameaças ocultas.
Podemos te ajudar a implantar uma rede segura e capaz de descriptografar o tráfego para interromper ameaças ocultas. Entre em contato com a gente!
Fonte: © 2017 SonicWall Inc.
por Portnet Tecnologia | Segurança em TI
As ameaças avançadas, como exploits de zero-day e malware personalizado, estão em alta. Hoje, organizações de todos os portes são alvos de criminosos cibernéticos que continuamente procuram, localizam e exploram brechas em softwares vulneráveis. Eles fazem isso para obter acesso a redes, sistemas e dados, e geralmente perpetuam danos graves dentro de apenas alguns minutos. Para melhor detectar essas ameaças desconhecidas, os profissionais de segurança implantam tecnologias avançadas de detecção de ameaças, como sandboxes virtuais, que analisam o comportamento de arquivos suspeitos e malwares ocultos desconhecidos.
Entretanto, as ameaças se tornam cada vez mais inteligentes. Hoje em dia, o malware é projetado para detectar a presença de sandboxes virtuais e evitá-las. Isso limita a eficácia das tecnologias de detecção de ameaças. As organizações precisam de uma nova abordagem para proteger seus negócios contra essas ameaças avançadas. Em particular, isso requer que a tecnologia de análise de ameaças não seja detectada ou ignorada por códigos mal-intencionados. Para isso, uma solução de proteção contra ameaças avançadas (ATP) de ponta deve ser capaz de:
• Análises de sandbox em camadas dinâmicas
• Examinar o tráfego criptografado
• Analisar todos os arquivos
• Bloquear os arquivos até que eles sejam verificados
• Acelerar a correção de ameaças identificadas
Análises de sandbox camadas dinâmicas
Fornecer camadas adicionais de análises de ameaças com um sandbox multimotor é muito mais eficaz para descobrir ameaças de zero-day do que uma abordagem com somente um motor. O malware consegue detectar e evitar um sandbox de motor único muito mais facilmente. Idealmente, uma plataforma eficaz de análise de ameaças combina múltiplas camadas de motores de análise de malware, incluindo não apenas ambientes virtuais de sandbox mas também sandboxing de emulação de hardware e sistema operacional, combinado com análises de memória.
Com essa abordagem, o código suspeito pode ser executado em uma plataforma de sandbox multimotor, que inclui um sandbox virtualizado, emulação completa de sistema e tecnologia de análise no nível do hypervisor. O comportamento de qualquer arquivo suspeito pode ser analisado, fornecendo uma visibilidade abrangente de atividades mal-intencionadas, ao mesmo tempo que resiste a táticas de evasão e aumenta a detecção de ameaças de zero-day.
Também é importante que seja possível adicionar camadas de análises de ameaças de forma dinâmica. Como as ameaças são constantemente ocultadas de novas formas, é necessária uma plataforma de análise de ameaças que altere e adote novos mecanismos de detecção e ameaça conforme necessário. A única coisa que não vai mudar é que as técnicas de ataque serão modificadas continuamente. Para a proteção contra ameaças de zero-day, as soluções que podem adicionar dinamicamente novos mecanismos de análise de malware, conforme o cenário de ameaças evolui, são mais eficazes na detecção de ameaças e malwares avançados atuais e futuros.
Examinar o tráfego criptografado
As ameaças avançadas de hoje em dia aplicam métodos complexos e sofisticados para permanecerem não detectadas. Elas usam metodologias completamente novas ou adotam os mecanismos de defesa já existentes, como a ocultação no tráfego SSL criptografado. Para ser eficaz, uma solução avançada de detecção de ameaças deve inspecionar todo o tráfego de arquivos suspeitos, seja ele criptografado ou não. Geralmente impossível com fornecedores de produtos independentes, as sandboxes que trabalham com um firewall de próxima geração podem aproveitar o uso de uma tecnologia de encerramento de SSL para analisar arquivos criptografados.
Analisar todos os arquivos
Além de ocultar tráfego criptografado, os criadores de malware ocultam códigos mal-intencionados nos arquivos e nos aplicativos. Para combater essa atividade, as sandboxes devem ser capazes de analisar o malware oculto em diversos tipos de arquivos, tamanhos de arquivo e ambientes operacionais para melhor fornecer uma detecção de ameaças de zero-day abrangente. Essa configuração deve incluir a análise de diversos tipos arquivos, inclusive programas executáveis, PDFs, documentos do MS Office, arquivamentos, arquivos JAR e APK, assim como múltiplos ambientes de sistemas operacionais, como Windows, Android, Mac OS X e ambientes com vários navegadores. Para maior flexibilidade, a solução deve permitir análises personalizadas por tipo de arquivo, tamanho de arquivo, remetente, destinatário e protocolo. Além disso, também deve permitir o envio manual de arquivos para análise.
Bloquear os arquivos até que eles sejam verificados
A detecção de ameaças de zero-day é essencial. Mas a detecção sozinha não é suficiente. Uma solução viável não deve inspecionar somente o tráfego a procura de códigos mal-intencionados, como também deve fornecer a capacidade de bloquear a entrada de códigos suspeitos na rede até que eles sejam analisados e uma decisão seja tomada. A decisão de algumas sandobxes em silos é tomada somente após a permissão de um arquivo na rede. Nesses casos, ele funciona como um alarme em vez de uma medida preventiva.
Acelerar a correção de ameaças identificadas
Quando uma ameaça é identificada, atualizações rápidas e automáticas de assinatura são essenciais. A eficácia da proteção contra ameaças depende da diminuição de tarefas demoradas de manutenção manual de uma posição de segurança proativa. Para evitar ataques posteriores, as assinaturas para malwares recém-descobertos devem ser geradas rapidamente e distribuídas automaticamente nos dispositivos de segurança de rede, o que evita futuras infiltrações da ameaça de malware identificada. Nesse cenário, quando um arquivo é identificado como malintencionado, uma nova assinatura é implantada imediatamente nos firewalls para a inclusão em bancos de dados de assinaturas IPS e antivírus de gateway, assim como bancos de dados de reputação de domínio e IP de URL. De forma ideal, você gostaria de um painel imediato para monitorar a detecção de ameaças avançadas e fornecer relatórios de análises detalhados.
Conclusão
Os ambientes atuais de sandbox devem ser tão abrangentes e dinâmicos quanto as ameaças que eles desejam impedir. Ao seguir essas melhores práticas na seleção de uma solução de sandbox de ameaças avançadas, as organizações se beneficiarão da eficácia na detecção, proteção e alta segurança, além de tempos rápidos de resposta.
Descubra como a Portnet e a SonicWall podem ajudá-lo a fornecer a garantia de proteção avançada contra ameaças! Entre em contato com a gente para saber como o Capture ATP pode proteger seus negócios.
Fonte: © 2017 SonicWall Inc.
