Você sabe o que é Next Generation Firewall e quais os seus benefícios?

Você sabe o que é Next Generation Firewall e quais os seus benefícios?

por | Segurança em TI

A evolução tecnológica dos últimos anos permitiu às empresas revolucionar seus negócios e suas operações. No entanto, essa mudança de comportamento e de padrões degradou a segurança oferecida pelos firewalls tradicionais. Nesse contexto, um firewall de última geração (NGFW – Next Generation FireWall) tornou-se um elemento imprescindível nas estratégias de segurança da informação.

De fato, o cenário de TI atual, caracterizado por migração intensa para a nuvem, aumento do tráfego de rede, adoção de BYOD e políticas de trabalho remoto, forneceu aos cibercriminosos oportunidades sem precedentes.

Tanto que, segundo dados da MZ, empresa especializada nas Relações com Investidores, os ataques cibernéticos a empresas de capital aberto cresceram 220% no primeiro semestre de 2021, em relação ao mesmo período do ano anterior.

Um outro levantamento, da consultoria alemã Roland Berger, revelou que o Brasil é o 5º país com mais registros de ataques de hackers contra empresas. O estudo revelou ainda que os ataques realizados no primeiro semestre de 2021 já superam o total registrado em todo ano de 2020.

A boa notícia é que as defesas de segurança também evoluíram. Hoje, as empresas podem contar com soluções como o Next Generation Firewall, que podem identificar ataques independentemente da porta, protocolo, técnicas evasivas ou criptografia SSL.  

Ele também fornece proteção em tempo real contra uma ampla gama de ameaças, incluindo aquelas que operam na camada de aplicativo. Continue a leitura para saber mais!

O que é um Next Generation Firewall (NGFW)?

O firewall de última geração (NGFW) foi projetado para resolver ameaças cibernéticas avançadas no nível do aplicativo por meio de recursos de segurança com reconhecimento de contexto e inteligência. 

Um NGFW combina recursos convencionais de firewall, como inspeção de estados (stateful inspeciono) e filtragem de pacotes, com outros avançados para tomar decisões sobre que tipo de tráfego permitir.

Esse tipo de firewall tem a capacidade de filtrar pacotes com base em aplicativos e inspecionar os dados armazenados nos pacotes (não se limitando a cabeçalhos IP, como os firewalls tradicionais). 

Simplificando, Next Generation Firewall opera até a camada 7 (a camada de aplicativo) no modelo Open Systems Interconnection (OSI). Isso o torna mais poderoso do que a tecnologia de firewall anterior, que operava apenas até a quarta camada (a camada de transporte).

Os recursos de um NGFW incluem:

  • Sistema de prevenção de intrusão (IPS): verifica o tráfego da rede, identifica malware e bloqueia-o;
  • Inspeção profunda de pacotes (DPI): melhora a filtragem de pacotes ao analisar o corpo de cada pacote, não apenas o cabeçalho;
  • Prevenção contra intrusão e controle de aplicativos: identifica e bloqueia o tráfego com base nos aplicativos para os quais o tráfego está indo;
  • Atualizações contínuas de inteligência contra ameaças: incorpora fluxos de inteligência de ameaças atualizadas para identificar as ameaças mais recentes.

Quais os benefícios?

Os recursos diferenciadores do Next Generation Firewall criam benefícios exclusivos para as empresas que os utilizam. Dentre eles, vale destacar:

Funções de segurança em nível de aplicativo, como IDS e IPS

Um Next Generation Firewall adiciona um nível de funções de segurança do aplicativo, como sistemas de detecção de intrusão, também conhecidos como IDS, e sistemas de prevenção de intrusões, também conhecidos como IPS.

Esses aplicativos ajudam a melhorar a filtragem de conteúdo de pacotes e podem identificar, analisar e agir quando identificar desvios no conjunto padrão de atividades.

Isso permite que mesmo ameaças que ainda não estão catalogadas na base de dados do NGFW possam ser identificadas e contidas em razão do seu comportamento atípico.

Proteção multicamada

Um firewall tradicional pode bloquear o acesso por meio de portas (proteção de camada única), o que se mostra insignificante no cenário complexo e em evolução da arquitetura de dados.

O Next Generation Firewall oferece proteção em várias camadas, inspecionando o tráfego da camada 2 à camada 7 do modelo OSI e, ao mesmo tempo, entendendo a natureza exata da transferência de dados.

Portanto, se a transferência de dados estiver dentro dos limites da política de firewall definida, será transferido, caso contrário, será bloqueado.

Infraestrutura simplificada

Com o Next Generation Firewall, você pode gerenciar e atualizar facilmente os protocolos de segurança a partir de um único dispositivo.

Isso simplifica a complicada infraestrutura de segurança e economiza tempo nas atividades operacionais do dia a dia.

Uso ideal da velocidade da rede

No caso do firewall tradicional, a velocidade da rede diminui à medida que o número de protocolos e dispositivos de segurança aumenta.

Isso ocorre porque a velocidade da rede dedicada não atinge o potencial esperado com o aumento dos dispositivos e serviços de segurança.

Mas, com o Next Generation Firewall, você pode atingir constantemente o rendimento potencial, independentemente do número de dispositivos e protocolos de segurança.

Capacidade de implementar acesso baseado em funções

O Next Generation Firewall tem a capacidade inerente de detectar a identidade do usuário. Ele também pode funcionar com diferentes funções e limitar o escopo de acesso de um indivíduo e / ou grupo.

Esse recurso ajuda as organizações a definir o acesso baseado em funções. Isso é útil, por exemplo, para garantir a adequação à Lei Geral de Proteção de Dados (LGPD), garantindo que somente pessoas autorizadas tenham acesso aos dados pessoais de clientes.

Desafios da jornada de transformação digital

Quando se trata de enfrentar os desafios de negócios, as empresas geralmente desejam adotar novas tecnologias, como computação em nuvem, mobilidade da força de trabalho e automação. 

Contudo, muitas organizações encontram sua jornada de transformação digital carregada de novos desafios, incluindo um aumento no número de dispositivos conectados, milhões de conexões criptografadas, requisitos de largura de banda aumentados, ataques evasivos em constante evolução etc.

Diante disso, fica evidente que os firewalls tradicionais não são mais capazes de proteger as empresas de ameaças modernas e sofisticadas, nem são capazes de atender os requisitos de velocidade de rede em infraestruturas complexas e descentralizadas. 

Por isso, contar com uma solução de Next Generation Firewall tornou-se imprescindível para garantir a proteção dos dados empresariais, uma vez que ele oferece espectro muito mais amplo de intrusões

Os NGFWs contam com recursos para oferecer inteligência acionável e controles avançados, além de poder ser facilmente combinado a um conjunto de soluções de segurança para construir uma infraestrutura segura de ponta a ponta.

Quer saber mais sobre o Next Generation Firewall ou implementar essa solução na sua empresa? Então, entre em contato com os especialistas da Portnet agora mesmo!

 

5 maneiras em que os sandboxes em seu firewall podem falhar

5 maneiras em que os sandboxes em seu firewall podem falhar

por | Segurança em TI

Um advanced persistent threat (APT) é um conjunto de processos ocultos e contínuos de invasão de computadores, muitas vezes organizados por criminosos com foco em uma entidade específica. Com frequência, essas ameaças incluem malware não documentado e desconhecido, incluindo ameaças de zero day. São projetadas para serem crescentes, polimórficas e dinâmicas. E são destinadas a extrair ou comprometer dados confidenciais, incluindo informações de controle, acesso e identidade. Embora esses tipos de ataques sejam menos comuns do que as ameaças automatizadas ou comoditizadas, que são mais amplamente direcionadas, as APTs representam uma séria ameaça.

Para detectar melhor as APTs, os profissionais de segurança estão implantando tecnologias de detecção de ameaça avançadas que, muitas vezes, incluem sandboxes virtualizados, que analisam o comportamento de arquivos suspeitos e detectam malwares ocultos anteriormente desconhecidos. No entanto, as ameaças estão ficando mais inteligentes e várias técnicas de sandbox dos fornecedores simplesmente não as acompanharam. Este resumo examina as cinco áreas em que as técnicas de sandbox legados falham, e explora o que é necessário para que a sua empresa fique à frente das APTs.

1. Infiltração antes da análise

Primeiro, algumas soluções de sandbox não chegaram a uma conclusão da análise até que um arquivo potencialmente perigoso já tivesse entrado no perímetro da rede. Isso aumenta os possíveis vetores que um arquivo de malware executado tem para se infiltrar pela rede no perímetro.

2. Análises de arquivo limitadas

Segundo, algumas soluções de sandbox de gateway são limitadas em termos de tamanho e tipo de arquivos, ou pelo ambiente operacional que podem analisar. Elas somente podem cuidar das ameaças destinadas a um único ambiente de computação. Ainda assim, as empresas de hoje operam em vários sistemas operacionais, incluindo Windows, Android e Mac OSX.

Além disso, o aumento na adoção de dispositivos móveis e conectados ampliou a superfície de ataque de destino das ameaças. Em 2015, o SonicWall viu uma ampla variedade de novas técnicas ofensivas e defensivas que tentaram aumentar a força dos ataques contra o ecossistema Android, que corresponde a quase 85 por cento de todos os smartphones globalmente. Muitas vezes, as tecnologias de detecção de ameaça avançadas de hoje apenas analisam e detectam ameaças destinadas aos aplicativos e sistemas operacionais de produtividade em escritório legado. Isso também pode deixar as organizações vulneráveis a ataques destinados a ambientes modernos de dispositivo móvel e conectado.

Além disso, elas podem não conseguir processar uma ampla variedade de tipos de arquivos de negócios padrão, incluindo programas executáveis (PE), DLL, PDFs, documentos do MS Office, arquivamentos, arquivos JAR e APK. Tais limitações podem fazer com que as ameaças de zero day desconhecidas passem pela rede sem análise e identificação.

3. Mecanismo de sandbox isolado

Terceiro, as soluções de sandbox de mecanismo único autônomas não são mais adequadas.

O Malware está agora sendo projetado para detectar a presença de um sandbox virtual e evitar a descoberta, limitando a eficácia das tecnologias de sandbox de primeira geração. As soluções de sandbox de mecanismo único apresentam um destino particularmente fácil para técnicas de evasão.

Além disso, as técnicas de mecanismo único criam lacunas de análise. Por exemplo, as análises que buscam chamadas entre aplicativos e sistemas operacionais podem ser menos granulares do que as análises que buscam chamadas entre hardware e sistemas operacionais, já que a maioria dessas chamadas está oculta das camadas de aplicativos.

Uma técnica mais eficiente seria integrar as camadas de vários mecanismos de sandbox. E, no entanto, as soluções de sandbox são muitas vezes dispositivos autônomos de mecanismo único e isolados ou serviços em cloud. Implantar várias tecnologias de sanbox, se fosse viável, poderia aumentar significativamente a complexidade de configuração, a sobrecarga administrativa e os custos.

4. Ameaças criptografadas

Por muitos anos, instituições financeiras e outras empresas que lidam com informações confidenciais optaram pelo protocolo HTTPS seguro que criptografa as informações compartilhadas. Agora outros sites, como Google, Facebook e Twitter, também estão adotando essa prática em resposta a uma crescente demanda por privacidade e segurança do usuário. Embora haja muitos benefícios em usar mais criptografia de Internet, surge uma tendência menos positiva conforme os hackers exploram essa criptografia como uma maneira de “ocultar” malware de firewalls corporativos.

Por meio do uso da criptografia Secure Sockets Layer (SSL) e Transport Layer Security (TLS) (SSL/TLS), ou do tráfego de HTTPS, os invasores experientes conseguem codificar comunicações de comando e controle e código malicioso para burlar os sistemas de prevenção de intrusão (IPS) e os sistemas de inspeção antimalware. Esses ataques podem ser extremamente eficazes, simplesmente porque a maioria das empresas não tem a infraestrutura adequada para detectá-los. Soluções de segurança de rede legadas normalmente não têm capacidade de inspecionar tráfego criptografado de SSL/TLS ou seu desempenho é tão baixo que elas se tornam inutilizáveis ao realizar a inspeção.

5. Correção bloqueada

Além disso, muitas vezes as tecnologias de detecção de ameaças avançadas de hoje somente relatam sobre a presença e o comportamento do malware. Mesmo se a técnica de sanbox identificar de maneira eficiente uma nova ameaça evoluída em um endpoint específico, as organizações não possuem uma maneira clara de corrigir essa ameaça. Elas não possuem uma maneira simples e eficiente de atualizar todas as assinaturas de firewall em uma rede distribuída globalmente.

Quando o malware é descoberto, provavelmente após um sistema ser infectado, a correção recai sobre a organização de TI, deixando a equipe de TI com a demorada tarefa de rastrear e eliminar o malware e os danos associados dos sistemas infectados. Além disso, a equipe de TI também precisa criar e implantar rapidamente novas assinaturas de malware na organização para evitar ataques adicionais.

O que é necessário

Embora os sandboxes legados possam ser falhos, seu princípio subjacente é sólido. Ainda assim, esses problemas precisam ser resolvidos para que a sandbox seja eficiente. Para isso, sua solução de sandbox deve:

• Aplicar uma análise baseada em cloud em arquivos suspeitos para detectar e bloquear ameaças desconhecidas fora do gateway até que um veredito seja determinado;

• Analisar uma ampla variedade de tipos de arquivos e ambientes operacionais, independentemente da criptografia ou do tamanho do arquivo;

• Atualizar de maneira rápida e automática as assinaturas de correção;

• Integrar vários mecanismos de sandbox para resistir melhor às táticas de evasão, obter melhor visibilidade do comportamento mal-intencionado e aumentar a detecção de ameaças;

• Complexidade e custos mais baixos.

Saiba como proteger os dados confidenciais da sua organização, fale com os especialistas Portnet!

Fonte: © 2017 SonicWall Inc.

O que é filtro de URL? Veja se o bloqueio de sites vale a pena

O que é filtro de URL? Veja se o bloqueio de sites vale a pena

por | Segurança em TI

Você com certeza conhece o filtro URL, mas já parou para pensar em como as suas decisões sobre quais sites bloquear podem afetar toda a empresa?

Para gerir uma lista negra eficiente, é preciso ter bom senso e, ao mesmo tempo, balancear segurança e produtividade. Hoje vamos discutir um pouco mais sobre o que levar em conta para não errar nas suas escolhas:

 

Como funciona o filtro de URL?

O bloqueio de sites por meio de filtros de URL é uma das práticas de segurança mais comuns em empresas, por ser simples e eficiente no que se propõe. A técnica consiste em, basicamente, criar uma lista negra de endereços web que representam algum risco potencial ou atrapalham na produtividade da empresa.

Esse tipo de controle pode ser feito tanto com configurações manuais da TI quanto com o auxílio de ferramentas automatizadas dentro do sistema.

 

O filtro de URL vale a pena?

Em uma resposta curta, claro que vale. Praticamente todas as empresas que lidam com sistemas tecnológicos possuem algum tipo de filtragem de URL implementada.

Mas a questão principal ao avaliar essa pergunta é até quando o filtro contribui com a produtividade e segurança e os prejuízos que são causados ao ultrapassar o limite do bom senso.

A decisão de bloquear cada site deve vir de uma comparação entre os ganhos e as perdas da restrição de acesso. Um controle muito liberal pode tirar o foco da equipe e comprometer o sistema, enquanto um controle muito rígido pode capar o esforço produtivo de todos os funcionários.

O ideal é que haja a participação de vários departamentos nessa decisão e que ela seja acompanhada pela elaboração de termos de uso, para que todos usuários estejam cientes da importância dessa limitação e otimizem a sua própria estação de trabalho em acordo com as normas.

 

O que considerar quando aplicar filtros de URL?

Sempre que o gerente de TI criar uma lista de URLs filtradas, ele precisa levar em conta uma série de aspectos do cotidiano de uma empresa e, como dissemos, usar o bom senso para decidir a melhor forma de atacar cada decisão. Veja quais são os principais aspectos:

Segurança

Com certeza, a segurança deve ser o primeiro item na sua lista de checagem para definir o bloqueio ou não de um site. Se houver qualquer suspeita de ambiente inseguro ou a possibilidade de phishing, é melhor ouvir a reclamação de alguns funcionários do que botar todo o sistema em risco.

Consumo de banda

Mesmo que assistir vídeos durante o expediente não seja um problema, por exemplo, é interessante cogitar sites de entretenimento para sua lista de URLs filtradas. O consumo de mídia é um dos maiores devoradores de banda que existem e, no caso de um pico de uso, o sistema pode ficar instável ou até cair, gerando perda de produção e tempo com manutenção.

Armazenamento e compartilhamento de arquivos

Muitas pessoas atualmente usam portais e sites com serviços de nuvem para criar, armazenar e compartilhar seus arquivos pessoais. A liberação ou não desses endereços deve ser muito bem estudada, já que, apesar de aumentar a produtividade em alguns casos, esse tipo de serviço pode ser uma porta de entrada para ameaças não previstas.

Produtividade

Falando em produtividade, essa deve ser sempre a busca final de um gerente de TI ao lado da segurança. A decisão de bloquear ou liberar uma URL deve sempre estar em uma balança bem sensível: de um lado, o quanto determinado site ajuda no bem estar e na motivação dos funcionários; de outro, o seu impacto na produção quando somado ao longo dos dias.

Afinal, o filtro de URL é apenas uma das armas que um bom profissional de TI tem em mãos para garantir uma empresa mais segura e eficiente. Se é esse poder que você procura, então continue a se inteirar do assunto neste artigo sobre como garantir a segurança em um ambiente BYOD.

 

 

Melhores práticas para impedir ameaças criptografadas

Melhores práticas para impedir ameaças criptografadas

por | Segurança em TI

A criptografia Secure Sockets Layer/Transport Layer Security (SSL/TLS), ou o tráfego de HTTPS, tem se tornado um meio universal de proteger dados confidenciais em trânsito na Internet. A questão é: como você pode manter intactas a integridade e a privacidade da comunicação SSL, ao mesmo tempo que garante a segurança da rede e dos dados sendo trocados?

O ideal é descriptografar o tráfego criptografado que entra na sua rede para permitir que o firewall de segurança de rede verifique o tráfego e identifique ameaças ocultas. Para isso, os firewalls de hoje em dia aplicam uma inspeção profunda de pacotes de tecnologia Secure Sockets Layer (DPI SSL).

Entretanto, mesmo os fornecedores de firewall que alegam oferecer a inspeção e a descriptografia SSL podem não ter a capacidade de processamento para lidar com o nível de tráfego SSL que passa pela rede hoje em dia. Ao considerar uma solução DPI SSL, é recomendado realizar uma avaliação com prova de conceito.

A melhor solução utiliza a tecnologia full-stack inspection engine para verificar o tráfego criptografado em SSL contra ameaças e então envia o tráfego ao seu destino, caso nenhuma ameaça ou vulnerabilidade seja encontrada. Também é importante ter uma configuração simples e segura que reduza a sobrecarga e a complexidade da configuração.

 

Considerações de implantação

 

Para implementações de tráfego intenso, é necessário excluir fontes confiáveis a fim de aumentar o desempenho da rede. Além disso, você deseja poder direcionar o tráfego específico da inspeção de SSL ao personalizar uma lista que determina o endereço, assim como o serviço, os grupos ou os objetos de usuários.

Também é essencial inspecionar o tráfego SSL, independentemente de ele vir por trás da LAN do firewall para acessar o conteúdo na WAN ou vice-versa. Esse nível de inspeção protege todos os usuários na LAN contra intrusão, vírus, cavalos de Troia e outros ataques perigosos à rede ocultos pela criptografia. Ele também protege todos os usuários na WAN, inclusive clientes remotos, contra ataques criptografados ocultos.

Outra consideração é uma solução de hardware de segurança de firewall que possa escalar facilmente para fornecer DPI-SSL server-side e client-side sem comprometer a eficácia da segurança. A resposta é um “sanduíche de firewall”.

Um sanduíche de firewall é uma configuração com base em firewalls de próxima geração (NGFWs) que podem ajustar a escalabilidade vertical com DPI-SSL de entrada e de saída. O sanduíche de firewall é altamente eficiente, pois ele ajusta a escalabilidade horizontal de maneira linear. Ele contém uma arquitetura baseada em rede que conta com NGFWs em uma camada única, em vez de appliances adicionais para a filtragem de conteúdo ou descriptografia SSL. Essa abordagem adiciona proteção sem prejudicar a taxa de transferência e evita que a baixa escalabilidade e os custos atinjam o próximo grande chassi.

Observe que os firewalls utilizados para essa abordagem devem ser projetados com processadores com vários núcleos a fim de que possam escalar ao serem executados em paralelo uns com os outros. Diversas marcas de NGFW podem não escalar de maneira linear, o que pode levar à degradação do desempenho caso um componente nessa configuração atinja o limite máximo. Com a combinação certa de firewalls, você pode recuperar o desempenho perdido ao inspecionar a SSL nos firewalls existentes ou independentes e escalar a DPI-SSL para até 80 Gbit/s.

 

Melhores práticas para proteção

 

A boa notícia é que existem maneiras de aproveitar os benefícios de segurança da criptografia SSL/TLS sem fornecer um túnel para os invasores:

1. Se você não fez uma auditoria de segurança recentemente, realize uma análise de riscos abrangente para identificar seus riscos e necessidades.

2. Atualize para um NGFW eficiente e extensível com um IPS integrado e um design de inspeção de SSL que possa escalar o desempenho para oferecer suporte ao crescimento futuro.

3. Atualize suas políticas de segurança para se defender contra uma grande variedade de vetores de ameaças e estabelecer múltiplos métodos de defesa de segurança para responder a ambos os ataques de HTTP e HTTPS.

4. Treine a sua equipe continuamente para que ela esteja consciente dos perigos das mídias sociais, dos downloads e sites de engenharia social suspeitos, além das tentativas de phishing e spam.

5. Informe os usuários a nunca aceitarem um certificado inválido e autoassinado.

6. Certifique-se de que todo o seu software esteja atualizado. Isso ajudará a protegê-lo contra exploits de SSL antigos que já foram neutralizados

 

Existem maneiras eficientes de manter a integridade e a privacidade da comunicação SSL, e ao mesmo tempo proteger a rede e os dados que são trocados. Converse com a Portnet e saiba como podemos ajudar a sua organização a interromper ameaças ocultas com as soluções SonicWall.

Fonte: © 2017 SonicWall Inc.