por Portnet Tecnologia | Segurança em TI
As ameaças avançadas de hoje em dia requerem um novo conjunto de funcionalidades de segurança de e-mail além dos recursos tradicionais. Uma abordagem multicamadas de segurança de e-mail garante proteção para as comunicações do negócio. Os negócios precisam de uma solução de segurança de e-mail de próxima geração que ofereça recursos abrangentes de prevenção contra ameaças.
A importância cada vez maior da segurança de e-mail de próxima geração
O e-mail tornou-se o vetor mais importante para uma variedade de ameaças, tanto de entrada quanto de saída. As ameaças cibernéticas estão evoluindo rapidamente de ataques de spam em massa para formas avançadas de ataques direcionados. A maioria destas campanhas de ataques utilizam o e-mail como veículo preferencial para distribuir o payload. De acordo com Relatório anual de ameaças do SonicWall o uso de ransomware cresceu 167 vezes anualmente e é o payload de escolha para campanhas de e-mail maliciosas. No entanto, a segurança de e-mail tradicional não está equipada para lidar com ameaças avançadas como o ransomware e ataques zero-day. Hoje, você precisa de uma solução de segurança de e-mail de próxima geração.
A seguir estão os recursos críticos que uma solução de segurança de e-mail de próxima geração deve fornecer para a prevenção efetiva de violações:
Proteção avançada contra ameaças
A maioria das soluções de antivírus é baseada em assinaturas e, portanto, ineficazes contra as ameaças avançadas como ransomware e malware desconhecido. Estes tipos de malware são exclusivamente criptografados e indetectáveis, utilizando técnicas tradicionais. Portanto, um ambiente de sandbox é necessário para detectar e prevenir ransomware e ataques zero-day antes mesmo de chegarem à sua rede.
Proteção contra ameaças conhecidas
Os cibercriminosos realizam uma série de ataques usando malwares conhecidos. O uso de bancos de dados de assinatura de AV é uma maneira simples e eficaz de exibir a entrada de e-mails maliciosos e impedir que seus funcionários enviem vírus nos e-mails remetidos. Para uma melhor eficácia, recomendamos a utilização de vários mecanismos de detecção de vírus para verificar nas mensagens de e-mail e anexos a existência de vírus, cavalos de Tróia, worms e outros tipos de conteúdo malicioso.
Proteção contra phishing
As campanhas de phishing surgiram como o principal veículo para fornecer payloads para ataques de ransomware. Sua solução de segurança de e-mail deve incorporar análise avançada de conteúdo que verifica todos os assuntos, corpo e anexo de e-mail e utiliza um ambiente de sandbox para anexos suspeitos. Além disso, a solução deve manter uma lista negra de IP em tempo real para filtrar e-mails com links maliciosos.
Proteção contra fraudes
Os hackers usam táticas avançadas como spear phishing, whaling e Fraude de CEO para solicitar PII ou para executar fraudes por personificar e elaborar e-mails que parecem ser autênticos. As configurações granulares para os parâmetros de e-email devem estar disponíveis para prevenir que as mensagens ilícitas entrem em sua organização. As configurações de e-mail, como SPF (Sender Policy Framework, ou, Estrutura de Política de Envio), DKIM (Domain Keys Identified Mail, ou, Autenticação de E-mail Baseada em Chaves Públicas) e DMARC (Domainbased Message Authentication, Reporting and Conformance, ou, Autenticação, Relatório e Conformidade de Mensagem Baseada em Domínio), juntamente com o reconhecimento de padrões e a análise de conteúdo, impõem validação adequada em todas as mensagens recebidas.
Proteção contra spam
As mensagens de spam podem obstruir caixas de entrada e recursos de rede, desperdiçar tempo de negócio e aumentar os custos operacionais. A segurança de e-mail deve usar vários métodos de detecção de spam e outros e-mails indesejados. Esses métodos incluem o uso de listas específicas de permissão e bloqueio de pessoas, domínios e listas de distribuição, padrões criados por estudar o que outros usuários marcam como lixo eletrônico e a capacidade de ativar listas de terceiros bloqueadas.
Prevenção contra perda de dados
As comunicações mais sensíveis de uma organização exigem a máxima proteção. A melhor medida é criptografar e-mails confidenciais e anexos de e-mails. Um recurso de um serviço de criptografia deve funcionar em conjunto com a segurança de e-mail para proteger os e-mails.
As soluções tradicionais de segurança de e-mail contam com reputações de IP estático e mecanismos de detecção baseados em assinaturas, que simplesmente não podem proteger contra os malwares evasivos e sofisticados de hoje. A detecção por si só não é suficiente; muitas vezes as notificações são inúteis para evitar um ataque em curso. Há uma necessidade de soluções de segurança de e-mail para passar da detecção para a prevenção e ter a capacidade de parar os ataques antes mesmo de chegarem à sua rede.
As soluções de segurança de e-mail de próxima geração da SonicWall usam uma abordagem de defesa multicamada em conjunto com a tecnologia premiada de sandboxing Capture ATP. Os recursos inigualáveis de prevenção de violações do Capture ATP, defendem contra ameaças avançadas provenientes de e-mails. Além disso, ela oferece antiphishing, antifalsificação, antispam, multimotor AV e Prevenção de Perda de Dados (DLP) superiores para uma proteção abrangente.
Converse com a Portnet! Podemos ajudar a sua organização as soluções da nossa parceira, SonicWall.
Fonte: © 2017 SonicWall Inc.
por Portnet Tecnologia | Segurança em TI
Hoje em dia, provavelmente a maioria das sessões da Web de seus usuários é criptografada com HTTPS ou com a criptografia Secure Sockets Layer/Transport Layer Security (SSL/TLS). Isso acontece porque existe atualmente uma enorme tendência no setor que almeja partir para uma Internet totalmente criptografada a fim de alcançar dois objetivos principais:
• Dificultar a interceptação de criminosos cibernéticos em conexões da Web
• Manter as informações pessoais protegidas e privadas
A criptografia tem se tornado o vetor de ameaça favorito para os hackers mascararem seus ataques, burlarem os sistemas de defesa e, por fim, abrirem backdoors diretamente na sua rede. Afinal, seus controles de segurança não podem impedir o que não conseguem ver. Se não forem combatidos, quaisquer ataques que utilizarem SSL/TLS terão uma taxa de sucesso de 100% no comprometimento da sua rede, o que leva à perda de dados classificados, IP e reputação.
A criptografia está em todo lugar
Geralmente, a criptografia SSL/TLS é utilizada para tudo, desde e-commerce até transações bancárias on-line. Ela protege uma crescente quantidade de tráfego corporativo e representa a maior parte do tráfego na rede em alguns setores. A SSL protege os dados em movimento ao criar um canal criptografado na Internet pública ou em redes privadas, o que impede que os dados sejam capturados ou comprometidos.
Além disso, a SSL verifica se o destino final dos dados não foi falsificado por um hacker como um destino confiável. Dados importantes e confidenciais, como informações de cartões de crédito, nomes de usuários e senhas, são transportados de forma que, exceto pelo destinatário pretendido, qualquer pessoa tenha dificuldade em acessá-los. Enquanto sites e servidores FTP e Telnet eram os usuários originais da SSL, hoje há uma grande variedade de aplicativos que utilizam o protocolo, inclusive aplicativos baseados em Java, serviços de gerenciamento de aplicativos e serviços baseados em cloud. O Facebook e o Twitter são dois dos aplicativos mais populares com a SSL ativada.
Firewalls podem ser desafiados ao inspecionar o tráfego criptografado
Por meio da SSL/TLS, invasores experientes conseguem codificar comunicações de comando e controle, além de códigos mal-intencionados, para burlar os sistemas de prevenção de intrusão (IPS) e os sistemas de inspeção antimalware. Esses ataques podem ser extremamente eficazes, simplesmente porque a maioria das organizações não possui a infraestrutura adequada para detectá-los. Soluções de segurança de rede legadas normalmente não têm capacidade de inspecionar tráfego criptografado por SSL/TLS ou seu desempenho é tão baixo que elas se tornam inutilizáveis ao realizar a inspeção. A inspeção de tráfego de HTTPS por um firewall de próxima geração (NGFW) requer seis processos adicionais de computação, em comparação à inspeção de tráfego de texto sem formatação.
Os dois processos que mais afetam o desempenho são:
• Estabelecer uma conexão segura
• Descriptografar e voltar a criptografar o tráfego para uma troca de dados seguros
A queda do desempenho pode ser alta em alguns casos, o que impede a inspeção de SSL/TLS para empresas que operam em sistemas de segurança legados. A maioria dos ataques cibernéticos é oportunista e possui motivação financeira. Isso significa que todas as organizações correm o risco de serem comprometidas.
Conclusão
A criptografia está em todos os lugares e é considerada hoje como o vetor de ameaça favorito para os hackers. A sua segurança de rede precisa descriptografar o tráfego para interromper ameaças ocultas.
Podemos te ajudar a implantar uma rede segura e capaz de descriptografar o tráfego para interromper ameaças ocultas. Entre em contato com a gente!
Fonte: © 2017 SonicWall Inc.
por Portnet Tecnologia | Segurança em TI
As ameaças avançadas, como exploits de zero-day e malware personalizado, estão em alta. Hoje, organizações de todos os portes são alvos de criminosos cibernéticos que continuamente procuram, localizam e exploram brechas em softwares vulneráveis. Eles fazem isso para obter acesso a redes, sistemas e dados, e geralmente perpetuam danos graves dentro de apenas alguns minutos. Para melhor detectar essas ameaças desconhecidas, os profissionais de segurança implantam tecnologias avançadas de detecção de ameaças, como sandboxes virtuais, que analisam o comportamento de arquivos suspeitos e malwares ocultos desconhecidos.
Entretanto, as ameaças se tornam cada vez mais inteligentes. Hoje em dia, o malware é projetado para detectar a presença de sandboxes virtuais e evitá-las. Isso limita a eficácia das tecnologias de detecção de ameaças. As organizações precisam de uma nova abordagem para proteger seus negócios contra essas ameaças avançadas. Em particular, isso requer que a tecnologia de análise de ameaças não seja detectada ou ignorada por códigos mal-intencionados. Para isso, uma solução de proteção contra ameaças avançadas (ATP) de ponta deve ser capaz de:
• Análises de sandbox em camadas dinâmicas
• Examinar o tráfego criptografado
• Analisar todos os arquivos
• Bloquear os arquivos até que eles sejam verificados
• Acelerar a correção de ameaças identificadas
Análises de sandbox camadas dinâmicas
Fornecer camadas adicionais de análises de ameaças com um sandbox multimotor é muito mais eficaz para descobrir ameaças de zero-day do que uma abordagem com somente um motor. O malware consegue detectar e evitar um sandbox de motor único muito mais facilmente. Idealmente, uma plataforma eficaz de análise de ameaças combina múltiplas camadas de motores de análise de malware, incluindo não apenas ambientes virtuais de sandbox mas também sandboxing de emulação de hardware e sistema operacional, combinado com análises de memória.
Com essa abordagem, o código suspeito pode ser executado em uma plataforma de sandbox multimotor, que inclui um sandbox virtualizado, emulação completa de sistema e tecnologia de análise no nível do hypervisor. O comportamento de qualquer arquivo suspeito pode ser analisado, fornecendo uma visibilidade abrangente de atividades mal-intencionadas, ao mesmo tempo que resiste a táticas de evasão e aumenta a detecção de ameaças de zero-day.
Também é importante que seja possível adicionar camadas de análises de ameaças de forma dinâmica. Como as ameaças são constantemente ocultadas de novas formas, é necessária uma plataforma de análise de ameaças que altere e adote novos mecanismos de detecção e ameaça conforme necessário. A única coisa que não vai mudar é que as técnicas de ataque serão modificadas continuamente. Para a proteção contra ameaças de zero-day, as soluções que podem adicionar dinamicamente novos mecanismos de análise de malware, conforme o cenário de ameaças evolui, são mais eficazes na detecção de ameaças e malwares avançados atuais e futuros.
Examinar o tráfego criptografado
As ameaças avançadas de hoje em dia aplicam métodos complexos e sofisticados para permanecerem não detectadas. Elas usam metodologias completamente novas ou adotam os mecanismos de defesa já existentes, como a ocultação no tráfego SSL criptografado. Para ser eficaz, uma solução avançada de detecção de ameaças deve inspecionar todo o tráfego de arquivos suspeitos, seja ele criptografado ou não. Geralmente impossível com fornecedores de produtos independentes, as sandboxes que trabalham com um firewall de próxima geração podem aproveitar o uso de uma tecnologia de encerramento de SSL para analisar arquivos criptografados.
Analisar todos os arquivos
Além de ocultar tráfego criptografado, os criadores de malware ocultam códigos mal-intencionados nos arquivos e nos aplicativos. Para combater essa atividade, as sandboxes devem ser capazes de analisar o malware oculto em diversos tipos de arquivos, tamanhos de arquivo e ambientes operacionais para melhor fornecer uma detecção de ameaças de zero-day abrangente. Essa configuração deve incluir a análise de diversos tipos arquivos, inclusive programas executáveis, PDFs, documentos do MS Office, arquivamentos, arquivos JAR e APK, assim como múltiplos ambientes de sistemas operacionais, como Windows, Android, Mac OS X e ambientes com vários navegadores. Para maior flexibilidade, a solução deve permitir análises personalizadas por tipo de arquivo, tamanho de arquivo, remetente, destinatário e protocolo. Além disso, também deve permitir o envio manual de arquivos para análise.
Bloquear os arquivos até que eles sejam verificados
A detecção de ameaças de zero-day é essencial. Mas a detecção sozinha não é suficiente. Uma solução viável não deve inspecionar somente o tráfego a procura de códigos mal-intencionados, como também deve fornecer a capacidade de bloquear a entrada de códigos suspeitos na rede até que eles sejam analisados e uma decisão seja tomada. A decisão de algumas sandobxes em silos é tomada somente após a permissão de um arquivo na rede. Nesses casos, ele funciona como um alarme em vez de uma medida preventiva.
Acelerar a correção de ameaças identificadas
Quando uma ameaça é identificada, atualizações rápidas e automáticas de assinatura são essenciais. A eficácia da proteção contra ameaças depende da diminuição de tarefas demoradas de manutenção manual de uma posição de segurança proativa. Para evitar ataques posteriores, as assinaturas para malwares recém-descobertos devem ser geradas rapidamente e distribuídas automaticamente nos dispositivos de segurança de rede, o que evita futuras infiltrações da ameaça de malware identificada. Nesse cenário, quando um arquivo é identificado como malintencionado, uma nova assinatura é implantada imediatamente nos firewalls para a inclusão em bancos de dados de assinaturas IPS e antivírus de gateway, assim como bancos de dados de reputação de domínio e IP de URL. De forma ideal, você gostaria de um painel imediato para monitorar a detecção de ameaças avançadas e fornecer relatórios de análises detalhados.
Conclusão
Os ambientes atuais de sandbox devem ser tão abrangentes e dinâmicos quanto as ameaças que eles desejam impedir. Ao seguir essas melhores práticas na seleção de uma solução de sandbox de ameaças avançadas, as organizações se beneficiarão da eficácia na detecção, proteção e alta segurança, além de tempos rápidos de resposta.
Descubra como a Portnet e a SonicWall podem ajudá-lo a fornecer a garantia de proteção avançada contra ameaças! Entre em contato com a gente para saber como o Capture ATP pode proteger seus negócios.
Fonte: © 2017 SonicWall Inc.
