por Portnet Tecnologia | Segurança em TI
No mundo hiperconectado de hoje, as comunicações baseadas em e-mail não são apenas comuns, elas se tornaram uma peça fundamental para efetivamente conduzir negócios, com o volume total de e-mails enviados por dia projetados para aumentar em pelo menos 5% a cada ano. Dada a natureza universal das comunicações por e-mail, eles são e continuarão a ser um vetor popular para uma variedade de ameaças.
O uso do e-mail continua a crescer
Independentemente da proliferação de texto e mídia social, a comunicação por e-mail ainda cresce com força. De acordo com um estudo recente conduzido pelo Radicati Group, o volume total de e-mails enviados e recebidos no mundo atingiu 205 bilhões por dia, com este volume projetado para aumentar em pelo menos 5% a cada ano. E esse fato não é desconhecido para os hackers que estão constantemente buscando oportunidades para explorar as organizações.
Ameaças por email que as organizações enfrentam hoje em dia
Os e-mails oferecem aos hackers um veículo para distribuir uma série de vulnerabilidades para uma organização. Algumas das ameaças mais comuns, oriundas dos e-mails, são:
• Malware – e-mails são um dos principais mecanismos de fornecimento para distribuir malwares conhecidos e desconhecidos, que normalmente são incorporados em anexos de e-mail na esperança de que o anexo seja aberto ou baixado em um computador ou rede, permitindo que os hackers obtenham acesso aos recursos, roubem dado ou invadam sistemas.
• Ransomware – uma variante especialmente prejudicial de malware é o ransomware. Assim que um anexo de um e-mail é ativado, o código se integra na rede e o ransomware geralmente criptografa ou bloqueia arquivos e sistemas críticos. Os hackers então coagem a organização a pagar uma taxa de extorsão para que os arquivos ou sistemas não sejam ou desbloqueados.
• Phishing – esta tática comum entre os hackers utiliza e-mails com links integrados para invadir sites. Quando os usuários inocentes visitam esses sites, eles recebem a solicitação para inserir PII (Personably Identifiable Information, ou Informações Pessoais Identificáveis) que, por sua vez, são usadas para roubar identidades, comprometer dados corporativos ou acessar outros sistemas críticos.
• Spear Phishing/Whaling – nesta modalidade de phishing, os principais profissionais de TI/rede ou os executivos da empresa são afetados ao utilizarem e-mails maliciosos que parecem vir de uma fonte confiável, em esforços para obter acesso aos sistemas e dados internos.
• Comprometimento de e-mail corporativo/Fraude de CEO/E-mail impostor – nos últimos dois anos, os esquemas de Comprometimento de e-mail empresarial (BEC) causaram pelo menos US$ 3,1 bilhões em perdas totais a aproximadamente 22.000 empresas em todo o mundo, de acordo com os dados mais recentes do FBI1. O FBI define o Comprometimento de e-mail corporativo como um esquema de e-mail sofisticado que visa as empresas que trabalham com parceiros estrangeiros que realizam regularmente pagamentos de transferência bancária.
• Spam – os e-mails são usados para distribuir spam ou mensagens não solicitadas, que podem obstruir caixas de entrada e recursos de rede, diminuir a produtividade das empresas e aumentar os custos operacionais.
• Sequestro de e-mails enviados – as corporações também estão sujeitas a políticas corporativas e regulamentações governamentais, que mantêm as empresas responsáveis por seus e-mails de saída e assegurando que protejam a PII de seus clientes. Os ataques de zumbis e sequestro de IP podem disseminar a PII de clientes, arruinando a reputação de um negócio.
A anatomia de um ataque por e-mail:
• Um CFO recebe um e-mail de um Diretor Executivo autorizando uma transferência emergencial de fundos.
Mas, na verdade, o e-mail foi enviado por um cibercriminoso;
• Um funcionário com direitos administrativos aos principais sistemas recebe um e-mail urgente da
equipe de TI para atualizar sua senha de rede. E acaba por divulgar a sua senha para cibercriminosos:
• Um funcionário recebe um e-mail para ler um anexo importante sobre seu fornecedor de benefícios. Ao abrir
o anexo, o malware de Trojan escondido é inadvertidamente ativado.
As comunicações por e-mail são essenciais para as organizações de hoje, algo de que os hackers estão conscientes. Dadas as ameaças complexas e maduras de hoje, é plausível que as organizações implantem uma solução de segurança multicamadas que inclua a proteção de e-mail dedicada e de ponta. Para combater com eficácia as ameaças emergentes de hoje, as organizações são devidamente aconselhadas a implementar uma solução de gerenciamento de segurança de e-mail de próxima geração que forneça uma proteção de e-mail fundamental.
Para saber mais sobre as formas de proteger os e-mails de sua organização, fale com os especialistas Portnet!
Fonte: © 2017 SonicWall Inc.
por Portnet Tecnologia | Segurança em TI
Você acha que dá a atenção necessária à segurança de e-mails na sua empresa? Por ter tantas atribuições e decisões estratégicas, um gerente de TI pode acabar deixando de lado a questão e colocando todo o sistema em risco, seja por mal uso da ferramenta, informações confidenciais trocadas de forma indevida ou a introdução de ameaças em uma simples troca de anexos.
Para garantir que seus dados estejam ainda mais protegidos, nós preparamos uma lista com as dicas principais que todo profissional deve colocar em prática imediatamente. Vamos começar?
A importância dos filtros de spam
Todos os serviços e provedores de e-mail corporativo hoje contam com ferramentas de bloqueio de spams e mensagens potencialmente danosas, mas nem sempre elas são suficientes para garantir a tranquilidade do profissional de TI.
Esse resultado mais seguro pode ser alcançado tanto com softwares adicionais especializados na proteção AntiSpam quanto com o desenvolvimento interno. Faça uma pesquisa sobre as ameaças mais constantes ao seu sistema e crie filtros personalizados que lidem da melhor forma com as suas necessidades.
A assinatura digital como certificação de segurança
A assinatura digital em contratos eletrônicos é reconhecida por lei e garante a autenticidade de um documento ou relatório enviado por e-mail. Aposte nesse tipo de ferramenta para aumentar a velocidade e confiabilidade na troca de e-mails, já que os funcionários da empresa podem acessar, visualizar e editar esse tipo de anexo sem o medo de uma ameaça externa ou conflito de informações.
A autenticação como primeira barreira de proteção
Hoje a autenticação em dois passos é fundamental para garantir a segurança de e-mails em uma empresa com muitos funcionários e colaboração constante entre eles.
A chave de autenticação diminui consideravelmente o risco de roubo de conta, uma ameaça muito presente e que põe toda a empresa em risco. Com acesso a um endereço de e-mail, uma pessoa mal intencionada pode ter acesso a informações confidenciais e até dados financeiros, além de ser uma porta para o sequestro de informações.
Com a autenticação em dois passos, fica muito mais fácil evitar esse tipo de problema ou até identificar a origem da brecha de segurança para corrigi-la o quanto antes.
O apoio de uma boa estrutura de TI à segurança de e-mails
As ameaças aos dados de uma empresa vêm de todos os lados. No gerenciamento de e-mail corporativo temos spammers, anexos maliciosos, phishing e roubos de conta para aumentar a dor de cabeça no dia a dia.
Para lidar com tantos riscos de forma confiável e eficiente, é preciso planejar e unificar a estrutura de TI e garantir um bom monitoramento e controle do sistema.
Uma boa saída para lidar com o problema é investir na ajuda terceirizada, principalmente com implementação de soluções em segurança e Cloud Computing. Centralizar a gestão da TI é a melhor forma de prevenir esse tipo de crise e responder rápido a ela quando acontecer.
A cultura de segurança antes de qualquer coisa
Por último, uma questão não de ferramenta, mas de educação. A maior brecha de segurança dentro das empresas ainda é o usuário que acessa o sistema. A maioria das ameaças chegam por hack social, difícil de ser identificado até que o dano já esteja feito.
Por isso, crie Termos de Uso claros e objetivos para todos os funcionários. Converse com os outros gerentes e diretores e crie planos de treinamento e programas de educação tecnológica em que todos os envolvidos colaborem para um ambiente empresarial mais seguro.
Afinal, em tempos de transformação digital, o papel da TI é fundamental para garantir a competitividade e viabilidade do negócio. E, assim como diversos outros riscos, a segurança de e-mails é mais uma questão importante que não pode ficar de lado na gestão de um bom profissional de TI.
E se você quer tornar seu sistema ainda mais seguro, é hora de prestar atenção em outros aspectos vitais para um ambiente seguro. Você pode continuar sua busca por um sistema mais confiável lendo este artigo sobre a segurança no modelo BYOD dentro de empresas.
por Portnet Tecnologia | Segurança em TI
Os firewalls de próxima geração utilizam assinaturas e heurísticas de forma muito bem-sucedida. Mas ao defender contra os ataques mal-intencionados de hoje em dia, eles não são mais suficientes. Os desafios dos ataques direcionados e das ameaças de zero-day fazem da inclusão de sandboxing uma atividade essencial para uma postura de segurança eficaz.
Entendendo o desafio real e o que fazer com ele
O crescimento das ameaças externas hoje em dia é impressionante. Os invasores combinam a natureza oportunista da automação com o conceito do fornecedor de software para evoluir suas ameaças constantemente, tudo para ter a maior amplitude possível, sem serem detectados. E dado o impacto negativo sofrido por uma organização que sofre uma violação de dados ou um ataque de ransomware, detectar códigos mal-intencionados antes que eles impactem a rede é de extrema importância para as organizações de TI.
O desafio real não é o ransomware que já se espalhou na Internet. Os desafios reais são os ataques direcionados e as ameaças zero-day. Os ataques direcionados envolvem códigos nunca antes vistos e criados com o propósito específico para a organização sendo atacada, enquanto as ameaças zero-day exploram vulnerabilidades recentemente descobertas para as quais os fornecedores ainda precisam emitir patches. As organizações precisam se preocupar mais com esses tipos de ataques, que, geralmente, são mais bem-sucedidos do que seus antigos equivalentes. Então, qual é a melhor maneira de evitar ameaças provenientes de dentro da sua rede?
Você tem algumas opções em termos de onde deseja abordar ataques mal-intencionados e como detectá-los e eliminá-los. O objetivo é detectar e remover códigos mal-intencionados o mais próximo possível da fonte do ataque. Em relação a onde abordar um ataque, as organizações normalmente optam por dois campos: o campo de segurança de endpoint, no qual o código mal-intencionado avança para um endpoint e então é detectado e destruído, e o campo de sandboxing, no qual o código mal-intencionado é identificado e destruído antes de entrar na rede. Até que haja uma solução 100% eficaz, ambas as tecnologias continuarão sendo camadas importantes de defesa. Uma solução de sandboxing pode fornecer prevenção na borda, se implementada da forma certa.
Mantenha o código mal-intencionado distante
Se você pensar na sua rede como um castelo, não há lugar melhor para interromper um ataque do que no portão, um ponto de bloqueio que nada nem ninguém passe sem ser inspecionado para obter permissão de entrada. Ao adotar uma solução capaz de detectar o código mal-intencionado dentro do firewall de próxima geração (NGFW), você coloca um guardião no portão do castelo. Nada entra sem o conhecimento do guardião. Durante a entrada dos dados, é realizada uma varredura nos dados do tráfego por meio de diversos métodos para a detecção de códigos mal-intencionados:
• Assinaturas: Com um banco de dados de assinaturas digitais mal-intencionadas, é realizada uma varredura no tráfego a procura de quaisquer dados que correspondam a uma assinatura. Se for encontrada uma correspondência, o código será identificado como mal-intencionado.
• Heurísticas: Diferente das assinaturas, que procuram por correspondências específicas dentro de um banco de dados, a varredura baseada em heurística utiliza regras e algoritmos para detectar códigos que possam ser mal-intencionados.
• Sandboxing: Em vez de tentar procurar pelo código para encontrar tentativas ou assinaturas mal-intencionadas, a solução de sandboxing permite que o código seja detonado ou executado como pretendido para monitorar o comportamento da atividade mal-intencionada. Esse processo é realizado em um ambiente criado com esse propósito, ou sandbox, que não causará nenhum dano.
Usar essa combinação de táticas é mais eficiente e eficaz, já que os códigos mal-intencionados mais comuns ou mais simples podem ser detectados pelas tecnologias tradicionais mais rápidas e com menos recursos. Isso permite que o sandbox se concentre no conteúdo restante que realmente requer seu nível de investigação.
O motivo pelo qual as assinaturas e as heurísticas não são boas o suficiente
A detecção baseada em assinatura é somente tão boa quanto o banco de dados que ela utiliza para identificar o código mal-intencionado. Mesmo se o seu banco de dados não for atualizado a cada minuto, você pode perder um ataque, pois demora certo tempo para os fornecedores de AV identificarem o malware, atualizarem seus bancos de dados e o distribuírem a você. Além disso, as pessoas que gravam um código mal-intencionado estão cientes da detecção baseada em assinatura e utilizam um código para evitá-la.
As heurísticas também podem ser imprecisas. Uma parte do código pode simplesmente ser o tráfego que não se enquadrou no padrão esperado, causando falsos positivos. Algumas vezes, o código mal-intencionado não parece perigoso inicialmente, até ser reconstituído no back-end e tornar as heurísticas ineficientes.
Vamos pegar o ransomware como exemplo. O código que foi feito download inicialmente não é perigoso. Ele vira uma arma quando é conectado a um servidor de comando e controle (C2) e faz download de um código adicional. Outro exemplo é uma macro dentro de um documento do Microsoft Word. A menos que a macro mal-intencionada utilize um método de ataque suspeito ou conhecido, nem as assinaturas e nem as heurísticas poderão dizer se a macro em si é boa ou ruim.
Usar assinaturas ou heurísticas para fazer uma varredura passiva do tráfego possui limitações. A varredura não permite que o código se torne ativo e os invasores conseguem ofuscar o código ruim (a partir de uma perspectiva de varredura) dentro de um código “bom”. Entretanto, a maneira mais eficaz de detectar um código mal-intencionado é interagir com uma versão completamente armada.
Brincando com fogo
A única forma de capturar um código mal-intencionado avançado é “detoná-lo”. O processo de detonação é muito diferente de simplesmente fazer uma varredura no código. Ele é similar ao processo de cultura de um micróbio perigoso em um laboratório de contenção de perigo biológico ou à detonação de uma bomba em uma câmara de contenção. A sandbox fornece um local seguro para que os dados interceptados sejam abertos e executados sob observação. Se for confirmado um comportamento suspeito ou mal-intencionado, o arquivo e a ameaça contida nele poderão ser eliminados.
Sandboxes tentam detonar todos os tipos de arquivo:
• Arquivos com conteúdo ativo: Esses arquivos incluem executáveis, scripts e DLLs. Os arquivos podem ser executados e interagir com a sandbox normalmente para que seja possível monitorá-los em relação a ações mal-intencionadas, como modificar as configurações de firewall do sistema operacional ou estabelecer conexões de saída com a Internet.
• Arquivos de conteúdo passivo: Esses arquivos incluem qualquer tipo de documento, PDFs, arquivos compactados (por exemplo, ZIP, JZIP, RAR) e até mesmo arquivos de imagem. Esses arquivos são analisados com o uso do aplicativo padrão para monitorar atividades mal-intencionadas, como uma tentativa de macro do Word em fazer download de um código adicional na Internet. Sem ter todas as partes do software disponíveis em uma sandbox, é impossível analisar cada arquivo passivo. No final, sua sandbox deve ser configurada com a capacidade de inspecionar a maior quantidade de tipos de arquivo possível.
Malware em uma imagem
Você deve se perguntar o motivo pelo qual os arquivos de imagem devem ser analisados, já que eles representam um dos tipos de dados mais supostamente benignos. Mas os arquivos de imagem podem conter dados de payload mal-intencionados. Pegue como exemplo um recente ataque no Brasil em que um PDF anexado continha um link para um arquivo ZIP. Dentro desse arquivo ZIP estava um executável e um arquivo PNG. Esse PNG era pequeno (inferior a 64 pixels quadrados), mas continha um arquivo de mais de 1 MB. Após a inspeção do executável adjacente, ficou evidente que o código foi projetado para ser extraído e executar um binário mal-intencionado e oculto de dentro do PNG.
Aprimoramento de assinaturas com a sandbox
Como mencionado anteriormente, uma abordagem multifacetada é a melhor maneira de detectar código mal-intencionado. Aprimorar o método de varredura passivo pode ajudar a tornar o processo de detecção mais eficiente, já que ele precisa de bem menos ciclos de CPU para concluir a verificação em um banco de dados de assinaturas do que para gerar e manter uma sandbox capaz de detonar uma única instância de código mal-intencionado.
Além da detonação, a sandbox pode ser utilizada para criar assinaturas quando o código for determinado a ser mal-intencionado, afinal, ela possui um lugar na primeira fila para a execução desses códigos. Quando um código mal-intencionado é identificado, é criada uma assinatura e um banco de dados de assinaturas pode ser atualizado, o que aprimora a velocidade e a precisão das futuras detecções de códigos mal-intencionados.
Ainda assim, as técnicas de varredura passivas possuem suas carências em relação à detecção. Por isso, é justo perguntar o quanto uma sandbox é mais bem-sucedida.
Como uma sandbox funciona
A sandbox funciona como um ambiente de “sacrifício”, que monitora o código mal-intencionado e sua interação com o sistema operacional. As sandbox procuram pelo seguinte:
• Chamadas do sistema operacional: inclusive chamadas do sistema de monitoramento e funções de API
• Alterações do sistema de arquivos: qualquer tipo de ação, inclusive a criação, modificação, exclusão e criptografia de arquivos
• Alterações na rede: qualquer tipo de estabelecimento atípico de conexões de saída
• Alterações de registro: quaisquer modificações para estabelecer persistência ou alterações nas configurações de rede ou segurança
• Além e entre: monitoramento das instruções que um programa executa entre as chamadas do sistema operacional para complementar o contexto de outras observações
Quão eficaz é uma sandbox?
A detecção baseada em assinatura é perfeita para descobrir o código malintencionado de ontem, mas não faz nada para interromper ataques zero-day ou ataques simplesmente alterados (ou seja, malware específico que não corresponde a uma assinatura devido à mutação). As heurísticas encaram a detecção como uma etapa na direção certa, à procura de padrões atípicos no código. Mas como demonstrado no uso de um arquivo de imagem para fornecer um payload, os arquivos iniciais (por exemplo, um PDF com um link para um arquivo ZIP externo) não levantam quaisquer suspeitas.
A questão é o motivo pelo qual a sandbox é um método de detecção tão eficaz. Mesmo com ataques zero-day sem nenhuma assinatura e um código nunca antes visto, a sandbox é o único método que detecta comportamentos mal-intencionados. No final do dia, o código mal-intencionado realiza um número limitado de ações, inclusive fazer uma conexão externa, fazer download de payloads adicionais, conectar a um servidor C2 e tentar fazer alterações no sistema operacional. Nenhuma dessas ações é necessariamente normal para arquivos relacionados ao trabalho.
Há diversas formas de proteger a sua organização contra um código mal-intencionado. Ao mesmo tempo que proteger o endpoint é importante, isso pode colocar a sua organização em um risco ainda maior ao permitir o código mal-intencionado na rede. Uma solução de sandboxing fornece uma maneira de interromper as ameaças antes que elas entrem na rede.
Podemos te ajudar com a sua estratégia de sandboxing com as soluções da nossa parceira Sonicwall. Fale com a gente!
Fonte: © 2017 SonicWall Inc.
por Portnet Tecnologia | Segurança em TI
As ameaças avançadas de hoje em dia requerem um novo conjunto de funcionalidades de segurança de e-mail além dos recursos tradicionais. Uma abordagem multicamadas de segurança de e-mail garante proteção para as comunicações do negócio. Os negócios precisam de uma solução de segurança de e-mail de próxima geração que ofereça recursos abrangentes de prevenção contra ameaças.
A importância cada vez maior da segurança de e-mail de próxima geração
O e-mail tornou-se o vetor mais importante para uma variedade de ameaças, tanto de entrada quanto de saída. As ameaças cibernéticas estão evoluindo rapidamente de ataques de spam em massa para formas avançadas de ataques direcionados. A maioria destas campanhas de ataques utilizam o e-mail como veículo preferencial para distribuir o payload. De acordo com Relatório anual de ameaças do SonicWall o uso de ransomware cresceu 167 vezes anualmente e é o payload de escolha para campanhas de e-mail maliciosas. No entanto, a segurança de e-mail tradicional não está equipada para lidar com ameaças avançadas como o ransomware e ataques zero-day. Hoje, você precisa de uma solução de segurança de e-mail de próxima geração.
A seguir estão os recursos críticos que uma solução de segurança de e-mail de próxima geração deve fornecer para a prevenção efetiva de violações:
Proteção avançada contra ameaças
A maioria das soluções de antivírus é baseada em assinaturas e, portanto, ineficazes contra as ameaças avançadas como ransomware e malware desconhecido. Estes tipos de malware são exclusivamente criptografados e indetectáveis, utilizando técnicas tradicionais. Portanto, um ambiente de sandbox é necessário para detectar e prevenir ransomware e ataques zero-day antes mesmo de chegarem à sua rede.
Proteção contra ameaças conhecidas
Os cibercriminosos realizam uma série de ataques usando malwares conhecidos. O uso de bancos de dados de assinatura de AV é uma maneira simples e eficaz de exibir a entrada de e-mails maliciosos e impedir que seus funcionários enviem vírus nos e-mails remetidos. Para uma melhor eficácia, recomendamos a utilização de vários mecanismos de detecção de vírus para verificar nas mensagens de e-mail e anexos a existência de vírus, cavalos de Tróia, worms e outros tipos de conteúdo malicioso.
Proteção contra phishing
As campanhas de phishing surgiram como o principal veículo para fornecer payloads para ataques de ransomware. Sua solução de segurança de e-mail deve incorporar análise avançada de conteúdo que verifica todos os assuntos, corpo e anexo de e-mail e utiliza um ambiente de sandbox para anexos suspeitos. Além disso, a solução deve manter uma lista negra de IP em tempo real para filtrar e-mails com links maliciosos.
Proteção contra fraudes
Os hackers usam táticas avançadas como spear phishing, whaling e Fraude de CEO para solicitar PII ou para executar fraudes por personificar e elaborar e-mails que parecem ser autênticos. As configurações granulares para os parâmetros de e-email devem estar disponíveis para prevenir que as mensagens ilícitas entrem em sua organização. As configurações de e-mail, como SPF (Sender Policy Framework, ou, Estrutura de Política de Envio), DKIM (Domain Keys Identified Mail, ou, Autenticação de E-mail Baseada em Chaves Públicas) e DMARC (Domainbased Message Authentication, Reporting and Conformance, ou, Autenticação, Relatório e Conformidade de Mensagem Baseada em Domínio), juntamente com o reconhecimento de padrões e a análise de conteúdo, impõem validação adequada em todas as mensagens recebidas.
Proteção contra spam
As mensagens de spam podem obstruir caixas de entrada e recursos de rede, desperdiçar tempo de negócio e aumentar os custos operacionais. A segurança de e-mail deve usar vários métodos de detecção de spam e outros e-mails indesejados. Esses métodos incluem o uso de listas específicas de permissão e bloqueio de pessoas, domínios e listas de distribuição, padrões criados por estudar o que outros usuários marcam como lixo eletrônico e a capacidade de ativar listas de terceiros bloqueadas.
Prevenção contra perda de dados
As comunicações mais sensíveis de uma organização exigem a máxima proteção. A melhor medida é criptografar e-mails confidenciais e anexos de e-mails. Um recurso de um serviço de criptografia deve funcionar em conjunto com a segurança de e-mail para proteger os e-mails.
As soluções tradicionais de segurança de e-mail contam com reputações de IP estático e mecanismos de detecção baseados em assinaturas, que simplesmente não podem proteger contra os malwares evasivos e sofisticados de hoje. A detecção por si só não é suficiente; muitas vezes as notificações são inúteis para evitar um ataque em curso. Há uma necessidade de soluções de segurança de e-mail para passar da detecção para a prevenção e ter a capacidade de parar os ataques antes mesmo de chegarem à sua rede.
As soluções de segurança de e-mail de próxima geração da SonicWall usam uma abordagem de defesa multicamada em conjunto com a tecnologia premiada de sandboxing Capture ATP. Os recursos inigualáveis de prevenção de violações do Capture ATP, defendem contra ameaças avançadas provenientes de e-mails. Além disso, ela oferece antiphishing, antifalsificação, antispam, multimotor AV e Prevenção de Perda de Dados (DLP) superiores para uma proteção abrangente.
Converse com a Portnet! Podemos ajudar a sua organização as soluções da nossa parceira, SonicWall.
Fonte: © 2017 SonicWall Inc.
