0
0
Anos atrás, os governos estaduais e locais confiavam em métodos reativos, como detecção de assinaturas, para se proteger contra ameaças cibernéticas.
As técnicas dos atacantes, no entanto, tornaram-se mais complexas. Entidades governamentais também se tornaram alvos mais frequentes: Ataques a governos locais aumentaram mais de 58% entre 2018 e 2019, de acordo com dados do provedor de treinamento em segurança KnowBe4.
Esses fatores, juntamente com o aumento de funcionários trabalhando remotamente devido à pandemia de coronavírus, levaram à necessidade de uma abordagem complexa e diferenciada de segurança cibernética.
Nos últimos anos, as ferramentas de segurança de terminais de última geração se tornaram uma opção popular, de acordo com Michael Suby, vice-presidente de pesquisa da IDC para segurança e confiança. Em vez de procurar hashes que representem uma sequência de código relacionado a um mau ator, as soluções atuais de segurança de terminais utilizam monitoramento comportamental, inteligência contra ameaças e outros métodos de proteção para detectar e bloquear ataques rapidamente.
“Os atores de ameaças são inteligentes; eles simplesmente aceleraram seu processo de criação de variações de malware”, diz Suby. “Seus comportamentos se tornaram mais sutis e difíceis de discernir a partir de comportamentos apropriados. A abordagem das organizações é: ‘Vamos ser mais claros sobre o que permitiremos que aconteça, quais aplicativos permitiremos estar em terminais e quais comportamentos de aplicativos acharemos aceitáveis.’”
Uma série de ferramentas de proteção de terminais de última geração pode ajudar as organizações a identificar, avaliar e, finalmente, lidar com ameaças potenciais. Aqui estão cinco recursos principais a serem considerados em um sistema de segurança de terminais de próxima geração e como eles podem ajudar as agências governamentais a prevenir e responder a ataques cibernéticos.
1. Antivírus de Próxima Geração
No passado, as ferramentas antivírus exigiam que as organizações atualizassem frequentemente um banco de dados de assinaturas. Embora a detecção de arquivos de assinatura ainda seja um componente de prevenção de ataques cibernéticos, as soluções antivírus de última geração incorporam recursos avançados, como inteligência artificial, oferecendo proteção dinâmica e proativa.
“O antivírus de última geração passou de procurar apenas código para procurar comportamento malicioso”, diz Suby. “Essa é uma grande diferença.”
O produto antivírus de próxima geração nativo da nuvem Singularity Core do provedor de software de segurança endpoint SentinelOne, por exemplo, verifica arquivos e scripts, monitora o comportamento e utiliza IA para identificar e impedir malware, uso indevido de scripts e outros ataques.
“Eliminamos a necessidade de ter um banco de dados de assinatura e qualquer conhecimento prévio do ataque”, diz Jared Phipps, vice-presidente sênior de engenharia de vendas mundial da SentinelOne. “Podemos dizer se algo é bom ou ruim usando IA e análise comportamental, e podemos remover algo de uma máquina se precisarmos. É uma diferença dramática em relação à tecnologia antivírus legada.”
2. Detecção e Resposta de Endpoint (EDR)
As organizações querem reprimir os ataques o mais rápido possível para minimizar seus efeitos. Além dos recursos de detecção, a tecnologia de detecção e resposta de terminais pode fornecer uma resposta automatizada rápida.
As soluções EDR, de acordo com o Gartner, geralmente têm vários atributos comuns. Eles registram comportamentos no nível do endpoint, usam análise de dados para detectar comportamentos suspeitos do sistema, contêm incidentes de segurança no endpoint e fornecem orientação de correção para restaurar os sistemas afetados.
Essencialmente, os recursos de EDR complementarão as soluções antivírus modernas, de acordo com Suby, que muitas vezes pode identificar com confiança uma série de indicações de atividades maliciosas, mas nem sempre podem reunir evidências suficientes para chegar a um veredicto com confiança.
“Em alguns casos, o antivírus de última geração pode reagir com um alto nível de certeza”, diz ele. “Quando esse não é o caso, estamos olhando para o EDR para nos ajudar a descobrir atores de ameaças mais sutis. Fornece outra camada de defesa.”
3. Defesa contra Ameaças Móveis (MTD)
Um terço dos profissionais de TI e segurança identificou ataques envolvendo dispositivos móveis de funcionários como uma de suas três principais preocupações com segurança cibernética em meados de 2020, de acordo com uma pesquisa da Check Point. Quarenta e três por cento disseram que planejavam implementar soluções de segurança móvel dentro de meses.
Tocando em aplicativos, redes e dispositivos, os produtos de defesa focados em dispositivos móveis podem incluir técnicas de proteção, como monitorar o tráfego da rede e analisar código.
O Cortex XDR da Palo Alto Networks, por exemplo, utiliza um agente móvel que pode impedir que malware conhecido e arquivos APK maliciosos desconhecidos sejam executados em terminais Android, além de impor a política de segurança de uma organização, de acordo com Elton Fontaine, diretor sênior de engenharia de sistemas da Palo Alto Networks, que trabalha com entidades governamentais estaduais e locais há mais de uma década.
“A política de segurança determina se deve bloquear malware conhecido e/ou arquivos desconhecidos, fazer upload de arquivos desconhecidos para inspeção e análise aprofundadas no serviço de prevenção de malware WildFire baseado na nuvem da Palo Alto Networks, tratar malware como greyware ou realizar análises locais para determinar a probabilidade de um arquivo desconhecido conter malware”, diz Fontaine. “Os administradores também podem colocar assinantes confiáveis na lista branca para permitir que aplicativos desconhecidos sejam executados antes que o Cortex XDR receba um veredicto oficial.”
4. Sandboxing
Isolar objetos desconhecidos dos principais recursos do sistema para analisar como eles funcionarão em um ambiente controlado pode impedir que ameaças cheguem à rede. Sandboxing, ou análise avançada de malware, foi a tecnologia de segurança de rede instalada com mais frequência em 2019, usada por 62% das organizações, um aumento de 12% em relação ao ano anterior.
O CyberEdge Group, a empresa de pesquisa que patrocinou o estudo, atribuiu o aumento às ferramentas que amadurecem e são incorporadas em suítes de segurança baseadas em nuvem — e o malware é percebido como a ferramenta mais perigosa que um hacker possui.
Ransomware em particular, de acordo com Phipps, tem sido uma ameaça prevalente do governo estadual e local nos últimos dois anos; esses governos podem ser alvos porque vários não têm soluções de próxima geração, diz ele, e podem ser motivados a pagar o resgate para obter serviços críticos como um sistema 911 de volta online rapidamente.
“Vimos muitos casos de alto perfil se tornarem públicos”, diz Phipps. “Foi isso que fez com que as pessoas tivessem um forte interesse em segurança de terminais, porque viram isso acontecer o suficiente com outras pessoas para perceber que é apenas uma questão de tempo.”
O antivírus de última geração passou de procurar apenas código para procurar comportamento malicioso. Essa é uma grande diferença.”
Michael Suby Vice-Presidente de Pesquisa para Segurança e Confiança, IDC
Alguns profissionais de segurança, no entanto, expressaram preocupações sobre a tecnologia de evasão sandbox nos últimos anos, devido aos atacantes encontrarem maneiras de reconhecer que seu malware não está sendo executado em um ambiente ao vivo e potencialmente encerrar sua execução para ocultar o incidente.
Os recursos de análise comportamental do SentinelOne, diz Phipps, essencialmente estabelecem medidas de proteção semelhantes a sandbox em cada endpoint para detectar preocupações, analisando elementos de itens como o PowerShell da Microsoft, que os administradores podem utilizar de maneira legítima, mas os hackers também usam como um componente-chave de ransomware.
“Sabemos quando alguém ou um processo do sistema está acessando o Serviço de Subsistema da Autoridade de Segurança Local (LSASS) corretamente e quando um hacker está tentando despejar senhas dele”, diz Phipps. “Nós determinamos e o bloqueamos bem ali, no local. Estamos tentando tomar a decisão que uma equipe de segurança teria que tomar e fazê-la em tempo de execução para que possam se concentrar em aspectos de segurança mais complexos.”
5. Firewalls de Próxima Geração
As características definidoras fundamentais de um firewall de próxima geração, de acordo com Fontaine, envolvem a capacidade de aproveitar a inspeção profunda de pacotes e impor políticas com base na identificação da Camada 7 de um aplicativo e seus usuários.
A plataforma de firewall de última geração da Palo Alto Networks oferece recursos de segurança, diz Fontaine, que tradicionalmente exigiriam seu próprio hardware autônomo, como filtragem de URL, segurança da Internet das Coisas, prevenção de perda de dados e WAN definida por software.
“A integração e colaboração automatizadas desses recursos ajudou nossos clientes do governo local e estadual a aumentar acentuadamente sua postura de segurança e reduzir a carga administrativa de coordenar manualmente a inteligência entre soluções diferentes, reduzindo os gastos necessários para manter várias soluções autônomas”, diz Fontaine.
Ferramentas de Próxima Geração Facilitam a Segurança no Local de Trabalho
Embora os ambientes remotos tenham se tornado a norma para muitos funcionários do governo no ano passado, eventualmente, vários retornarão a trabalhar no local. Embora possa parecer que isso reduzirá parte da necessidade de MTD, firewalls e outras medidas de proteção, os profissionais de TI e segurança não têm tanta certeza.
Três quartos disseram temer um aumento adicional de ataques cibernéticos e explorações à medida que os escritórios reabrem e os funcionários trabalham remotamente.
Com o aumento da probabilidade de que os governos, como muitas organizações, operem em um ambiente de trabalho híbrido, as tecnologias de segurança estabelecidas baseadas em perímetro podem ter menos relevância, de acordo com Suby.
As soluções de terminais de última geração de hoje podem potencialmente fornecer alguma proteção.
“O perímetro precisa estar mais no ponto final”, diz Suby. “Os pontos finais sempre foram um ponto inicial popular de ataque; esse continua sendo o caso. A segurança do ponto final não é uma solução estagnada. Os produtos continuarão a expandir os métodos que têm para identificar ameaças e agir. Estamos entrando em um período de evolução na segurança de terminais.”
FONTE: STATETECH MAGAZINE