0
0
A segurança cibernética é um campo tão complexo que mesmo os gerentes de segurança mais bem treinados, mais bem equipados e mais experientes, às vezes, lutam para decidir qual dos vários caminhos seguir.
Vamos considerar o tráfego da web não categorizado, por exemplo. Eu defino isso amplamente como tráfego envolvendo sites que ainda não são classificados, não podem ser classificados (porque são recém-criados ou envolvem domínios estacionados ou reativados recentemente) ou tráfego que é (por enquanto) insolúvel por meio de nome de domínio padrão olho para cima.
Como os usuários podem e irão viajar pela web como bem entenderem, eles inevitavelmente navegarão em um site não categorizado. Os gerentes de segurança, portanto, devem criar políticas de segurança para manipulá-lo e protegê-lo. E isso não é uma coisa fácil de fazer por causa da pergunta embaraçosa que introduz: como você pode proteger uma classe de tráfego sobre a qual ainda não sabe nada e não consegue definir?
Orientação para um equilíbrio
Você pode simplesmente bloquear, por padrão, todo o acesso a todos os sites não categorizados. Mas o uso de um instrumento de política tão contundente provavelmente apresentará uma série de problemas para os usuários que tentam acessar sites legítimos e afetará negativamente a velocidade dos negócios. No nível do sistema, o tratamento de exceções pode se tornar tão comum que não é uma exceção, mas uma norma, criando vários tipos de problemas de desempenho e fadiga no tratamento de exceções.
Por outro lado, se você ignorar o tráfego não categorizado, apresentará uma série de problemas e riscos potencialmente sérios.
Sites mal-intencionados ou não controlados podem ser carregados com ameaças; os usuários que os visitam podem adquirir e espalhar malware inadvertidamente. Tão ruim, ou pior, é o potencial de que os usuários sejam enganados e desembolsem suas credenciais, que os sites coletarão para venda ou exploração imediata.
Os domínios recém-registrados (NRDs) são um bom exemplo de como essa situação pode acontecer; eles são preferidos por agentes mal-intencionados exatamente por esse motivo. Pequenas variações de domínios legítimos e confiáveis (que os usuários não percebem que são variações) podem criar uma falsa confiança nas mentes dos usuários, levando a ataques como phishing, explorações de comando e controle, exfiltração de dados e ransomware .
Isso significa que, para os gerentes de segurança, o desafio do tráfego não categorizado é encontrar um meio-termo adequado: minimizar os riscos de segurança e o tratamento de exceções enquanto maximiza a experiência do usuário.
É mais fácil dizer do que fazer, mas tenho algumas recomendações. E como as especificidades da implementação obviamente variam entre ferramentas e serviços, tentarei apresentá-las de forma geral.
Práticas recomendadas para lidar com tráfego não categorizado
Todo o tráfego não categorizado deve ser submetido à inspeção TLS . Dado que mais de 90% de todo o tráfego da Internet é criptografado hoje, inspecionar o tráfego não categorizado é fundamental para fornecer visibilidade de cargas potencialmente maliciosas ou exfiltração de dados.
Os gerentes podem aumentar a visibilidade permitindo a pesquisa de novos domínios suspeitos para identificar domínios recém-registrados, recém-observados e recém-reativados. Isso permitirá mais controle sobre domínios recém-gerados por computador, domínios inspirados em eventos atuais, domínios de typosquatting, domínios revividos após uma falência e muitos outros cenários como esses usados para disseminação de malware.
Aproveitando a categorização de conteúdo dinâmico para limpar o tráfego não categorizado. Todos os fornecedores de gateway da Web seguro (SWG) têm provedores de serviços de categorização de conteúdo OEM, mas, devido à escala da nuvem, eles podem aproveitar seus data lakes e tecnologia de exame de conteúdo para categorizar adequadamente o tráfego em sua categoria preferida dinamicamente. Isso pode ser usado para proteger uma empresa de riscos de responsabilidade legal.
Uma próxima etapa lógica seria limitar o tráfego para esses sites por meio de políticas conservadoras. Por exemplo, se um site não categorizado tiver um certificado de servidor não confiável, os gerentes podem bloquear qualquer tráfego com ele. Se o tráfego não categorizado não puder ser inspecionado por qualquer motivo, esse tráfego também deve ser bloqueado. Os gerentes também podem exigir versões mínimas de Transport Layer Security ( TLS ) para clientes e servidores e recusar qualquer transação que não atenda a esses requisitos.
Os serviços que fornecem não apenas análise de ameaças, mas também sandboxing inteligente oferecem aos gerentes um poder ainda mais granular. Os downloads de arquivos de sites não categorizados devem ser submetidos a um exame mais rigoroso. A capacidade de colocar em quarentena downloads de arquivos maliciosos, bem como downloads de arquivos suspeitos que podem não ter uma carga armada de primeiro estágio, provavelmente não afetará a velocidade dos negócios por meio do tratamento de exceções de conteúdo, mas forneceria uma redução de risco adicional.
Os avisos de advertência geralmente são úteis em casos de tráfego não categorizado. Pedir aos usuários que respondam a um desafio do tipo CAPTCHAantes de concluir uma determinada transação na Web aumenta sua vigilância e os força a pensar criticamente sobre a legitimidade dessa transação (e até mesmo potencialmente bloqueia o código malicioso que, de outra forma, seria transmitido a um canal de botnet para obter mais instruções ).
Os controles de segurança de tipo de arquivo estão no ponto em três áreas: proteção de endpoint (principalmente restringindo downloads de executáveis/binários), prevenção de perda de dados (restringindo uploads para sites) e aumentando a vigilância do usuário final (um recurso precioso).
Em termos de prevenção de perda de dados, os gerentes de segurança devem considerar o bloqueio de qualquer upload de arquivos criptografados (exceto aqueles conhecidos e necessários para fins comerciais) e o bloqueio de qualquer upload em que o arquivo exceda um determinado tamanho. Essas precauções são duplamente importantes para sites não categorizados.
A análise e o controle do serviço de nome de domínio (DNS) também são importantes. Você raramente verá uma necessidade comercial de um aplicativo de missão crítica hospedado em um domínio recém-registrado ou revivido. Esses domínios geralmente fazem parte de cadeias de ataque na forma de pontos de terminação para exfiltração de túnel DNS ou hospedagem de malware drive-by. Eu recomendaria bloquear o tráfego não categorizado para todas as solicitações e respostas de DNS.
O isolamento remoto do navegador (RBI) também pode reduzir o risco. Quando um usuário tenta acessar um site potencialmente problemático, o RBI fornece a esse usuário uma renderização digital desse site. Os pixels que representam o site são transmitidos ao usuário — não os arquivos HTML/JavaScript/CSS do site. O isolamento pode proteger contra comprometimento e exfiltração e deve permitir a configuração granular de vários perfis de isolamento que se alinham aos modelos de uso e risco de negócios.
Por fim, gostaria de lembrar os leitores de ativar o isolamento inteligente/controle preditivo , se disponível. Depois de treinado em um conjunto de dados grande e adequado, insights de máquina como esse funcionam automática e continuamente. E com o tempo, à medida que analisa cada vez mais dados, torna-se cada vez mais preciso. AI/ML é particularmente bom para ajudar sua equipe a evitar campanhas de coleta de credenciais, porque é muito mais rápido e melhor em reconhecer sites falsos habilmente construídos hospedados em um domínio parecido do que os seres humanos tendem a ser.
Existem muitas e variadas abordagens para o tráfego da web não categorizado. Como líderes de segurança, devemos sempre nos esforçar para minimizar os riscos enquanto capacitamos os usuários o máximo possível. Força contundente, dicotomias permitir/negar são problemáticas e desatualizadas. Esperançosamente, os itens acima servem como etapas acionáveis para alcançar uma aplicação de políticas mais granular.
FONTE: HELPNET SECURITY