Partilhe nas Redes Sociais

As defesas automatizadas frente ao malware

José Luis Laguna, diretor técnico da Fortinet Ibéria

Publicado em 28 Novembro 2017 | 1299 Visualizações

A tendência para a adoção de infraestrutura na cloud tem um impacto direto na cibersegurança. De acordo com o relatório publicado recentemente pela Fortinet ‘Threat Landscape Report Q1 2017’, no primeiro trimestre do ano, o número de aplicações na cloud utilizadas por uma organização era de 62 (33 de software-as-a-service e 29 de infraestrutura como serviço), valores ligeiramente inferiores aos registados no trimestre anterior. As aplicações na cloud aumentam a superfície de ataque ao incorporar novos vetores de ameaça como shadow IT numa altura em que se generalizam os serviços para a cloud pessoal. A crescente dependência de serviços conectados para automatizar e executar tarefas diárias reduz a segurança e convida visitantes indesejados

Outra tendência da infraestrutura que causa preocupação é, paradoxalmente, a encriptação. O mesmo relatório indicou que a média do tráfego HTTPS em relação ao HTTP atingiu uma marca notável no primeiro trimestre de 2017. Embora este protocolo seguro seja útil para manter a nossa privacidade, esta tendência também representa um desafio para o controlo e a deteção de ameaças. As organizações, especialmente aquelas com o tráfego HTTPS mais seguro, não podem dar-se ao luxo de ignorar as ameaças que podem ocorrer nas comunicações encriptadas.

Por outro lado, uma grande parte da atividade de exploits é totalmente automatizada através de ferramentas que exploram a Internet para detetar potenciais falhas na segurança. As ferramentas disponíveis e a infraestrutura «crimeware-as-a-service»  permitem que os cibercriminosos atuem à escala global com grande velocidade.

 

Desafios: Recursos, Tempo de resposta, Experiência

As equipas de segurança IT estão saturadas. Enfrentam uma avalanche de alertas de segurança e não têm os recursos ou a experiência para responder a esses alertas. Consequentemente, aumenta a sua dependência dos fornecedores de serviços de segurança gerida e dos seus fabricantes de segurança para gerir o problema.

O tempo de resposta é outra desvantagem. A capacidade de responder antes de se provocarem danos significativos está a ser reduzida. As equipas de TI muitas vezes não podem responder a todos, ou pelo menos à maioria, dos alertas no tempo adequado. As equipas de TI geralmente não sabem ou não conseguem priorizar eventos de ameaça, muito menos centralizá-los e correlacioná-los facilmente.

Os ataques, especialmente os automatizados, têm uma vida curta; os indicadores de compromisso têm traços ligados a ataques específicos, mas desaparecem rapidamente. A equipa de segurança de TI deve ser capaz de responder a um ataque quando este está visível, e não após a ocorrência. O problema é que o processo é complexo, se contar com soluções específicas e confiar exclusivamente em seres humanos para realizar a sua integração. Esta é a razão pela qual a automatização se torna um elemento chave.

 

Combater a automatização com automatização

Quando os controlos de tecnologia funcionam juntos e comunicam, a tecnologia é capaz de tomar algumas decisões de forma automatizada. Este é o primeiro passo para a criação de um sistema especializado – um sistema informático que imita o processo de tomada de decisão de um especialista. Esses controlos não podem eliminar a ameaça real, mas uma vez que é detetada, eles ajudarão a conter ou isolar a ameaça. Com isso, proporciona mais tempo à equipa de incidências para combater o ataque.

Para resumir, combinando estas cinco ferramentas, as empresas podem unificar o controlo de todos os vetores de ataque e deter os ataques automatizados:

  1. A gestão de patches é essencial. Mirai e Hajime, worms sigilosos e com capacidades de auto propagação muito avançadas, exemplificam os danos que podem ser causados quando as equipas de TI não conseguem corrigir as vulnerabilidades.
  2.  Um sistema de prevenção de intrusão (IPS) é a primeira linha de defesa. Como os fabricantes dos dispositivos IoT não são responsáveis por protegê-los, a Internet está a ser contaminada. Existem bilhões de dispositivos, sem patches disponíveis, vulneráveis a ataques. Até que esses dispositivos estejam completamente protegidos é necessário ter um IPS que atue como um patch virtual para bloquear os ataques a dispositivos IoT.
  3.  Os dados são importantes. A segmentação é uma necessidade porque os ataques do tipo ransomware vão atrás de dados valiosos. Houve casos de ransomware que penetram e infetam os dados e as suas cópias de segurança, o que é um desastre. É importante assegurar-se de que estão a realizar corretamente cópias de segurança e que estas estão em segmentos de rede protegidas.
  4.  Concentre-se na visibilidade. Tentamos sempre construir uma fortaleza contra um inimigo invisível. Se construímos uma barreira e estamos a mostrá-la aos atacantes, o que farão? Vão atravessar a barreira e entrar na rede. Portanto, o primeiro passo é aproveitar as soluções que integram a inteligência das ameaças para entender quem são os nossos inimigos e os seus procedimentos e, em seguida, desenhar uma defesa inteligente de acordo com as informações obtidas. Também é essencial saber onde se encontram os nossos ativos críticos e priorizar a segurança em torno deles. Se um ativo é sequestrado, atacado por uma negação de serviço distribuído (DDoS) ou comprometido de alguma forma, qual será o custo para o nosso negócio?
  5.  Finalmente, uma vez que o inimigo foi compreendido e as soluções adequadas foram providenciadas, é importante reforçar a proatividade. O mais recomendável são soluções proativas e interoperáveis. A maioria das organizações tem muitas soluções de diferentes fornecedores. Devemos reduzir essa complexidade integrando e consolidando os dispositivos de segurança existentes dentro de uma estrutura baseada na troca inteligente de informações sobre ameaças e uma arquitetura aberta.

 

Combater o fogo com fogo

Independentemente do nível de excelência das nossas equipas de segurança IT, o ser humano não pode acompanhar os atuais ataques automatizados. Essas incursões de rede devem ser detetadas e tratadas rapidamente, antes que elas possam causar danos e desaparecer sem rastro. Um sistema de soluções de segurança integradas e convenientemente orquestradas permite que as organizações combatam a automatização com automatização usando as próprias táticas dos cibercriminosos

 


Publicado em:

Opinião

Partilhe nas Redes Sociais

Artigos Relacionados