Segurança Automatizada e Inteligente para a sua Empresa

Nos últimos dois anos, os ataques cibernéticos evoluíram em escala e eficácia, afetando organizações em todas as indústrias e regiões geográficas. Os ataques cibernéticos bem-sucedidos são um problema crescente em toda a indústria, apesar de bilhões serem gastos em soluções de segurança cibernética. Parte do motivo é que as novas técnicas e, de fato, um ecossistema de cibercrime de apoio maduro – para a detecção de penetração e evasão reduziram a eficácia de muitas defesas tradicionais.

 

Os Efeitos de um Ataque Cybernético

Os efeitos persistentes de um ataque bem sucedido muitas vezes têm consequências devastadoras, impactando a continuidade do negócio, a marca, a confiança do cliente, o valor da empresa e a linha de fundo. Essas conseqüências estão forçando as organizações a procurar novas arquiteturas de segurança e soluções destinadas a enfrentar essas ameaças, bem como formas de melhorar as proteções tradicionais. E agora que os novos regulamentos possuem gerenciamento executivo, incluindo o conselho de administração, responsáveis, o imperativo de encontrar uma solução é mais urgente do que nunca. O que essas organizações não podem dar ao luxo de fazer, no entanto, é investir mais recursos nas mesmas soluções que não conseguiram fornecer a proteção que as redes de hoje exigem.

O que é Sandbox?

O conceito de sandbox tem sido em torno de quase uma década, muitas vezes desenvolvido por laboratórios de pesquisa de ameaças para analisar o enorme volume de ameaças na natureza. Esta tecnologia fornece um ambiente virtual para examinar, monitorar, detonar e denunciar com segurança o comportamento de novas ameaças. Como eles podem fornecer análises imediatas e profundas, eles foram comprovadamente eficazes na detecção de malware zero-day e avançado.

Um exemplo adequado disso é encontrado em no FortiGuard Labs, da Fortinet, que originalmente desenvolveu  FortiSandbox  como uma ferramenta de pesquisa de ameaça industrial. Como resultado, foi projetado para processar e analisar as ameaças mais viciosas e sofisticadas em um volume poucos, se alguma empresa já tiver experiência. Os dados resultantes tornaram-se um componente crítico do nosso feed de inteligência de ameaças compartilhado com milhões de dispositivos de segurança implantados em todo o mundo, de modo que os resultados tiveram que ser precisos e sensíveis ao tempo. Em qualquer período de 24 horas, nossa infraestrutura sandbox identifica milhares de ataques previamente desconhecidos (por meios tradicionais).

O que há de novo sobre a tecnologia sandbox nos últimos anos é o movimento de uma ferramenta de pesquisa de ameaças para uma medida de segurança do cliente, que é um suplemento crítico à abordagem de segurança baseada em assinaturas tradicional que a maioria das organizações usa para detectar ameaças conhecidas.

No entanto, o sandboxing foi fora do alcance da maioria das organizações por vários motivos:

Complexidade:  As soluções de sandbox geralmente disponíveis são ferramentas de segurança avançadas que requerem profissionais de segurança experientes para operar e realizar análises de ameaças. No entanto, a manutenção de pessoal de recursos de segurança adequado é um obstáculo para muitas organizações devido à contínua falta de talentos de informática de cibersegurança na indústria.

Resposta manual: Uma vez que uma sandbox examinou e validou malwares anteriormente desconhecidos, os IOCs (indicadores de compromisso) geralmente devem ser devolvidos manualmente na fase de mitigação em todos os controles de segurança da organização, a fim de tomar as medidas apropriadas. Com a evolução dos ataques automatizados e o avanço do malware e do ransomware-como-serviço, mesmo os cibercriminosos comuns podem facilmente empacotar e entregar instantaneamente malwares altamente mal-intencionados. Isso torna inegável o incômodo processo de resposta manual, ampliando assim a lacuna entre a detecção e a resposta.

TCO: Não só a sandbox considerada como um investimento caro, mas também a maior preocupação é a falta de consistência ou consenso em torno da efetividade de segurança real nos vários fornecedores que oferecem soluções semelhantes a sandbox. Parte dessa razão é comum a todas as novas tecnologias, uma vez que houve pouco consenso inicial sobre o que uma sandbox deveria ser capaz de fazer, e há poucos laboratórios de terceiros que fornecem testes lado a lado para fins de classificação e comparação.

Recentemente, as ofertas integradas de sandbox mudaram a taxa e a dinâmica da adoção do sandbox, mas muitas dessas ferramentas ainda sofrem de deficiências, como a falta de uma resposta coordenada na arquitetura de segurança distribuída de uma organização.

Isso ocorre porque os surtos rápidos de malware, como o WannaCry, exigem que todas as organizações tenham uma sandbox implantada como ferramenta de análise automatizada e centro de inteligência para sua infraestrutura de segurança. Como os padrões e o consenso da indústria ainda estão evoluindo em torno dessas ferramentas, é fundamental que as organizações busquem soluções construídas em torno de padrões elevados de precisão e desempenho e que foram projetados para ambientes do mundo real, incluindo equipe de TI sobretaxada.

Ao analisar as soluções sandbox, é fundamental que você procure as seguintes características:

Centro de inteligência: para garantir uma ampla superfície de ataque contra ameaças, a capacidade de compartilhar a consciência de ameaças em tempo real, incluindo a detecção avançada de ameaças, entre diferentes controles de segurança é um requisito fundamental. Para uma defesa eficaz, uma solução de sandbox deve funcionar como parte de uma estrutura ou tecido de segurança maior que permite a partilha bidirecional nativa de informações geradas pela sandbox em uma ampla gama de produtos de segurança, incluindo firewalls empresariais, gateways de correio seguro, firewalls de aplicativos da Web e soluções de segurança de ponto final. Eles também devem permitir que fornecedores externos participem do compartilhamento e consumo de inteligência usando APIs abertas, ao mesmo tempo em que permitem que parceiros estratégicos forneçam integração zero-touch para redes seguras do IoT  para o Nuvem.

Automatizado: a automação, após a disseminação da nova inteligência descrita acima, é outro critério importante, pois ajuda a resolver o desafio da crescente escassez de conhecimentos de segurança. Permite uma resposta coordenada a ataques automatizados e reduz o tempo de resposta.

 

Aqui está uma ilustração de automatizar uma resposta de ameaça:

  • Passo 1: um email com um anexo desconhecido ou não reconhecido é bloqueado por um Secure Email Gateway e transmitido ao sandbox para uma inspeção adicional.
  • Passo 2: o anexo é então analisado, e se uma ameaça, como o ransomware, for detectada, o sandbox retorna esses resultados em tempo real de volta ao Email Gateway, a fim de colocar em quarentena o email e gerar IOCC de ameaças relevantes.
  • Passo 3: Esta inteligência de ameaças, composta por IoCs de ransomware, incluindo quaisquer domínios C2 maliciosos, também é compartilhada com o Enterprise Firewall para bloquear automaticamente o destino da rede.
  • Etapa 4: Ao mesmo tempo, um hash do executável do ransomware é compartilhado com as ferramentas do Endpoint Security para evitar automaticamente ou executar o arquivo.
  • Etapa 5: Este feed de inteligência de ameaça não se limita à rede local, mas também é compartilhado em tempo real em locais geográficos conectados e em fusos horários para imunizar toda a organização distribuída contra essa nova ameaça.
  • Passo 6: Na Fortinet, esta nova inteligência de ameaças também é compartilhada de volta para nossa equipe de pesquisa de malware FortiGuard para análises adicionais, e qualquer inteligência subsequente é empurrada para todos os clientes em todos os lugares, bem como para organizações de segurança como a CTA (Ciber Threat Alliance).

Certificação independente: uma melhor prática para identificar a eficácia das soluções sandbox é insistir em testes independentes e de terceiros. Esses resultados de testes não fornecem apenas um instantâneo sobre a eficácia e o valor de uma solução, mas alguns testes também podem fornecer informações sobre como um sandbox específico será executado em condições reais uma vez implantado dentro de sua arquitetura de segurança exclusiva. Essas vantagens são por que o Fortinet está comprometido com o teste público em curso de nossos produtos e soluções. Nós participamos ativamente de vários laboratórios de testes independentes que divulgam metodologias de teste e atuam de maneira justa e imparcial ao longo do ciclo de teste. E incentivamos ativamente todos os outros fornecedores a fazerem o mesmo para fornecer aos consumidores um conjunto comum de informações para que eles possam comparar e selecionar essas ferramentas apropriadas para seu ambiente e circunstâncias.

 

Adotando a Arquitetura de Segurança Automatizada

Abordar as ameaças avançadas de segurança altera o paradigma da manutenção de uma grande equipe de SOC, que é cada vez mais difícil ao pessoal, dada a crescente demanda por profissionais de segurança, para a transformação da infra-estrutura de segurança de uma organização em uma única entidade integrada. À medida que mais organizações adotam uma arquitetura de segurança automatizada e orientada pela inteligência, eles não só rapidamente perceberão uma melhoria em sua postura de segurança geral, mas terão a oportunidade de re-priorizar os recursos de segurança enquanto apoiam com confiança as iniciativas empresariais.

Fontes: Fortinet
CSO Online