Dispositivos (e ransomware) estão por toda parte

22/12/2023 mindsecblog Artigos, Notícias 4

Dispositivos (e ransomware) estão por toda parte: como a segurança de endpoint deve se adaptar

Para onde quer que você olhe hoje em dia, há um novo endpoint . Quer se trate de laptops, smartphones ou tablets dos usuários, parece que todos carregam consigo vários dispositivos que são usados para trabalho e lazer. Já se foram os dias dos funcionários armados apenas com o laptop e o smartphone fornecidos pelo trabalho.

Isto continua a ter um impacto profundo na forma como as equipes de segurança corporativa devem lidar com a segurança dos endpoints .

O mundo continua adicionando não apenas mais endpoints, mas também mais tipos de endpoints. Ao abordar como os endpoints crescentes aumentam gradativamente a superfície de ataque empresarial, não se trata mais apenas de laptops, tablets ou smartphones. Há ainda mais dispositivos xIoT (eXtended Internet of Things) on-line quando se considera todos os sensores conectados, dispositivos operacionais, dispositivos inteligentes, dispositivos médicos conectados e muito mais. Esses também são endpoints e aumentam a superfície de ameaça.

“Quando pensamos em endpoints, pensamos em algo que usamos para trabalhar – seu laptop, um tablet, um smartphone, algo que é facilmente controlado e sobre o qual você pode definir uma política”, disse Matt Hickey, vice- presidente de engenharia de vendas da Sofos. Mas as empresas devem ampliar sua perspectiva em relação aos endpoints, disse ele, acrescentando: “Acho que às vezes as organizações perdem o foco de que os endpoints também incluem servidores, e isso vai além dos servidores Windows. Ouço clientes falarem sobre antivírus para Linux ou proteção de endpoint, mas é simplesmente uma caixa de seleção para conformidade e eles realmente não se esforçam para realmente proteger esses dispositivos.”

As organizações também devem considerar seus servidores e vulnerabilidades associadas. Servidores vulneráveis, por exemplo, têm sido usados por agentes de ameaças para lançar de tudo, desde ataques distribuídos de negação de serviço, roubo de grandes quantidades de dados, até impressionantes ataques de ransomware que interromperam a prestação de cuidados críticos .

As longas sombras do risco empresarial

Depois, há o papel da Shadow IT acelerando o crescimento dos endpoints na empresa. O Gartner prevê que até 2027, 75% dos funcionários irão adquirir, modificar ou criar tecnologia fora da visibilidade da TI e, em uma pesquisa recente da CyberRisk Alliance sobre segurança de endpoint , 20% dos entrevistados citaram a shadow IT como um desafio significativo para a segurança de endpoint.

Shadow IT, que é amplamente definido como qualquer dispositivo tecnológico, software ou serviço de software instalado sem o conhecimento do departamento de TI – incluindo endpoints e infraestrutura – apresenta riscos significativos e desempenha um papel fundamental na preparação dos invasores para conduzir seus ataques. . À medida que o invasor consegue entrar no endpoint, ele usa esse ponto de apoio para se mover lateralmente pela organização e acessar sistemas e dados ainda mais valiosos. Freqüentemente, os invasores se aprofundam nesses endpoints, e até mesmo em seu firmware de nível inferior, para obter uma presença persistente na organização.

Ampla janela de vulnerabilidade

Para ter esperança de alcançar uma linha de base de gerenciamento de riscos, as organizações devem corrigir todos esses dispositivos – um esforço monumental por si só. E, como Hickey apontou, as organizações precisam ser capazes de corrigir todos esses endpoints – mas a realidade é que as equipes de segurança e operações corporativas mal conseguem acompanhar as crescentes demandas de patches. Isso deixa a necessidade de corrigir todos os endpoints insana. “Uma coisa que não mudou desde que começamos a monitorar essa estatística é que o período médio de tempo entre o momento em que uma vulnerabilidade é conhecida em um Windows Server e o momento em que ele é corrigido ainda é de aproximadamente 200 dias”, disse Hickey. “Essa é uma enorme janela de oportunidade.”

É também uma enorme janela de vulnerabilidade e risco. Mesmo assim, não se espera que o crescimento dos endpoints diminua no futuro próximo. De acordo com uma pesquisa CRA Business Intelligence de setembro de 2023, 63% dos tomadores de decisão de segurança de TI disseram ter 1.000 ou mais endpoints e 37% relatam que esse número é superior a 5.000 . Hickey afirma que uma defesa de endpoint sensível ao contexto é o caminho a seguir . Como abordamos recentemente, a defesa de endpoint sensível ao contexto ajuda a melhorar a segurança de endpoint tradicional, colocando em uso todos os dados relevantes para que as equipes de segurança e suas defesas possam conter rapidamente ataques urgentes.

De acordo com a descrição da Sophos, a defesa sensível ao contexto ajuda a automatizar as ferramentas de segurança existentes. Ao coletar os dados de endpoints, bem como de firewall, sistemas de autenticação, SIEMs, bancos de dados de ameaças, logs de rede, bem como sistemas antimalware, as defesas sensíveis ao contexto permitem uma resposta mais rápida e abrangente às ameaças porque o ataque é identificado mais rapidamente , e as defesas de segurança possuem os dados precisos de que precisam para poder comandar os sistemas para detê-lo.

Além disso, os alertas enviados aos analistas de segurança fornecem todos os dados relevantes de que precisam para responder. Para a maioria dos profissionais de segurança que lidam com cada vez mais dispositivos e sistemas vulneráveis, esses recursos não podem chegar em breve.