Soluções de segurança de última geração para proteção cibernética

Soluções de segurança de última geração para proteção cibernética que estão ajudando empresas. Recursos avançados de reconhecimento, análise e resposta ajudam a obter proteção robusta em camadas.

Anos atrás, empresas e governos dependiam de métodos reativos, como a detecção de assinaturas, para se proteger contra ameaças cibernéticas.

As técnicas dos invasores, no entanto, ficaram mais complexas. As entidades governamentais também se tornaram alvos mais frequentes: os ataques a governos locais aumentaram mais de 58% entre 2018 e 2019, de acordo com dados do provedor de treinamento em segurança KnowBe4 .

Esses fatores, juntamente com o aumento de funcionários trabalhando remotamente devido à pandemia de coronavírus , geraram a necessidade de uma abordagem de segurança cibernética complexa e em camadas.

Nos últimos anos, as ferramentas de segurança de endpoint de próxima geração se tornaram uma opção popular, de acordo com Michael Suby, vice-presidente de pesquisa da IDC para segurança. Em vez de procurar hashes que representam uma sequência de código relacionada a um agente mal-intencionado, as soluções de segurança de endpoint atuais utilizam monitoramento comportamental, inteligência contra ameaças e outros métodos de proteção para detectar e bloquear ataques rapidamente.

“Os atores da ameaça são inteligentes; eles apenas aceleraram o processo de criação de variações de malware ”, diz Suby. “Seus comportamentos se tornaram mais sutis e difíceis de discernir dos comportamentos adequados. A abordagem das organizações é: ‘Vamos ser mais claros sobre o que permitiremos que aconteça, quais aplicativos permitiremos estar nos terminais e quais comportamentos de aplicativo consideramos aceitáveis.‘ ”

Uma série de ferramentas de proteção de endpoint de última geração podem ajudar as organizações a identificar, avaliar e, por fim, lidar com ameaças potenciais. Aqui estão cinco recursos principais a serem considerados em um sistema de segurança de endpoint de última geração e como eles podem ajudar as agências governamentais a prevenir e responder a ataques cibernéticos.

1. Antivírus de próxima geração

No passado, as ferramentas antivírus exigiam que as organizações atualizassem com frequência um banco de dados de assinaturas. Embora a detecção de arquivos de assinatura muitas vezes ainda seja um componente de prevenção de ataques cibernéticos, as soluções antivírus de última geração incorporam recursos avançados, como inteligência artificial, oferecendo proteção dinâmica e proativa.

“O antivírus de última geração deixou de procurar apenas código para procurar comportamento malicioso”, diz Suby. “Essa é uma grande diferença.”

A proteção de endpoint Intercept X da Sophos oferece a tecnologia de inteligência artificial Deep Learning incorporada ao produto que é capaz de detectar malware conhecido e desconhecido sem depender de assinaturas, prevenindo a exploração e interrompendo as técnicas usadas em ataques sem arquivo, sem malware e com base em exploração.

2. Detecção e Resposta de Endpoint (EDR)

As organizações desejam reprimir os ataques o mais rápido possível para minimizar seus efeitos. Além dos recursos de detecção, a tecnologia de detecção e resposta de endpoint pode fornecer uma resposta automatizada rápida.

As soluções de EDR, de acordo com o Gartner, geralmente têm vários atributos comuns . Eles registram comportamentos no nível do terminal, usam análise de dados para detectar comportamento suspeito do sistema, contêm incidentes de segurança no terminal e fornecem orientação de correção para restaurar os sistemas afetados.

Essencialmente, os recursos de EDR complementarão as soluções antivírus modernas, de acordo com Suby, que muitas vezes pode identificar com segurança uma série de indicações de atividades maliciosas, mas nem sempre é capaz de reunir evidências suficientes para chegar a um veredicto com segurança.

“Em alguns casos, o antivírus de próxima geração pode reagir com um alto nível de certeza”, diz ele. “Quando esse não é o caso, procuramos o EDR para nos ajudar a descobrir os agentes de ameaças mais sutis. Ele fornece outra camada de defesa. ”

O Sophos Intercept X Advanced com EDR integra poderosa detecção e resposta de endpoint (EDR) com a melhor proteção de endpoint do setor. Construído tanto para operações de segurança de TI quanto para caça a ameaças, o Intercept X detecta e investiga atividades suspeitas com análises conduzidas por IA. Ao contrário de outras ferramentas de EDR, ele adiciona expertise, não headcount, ao replicar as habilidades de analistas difíceis de encontrar.

3. Defesa contra ameaças móveis (MTD)

De acordo com uma pesquisa da Check Point, um terço dos profissionais de TI e segurança identificou ataques envolvendo dispositivos móveis de funcionários como uma das três principais preocupações de segurança cibernética em meados de 2020. Quarenta e três por cento disseram que planejam implementar soluções de segurança móvel dentro de meses.

Aplicativos, redes e dispositivos, os produtos de defesa voltados para dispositivos móveis podem incluir técnicas de proteção, como monitoramento de tráfego de rede e análise de código.

Segundo a Sophos de todas as ameaças detectadas, uma em cada 10 foi encontrada em um dispositivo móvel.

Isso não deveria ser uma surpresa, na verdade, provavelmente todos nós temos um dispositivo móvel com acesso a e-mail. Quanto mais confiamos em um dispositivo móvel, mais aumentamos o risco de esse dispositivo ser o lugar onde a ameaça chega primeiro. Quanto mais e-mails você abrir, maior será a chance de você clicar em um link de phishing, por exemplo.

Essa estatística destaca que devemos levar a segurança dos dispositivos móveis a sério se quisermos prevenir e detectar ameaças o mais rápido possível.

Na Avaliação da Indústria de Defesa Móvel contra Ameaças (MTD) da Miercom, a Sophos foi classificada com a solução de melhor desempenho na proteção de equipamentos mobile. A organização de teste independente Miercom conduziu um estudo sobre as principais soluções de segurança móvel, medindo os recursos de proteção e o custo de propriedade. A Sophos atingiu ambas as categorias, demonstrando excelente proteção contra malware de dia zero e ataques avançados.

O relatório completo está disponível no da site Miercom .

4. Sandboxing

Isolar objetos desconhecidos dos principais recursos do sistema para analisar como eles funcionarão em um ambiente controlado pode impedir que ameaças cheguem à rede. Sandboxing, ou análise avançada de malware, foi a tecnologia de segurança de rede instalada com mais frequência em 2019, usada por 62% das organizações, um aumento de 12% em relação ao ano anterior.

O CyberEdge Group, a empresa de pesquisa que patrocinou o estudo, atribuiu o aumento ao amadurecimento das ferramentas e à incorporação em suítes de segurança baseadas na nuvem e ao malware ser percebido como a ferramenta mais perigosa que um hacker possui.

O ransomware em particular, de acordo com Phipps, tem sido uma ameaça predominante do governo estadual e local nos últimos dois anos; esses governos podem ser alvos porque alguns não têm soluções de próxima geração em vigor, diz ele, e podem ser motivados a pagar o resgate para colocar serviços essenciais de volta online rapidamente.

“Nós vimos muitos casos de alto perfil irem a público”, diz Phipps. “Foi isso que despertou nas pessoas um grande interesse na segurança de endpoints, porque já viram isso acontecer o suficiente para outras pessoas perceberem que é apenas uma questão de tempo”.

O antivírus de última geração deixou de procurar apenas código para procurar comportamento malicioso. Essa é uma grande diferença, segundo Michael Suby Vice-presidente de pesquisa para segurança e confiança, IDC

Alguns profissionais de segurança, no entanto, expressaram preocupações sobre a tecnologia de evasão de sandbox nos últimos anos, devido aos invasores encontrarem maneiras de reconhecer que seu malware não está sendo executado em um ambiente ativo e potencialmente encerrando sua execução para ocultar o incidente.

5. Firewalls de última geração

As características definidoras fundamentais de um firewall de próxima geração, de acordo com Fontaine, envolvem a capacidade de aproveitar a inspeção profunda de pacotes e aplicar políticas com base na identificação da camada 7 de um aplicativo e seus usuários.

Outra característica importante é a integração do firewall de nova geração com o a proteção de endpoint de nova geração. Esta integração permite uma melhor ação relativa ao sandboxing e a identificação de visibilidade dos aplicativos desconhecidos.

O Firewall XG da Sophos integra em tempo real com a proteção de endpoint Intercept X e através do Sophos Central é possível ter relatórios flexíveis que permitem a visualização das atividades de rede e segurança ao longo do tempo. o Sophos Central oferece relatórios integrados, bem como ferramentas fáceis para criar seus próprios relatórios personalizados.

O Firewall XG fornece um console de gerenciamento baseado em uma web e se integra ao Sophos Central para um gerenciamento poderoso da nuvem em toda a sua rede e portfólio de produtos Sophos.

O Sophos Central fornece a plataforma de gerenciamento de nuvem definitiva para todos os seus produtos Sophos, incluindo firewall XG, sem custo extra.
O Group Firewall Management no Sophos Central permite que você faça alterações de política, configuração ou objeto em todo o seu estado de Firewalls XG com apenas alguns cliques.
O Central Firewall Reporting fornece insights fáceis sobre ameaças, conformidade e atividade do usuário em toda a sua rede com ferramentas flexíveis para criar seus próprios relatórios e visualizações.
O Centro de Controle do Firewall XG fornece feeds instantâneos do desempenho do sistema, padrões de tráfego, alertas e políticas.
O administrador baseado em funções fornece controle de acesso granular flexível para diferentes áreas funcionais e o Sophos Central permite que você controle quais administradores têm acesso a quais firewalls.

6. Zero Trust e Micorssegmentação

Embora ambientes remotos tenham se tornado a norma para muitos funcionários no ano passado, eventualmente, alguns voltarão a trabalhar no local. Embora possa parecer que isso reduzirá parte da necessidade de MTD, firewalls e outras medidas de proteção, os profissionais de TI e segurança não têm tanta certeza.

Três quartos disseram temer um novo aumento nos ataques cibernéticos e explorações, à medida que os escritórios sejam reabertos e os funcionários ao mesmo tempo trabalhem remotamente, tornando a monitoração e as soluções mais complexas.

Com o aumento da probabilidade de que os governos, como muitas organizações, operem em um ambiente de trabalho híbrido, as tecnologias de segurança baseadas em perímetro estabelecidas podem ter menos relevância, de acordo com Suby.

“O perímetro precisa estar mais no ponto final”, diz Suby. “Endpoints sempre foram um ponto inicial de ataque popular; esse continua a ser o caso. A segurança do endpoint não é uma solução estagnada. Os produtos continuarão a expandir os métodos de que dispõem para identificar ameaças e agir. Estamos entrando em um período de evolução na segurança de endpoint. ”

Outra solução que pode, e deve, ser melhor avaliada pelas empresa é a solução de Zero Trust e Microssegmentação, como a solução Stealth da Unisys.

A abordagem Zero Trust permite às empresas proteger seus ativos críticos, onde quer que estejam. Isso é importante porque usamos atualmente um grande e crescente número de dispositivos em empresas distribuídas, além do número cada vez maior de dispositivos conectados, que dificultam a definição dos perímetros das redes. Na realidade o perímetro de rede, como conhecido a décadas, esta desaparecendo.

Esse método assume confiança zero em todas as entidades – usuários, dispositivos, aplicações ou pacotes – independentemente com quem, com o que ou a que ponto elas se relacionem nas redes das empresas.

Tradicionalmente, as ameaças vêm de fora das empresas. Por esse motivo, organizações dedicam tempo e esforços na defesa de perímetros fixos. Muitas ainda fazem isso.

No entanto, muitas vezes os malfeitores já invadiram as redes das empresas, e o fato é que elas ainda nem sabem disso. É preciso estar atento e preparado para conter e erradicar essas ameaças.

Uma vez dentro das empresas, os invasores se movem rapidamente. É preciso ser mais rápido do que eles. E quanto mais tempo se leva para identificar e combater eventos de cibersegurança, mais tempo os hackers têm para produzir estragos e expandir seu alcance. É uma corrida contra o tempo!

No entanto, as equipes de TI perdem tempo tentando determinar o que aconteceu, como aconteceu, o que fazer e como lidar com tais eventos.

A reação típica dos grupos de TI nesses casos é identificar violações e vulnerabilidades, analisá-las, gerar chamados de suporte e, em seguida, agir contra elas. Cada etapa desse processo é muito manual. Isso torna a identificação e a contenção de eventos de cibersegurança propensas a erros e difíceis de administrar. E tudo leva muito tempo.

Parte do problema vem do fato de as arquiteturas de segurança serem complexas e dos controles de segurança estarem isolados em silos. Isso eleva os custos, diminui a eficácia e torna tudo mais lento.

As empresas também costumam demorar para reconhecer e solucionar vulnerabilidades – principalmente aquelas que tentam passar por cima da TI.

Hoje, não é incomum ver funcionários instalarem software em seus dispositivos, que depois se conectarão às redes das empresas. Esse ato, em si, pode ser uma violação da política corporativa. Além disso, os aplicativos podem introduzir vulnerabilidades, ou o próprio equipamento pode ser invadido, gerando oportunidades que serão exploradas futuramente pelos hackers.

Os integrantes das equipes de TI podem reconhecer o software que está gerando as vulnerabilidades e alertar outras pessoas sobre a ameaça, porém esse processo é, tipicamente, ineficiente e demorado. Também pode acontecer de não resolver adequadamente as vulnerabilidades. Por exemplo, um funcionário instalou um programa em seu laptop. A equipe de segurança tomou conhecimento disso por meio da varredura diária da rede. Após 48 horas, o funcionário recebeu um email alertando-o sobre o problema.

Em um ambiente de TI típico, essa seria considerada uma resposta rápida e sofisticada.

Entretanto, é fácil ver o que há de errado nesse cenário. Demorou horas para identificar a vulnerabilidade e dias para obter os detalhes do indivíduo que poderia agir. Além disso, a equipe de segurança deixou para o funcionário desinstalar o programa problemático.

Essa resposta pode parecer completamente aceitável em uma perspectiva histórica, mas o fato é que, se não agir rapidamente para fechar as brechas de cibersegurança – e não estiver preparada para reagir diante de um evento desse tipo, fora de controle -, a empresa pode perder clientes, receita, valor de mercado e a reputação conquistada arduamente. Será preciso gastar tempo e dinheiro para reduzir os danos, em vez de usar esses recursos para expandir os negócios. E a reputação será certamente afetada – colocando todo o trabalho em risco.

A microssegmentação por sua vez, é uma estratégia de segurança que segmenta sua rede em elementos menores e os gerencia com políticas de segurança de TI.

Pense na segurança tradicional como um cofre de banco e na microssegmentação como um cofre dentro dele. A microssegmentação permite separar redes físicas de maneira rápida e fácil em microssegmentos lógicos. Cada microssegmento é protegido, reduzindo drasticamente o risco. Se uma ameaça entrar no cofre, ela só pode desbloquear as caixas com as chaves certas.

A microssegmentação é um método de criação de zonas seguras em data centers e implantações em nuvem que permite às empresas isolar cargas de trabalho umas das outras e protegê-las individualmente. O objetivo é tornar a segurança da rede mais granular, mais micro controladas!

Unisys Stealth

Stealth é um pacote de software confiável por organizações governamentais e comerciais para proteger sistemas sensíveis de ameaças cibernéticas com microssegmentação definida por software e orientada por identidade.

Stealth cria comunidades de interesse (COI) que estabelecem canais de comunicação exclusivos entre os membros com base em identidades confiáveis. Os membros da comunidade não podem iniciar ou aceitar a comunicação de não membros e a criptografia restringe os não membros de interceptar comunicações intracomunitárias.

O que você pode fazer com Stealth?

*Conheça sua rede* Visualize, modele e projetar segurança informada	Microssegmentação fácil Isole ativos, independentemente do ambiente, rede ou dispositivo	*Criptografar dados em movimento* Impedir a detecção de pacotes com criptografia AES-256
*Encobrir ativos críticos* Esconder criptograficamente crítico ativos de adversários	*Ativar segurança adaptativa* Integre as ferramentas de segurança existentes para correlacionar, detectar e responder	*Prevenir fraude* Verifique as identidades com biometria física e comportamental