Previsões de Segurança da Informação 2018 – Capítulo 1

Previsões de Segurança da Informação 2018 – Capítulo 1

Previsões de Segurança da Informação 2018

A queda da principal cryptomoeda.

 

O ano de 2017 foi mais um período assustador para a segurança da informação.

O malware está crescendo em ritmo acelerado e os danos globais do ransomware prevêem ultrapassar a casa dos US$ 5 bilhões em 2018, e os arquivos digitais das empresas estão sendo roubados por hackers com uma taxa de mais de 5 milhões de registros por dia. Apenas este ano, vimos ferramentas de espionagem vazadas de agências de inteligência dos EUA, pirataria de campanha política, resgate de fundos patrocinados pelo estado, botnets globais de IoT e muito mais. Termos como Shadow Brokers, WannaCry, Petya, CIA Vault 7 e Mimikatz permearam o ambiente global, e novos são adicionados diariamente.

Apesar de todo esse cenário de caos iminente, os fornecedores de segurança estão trabalhando duro para criar novas soluções que possam ajudar a proteger as organizações do crime cibernético. Aqueles que implementam essas defesas em camadas estão ajudando a virar o jogo e lutar por uma existência digital mais segura.

 

Mas à medida que entramos em 2018, quais novos desafios poderiam avançar? Para responder a esta pergunta a equipe de especialistas da WatchGuard penetrou em uma cova de hackers e registrou sua sessão de planejamento de roteiro de ataque cibernético em 2018. Desde o menor dos malwares a construir botnets IoT maiores e melhores, aqui está sua chance de entrar nas mentes desses hackers e entender melhor como eles pensam.

Primeiramente, parece que esses hackers precisam de dinheiro rápido. E com o valor da principal cryptomoeda em ascensão e as demais moedas, Ethereum e Litecoin valendo bilhões, eles simplesmente não podem se ajudar. Recordando o hack 2016 que fez entre US$ 100 e US$ 500 milhões do Ethereum permanentemente inacessível, eles poderiam explorar as vulnerabilidades em novos recursos de blockchain no ano que vem? Se assim for, poderíamos ver esses hackers alinharem seus bolsos com riquezas digitais enquanto derrubam uma grande criptografia.

Em breve, traremos um novo capítulo desta série de previsões de Segurança da Informação para 2018.

Acompanhe nosso blog.


Cadastre-se em nossa Newsletter

O seu antivírus morrerá. E você não poderá fazer nada contra isso.

O seu antivírus morrerá. E você não poderá fazer nada contra isso.

O antivírus tradicional (AV) não é mais a solução ideal para prevenir falhas de segurança no endpoint. A solução deixou de ser eficaz para combater as atuais ameaças cibernéticas. Embora o antivírus tradicional satisfaça muitos requisitos regulamentares, como os de governança e de conformidade, sua relação custo x benefício deixou de ser vantajosa, pois ele fornece pouco ou nenhum valor de segurança real.

Neste caso, apesar do fato de que as soluções tradicionais “protegem” quase todos os endpoints e servidores no mundo, as violações de segurança ainda estão em ascensão. As organizações que optam por substituir seu antivírus tradicional por tecnologias mais avançadas devem selecionar um produto de segurança que ofereça um valor de segurança superior, não apenas em termos de custos monetários, mas também em termos de eficácia de segurança.

 

Mas e se ele morrer, qual será seu substituto?

Especialistas apontam há alguns anos, a necessidade da evolução das ferramentas para proteção de endpoints, saindo da esfera reativa e entrando no âmbito estratégico do desenvolvimento da ameaça. E pensando nesta demanda o mercado convergiu na criação das chamadas soluções Advanced Endpoint Protection. Mas o que significa afinal esta tal “proteção avançada de endpoint”?

Para ser considerada uma ferramenta avançada de proteção para endpoints, ela deve ser multi-métodos. Ou seja, deve focar nas técnicas de construção da ameaças e não em suas variantes. E esta redução de espectro não significa perda de visão ou profundidade de ação, mas muito pelo contrário, ela potencializa a cobertura não só das ameaças e malwares tradicionais mas também contra aquelas tecnicamente refinadas e que nenhum antivírus comum pode detectar.

E é possível comparar diretamente os tradicionais AV com o Advanced Endpoint Protection?

A resposta é: não!

Embora ambas possam bloquear ameaças em comum como objetivo final, elas enxergam em direções diferentes. Desta maneira, criar qualquer comparativo entre elas seria igualar bananas à maçãs. Certo?

Caso queira entender mais sobre as diferenças entre ambas abordagens, veja alguns vídeos interessantes abaixo:

 

 

O Traps da Palo Alto Networks versus WannaCry.

A Palo Alto Networks traz no Traps a verdadeira “prevenção multi-métodos”, bloqueando ataques sem a necessidade de assinaturas tradicionais de antivírus ou host IPS no ponto final. O Traps aproveita a inteligência de ameaças, aprendizado de máquina, análise estática e dinâmica e prevenção avançada de manipulação e memória. Além disso, o Traps monitora processos e aplicativos à medida que eles são gerados por atividades e eventos suspeitos, e os dados do ponto final estão correlacionados com eventos descobertos pelos dispositivos NGFW da Palo Alto Networks e WildFire.

Contextualizando a ação do Traps na campanha de ransomwares que assolou diversas empresas ao redor do mundo, abaixo está a timeline do WannaCry, onde poderão observar que os clientes utilizando Traps já estavam protegidos via análise local com Machine Learning. Onde os firewalls NGFW da Palo Alto Networks já possuíam proteções contra os CVE’s e com a evolução do ataque, a assinatura Wildfire foi vendo mais eventos e automatizando mais proteções e indicadores a respeito da ameaça, que serviram como uma das massas de dados utilizadas pelo Autofocus.

E você já deve se preparar para a mudança?

A resposta é: sim!

Porém é muito importante salientar que não se trata somente de substituição de ferramentas. A mudança deve ser encarada como um todo e o esforço de enxergar a proteção de endpoints como uma tarefa proativa, fará toda a diferença e aumentará os índices de sucesso desta transição.

E o momento de começar a agir, é agora.

 

Atenciosamente,

Gantech Information Safety

 

Um ransomware “sem arquivo”. É possível?

Um malware “sem arquivo” é a recente descoberta de um tipo que tenta se evadir da detecção, deletando todas as cópias de seus arquivos, alocando-se em processos que ficam rodando na memória. Os ataques “sem arquivo” podem partir da entrega de um exploit via software para se alojar na memória sem depositar nenhum registro ou arquivo que seja. E, infelizmente, os cibercriminosos, tem combinado sua natureza de camuflar malwares sem arquivos e com potencial destrutivo dos ransomwares.

No vídeo abaixo, Corey Nachreiner, CTO da WatchGuard, traz um detalhamento técnico sobre esta modalidade de Ransomware. Chamado de Soberect, ele criptografa seus arquivos não deixando nenhuma cópia ou registro físico que seja em seu computador. Assista e fique por dentro!

 

Xiii…Aconteceu! E agora, quem poderá me defender?

Xiii…Aconteceu! E agora, quem poderá me defender?

Caro leitor e amigo.

Como você tem acompanhado em nossa cobertura recente sobre os incidentes ocorridos ao redor do mundo, especificamente sobre o ransomware WannaCry, entendemos que ainda há muito a ser explorado sobre o tema. E analisando por uma das óticas abordadas em nossa última publicação, aquela que trata sobre a lacuna da cultura da prevenção, julgamos ser importante municiar você com dicas relevantes.

Sabemos que muitos gestores de TI não possuem todas as ferramentas que desejam (por vezes nem as mais básicas), assim como do outro lado as empresas não possuem a cabeça da TI tão preparada assim. Dessa maneira, atendemos ambos os lados, enxergamos a resposta a incidentes como um fator chave para dar o primeiro passo rumo à recuperação de desastres.

Entao vamos lá! Você sabe o que é um plano de resposta a incidentes?

Em poucas palavras, ele delineia o caminho que sua equipe deve seguir para enfrentar o problema de frente, com ou sem todas as ferramentas necessárias.

E de acordo com o SANS (www.sans.org), uma das mais renomadas instituições mundiais para boas práticas em segurança da informação, existem 6 fases chave de um plano de resposta a incidentes. E são elas:

  1. Preparação – Preparar usuários e profissionais de TI para lidar com incidentes potenciais caso ocorram;
  2. Identificação – Descobrir o que queremos dizer com um “incidente de segurança” (que eventos podemos ignorar vs quais devemos agir agora?);
  3. Contenção – Isolar sistemas afetados para evitar mais danos;
  4. Erradicação – Encontrar e eliminar a causa raiz (remoção de sistemas afetados de produção);
  5. Recuperação – Permitir que sistemas afetados retornem para o ambiente de produção;
  6. Lições Aprendidas – Escrever tudo, revisar e analisar com todos os membros da equipe para que você possa melhorar os futuros esforços de resposta a incidentes.

Após seguidos estes passos, é extremamente importante que se tire um saldo de todo o processo, indo além da etapa das lições aprendidas. Pensamos inclusive que é este passo extra que pode render resultados surpreendentes.

E agora, o que falta para você se preparar?