Firewalls, viagens e sanduíches nem sempre andam de mãos dadas, mas uma recente viagem ao Arizona os tornou uma combinação perfeita. Sempre que visito o sudoeste dos EUA, vejo mais construções e um pouco menos de deserto.
Nesta viagem em especial, comecei a pensar nas novas empresas que surgem em todo o vale. Algumas eram menores e independentes, mas outras claramente faziam parte de uma rede maior.
Quando paro para almoçar em um restaurante, estou condicionado a procurar o ponto de acesso wireless. Sei que é coisa de nerd, mas está lá, em algum lugar. Começo a pensar em como o local em questão protege a rede para os funcionários e clientes que querem usar o Wi-Fi para economizar dados ou ter mais velocidade.
As empresas, como a franquia que visitei, que expandem sua presença e pagam pelo tempo e pelas despesas de colocar cada nova unidade em funcionamento. Além do local e do equipamento necessário para vender os produtos principais (ou, neste caso, sanduíches), também existe a questão da rede.
Cada unidade precisa poder se conectar com segurança ao provedor de serviço de internet (ISP) e à sede corporativa. É fundamental ter o firewall certo. Mas também é importante ter uma solução que permita que a empresa controladora abra novas unidades com rapidez e facilidade, onde quer que elas estejam localizadas.
Firewalls para empresas de pequeno e médio porte, locais remotos: Apresentando o SOHO 250 e o TZ350
A série SonicWall TZ de firewalls de Gerenciamento Unificado de Ameaças (UTM, Unified Threat Management) é ideal para escritórios pequenos e home offices, bem como para redes distribuídas com locais remotos. Acabamos de incluir dois novos modelos em nossa linha: SOHO 250 e TZ350.
Semelhantes a outros firewalls da série TZ, os novos modelos consolidam todos os recursos de segurança e de rede necessários em um local novo. Eles também são muito rápidos para processar pacotes que transitam na rede.
Com vários processadores de alta velocidade para proporcionar um desempenho ideal, esses firewalls são feitos para oferecer produtividade excepcionalmente rápida de inspeção profunda de pacotes (DPI, deep packet inspection) do tráfego criptografado e não criptografado.
Por exemplo, o SOHO 250 proporciona um aumento de 50% na produtividade de prevenção de ameaças em relação ao SOHO atual, enquanto o TZ350 proporciona um aumento de 25% em relação ao TZ300, que já é potente por si só.
Ambos incluem um controlador wireless e conectividade wireless integrada opcional. Para ampliar a cobertura wireless, é possível anexar um de nossos pontos de acesso SonicWave 4×4 ou 2×2 802.11ac Wave 2.
Implantação Zero-Touch (sem intervenção física) de Firewalls
Claro que velocidade e segurança não colocam uma nova franquia em funcionamento, especialmente se a nova unidade estiver a milhares de quilômetros de distância da sede.
Seria possível enviar alguém a cada unidade para instalar e configurar os firewalls no local, mas seria caro e demorado. O ideal seria enviar um firewall novo para cada unidade, solicitar que alguém na loja ou no escritório o ligasse, conectá-lo à Internet e enviar uma configuração predefinida para o dispositivo, e ele estaria funcionando.
Parece bom demais para ser verdade, não é mesmo? Mas é isso que acontece com a Implantação Zero-Touch da SonicWall (sem intervenção física).
Disponível no Capture Security Center, o console de gerenciamento central na nuvem da SonicWall, a Implantação Zero-Touch simplifica a implantação e a configuração de firewalls em locais remotos.
Basta registrar o novo firewall SOHO 250 ou TZ350, enviá-lo para o novo local, solicitar que alguém o ligue e conectar o dispositivo à Internet. Pronto: ele está funcionando e pode ser gerenciado.
Em seguida, a configuração e as políticas que você criou podem ser enviadas para o firewall por meio do Capture Security Center, que também possibilita o gerenciamento central na nuvem dos firewalls e dos pontos de acesso wireless.
SonicOS 6.5.4: Novos Recursos e Aprimoramentos
Os firewalls das séries SOHO 250 e TZ350 executam o SonicOS 6.5.4, a versão mais recente do sistema operacional da SonicWall para nossos firewalls da próxima geração. O SonicOS 6.5.4 inclui mais de 25 novos recursos e aprimoramentos que abrangem redes, segurança, tecnologia wireless, autenticação, registro e auditoria e muito mais.
Um recurso importante no SonicOS para organizações com locais remotos e filiais é o Secure SD-WAN. A conexão de locais para compartilhar aplicativos na nuvem importantes para os negócios pode sair cara. Em vez de depender de tecnologias de WAN antigas mais caras, como o MPLS, as organizações usam o Secure SD-WAN para conectar locais por meio de serviços de Internet de baixo custo disponíveis ao público, como banda larga, cabo e 3G/4G. Assim, elas podem enviar os aplicativos de SaaS para cada local de forma segura e confiável por um preço muito mais acessível.
Se você tem um escritório pequeno ou um home office ou uma franquia que pertença a uma organização maior, a SonicWall tem um firewall da série TZ ideal para satisfazer suas necessidades e seu orçamento.
Posted on By Author Thiago GonçalvesCategories Informações, Security, SonicWall
Apesar das flutuações de preços do bitcoin e de outras criptomoedas, o cryptojacking continua sendo uma ameaça grave — e muitas vezes oculta — para negócios, empresas de pequeno e médio porte e consumidores em geral.
E a mais discreta dessas ameaças é a mineração de criptomoedas pelo navegador, na qual formas populares de malware tentam transformar seu dispositivo em um robô de mineração de criptomoedas em tempo integral, chamado cryptojacker.
Para ajudá-lo a entender essa tendência de forma criativa, vou recorrer a meu treinamento clássico e exagerar um pouco. Se você olhar para a onda do cryptojacking como um apocalipse, assim como algumas de suas vítimas, os Quatro Cavaleiros seriam as quatro ameaças ao endpoint ou aos negócios:
Cavalo Branco: a energia que ele consome ou desperdiça
Cavalo Vermelho: a perda de produtividade pela limitação de recursos
Cavalo Preto: os danos que ele pode causar a um sistema
Cavalo Amarelo: as implicações de segurança decorrentes das vulnerabilidades criadas
Ao contrário do ransomware, que quer ser encontrado (para pedir pagamento), o cryptojacker é executado em segundo plano de forma invisível (mesmo que o gráfico de desempenho da CPU ou a ventoinha do dispositivo indique que algo esteja estranho).
Os criadores de ransomware mudaram de rumo ao longo dos últimos dois anos e passaram a usar mais o cryptojacking, pois a eficácia e o ROI de um determinado tipo de ransomware diminuem assim que ele é exposto em feeds públicos como o VirusTotal.
Como qualquer outra pessoa que administra um negócio altamente lucrativo, os cibercriminosos precisam sempre buscar novas maneiras de atender as suas metas financeiras. O cryptojacking está sendo usado para lidar com esse desafio.
Em abril de 2018, a SonicWall começou a acompanhar as tendências do cryptojacking, mais precisamente a utilização do Coinhive no malware. Ao longo do ano, observamos o recuo e o avanço do cryptojacking. Durante esse tempo, a SonicWall registrou quase 60 milhões de ataques de cryptojacking, com até 13,1 milhões em setembro de 2018. Conforme publicado no Relatório de Ameaças Cibernéticas da SonicWall 2019, o volume caiu durante o último trimestre de 2018.
Ataques globais de cryptojacking | De abril a setembro de 2018
A sedução da mineração de criptomoedas
As operações de mineração de criptomoedas tornaram-se cada vez mais populares, atualmente representando quase 0,5% do consumo de eletricidade no mundo. Apesar das fortes oscilações no preço, cerca de 60% do custo da mineração legítima de bitcoin é resultado de consumo de energia. Na verdade, enquanto eu escrevia este texto, o preço de um bitcoin era inferior ao custo da mineração legítima.
Com esses custos e risco zero em relação à compra e à manutenção de equipamentos, os cibercriminosos têm fortes incentivos para gerar criptomoedas com os recursos de outra pessoa. Dez máquinas infectadas com um cryptominer podem render até US$ 100 por dia; assim, o desafio para os cryptojackers é triplo:
Encontrar alvos, ou seja, organizações com muitos dispositivos na mesma rede, especialmente escolas ou universidades.
Infectar o maior número de máquinas possível.
Manter seu caráter oculto durante o máximo de tempo possível (ao contrário do ransomware e mais semelhante ao malware tradicional).
Os cryptojackers utilizam técnicas semelhantes àquelas do malware para entrar sorrateiramente em um endpoint: downloads por direcionamento, campanhas de phishing, vulnerabilidades no navegador e plugins do navegador, entre outras. E, claro, eles miram no elo mais fraco — as pessoas — por meio de técnicas de engenharia social.
Estou infectado por cryptominers?
Os cryptominers estão interessados em seu poder de processamento, e o lucro dos cryptojackers depende do que eles roubam. A quantidade de recursos que eles obtêm de sua CPU depende dos objetivos.
Quanto menos energia é consumida, mais difícil é para os usuários desprevenidos perceberem. Roubos maiores aumentam os lucros. Em ambos os casos, o desempenho será afetado; mas, se o limiar for baixo o suficiente, poderá ser difícil distinguir um minerador de um software legítimo.
Os administradores de empresas podem procurar processos desconhecidos no ambiente, e os usuários finais do Windows devem abrir o Sysinternals Process Explorer para ver o que estão executando. Pelo mesmo motivo, os usuários do Linux e do MacOS devem investigar usando o Monitor do Sistema e o Monitor de Atividade, respectivamente.
Como defender-se contra cryptominers
O primeiro passo na defesa contra cryptominers é deter esse tipo de malware no gateway, seja com firewalls, seja com segurança de e-mail (segurança do perímetro), que é uma das melhores maneiras de remover ameaças de arquivos conhecidas.
Como as pessoas gostam de reutilizar códigos antigos, capturar cryptojackers como o Coinhive também seria um primeiro passo simples. No entanto, o Coinhive anunciou publicamente, em fevereiro de 2019, que encerraria as operações no dia 8 de março. O serviço declarou que já não era “economicamente viável” e que a “quebra” havia afetado gravemente o negócio.
Apesar da notícia, a SonicWall prevê que ainda haverá uma onda de novas variantes e técnicas de cryptojacking para preencher essa lacuna. O cryptojacking ainda pode se tornar o método favorito de agentes mal-intencionados em razão de seu caráter oculto; danos pequenos e indiretos às vítimas reduzem a possibilidade de exposição e prolongam o valioso tempo de vida de um ataque bem-sucedido.
Se o tipo de malware for desconhecido (novo ou atualizado), ele contornará os filtros estáticos na segurança do perímetro. Se um arquivo for desconhecido, ele será encaminhado a uma área restrita para que seja feita a inspeção da natureza do arquivo.
O sandbox multimotor Capture Advanced Threat Protection (ATP) da SonicWall é projetado para identificar e deter o malware evasivo que pode escapar de um motor, mas não dos outros.
Se você não tem um endpoint nesse cenário comum (por exemplo, em roaming no aeroporto ou no hotel), precisará implantar um produto de segurança de endpoint que inclua detecção de comportamento.
Os cryptominers podem operar no navegador ou ser distribuídos por meio de um ataque sem arquivo, de modo que as soluções legadas que você recebe gratuitamente com um computador não consigam detectá-los.
Um antivírus baseado em comportamento, como o SonicWall Capture Client, detectaria que o sistema quer fazer mineração de moedas e, em seguida, encerraria a operação. Um administrador pode facilmente colocar o malware em quarentena e excluí-lo ou, no caso de algo realmente causar danos aos arquivos do sistema, retornar o sistema para o último estado seguro detectado antes da execução do malware.
Com uma combinação de defesas de perímetro e análise comportamental, as organizações podem combater as mais recentes formas de malware, independentemente de qual seja a tendência ou a intenção.
Posted on By Author Thiago GonçalvesCategories Informações, Notícias, Security, SonicWall
Todos nós enfrentamos problemas com Wi-Fi em algum momento – de vez em quando ou diariamente. Eu já passei por isso, e sei que pode ser bastante frustrante! Em um mundo onde tudo está conectado, isso pode levar a um efeito cascata.
Você não apenas precisa manter seus usuários satisfeitos, mas também garantir que dispositivos médicos, iluminação, dispositivos portáteis , dispositivos inteligentes e até mesmo seus refrigeradores tenham acesso Wi-Fi. Para assegurar uma conectividade perfeita e constante, precisamos garantir que o Wi-Fi consiga acompanhar as tendências da rede.
A SonicWall garante isso, trazendo novos recursos e aprimoramentos em sua linha de produtos. Nosso portfólio de Wi-Fi agora inclui SonicWave 802.11ac Wave 2 access points e um painel de gerenciamento baseado na nuvem.
O SonicWall WiFi Cloud Manager (WCM) é um sistema de gerenciamento de rede Wi-Fi centralizado e escalonável, simplificando o acesso wireless, de recursos e de controle e solução de problemas em redes de qualquer tamanho ou região. Acessível através do SonicWall Capture Security Center, o WCM unifica vários usuários, locais e zonas e, ao mesmo tempo, suporta dezenas de milhares de SonicWave wireless access points (APs).
Quais são algumas das novas características e melhorias adicionadas ao WCM?
Por mais que a nova versão do WCM ofereça novos recursos e aprimoramentos, neste blog discutiremos os cinco principais recursos e seus benefícios. Essas melhorias são significativamente benéficas para os mercados de ensino superior, governo, varejo e hospitalidade.
Amplifique as experiências dos usuários com o Captive Portal
Você já entrou em um hotel e, depois de se conectar à rede Wi-Fi, foi solicitado o login, usando o número do seu quarto e algumas informações pessoais? É exatamente isso que um captive portal permite.
Um captive portal é uma página web (também chamada de tela inicial) exibida antes que o usuário possa acessar a Internet usando um desktop ou dispositivo móvel. Com o suporte do SonicWall Captive Portal, as empresas podem ampliar a conscientização da marca e a satisfação do cliente, fornecendo telas personalizáveis para acesso Wi-Fi.
Este portal também fornece acesso personalizado aos usuários convidados por meio de sua página inicial. Além disso, os dados de login podem ser coletados e redirecionados para fins de marketing. O Captive Portal controla o uso de dados na rede e fornece proteção legal, pois os usuários podem ser obrigados a concordar com os termos e condições estabelecidos pela empresa.
Aumente o desempenho wireless
Uma escola é um exemplo de um caso de uso de alta densidade. Os alunos estão reunidos em salas de aula, corredores e auditórios e ainda esperam conectividade Wi-Fi ininterrupta e experiência superior. Como você garante cobertura perfeita e alto desempenho nesses espaços?
Os aprimoramentos de radiofrequência (RF) fornecem desempenho Wi-Fi superior. Recursos como Global Dynamic Channel Selection (DCS) e Radio Resource Management (RRM) proporcionam desempenho máximo, sempre permitindo que os access points escolham os melhores canais e aumentem a conectividade em ambientes multi-AP. Além disso, minimiza a interferência de canais vizinhos por meio da atribuição automática de canal e energia. Dessa maneira, os APs estão sempre usando os melhores canais e níveis de energia. Esse recurso usa o terceiro raio nos SonicWave access points para análise, não afetando o desempenho nos rádios de atendimento ao cliente.
Aprimore a segurança Wi-Fi
De acordo com o Relatório de Ameaças Cibernéticas da SonicWall 2020, os Pesquisadores de Ameaças do SonicWall Capture Labs registraram 9,9 bilhões de ataques de malware em 2019. Enquanto isso, ocorreram sérios vazamentos e exposições de dados, como o que afetou o Canva, que deixou 139 milhões de credenciais expostas no setor educacional.
Os cibercriminosos estão encontrando novas maneiras de atacar. Os alvos chaves de ransomware e de ataque de phishing incluem instituições educacionais, hospitais e instituições governamentais.
Está se tornando cada vez mais crítico garantir segurança máxima aos usuários finais, independentemente de como eles estejam conectados – com ou sem fio. Para garantir a melhor proteção por Wi-Fi, a SonicWall oferece serviços avançados de segurança em seus access points. Esses serviços de segurança incluem o sandbox multimotor Capture Advanced Threat Protection (ATP), o Serviço de Filtragem de Conteúdo e muito mais.
Nesta versão, os serviços de segurança avançados receberam uma atualização. Adicionamos suporte a Cloud-AV com multimotor para fornecer maior segurança e eficiência. Isso funciona como uma “pré-verificação” para o sandboxing Capture ATP. É uma camada de segurança adicional para filtrar dados que passam pela rede Wi-Fi. Melhora a eficiência armazenando em cache assinaturas conhecidas, reduzindo assim o número de arquivos enviados para análise na nuvem.
Controle a largura da banda e priorize o tráfego
Esse recurso permite que os administradores controlem o uso de dados na rede. Com base no uso e nas necessidades da rede, os dados podem ser alocados ou limitados. Ao utilizar o Wi-Fi durante um evento, você pode perceber que o desempenho diminui à medida que a carga na rede aumenta. Muito provavelmente, o administrador da rede aplicou restrições na largura de banda.
Com o Wireless Bandwidth Management Control (BWM), as organizações podem impor restrições de largura de banda em suas redes Wi-Fi. Ele permite que os administradores definam valores de largura de banda e priorizem o tráfego na rede.
Analisar o espectro de RF
Os canais de rádio Wi-Fi são limitados e geralmente estão saturados, o que leva a interferências. Quando a interferência aumenta, o desempenho do Wi-Fi diminui. A interferência de RF pode ser melhor analisada através da análise do espectro. Esse recurso fornece visualização do espectro de RF e permite um entendimento profundo do ambiente de RF, para que você possa detectar anomalias rapidamente e mitigá-las.
Posted on By Author Thiago GonçalvesCategories Informações, Security, SonicWall
Os firewalls de próxima geração (NGFWs) se tornaram regra na segurança de rede de organizações de todos os tamanhos. Diferentes dos antecessores que ofereciam proteção limitada contra as atuais ameaças em constante evolução, os NGFWs fornecem um nível muito mais profundo de segurança em redes wireless e com fio. Eles não apenas inspecionam cada byte de todos os pacotes sem perder o alto desempenho e a baixa latência que as redes exigem, como também combinam inspeção e descriptografia de Transport Layer Security/Secure Sockets Layer (TLS/SSL) em alto desempenho, um sistema de prevenção de intrusões (IPS) que apresenta uma tecnologia antievasão sofisticada e um sistema de proteção contra malware baseado na rede que utiliza o poder da nuvem. Essa combinação eficiente permite que as organizações bloqueiem as novas sofisticadas ameaças que surgem todos os dias.
Os NGFWs SonicWall fornecem um nível mais profundo de segurança de rede sem comprometer o desempenho da rede para organizações de qualquer porte. Projetados com uma arquitetura de hardware escalável de vários núcleos e um mecanismo patenteado1 de passagem única e baixa latência Reassembly-Free Deep Packet Inspection® (RFDPI), esses appliances de segurança de alto desempenho verificam todo o tráfego com eficiência, independentemente da porta ou do protocolo. Além de recursos avançados de IPS e descriptografia TLS/SSL, os NGFWs SonicWall também têm acesso a um banco de dados em nuvem atualizado continuamente que contém milhões de variantes de malware. Além disso, eles são fáceis de gerenciar e fornecem um baixo custo total de propriedade.
Introdução: a necessidade de um nível mais profundo de segurança da rede
Novas ameaças de segurança
O crescente uso de nuvem e soluções móveis, políticas de “traga seu próprio dispositivo” (BYOD), bem como o surgimento da shadow IT, adicionou novos níveis de risco, complexidade e custo à proteção dos dados e da propriedade intelectual da organização. Agora, as organizações de todos os tamanhos devem combater uma ampla gama de ameaças cada vez mais sofisticadas, incluindo ameaças avançadas persistentes (APTs), atividades de crime cibernético, spam e malware. Ao mesmo tempo, muitas organizações também lidam com limitações de orçamento e não contam com recursos para resolver isso facilmente.
Migrando para os NGFWs
Para enfrentar os desafios crescentes de segurança, muitas organizações estão migrando dos firewalls tradicionais que focam somente na inspeção de pacotes com monitoramento de estado (SPI) e em regras de controle de acesso para os firewalls de próxima geração. Os NGFWs transformaram a segurança da rede ao fornecer uma proteção muito mais eficiente contra as ameaças emergentes. Além dos recursos do firewall tradicional, os NGFWs têm um sistema de prevenção de intrusões (IPS) totalmente integrado, descriptografia em tempo real, inspeção de sessões TLS/SSL e visualização e controle total do tráfego de aplicações na rede.
Nem todos os NGFWs são criados da mesma forma
Os ataques modernos estão mais difíceis de identificar e empregam diversas técnicas complexas para evitar que sejam detectados enquanto se infiltram silenciosamente em redes corporativas a fim de roubar propriedade intelectual. Muitas vezes, esses ataques são codificados com algoritmos projetados para impedir a detecção por sistemas de prevenção de intrusões. Após explorar o alvo, o invasor tenta fazer o download e instalar o malware no sistema comprometido. Em diversos casos, o malware usado é uma variante desenvolvida recentemente que as soluções antivírus tradicionais não conseguem detectar. Além disso, os ataques avançados normalmente contam com uma criptografia para ocultar o download de malware ou até mesmo disfarçar o tráfego de controle e comando enviado por um invasor do outro lado do mundo.
Muitas organizações contam com NGFWs que protegem a rede, mas comprometem seu desempenho, o que resulta em redução de produtividade. Outras realmente desativam ou limitam as medidas de segurança existentes para atender às demandas de um alto desempenho da rede. Com as novas ameaças e os novos vetores de ameaça atuais, essa é uma prática extremamente arriscada.
Está claro que é necessário um conjunto mais avançado de recursos de detecção e proteção contra ameaças. Em última análise, as organizações atuais precisam de um NGFW que possa fornecer um nível mais profundo de segurança de rede sem comprometer o desempenho e um custo total de propriedade que seja ajustado para pequenas e grandes empresas.
Fornecimento de um nível mais profundo de segurança da rede
Os NGFWs SonicWall fornecem um nível mais profundo de segurança da rede sem comprometer o desempenho. Os NGFWs SonicWall têm inspeção e descriptografia TLS/SSL que ampliam a proteção aos tráfego criptografado, um IPS com tecnologia avançada antievasão e prevenção contra malware baseada em nuvem que protege as redes contra as ameaças mais recentes.
Como os NGFWs SonicWall fornecem uma segurança de rede mais profunda
Inspeção de pacotes byte a byte
Os NGFWs SonicWall são equipados com um mecanismo patenteado de passagem única e baixa latência Reassembly-Free Deep Packet Inspection® (RFDPI) que inspeciona cada byte de cada pacote enquanto mantém o alto desempenho com quase nenhuma latência. O mecanismo RFDPI usa uma combinação de técnicas complexas de contramedidas, normalização de dados e metodologias de decisão em tempo real para bloquear ameaças em arquivos, anexos e arquivos compactados, independentemente do tamanho, e transformá-los conforme o necessário para realizar a normalização da análise de tráfego.
Os NGFWs SonicWall verificam todo tráfego, independentemente de porta ou protocolo, para proteger a rede contra ataques internos e externos às vulnerabilidades dos aplicações. Os recursos de inteligência e controle de aplicações são usados para examinar todos os pacotes e identificar quais aplicações estão em uso, quem está usando e qual largura de banda eles estão consumindo.
Descriptografia e inspeção de TLS/SSL
A descriptografia e inspeção de TLS / SSL é possivelmente o recurso mais importante para o fornecimento de um nível mais profundo de segurança de rede. De acordo com o relatório de ameaças da SonicWall 2018, a criptografia através TLS/SSL continuou a crescer, o que resultou em invasões despercebidas que afetaram milhões de usuários. Isso deixa as organizações que não estão inspecionando o tráfego TLS/SSL efetivamente cegas para grande parte do tráfego na rede. Além disso, os ataques que usam criptografia terão uma taxa de 100% de sucesso nesse tipo de cenário. Para combater esses ataques sofisticados de forma eficaz, as organizações precisam ser capazes de inspecionar todo o tráfego em todas as portas, independentemente do tráfego ter ou não criptografia de TLS/ SSL. No entanto, um dos desafios é que muitos NGFWs disponíveis atualmente oferecem desempenho deplorável ao descriptografar e inspecionar o tráfego criptografado. Os NGFWs SonicWall oferecem escalabilidade e desempenho incomparáveis para descriptografia de TLS/SSL e inspeção avançada de pacotes, conforme avaliado pela revista Network World e pelo NSS Labs.
Um IPS com medidas antievasão
Muitas vezes, os criminosos virtuais tentam driblar o Sistema de Prevenção de Intrusões (IPS) usando algoritmos complexos projetados para evitar a detecção. Alguns produtos de fornecedores de segurança de rede não executam uma normalização de dados adequada para decodificar ameaças antes de o IPS conseguir examiná-las. Isso permite que as ameaças codificadas comprometam as redes corporativas antes de serem identificadas. Os NGFWs SonicWall são equipados com um IPS totalmente integrado com recursos avançados antievasão que detectam e param as ameaças avançadas antes que elas possam prejudicar a rede. A proteção avançada contra ameaças do IPS da SonicWall é capaz de realizar engenharia reversa nas técnicas de evasão mais avançadas.
Muitas vezes, os criminosos virtuais tentam driblar o Sistema de Prevenção de Intrusões (IPS) usando algoritmos complexos projetados para evitar a detecção. Alguns produtos de fornecedores de segurança de rede não executam uma normalização de dados adequada para decodificar ameaças antes de o IPS conseguir examiná-las. Isso permite que as ameaças codificadas comprometam as redes corporativas antes de serem identificadas. Os NGFWs SonicWall são equipados com um IPS totalmente integrado com recursos avançados antievasão que detectam e param as ameaças avançadas antes que elas possam prejudicar a rede. A proteção avançada contra ameaças do IPS da SonicWall é capaz de realizar engenharia reversa nas técnicas de evasão mais avançadas.
Proteção contra malware baseada em rede que é atualizada continuamente
A cada hora, centenas de novas variantes de malware são desenvolvidas. Embora alguns NGFWs ofereçam tecnologia contra malware baseada em rede, muitos desses sistemas são limitados a apenas alguns milhares de assinaturas de malware, com atualizações que ocorrem com pouca frequência, como uma vez por dia. Os NGFWs SonicWall acessam um banco de dados em nuvem que contém dezenas de milhões de variantes de malware que são atualizadas continuamente muitas vezes por hora, então as organizações podem obter proteção em tempo real contra as ameaças mais recentes.
Porém, o mecanismo RFDPI da SonicWall faz muito mais do que correspondência de padrões. Ao criar suas contramedidas personalizadas no firewall, os NGFWs SonicWall procuram por fragmentos de código específicos comuns a famílias de malware, e não por variantes individuais. Isso significa que o mecanismo RFDPI consegue identificar o código malicioso contido em novas mutações para fornecer uma camada adicional de proteção. Além disso, os NGFWs SonicWall tiveram sua proteção de malware baseada em rede testada de forma mensal contínua e certificada de modo independente pela ICSA Labs (ICSA Labs 2017).
A segurança de uma empresa líder do setor
A SonicWall tem mais de 25 anos de experiência no setor, e o próprio Gartner reconhece a SonicWall como uma líder do setor em segurança de rede. No relatório de análise de produto de firewall de próxima geração 2017 da NSS Labs, o firewall SuperMassive da SonicWall obteve uma pontuação de 100 por cento nos testes de estabilidade, antievasão, confiabilidade, controle de aplicação e aplicação de política de firewall. Em seu artigo Scaling Up with SonicWall’s SuperMassive (em inglês), a revista Network World declarou que “O SuperMassive foi nomeado de forma apropriada. . . [ele] consegue descriptografar o tráfego de SSL muito rapidamente. Na verdade, esses testes isolados mostraram que ele é indiscutivelmente o dispositivo mais rápido”. Todos os clientes do NGFW SonicWall se beneficiam do compromisso da SonicWall de fornecer um nível mais profundo de segurança para proteção contínua de toda a organização.
Uma gama de NGFWs para todas as organizações.
A SonicWall oferece uma gama de NGFWs para atender às necessidades das organizações de todos os tamanhos:
Série SonicWall SuperMassive – Esta série é altamente escalável para atender às necessidades de data centers, portadoras, provedores de serviços, grandes instituições e organizações empresariais. Pelo quarto ano consecutivo, a Série SuperMassive obteve a classificação máxima de “Recomendado” no SVM 2017 da NSS Labs e uma das maiores classificações de eficácia da segurança no setor. Ela também teve uma pontuação de 100 por cento nos testes de estabilidade, antievasão, confiabilidade, controle de aplicação e aplicação de política de firewall no relatório de análise de produto de firewall de próxima geração 2017 da NSS Labs. Os Firewalls Série SuperMassive 9000 garantem a eficácia da segurança aplicando decisões inteligentes de política, o que ajuda a facilitar as cargas administrativas. Instalados em um appliance eficiente com um ou dois racks, os Firewalls Série SuperMassive 9000 também economizam um espaço valioso no rack e reduzem os custos de energia e resfriamento.
Série SonicWall NSa – A Série NSa (appliance de segurança de rede) fornece o alto nível de segurança, controle de aplicações e desempenho que os administradores esperam. Usando os mesmos serviços e mecanismo de segurança da Série SuperMassive, os firewalls da Série NSa impulsionam o desempenho e reduzem o custo e a complexidade. E como os firewalls da Série NSa são acessíveis e fáceis de implantar, configurar e manter, eles são a escolha ideal para empresas distribuídas com filiais e escritórios remotos, SMBs, campus escolares e outras instituições públicas.
Conclusão
Os NGFWs SonicWall fornecem um nível mais profundo de segurança de rede sem comprometer o desempenho para organizações de qualquer porte. Eles verificam todo o tráfego, independentemente da porta ou do protocolo (incluindo tráfego criptografado em TLS/SSL), conseguem detectar técnicas antievasão e têm uma proteção contra malware baseada em rede com acesso a um banco de dados em nuvem que é atualizado continuamente, além de serem acessíveis e fáceis de gerenciar. Além disso, a SonicWall foi reconhecida como líder do setor pela Gartner, e os firewalls Série SonicWall SuperMassive ganham consistentemente a classificação mais alta de “Recomendado” no Mapa de valor de segurança do firewall de próxima geração da NSS Labs. As organizações que adotam os NGFWs SonicWall aproveitam uma proteção avançada contra as ameaças persistentes à segurança da TI que estão em constante evolução.
Os NGFWs SonicWall fazem parte do portfólio geral da SonicWall de soluções de segurança completas e conectadas, que garantem que empresas de qualquer porte consigam proteger sua propriedade intelectual em um mundo cada vez mais conectado.
Posted on By Author Thiago GonçalvesCategories Digital, Informações, Security, SonicWall
Como criminosos cibernéticos ocultam ataques na sua rede com SSL/TLS
Resumo
A tecnologia de criptografia, como SSL/TLS e HTTPS, oferece proteção contra hackers e seu uso cresce exponencialmente. Mas os criminosos cibernéticos aprenderam a aproveitar a criptografia como um método eficaz para ocultar malware, ransomware, spear-phishing, zero-day, extração de dados, sites invasores e outros ataques. Felizmente, a segurança de rede avançada com inspeção profunda de pacotes de tráfego SSL/TLS e HTTPS estáagora disponível para proteger contra ameaças criptografadas.
Tipos de ameaças criptografadas
A criptografia oferece proteção para tráfego legítimo, assim como meios para que ataques cibernéticos passem despercebidos. Em termos simples, o SSL (Secure Sockets Layer) Camada de Conexão Segura pode cria um túnel criptografado para proteger dados através de um VPN. O TLS (Transport Layer Security) é uma versão atualizada e mais segura do SSL. O HTTPS (Hyper Text Transfer Protocol Secure) aparece no URL quando um site é protegido por um certificado SSL.
Existem várias categorias de ameaças criptografadas. Uma categoria inclui ameaças como vulnerabilidades de certificados. Nesse caso, quando você estiver usando um site, poderá ver um alerta no seu navegador ou uma aplicação com uma mensagem de que a conexão foi determinada como insegura ou não confiável. Nessas situações, a certificação não foi aprovada. A Certificate Authority pode estar inacessível ou o certificado pode ser inválido. Ou a criptografia é menor do que a desejável, independentemente de ser uma forma mais antiga de SSL (já desvalorizada), uma forma inferior de TLS ou assinaturas e hashes que não correspondem aos padrões de criptografia atuais.
Outra categoria de ameaça criptografada inclui malware que incorpora todas comunicações dentro de um túnel criptografado, para que ele possa passar pela segurança da sua rede. Exemplos de aplicações que ofuscam seu tráfego e comunicações de forma deliberada incluem Psiphon, Tor e Ultrasurf.
Também há violações reais do tráfego criptografado, malware que rouba credenciais, como DROWN, Heartbleed, PODDLE e FREAK. Elas são exploits que aproveitam a própria criptografia para jogar man-in-the-middle e interceptar seus e-mails, credenciais, informações privadas, dados de transações on-line, etc. Quando esse tipo de ataque compromete sua rede, ele pode ser usado contra você posteriormente ou incorporar a ameaça dentro das próprias comunicações ao encaminhá-lo a sites de terceiros ou injetar aplicações mal-intencionadas nas suas conexões do navegador.
A história das ameaças criptografadas
Entenda a história para saber o que é realmente necessário para se proteger contra essas ameaças. O modelo de segurança de firewall legado dos anos 90 e início dos anos 2000 é a tecnologia Stateful Packet Inspection (SPI). Na verdade, ainda existem milhões de firewalls SPI na Internet hoje em dia.
O SPI é semelhante a um oficial de trânsito que pode parar ou permitir o tráfego em uma interseção. O oficial só pode ver informações externas sobre os veículos, como marca e modelo, placa do carro e a direção em que os veículos se movem, mas nada que esteja escondido no banco de trás, sob o capô ou no portamalas. Então, se houver algo mal-intencionado escondido nesses lugares, o policial não saberá.
Em contrapartida, o Deep Packet Inspection (DPI), que forma a base para os firewalls de última geração, permite que os firewalls inspecionem na camada 7. É como se o nosso agente de trânsito tivesse uma visão de raio-x para ver esses lugares escondidos nos veículos e então decidir qual pode passar ou não.
No entanto, com essa analogia, a visão de raio-x do policial ainda não consegue enxergar através do lead (que nesse caso é o HTTPS). Para superar essa limitação, o DPI deve incluir a capacidade de inspecionar o tráfego SSL criptografado (DPI-SSL).
O enorme crescimento do tráfego HTTPS criptografado
Seja devido ao “efeito Snowden”, ao escândalo de espionagem da NSA ou simplesmente aos melhores esforços para proteger a privacidade on-line contra possíveis invasores e ladrões, uma quantidade significativa do tráfego da Internet hoje é criptografado via HTTPS.
Uma conexão HTTPS é essencialmente uma conexão segura ou privada da aplicação iniciadora (geralmente um navegador) até a rede e a Internet ao servidor ou site de destino. Essas conexões HTTPS incluem webcasts, pesquisas on-line, aplicações de produtividade cloud-based, e-mail baseado na Web, etc. HTTPS é basicamente uma VPN. É uma conexão da Web criptografada do seu navegador até o destino. Por ser uma VPN, você não pode ver dentro dela. Não é possível inspecionar o tráfego que passa pelo HTTPS, determinar a chegada de um malware prejudicial ou o vazamento de dados confidenciais da rede.
A Internet se move rapidamente na direção de um modelo completamente criptografado. Agora existem grandes iniciativas para “criptografar tudo” e até mesmo os principais mecanismos de pesquisa alteraram seus algoritmos para priorizar sites HTTPS em seus resultados. Por exemplo, um varejista on-line pode ter dezenas de milhares de cliques por mês mais do que outro, mas se não estiver usando HTTPS em sua página de entrada, os resultados da pesquisa o colocarão abaixo do concorrente de desempenho inferior, mas que usa HTTPS em sua página de entrada.
Mais da metade das aplicações da Web estão agora em HTTPS. Todas as principais aplicações, como Office 365, YouTube, Amazon, SAP, Salesforce, Skype, Dropbox, Twitter e Gmail, usam criptografia. Analistas líderes preveem que até o próximo ano, 65% do tráfego mundial da Internet será criptografado. Para colocar isso em perspectiva, se você tiver uma conexão de Internet de 100 Mbps, cerca de 65 Mbps desse tráfego não será inspecionado. Ao longo de uma hora, são cerca de quatro a sete DVDs de dados transferidos sem inspeção. Em algumas redes, a quantidade total de dados confidenciais de propriedade pessoal e intelectual pode ser inferior a isso. Considere o impacto de não conseguir ver todos esses dados que entram ou saem da sua rede
E isso é apenas tráfego típico da Internet. A implementação média de HTTPS é de 60 a 80%, dependendo do setor. Por exemplo, se você for do setor financeiro, jurídico ou de saúde, a maioria dos seus sites já está criptografado.
Uso criminal de criptografia
Enquanto o tráfego criptografado aumenta a segurança nas comunicações diárias, os criminosos cibernéticos aproveitam a privacidade do HTTPS para ocultar seus ataques. Eles aprenderam a manipular a criptografia para contornar a maioria das soluções de firewall legadas. Dessa forma, grande parte do tráfego HTTPS de hoje em dia não é inspecionado, e até mesmo os firewalls comprados recentemente podem não ser capazes de inspecionar o volume do tráfego criptografado atual. Com a maioria do tráfego invisível ao seu firewall, não é uma questão de se ou mesmo quando. Provavelmente a sua rede já foi comprometida.
As violações no Yahoo, IRS e Ashley Madison que saíram nas manchetes envolviam criptografia. Em um caso, mais de um bilhão de contas de e-mail comprometidas resultaram de um único e-mail criptografado por um único funcionário. Da mesma forma, a violação do OPM (na qual mais de 20 milhões de pessoas tiveram suas informações confidenciais vazadas on-line) teve origem em um único download de e-mail pessoal que não foi inspecionado e continha malware. O tráfego criptografado pode conter malware, dados confidenciais vazados de forma acidental ou intencional ou um ataque de spear-phishing contra o CFO para que ele envie um pagamento por transferência eletrônica. Veja a seguir apenas alguns exemplos de ameaças ocultas no tráfego criptografado.
Malware criptografado por e-mail
Como você impede que um usuário clique em um anexo de e-mail que libera malwares em sua rede? No caso do malware, como o Cryptolocker, ele contém um payload mal-intencionado baixado dentro do webmail ou de outras comunicações criptografadas. Se estiver criptografado, você não poderá inspecioná-lo, controlá-lo e bloqueá-lo. Para bloquear e-mails mal-intencionados, ou seus anexos ou links clicados, você precisaria ser capaz de capturar o tráfego criptografado, descriptografá-lo e inspecioná-lo.
Ransomware criptografado
O principal tipo de malware criptografado atualmente é o ransomware (como WannaCry, CryptoLocker, Zeus, Chimera e Tesla). O ransomware faz uso da criptografia de várias maneiras. A primeira é a entrega real do ransomware em uma comunicação criptografada, seja ela um e-mail, sites de redes sociais, aplicações de mensagens instantâneas ou mensagens de texto. Uma vez entregue por meio de comunicação criptografada, o ransomware geralmente é executado e, em seguida, passa para um servidor de comando e controle (C&C) dentro de outra comunicação criptografada. Portanto, além de a entrega do payload real ser criptografado, as comunicações voltam ao servidor C&C.
Ataques de spear-phishing criptografados
Em um ataque típico de spear-phishing, um usuário faz login em seu e-mail criptografado, abre um e-mail de spear phishing que parece ser de um colega de confiança, clica em um link HTTPS e executa um arquivo baixado. Os dados do notebook desse usuário são imediatamente criptografados e tornados inacessíveis. Uma tela de aviso solicita o pagamento de um resgate para acessar o arquivo.
De acordo com a US-CERT, mais de US$ 5 bilhões foram desviados das empresas no ano passado devido a ataques de phishing e whaling. O FBI estima que essas perdas tenham ultrapassado US$ 1 trilhão desde 2014. O FACC foi comprometido em US$ 54 milhões em um único ataque de phishing.3 E esses ataques continuam diariamente.
Sites mal-intencionados criptografados
Só porque um site é criptografado com HTTPS não significa que ele seja seguro. Muitos sites criptografados são mal intencionados e contêm ameaças zero-day sem assinaturas de firewall correspondentes. Sem essas assinaturas, o firewall pode não reconhecer o malware correspondente no site. Recentemente, a US-CERT relatou 19 novos CVEs (Common Vulnerabilities and Exposures) dentro do sistema operacional Google Android em uma semana, inclusive 11 vulnerabilidades altas e 7 críticas.
Ataques zero-day criptografados
Embora você tenha uma solução antivírus muito eficiente em sua rede, não terá sempre as assinaturas a tempo de se proteger contra exploits de zero-day. Um malware de zero-day é um código que foi escrito talvez momentos antes do ataque e nunca foi visto antes, portanto, nenhum firewall tem uma assinatura para ele e a capacidade de evitá-lo. O malware pode realmente entrar na rede e desativar o cliente de antivírus. As primeiras linhas de código do vírus são projetadas para desativar a solução antivírus e, em seguida, o malware é detonado. A US-CERT informou recentemente que até mesmo o Microsoft Defender AV integrado foi comprometido para permitir a exploração externa.
Para maiores informações, entre em contato conosco!
Posted on By Author Thiago GonçalvesCategories Digital, Informações, Security, SonicWall
Plano gráfico de segurança em várias camadas de um varejista
Resumo
Na era atual de ataques multivetores, a segurança de TI no varejo requer uma nova abordagem para a segurança. Além de proteger o perímetro, gerentes inteligentes de TI começaram a adotar um plano gráfico de segurança em várias camadas para detectar anomalias e invasões dentro da rede.
Este artigo descreve a natureza dos multivetores, comum na maioria das violações de segurança de destaque ocorridas em empresas varejistas. Diretores de TI e diretores de segurança aprenderão sobre as diversas características comuns às recentes violações, e levarão o plano gráfico da SonicWall visando um modelo de segurança viável destinado a evitar violações em redes de varejo.
Introdução
Um alvo fácil traz felicidade para o dia de um criminoso virtual. Por que tantos varejistas são alvos fáceis?
Para os criminosos, o varejo é onde o dinheiro está. A possibilidade de transferir e vender milhares ou milhões de dados de cartão de crédito e informações de consumidores é um poderoso incentivo.
Os varejistas modernos levaram décadas para fortalecer suas lojas físicas contra roubo, mas apenas alguns anos para proteger suas redes de TI contra o roubo de dados. Os criminosos se voltaram para a opção mais sutil e lucrativa de esgueirar-se pela rede, explorando falhas internas na segurança e silenciosamente copiando volumes imensos de dados confidenciais para armazená-los fora da rede.
Essas violações incluem vetores de ataque diversificados como vírus, spyware, phishing, softwares voltados para invasão e spam. Uma estratégia em várias camadas é a única defesa realista contra esses ataques.
Violações nas manchetes de jornais: danos e acidentes aos milhões
Apesar de seus melhores esforços estarem em conformidade com os Padrões de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) e de outras medidas para proteger transações eletrônicas, os varejistas permanecem sob ataque. Uma breve lista de violações de destaque ocorridas apenas na América do Norte inclui nomes confiáveis e conhecidos:
• Target: com o roubo de 40 milhões de números de cartão de pagamento e de informações pessoais de mais 70 milhões de pessoas, essa é considerada a maior violação ocorrida no varejo americano até hoje.
• Home Depot: durante cinco meses, ladrões virtuais roubaram 56 milhões de números de cartão e 53 milhões de endereços de e-mail.
• Michael’s: hackers roubaram os detalhes de três milhões de cartões de pagamento ao longo de nove meses.
• Staples: durante a temporada de voltas às aulas, 1,16 milhão de cartões de pagamento foram expostos aos criminosos.
Manchetes e sites de notícias estão cheios desses detalhes apavorantes, e todos os gerentes de TI temem o dia em que sua empresa aparecerá nessas reportagens.
O impacto no varejo: uma abundância de devastação
Embora esses criminosos não roubem propriedades tangíveis dos varejistas, suas atividades acarretam ainda mais destruição do que se roubassem bens físicos. Considere algumas das ramificações das violações do varejo:
Para varejistas
As despesas resultantes são mais graves. A Target, por exemplo, gastou US$ 61 milhões nos primeiros meses após a violação, em medidas como operação de resposta ao cliente e no compromisso assumido de que os clientes não teriam que pagar por nenhuma cobrança fraudulenta decorrente da violação. Em seguida, os negócios são prejudicados, pois sua atenção sai das vendas e se volta para as relações com a imprensa e a avaliação dos danos. O lucro da Target no trimestre de férias caiu 46% em relação ao mesmo período do ano anterior.5 Para interromper a sangria, varejistas como a Staples oferecem o pagamento pelos custos de proteção gratuita à identidade, monitoramento de crédito, seguro contra roubo de identidade, relatório de crédito gratuito, para clientes que usaram seus cartões de pagamento nessas lojas durante períodos específicos e que possam ter sido afetados.
Mais difícil de quantificar é o custo de dúvidas tardias sobre danos futuros causados pela violação, perguntas que surgem, como “O que eles roubaram e que ainda não sabemos?”, “O que mais está se escondendo na rede e que ainda não descobrimos?”.
Para fornecedores
As relações de negócios externas exigiram que os varejistas ampliassem as conexões e credenciais de rede de modo ascendente e descendente na cadeia de fornecimento. A Home Depot, a Target e a Dairy Queen, cada uma delas indicou que o roubo de credenciais de rede do fornecedor estava entre os eventos que precipitaram as violações.7,8 Ataques proeminentes são frequentemente um aviso prévio para o fornecedor de que sua própria segurança foi comprometida.
Para consumidores
Como um varejista pode se recuperar dos danos sobre a sua marca e da perda da confiança do consumidor? Como reconquistar as visitas e os cliques que repentinamente passaram para os concorrentes? Pior ainda, como impedir as ações legais que grupos de consumidores ultrajados impetraram contra a empresa, como os muitos processos que foram abertos contra a Target?
Como resultado, gerentes de TI, varejistas, fornecedores e bancos estão preocupados não tanto com o cumprimento das normas PCI DSS e dos padrões do setor, mas em se manter longe das primeiras páginas de notícias.
Por que isso aconteceu: o advento dos ataques multivetores
Como podem ocorrer violações em varejistas tão grandes, com grandes orçamentos, amplos recursos e vasta infraestrutura de segurança? Muitos ataques proeminentes têm características em comum:
Os funcionários do varejista ou de seus fornecedores não recebem um treinamento adequado sobre conscientização de segurança. Sem o fator humano não pode haver invasão, e os funcionários que divulgam senhas, são vítimas de esquemas de phishing, visitam sites comprometidos ou não reagem a avisos de segurança, formando o elo mais fraco.
Uma vez dentro da rede, os invasores se dedicam a aumentar seus direitos para conceder a si mesmos mais privilégios e maior acesso.
Políticas de firewall frouxas entre segmentos da rede e o portal B2B enfraquecem o alvo para o invasor, que já está dentro da rede.
Criminosos infectam sistemas de ponto de vendas (POS) e backoffice com vários tipos de malware capturadores de RAM. O código captura dados de pagamento e do consumidor e os copia para outros sistemas comprometidos.
Contar com uma única camada de defesa (geralmente um antimalware no ponto de extremidade) ou com um array de produtos mal integrados impede que as empresas bloqueiem ameaças verdadeiras, como código que envia dados capturados para fora da rede.
As violações que causam o maior dano envolvem vários vetores. Eles incluem contato e infecção em diferentes pontos, períodos e níveis nas muitas partes da rede corporativa do varejo.
No passado, a combinação de um equipamento de firewall e de um software antivírus era suficiente como um perímetro sólido. No entanto, em uma era de violações metódicas, em grande escala e multivetores, ferramentas que simplesmente protegem o perímetro e contam com modelos de segurança tradicionais e baseados em confiança são inadequadas.
Gerentes de TI inteligentes têm retirado o foco da meta de impedir todo e qualquer ataque, mas que já não pode mais ser atingida. Em vez disso, estão adotando ferramentas que detectam anomalias e invasões em vários pontos e períodos dentro da rede e desaceleram o progresso de ataques multivetores.
Como os varejistas podem abordar a segurança de rede de forma mais eficaz
Todo varejista está a apenas um pequeno descuido de ter de enfrentar meses de controle de danos, e nenhuma camada única de segurança é capaz de cuidar de tudo. Atualmente, a proteção da marca inclui a proteção da rede, por meio de várias camadas de segurança e inteligência contra ameaças, que evitam e respondem a ataques:
A adoção de uma política de segurança que não confia em nada (recursos da rede) nem em ninguém (fornecedores, franquias, equipe interna) e, em seguida, a adição apenas de exceções explícitas e específicas.
A separação de grupos e zonas, para impedir que invasores que consigam acesso à rede, invadindo ainda mais.
A inspeção de todo o tráfego de entrada e saída em cada nó de cada segmento, e a investigação automática de anomalias.
Aplicação de segurança de e-mail para bloquear malware em ataques de spam e phishing via e-mail.
Unificação de várias tecnologias em uma plataforma que protege contra ameaças.
A segurança não deve ser sacrificada em prol do desempenho.
Essa abordagem em várias camadas tem o potencial de impedir ataques multivetores impedindo seu progresso na rede, identificando-os e eliminando-os.
Um plano gráfico para uma defesa de varejo em várias camadas.
Com base em dados acumulados ao longo de anos protegendo empresas de todos os portes, a SonicWall desenvolveu e integrou, em sua linha de firewalls de próxima geração SonicWall, um plano gráfico para defesa em várias camadas contra ataques em redes de empresas varejistas. O plano gráfico abrange as camadas de segurança necessárias para desacelerar e interromper tentativas de invasão.
Segurança baseada em zonas para repositórios
Em uma violação de varejo típica, os dados capturados no POS repentinamente percorrem segmentos de rede que não devem ter linhas de comunicação (interfaces) comuns entre si. Esse é um dos resultados de uma política de firewall muito complicada e impenetrável, até mesmo para seus administradores.
A segurança baseada em zonas permite que os administradores separem e protejam recursos de rede contra acesso não aprovado ou ataque. Uma zona de segurança de rede é um agrupamento lógico de interfaces com nomes intuitivos mapeados para regras de segurança, que permitem ou impedem a movimentação de dados. Com a segurança baseada em zonas, os administradores podem mais facilmente realizar padronização ao agrupar interfaces semelhantes, aplicar as mesmas políticas a elas e, em seguida, adicionar somente as exceções necessárias.
Com recursos como máquinas de interface com o cliente, servidores de inventário e data warehouses de back-office organizados em zonas separadas, os varejistas podem facilmente garantir que somente usuários autorizados e confiáveis tenham acesso. No plano gráfico da SonicWall, a segurança baseada em zonas, por exemplo, permitiria o avanço de dados do POS para o processamento de pagamento, mas impediria a movimentação desses dados para qualquer outro ponto.
Política de segurança adaptável
Assim que surge uma nova ameaça de rede, os administradores precisam atualizar as assinaturas de prevenção contra intrusão que os firewalls utilizam para reconhecer ameaças. Uma vez que muitos firewalls sofrem uma queda de desempenho à medida que mais e mais assinaturas são adicionadas, os administradores tendem a primeiro verificar manualmente as atualizações e depois instalar apenas aquelas que são mais críticas. Esse processo enfadonho causa lacunas entre o momento em que os administradores recebem a atualização, o momento em que eles a analisam e o momento em eles que a aplicam.
O plano gráfico da SonicWall inclui uma política de segurança adaptável na qual os administradores definem a própria política de proteção alta/ média/baixa contra intrusões. O firewall automaticamente descarrega atualizações, identifica novas assinaturas e, em seguida, com base na política de proteção da organização contra ameaças, imediatamente aplica as assinaturas no modo de prevenção ou apenas no modo de detecção.
Essa resposta adaptável às ameaças emergentes significa que os varejistas podem eliminar a necessidade de análise manual e evitar a lacuna de riscos resultante do atraso na aplicação da proteção.
Inteligência unificada interameaças
A medida mais efetiva de proteção contra ataques multivetores é agrupar a inteligência sobre diferentes categorias de ameaças e atualizar firewalls com assinaturas unificadas. O plano gráfico da SonicWall centraliza essa inteligência interameaças no antivírus de gateway (GAV) baseado em cloud computing.
O GAV coleta amostras de dados (spam e feeds de botnet, phishing e envios de filtragem de conteúdo, honeyspot etc.) e as analisa na nuvem. Se o GAV identificar uma possível ameaça, criará uma assinatura e a disponibilizará para descarregamento automático aos firewalls de próxima geração (NGFWs) de todo o mundo. O agrupamento da inteligência sobre filtragem de conteúdo, antivírus, sistemas de prevenção de intrusão (IPS) e detecção de spam oferece um tempo de resposta menor e maior poder computacional do que qualquer organização única poderia atingir por conta própria.
O maior benefício para varejistas é a proteção simultânea contra um amplo array de vetores de ataque, explorações, vulnerabilidades e malware. Com a sobrecarga da avaliação de ameaças transferida para a nuvem, os administradores podem habilitar a proteção completa em firewalls de próxima geração, sem sacrificar o desempenho.
Identificação de ameaças multivetores
Para bloquear ameaças e invasões, primeiro o firewall deve reconhecê-las. O plano gráfico da SonicWall inclui tecnologias em diversas camadas:
Inspeção de pacotes byte por byte: um mecanismo de Reassembly-Free Deep Packet Inspection (RFDPI) inspeciona cada byte de cada pacote para bloquear ameaças contidas em arquivos, anexos e arquivos compactados e transformá-los conforme necessário para a normalização da análise de tráfego. A verificação de todo tráfego, independentemente de porta ou protocolo, é a melhor forma de proteger a rede contra ataques internos e externos.
Inspeção de tráfego criptografado: criminosos virtuais cada vez mais usam o protocolo Secure Socket Layer (SSL) para criptografar seus ataques e escapar da detecção. Ao ativar a funcionalidade de inspeção e a descriptografia de SSL do mecanismo RFDPI, os varejistas podem inspecionar tráfego SSL criptografado, incluindo o HTTPS e o FTPS, independentemente da porta utilizada.
Investigação e prevenção automatizadas de ameaças: malwares vivem e crescem em família, então a prevenção de ameaças inclui a previsão de como elas se desenvolverão. O mecanismo RFDPI usa fragmentos de código específicos que são comuns a famílias de malwares a fim de identificar código mal-intencionado em novas mutações.
Verificação de e-mail: a segurança de e-mail bloqueia malwares que tentam entrar em ataques de spam e phishing via e-mail. O mecanismo verifica a reputação do endereço IP de remetentes de e-mails recebidos e analisa conteúdo, estrutura, links, imagens e anexos da mensagem, visando a uma segurança mais profunda. As forças de trabalho do varejo conduzem a gama de sofisticação técnica, e a segurança de e-mail ajuda a evitar que usuários desprevenidos inadvertidamente abram malwares.
IPS com medidas contra evasão: criminosos virtuais frequentemente tentam burlar IPS disfarçando seus ataques como se fossem dados benignos. Para combater isso, o firewall deve normalizar dados e decodificar quaisquer ameaças antes que os dados sejam entregues ao IPS. A instalação de IPS com medidas contra evasão no nível do repositório reduz o risco de vulnerabilidades em aplicativos, clientes e servidores.
Com esse plano gráfico, os administradores de TI das empresas varejistas podem defender suas redes contra malware, spyware, vírus, violações, aplicativos invasores, spam e ataques de phishing, utilizando uma estratégia em diversas camadas.
Conclusão
Por natureza, as redes varejistas contêm muitas peças móveis: rede corporativa, regiões, repositórios, máquinas de ponto de vendas (POS), fornecedores, prestadores de serviços, clientes, Web e dispositivos móveis. Ao mesmo tempo em que protege o perímetro, a equipe de TI também precisa se concentrar na detecção de anomalias e invasões dentro da rede.
Invasores obtêm êxito não com uma única entrada ou exploração, mas por meio de várias entradas e em vários níveis, via sistemas interconectados. Em uma era de ataques multivetores e avançadas ameaças persistentes, o plano gráfico em várias camadas da SonicWall para combater violações de segurança, implementado em sua linha de firewalls de próxima geração SonicWall, é projetado para auxiliar na vitória do varejo, desacelerando o progresso de um ataque o suficiente para identificá-lo e interrompê-lo antes que ele cause um desastre.
Para maiores informações, entre em contato conosco!
Posted on By Author Thiago GonçalvesCategories Informações, Notícias, Security, SonicWall
Infraestrutura? Quem precisa disso. As organizações modernas estão reduzindo a prática de execução de software tradicional on-premise e infraestruturas relacionadas a favor de soluções de software como serviço (SaaS).O SaaS oferece opções atrativas e, muitas vezes, essenciais para reduzir o CapEx, as despesas operacionais elevadas e reduzir o tempo de implementação — convertendo tudo isso em agilidade empresarial.
Porém, o aumento da agilidade não está isento de riscos. Ansiosas para manter os projetos em movimento, muitas unidades de negócios internas comprarão novos aplicações SaaS sem a orientação ou a aprovação de equipes de TI ou de segurança adequadas. As organizações MultiSaaS são frequentemente usadas para gerenciar, proteger e relatar cada serviço SaaS separadamente, aumentando ainda mais os riscos com políticas de segurança inconsistentes.
Se sua empresa está implantando mais e mais aplicações SaaS, esteja atento a esses sete riscos de segurança principais para entender onde aplicar SaaS Security.
O phishing ainda é uma ameaça
E-mails continuam sendo o vetor de ameaça mais comum, com mais de 90% dos ataques cibernéticos bem-sucedidos, a partir de um e-mail de phishing. Os cibercriminosos usam e-mails de phishing para ludibriar as vítimas e levá-las a payloads, usando anexos ou URLs mal-intencionados, credenciais de colheita por meio de páginas de login falsas ou fraudes por meio de representação. Além disso, o número de ataques de phishing modernos também está aumentando em termos de sofisticação e os ataques são altamente direcionados.
O phishing evoluiu para ataques baseados na nuvem, à medida que as organizações continuam acelerando a adoção do e-mail por SaaS (por exemplo, Office 365 ou G Suite) e outras aplicações de produtividade. As aplicações na nuvem apresentam uma nova era para o phishing, pois os usuários precisam autenticar para acessar suas contas, e a autenticação é direcionada por meio de protocolos padrão do setor, como o OAuth.
Por exemplo, os criminosos cibernéticos tinham como alvo o O365 com ataques de phishing altamente sofisticados — inclusive o baseStriker, ZeroFont e PhishPoint — para contornar os controles de segurança da Microsoft. Muitos portais de e-mail protegidos, como o Mimecast, também não conseguiram impedir esses e-mails de phishing.
Em outro caso, o Gmail do Google sofreu um ataque de phishing em massa em 2017 com um e-mail que parecia autêntico e que pedia permissão e abria acesso a suas contas e documentos de e-mail. O ataque explorou o protocolo de OAuth da Google.
Invasões de conta abrem a porta
As invasões de contas (ATO) envolvem agentes de ameaça que comprometem as credenciais corporativas de um funcionário, lançando uma campanha de phishing de credencial contra uma organização ou comprando credenciais na Dark Web decorrentes de vazamentos de dados de terceiros. Em seguida, um agente de ameaça utiliza as credenciais roubadas para obter acesso adicional ou aumentar os privilégios. É possível que uma conta comprometida permaneça muito tempo sem ser descoberta por muito tempo — ou nunca seja encontrada.
O roubo de dados ainda é rentável, independentemente de onde é armazenado
O risco de violação de dados é uma grande preocupação para as organizações que se deslocam para a nuvem. A confirmação da medida de uso das aplicações SaaS implica transferir e armazenar dados fora do centro de dados corporativos, onde o departamento de TI da organização não tem controle ou visibilidade, mas ainda é responsável pela segurança dos dados. Os dados armazenados em aplicações SaaS podem ser dados de clientes, informações financeiras, informações de identificação pessoal (PII) e propriedade intelectual (IP). Os cibercriminosos normalmente iniciam um ataque direcionado ou exploram práticas de segurança e vulnerabilidades de aplicações ineficazes para exfiltrar dados.
Perda de controle pode resultar em acesso não autorizado
Outro risco de passar para a nuvem é que o departamento de TI não tem mais controle completo sobre qual usuário tem acesso a quais dados e o nível de acesso. Funcionários podem acidentalmente excluir dados resultando em perda de dados ou expor dados confidenciais a usuários não autorizados resultando em vazamento de dados.
Novo malware e ameaças zero-day desconhecidos
As aplicações SaaS, especialmente serviços de armazenamento de arquivos e de compartilhamento de arquivos (por exemplo, Dropbox, Box, OneDrive, etc.), tornaram-se um vetor de ameaça estratégica para propagar ransomware e malware zero-day. De acordo com o Bitglass, 44% das organizações digitalizadas tinham alguma forma de malware em pelo menos uma das suas aplicações em nuvem. Ataques que ocorrem em ambientes SaaS são difíceis de identificar e interromper, pois esses ataques podem ser realizados sem a conscientização dos usuários.
Uma vantagem de usar aplicações SaaS é que os arquivos e dados automaticamente sincronizam os vários dispositivos. Esse também pode ser um canal de propagação de malware. O invasor teria apenas que carregar um arquivo PDF ou Office mal-intencionado nas aplicações de compartilhamento de arquivos ou armazenamento de SaaS e os recursos de sincronização fariam o resto.
Conformidade e auditoria
As exigências do governo, como a GDPR, e regulações para setores, como saúde (HIPAA), varejo (PCI DSS) e finanças (SOX) requerem ferramentas de auditoria e de relatório para demonstrar conformidade na nuvem, além dos requisitos de proteção de dados. As organizações devem garantir que os dados confidenciais sejam protegidos, implantar recursos para registrar atividades de usuários e permitir trilhas de auditoria em todas as aplicações autorizadas.
As ameaças internas
Quando se trata de segurança, os funcionários são geralmente o elo mais vulnerável. As ameaças internas nem sempre incluem ações mal-intencionada. A negligência do usuário pode resultar em ataque interno acidental, que continua sendo o risco principal para organizações de todos os tamanhos. Esse risco não é isolado a senhas fracas, credenciais compartilhadas ou laptops perdidos\roubados. Ele se estende aos dados armazenados na nuvem, onde podem ser compartilhados com fontes externas e frequentemente acessados de qualquer dispositivo ou local.
O lado sombrio das ameaças internas inclui intenções maliciosas. Os insiders, como os funcionários e administradores de organizações e CSPs, que abusam de seu acesso autorizado a redes, sistemas e dados de uma organização ou CSP, podem causar danos intencionais ou exfiltrar informações.
Como proteger as aplicações SaaS
A rápida adoção de e-mail e das aplicações SaaS, juntamente com os avanços tecnológicos contínuos, resultou em várias opções de proteção para dados e e-mail SaaS.
Combinados com organizações enterprise, os fornecedores de segurança apresentaram os CASB (Cloud Access Security Brokers) como uma solução que oferece visibilidade, controle de acesso e proteção de dados em todos os serviços de computação em nuvem usando um gateway, proxy ou APIs.
Embora os CASBs tradicionais forneçam recursos robustos para organizações enterprise, nem sempre é uma solução prática para todas as organizações. Além de serem caros — com implantações geralmente complexas — poucos CASBs oferecem segurança de e-mail para e-mails baseados em SaaS, como o Office 365 Mail e Gmail, deixando para as organizações implementar e gerenciar controles de segurança separados.
O aumento da adoção de e-mail e aplicações SaaS nas organizações, criou a necessidade de uma solução de SaaS Security acessível e fácil de usar. Felizmente, existem algumas abordagens que podem ajudar a excluir ou eliminar novos riscos causados pelas aplicações SaaS.
Por exemplo, o SonicWall Cloud App Security (CAS) combina proteção de e-mail avançada e proteção de dados para e-mails e aplicações SaaS. Essa abordagem oferece proteção avançada contra ameaças de ataques de phishing direcionados, comprometimento de e-mail corporativo, ameaças zero-day, perda de dados e invasões de conta.
O Cloud App Security também se integra perfeitamente às aplicações SaaS autorizadas, mediante APIs nativas. Esta abordagem fornece segurança de e-mail e funcionalidades CASB que são fundamentais para proteger o cenário SaaS e garantir políticas consistentes em todas as aplicações na nuvem que estão sendo usadas.
Quando usado com Capture Security Center Analytics e integrado com os firewalls de próxima geração da SonicWall, o Cloud App Security fornece visibilidade do Shadow IT e controle por meio de descoberta automatizada na nuvem.
