IBM e Cisco juntas vão combater o cibercrime

ibm.jpg02/06/2017 - A Cisco e a IBM anunciam que estão trabalhando juntas para combater as crescentes ameaças globais de cibercrime. Neste novo acordo, as empresas estarão mais próximas compartilhando serviços, produtos e conhecimento sobre as ameaças.

As soluções de segurança da Cisco serão integradas ao QRadar, plataforma de segurança da IBM que protege as organizações através da rede,endpointse nuvem. Os usuários de TI também serão beneficiados pela extensão do suporte global de serviços da IBM às ofertas do MSSP(Managed Security Services) da Cisco. O acordo também estabelece uma nova relação entre as equipes de pesquisa de ambas as companhias, IBM X-Force e Cisco TALOS, que compartilharão dados de estudos sobre ameaças e irão coordenar juntas o monitoramento de incidentes de segurança cibernética.

Hoje, um dos maiores desafios para os profissionais de segurança é o uso de ferramentas que não interagem nem se comunicam. Uma pesquisa recém divulgada pela Cisco e feita com 3000 chefes de segurança (CSO) mostra que 65% das organizações usam entre 6 a 50 produtos diferentes e que não são integrados, causando um grande desafio às equipes de segurança. O foco dessa parceria é ajudar as organizações a reduzirem o tempo para diagnóstico e combate contra as ameaças por meio de ferramentas integradas que automatizem esse processo, com mais precisão e agilidade.

Integrando métodos de defesa contra ameaças através de redes e nuvens

O prejuízo que cibercrimes trazem às empresas continua aumentando. Em 2016, o Instituto Ponemon revelou que esse valor era o mais alto até então registrado, sendo de U$ 4 milhões – um aumento de 29% em relação aos últimos três anos. Um fator que interfere no valor do prejuízo é o tempo de resposta, pois incidentes contidos em menos de 30 dias custaram aproximadamente US$1 milhão a menos às empresas do que aqueles que demoraram mais de 30 dias para serem resolvidos. Os crescentes prejuízos deram mais visibilidade aos cibercrimes e, para combatê-los mais rapidamente, é preciso utilizar abordagens integradas.

A ideia da parceria é de que a aplicação Cisco Threat Grid, que isola e analisa possíveis ameaças, esteja disponível no IBM Security App Exchange, aumentando as chances de o usuário identificar e remediar uma ameaça. Além disso, a plataforma IBM Resilient Incident Response Platform(IRP), que elimina as diferenças entre operações de segurança e resposta a incidentes, trabalhará com esses dois aplicativos, sugerindo soluções para responder aos incidentes rapidamente. Com isso, as soluções propostas pelo IRP podem levar em consideração as análises do Threat Grid, e vice-versa, aprimorando a segurança da informação.

“A abordagem arquitetônica da Cisco, quando combinada às plataformas de operação e remediação da IBM, trará ao mercado os serviços e produtos mais capacitados de segurança”, afirma David Ulevitch, Gerente Geral de Segurança da Cisco.

“A IBM há muito tempo se mostra disposta a colaborar com diferentes organizações em favor da cibersegurança. Com a Cisco se juntando ao nosso sistema imune de defesa, nossos consumidores expandirão imensamente o uso de tecnologias cognitivas, como o Watson. Além disso, ter a IBM X-Force trabalhando junto com a Cisco TALOS será uma grande vantagem para os profissionais de segurança que lutam contra o cibercrime”, explica Marc van Zadelhoff, Gerente Geral de Segurança na IBM.

Inteligência e gerenciamento de serviços contra ameaças

As equipes IBM X-Force e Cisco TALOS também irão colaborar em pesquisas, inicialmente focadas em relatar os problemas de segurança mais desafiadores dos clientes de ambas as companhias, conectando seus principais especialistas. Para consumidores já associados ao Threat Intel da Cisco, a IBM entregará uma plataforma de integração aos seus produtos. Essa parceria trará expansão nas análises e soluções de segurança.

Por exemplo, a IBM e a Cisco compartilharam informações durante o ataque do WannaCrypara as análises de como o malware estava se espalhando. Ambas as empresas continuam investigando para garantir que seus consumidores tenham as informações mais relevantes sobre o ataque.


Comentário (0) Hits: 206

Mozilla reforça a importância da saúde da Internet

mozilla_logo.jpg31/05/2017 - O Global Sprint da Mozilla acontece nos dias 1 e 2 de junho de 2017 em mais de 20 países, incluindo o Brasil. É um evento público internacional que representa uma oportunidade de dinamizar projetos de código aberto com novos insights e contribuições de todo o mundo.

O evento tem como objetivo incentivar a construção de projetos em prol de uma Internet mais saudável, de forma colaborativa e divertida. Além disso, reúne on-line uma rede diversificada de cientistas, educadores, artistas, engenheiros e outros interessados para inovar e ajudar a combater notícias falsas, capacitar as pessoas para proteger sua privacidade on-line e criar uma Internet mais saudável.

"Iniciativas como essas nos fazem ver e entender a forma que cada um enxerga a Internet e como pretendem fazer dela algo mais inclusivo", exalta Geraldo Barros, Mozillian. "Além disso, é uma oportunidade de pessoas de todo o mundo participar de projetos abertos ou mostrar seus projetos abertos e obter ajuda em seu desenvolvimento baseados nos princípios do trabalho aberto que é o core/núcleo da Mozilla e neste mesmo tempo as pessoas tem oportunidade de aprender os conceitos básicos de participação, colaboração e compartilhamento em projetos conduzidos pela comunidade."

Nesta quinta-feira e sexta-feira, a Mozilla realiza um hackathon gigante a fim de alimentar a rede de pessoas que estão lutando para tornar a web um lugar mais seguro e inclusivo. Na sexta-feira, 2, ele acontecerá presencialmente no Google Campus (Rua Coronel Oscar Porto, 70 - Paraíso) das 9h às 17h. Inscrições: O endereço de e-mail address está sendo protegido de spambots. Você precisa ativar o JavaScript enabled para vê-lo..

 

Comentário (0) Hits: 236

NETiqueta: sua conduta ao navegar na internet

silmara.jpg*Por Silmara Adad
22/05/2017 - A cada dia a vida moderna nos exige agilidade na tomada de decisões. Sejam elas pessoais ou profissionais. Uma ferramenta que ninguém consegue imaginar viver sem é a internet. Com ela nos conectamos em qualquer lugar do mundo. Eu disse, do mundo! Pode parecer clichê esta afirmação, porém nem todos se dão conta disto.

Cada palavra escrita, cada foto postada, cada vídeo compartilhado revela muito sobre cada indivíduo. Se para conviver em qualquer sociedade precisamos seguir algumas regras, o mesmo ocorre na sociedade virtual. Cuidar da sua conduta, comportamento e imagem garante credibilidade. E-mails, redes sociais e mensagens em WhatsApp também exigem um comportamento educado e respeitoso entre todos. Para o profissional que deseja firmar sua conduta profissional sólida, não é aconselhável utilizar e-mails corporativos para assuntos particulares. Vejam algumas dicas rápidas:

E-mail: revisar o texto para evitar erros de português, conferir os anexos que serão enviados bem como destinatários e ser objetivo no assunto e no conteúdo parece básico, mas há quem esqueça destes detalhes relevantes. E-mail é considerado documento, segundo o Código Civil brasileiro, portanto exige certa dose de formalidade.

WhatsApp: há quem afirme que o uso do e-mail pode estar caindo em desuso e sendo substituído pelas mensagens do aplicativo WhatsApp. Acredito que em muitos casos sim, mas algumas regras para esta ferramenta também precisam ser levadas em consideração. Não perder o foco do tema do grupo que participamos, por exemplo, é no mínimo educado e faz com que os participantes não o achem uma pessoa desagradável. Se você pretende tratar de algo particular com alguém do grupo, envie mensagens para esta pessoa em questão e não para que todos do grupo. Piadinhas e fofocas em mensagens profissionais por este meio também não é bem visto. Há casos de demissão por justa causa pelo teor das mensagens trocadas e a justiça está bastante atenta a estas questões.

Redes sociais: é ótimo interagir, brincar e até mesmo atualizar-se por meio delas. Mas não devemos esquecer de tomar o devido cuidado com as fotos que postamos. Fotos em baladas com copo de bebida na mão a todo momento, de biquíni mostrando o corpo e comentários que demonstrem qualquer tipo de preconceito contam pontos negativos a seu favor. Certamente em meio aos seus contatos particulares com amigos e familiares, certamente algum colega de trabalho, chefe, cliente, fornecedor podem estar entre os seus "amigos" nas redes sócias. É bem diferente de uma rede profissional, como o LinkedIn, que deve ser usada exclusivamente para fins profissionais.

A internet é universal e não local. O mundo está de olho no seu comportamento. E ninguém, quer passar uma imagem descuidada, não é mesmo? Profissional bom de verdade dedica atenção a tudo o que faz e pessoas agradáveis, gentis e educadas são bem vem vistas no mundo offline e online em qualquer lugar do mundo. Reforce sua conduta e garanta sucesso e muita visibilidade positiva aonde quer que esteja!

*Silmara Adad é supervisora do curso de Etiqueta e Comportamento Corporativo do Centro Europeu (www.centroeuropeu.com.br)

Comentário (0) Hits: 220

WannaCry: o que sabemos até agora desse ciberataque

cryptography-1.jpg*Por Kevin Magee
22/05/2017 - Um ciberataque sem precedentes utilizando uma variante de ransomware conhecida como WannaCry – em que o agressor criptografa os arquivos da máquina e exige pagamento para decodificá-los – tomou uma dimensão exponencial numa velocidade nunca vista pelos pesquisadores de segurança na web. Na data, mais de 75 mil sistemas em mais de 100 países reportaram infecções pelo malware, sendo os mais graves os direcionados aos serviços operacionais de instituições como: a Telefonica, na Espanha; o National Health Service – NHS (em português, o serviço nacional de saúde) no Reino Unido; e a FedEx, nos Estados Unidos e em alguns países da Europa, sendo o maior impacto na Rússia.

Apesar do ritmo de expansão do ataque ter diminuído, não quer dizer que acabou. Com base em dados fornecidos pela MalwareTec, o New York Times elaborou um mapa animado mostrando o quão rápido ocorreu a disseminação do WannaCry, que certamente serviu de um risco potencial à empresa.

Umas das primeiras organizações a reportar o ataque foi o NHS, no Reino Unido, onde as equipes de segurança continuam trabalhando contra o relógio para restaurar os sistemas de alguns dos 45 hospitais afetados na Inglaterra e Escócia. Incrivelmente perigoso, o ataque colocou pacientes em risco na medida em que os médicos perderam o acesso aos prontuários e tiveram de cancelar operações e consultas.

O perfil do Twitter da NHS's East Kent Hospitals enviou uma mensagem para todos os funcionários indicando que o ransomware possivelmente estava anexado à um e-mail com o assunto Clinical Results. Se isso for verdade, aparentemente os hospitais foram alvos específicos da ação.

Embora seja provável que a NHS tenha figurado na maior parte da cobertura inicial da imprensa sobre o caso, devido à hora que o ataque aconteceu (no início da manhã de sexta-feira no Reino Unido), o WannaCry se espalhou rapidamente e não somente por outras organizações ao redor do mundo, mas também pelos dispositivos e sistemas que não sejam estações de trabalho padrão. Na Alemanha, por exemplo, a operadora ferroviária Deutsche Bahn informou que, embora os ataques não tenham interrompido a operação dos trens, omalware infectou os sistemas da companhia, incluindo o sistema que controla os monitores display nas estações.

Como o WannaCry trabalha e por que este ataque é único?

Ao mesmo tempo que essa variante de ransomware é carne de vaca, sua forma de infecção e expansão pelos sistemas é única. Geralmente, essa modalidade de ataque demanda que o usuário clique num link malicioso ou arquivo anexo proveniente de um e-mail phising, para então infectar o computador. Enquanto cibercriminosos podem espalhar milhares (ou milhões, talvez) de mensagens phising todos os dias, uma infiltração bem-sucedida ainda depende que a vítima acione o gatilho. Apesar de incrivelmente eficaz, para o vírus se espalhar ainda é preciso que cada usuário caia ou não no truque. Porém, com o WannaCry, não é assim.

Aparentemente, uma vez que uma única tentativa tem sucesso e infecta um PC atrás das defesas do Firewall, o executável malicioso pode se mover lateralmente dentro da rede e se propagar sozinho por outros sistemas. Uma análise inicial por pesquisadores de cibersegurança indica como isso acontece: é feita uma varredura e identificação de sistemas com as portas 139 e 445 abertas, aliada ao monitoramento das conexões de entrada e um pesado escaneamento através da porta TCP 445 (Server Message Block/SMB). Isso permite que o malwarese espalhe por conta própria de maneira similar a um worm. O arquivo malicioso então se movimenta utilizando cada seção RDP num sistema para executar o ransomware até chegar às contas administradoras. Para dar suporte à operação, também é instalado um DOUBLEPULSAR backdoor para corromper os volumes de sombra e tornar a recuperação mais difícil.

O WannaCry é capaz de agir onde o PC está aberto para ouvir e que não tenha sido atualizado com o patch de segurança crítico MS-17-010, da Microsoft, emitido no último dia 14 de março para sobrepor as vulnerabilidades no SMBv1 (a Microsoft não menciona o SMBv2). Vale lembrar que as máquinas com Windows 10 não estão sujeitas a essa vulnerabilidade, portanto não correm risco de propagar esse malware por essa via.

Além disso, a CiscoTalos observou o DOUBLEPULSAR, um backdoor persistente que é geralmente usado para acessar e executar um código em sistemas previamente comprometidos e que documentou a estrutura de exploração ofensiva lançada como parte do cache do Shadow Brokers.

O que ocorre com os sistemas infectados?

Uma vez que o ransomware infecta o sistema, o vírus começa a criptografar tudo o que encontra. O arquivo taskche.exe procura os drives, tanto internos como externos, identificados pelas nomenclaturas "c:/" e "d:/", para que redes compartilhadas sejam também afetadas. Quando são encontrados arquivos de interesse, a criptografia utilizada é a 048-bit RSA. Quão forte isso é? Bom... uma postagem da DigiCert revela que um computador padrão levaria 1,5 milhões anos para quebrar o código.

A partir disso, o usuário recebe uma notificação em sua tela exigindo US$300 em Bitcoins para liberar os arquivos e restaurar o sistema. Caso a demanda não seja atendida, as informações se tornarão permanentemente inacessíveis e deletadas uma a uma. Alguns relatórios indicam que, caso o pagamento não seja efetuado em até seis horas, o resgate aumenta para US$600, e há casos que esse prazo é estabelecido para três dias a partir do ataque. Esse modo de operação incrivelmente traiçoeiro de engenharia social cria um senso de urgência ao usuário, forçando-o a pagar o resgate, sob o risco de ter um custo maior ou perder todos seus dados. Outra tática utilizada é a liberação de uma pequena parte dos arquivos afetados, incutindo na vítima a esperança de recuperar tudo caso aceite a extorsão.

É importante destacar que os criminosos por trás desses ataques não possuem qualquer obrigação em fornecer a chave de decriptação. Ou seja, pagar o resgate nem sempre é a solução desse problema. Sem contar que atender as exigências desses criminosos pode sinalizar o usuário como um potencial alvo para futuros ataques, além de financiar o desenvolvimento de novas e mais sofisticadas armas cibernéticas.

Por que a infestação está diminuindo: o "interruptor"

A CiscoTalos descobriu no começo da investigação que o WannaCry enviava pedidos para o domínioiuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Provavelmente, esse domínio foi gerado por humanos, já que os caracteres incluídos consistem principalmente em chaves na linha superior do teclado. Estes padrões são geralmente surgem quando alguém "amassa" o teclado e são facilmente reconhecíveis por pesquisadores de segurança.

Aparentemente, se o WannaCry puder se comunicar com esse domínio, sua execução será interrompida e o sistema não será infectado. Como esse endereço não é registrado, a ideia é que essa tentativa de contato ocorra sempre que o vírus se estabeleça, e em caso de falha, o ataque continuaria – estabelecendo esse domínio como uma espécie de "interruptor". É uma técnica altamente comum, que parece ter sido planejada pelo criador do malware como medida para parar a propagação da ofensiva.

Um astuto pesquisador de segurança, @malwaretechblog, com a ajuda de Darien Huss, da empresa de cibersegurança ProofPoint, encontrou e ativou esse interruptor, simplesmente registrando esse domínio.

Por mais anticlimático que pareça, apertar esse botão vermelho aparentemente deu certo e diminuiu a infestação do vírus. Infelizmente, podemos esperar que os copycats já estão prontamente trabalhando em variações do ataque e, com criminosos em todos lugares aprendendo sobre o grande lance desse incidente, podemos esperar o lançamento de novos formatos e modificações desse tipo de ataque.

Quando o Conficker worm estava desenfreado e criando uma botnet gigantesca em 2008, um pesquisador também descobriu que o mesmo emitia um "chamado para casa" para domínios criados randomicamente, utilizado para passar instruções de comando e controle. Com base nisso, ele foi capaz de limitar a capacidade do Conficker -- de executar qualquer comando – registrando todos os domínios (em torno de 250 endereços pseudo-aleatórios, que englobavam as variantes A e B do malware). Apesar de registrar 250 domínios por dia estar ficando um pouco caro e demorado, ainda era possível para os defensores, coletivamente conhecidos como o Conficker Cabal, se manter à frente do atacante. Essa estratégia deixou de dar certo quando os hackers lançaram uma variante C dessa ofensiva, baixada diariamente a partir de 500 a 50.000 domínios pseudoaleatórios.

Podemos provavelmente esperar que as variantes futuras de WannaCry e de copycats empregarão uma tática similar, e assegurarmos que descobrir e ativar um interruptor simples não será eficaz outra vez.

E agora?

Recomendações de mitigação:

1. Assegure-se que o todos os computadores com sistema operacional anterior ao Windows 10 estejam plenamente atualizados. Aliás, faça o mesmo com essa versão mais recente, também!

2. Certifique-se que o patch Microsoft bulletin MS17-010 esteja devidamente instalado;

3. As portas 139 e 445 que utilizam SMB para acesso público à internet devem ser imediatamente bloqueadas para prevenir;

4. Bloqueie em seu firewall todos os endereços de IP reconhecidos como nodos de saída TOR. Essas informações estão geralmente disponíveis em feeds de inteligência de segurança;

5. Se por alguma razão não for possível atualizar um dispositivo (como aparelhos médicos e outros que contenham sistemas de arquitetura fechados), tenha certeza de desabilitar o SMBv1.

Recomendação de prevenção:

1. Garanta que todos os dispositivos estejam com seus sistemas operacionais atualizados, não apenas os PCs;

2. Tenha um sistema de gerenciamento de patches no local para garantir que todas as versões mais recentes dos fornecedores sejam aplicadas a todos os endpoints de maneira oportuna;

3. Instale algum tipo de proteção de endpoint para anti-malware em todos os seus sistemas e assegure-se de aplicar atualizações regulares;

4. Apenas estabelecer um firewall atualizado e proteção de endpoint não é mais suficiente, visto que esse ataque se moveu lateralmente, atrás dessa linha de defesa. Isso significa que ferramentas de visibilidade de rede, que podem detectar, prevenir e mitigar ameaças em todas as redes físicas, virtuais e em nuvem, agora são obrigatórias;

5. Assegure-se não somente de ter planos de continuidade de negócios e recuperação de desastres em vigor, mas que eles estão atualizados e são testados regularmente;

6. Faça backup de tudo! Tenha certeza que essas cópias estejam offline, visto que os atacantes frequentemente miram sistemas de backup para aumentar os prejuízos da vítima;

7. Treine seus usuários! Os empregados devem receber tanto um treinamento de conscientização sobre cibersegurança -- para ajudá-los a identificar e relatar ameaças, e proteger a si mesmos – como um treinamento tradicional para auxiliá-los a saber o que é esperado deles e como cumprir as políticas de segurança e procedimentos organizacionais.

*Kevin Magee é diretor regional de Vendas no Canadá da Gigamon

Comentário (0) Hits: 445

Fique atento aos ciberataques do Adylkuzz

cyber-attack2.jpg18/05/2017 - Enquanto o mundo discute o alcance dos ataques do ransomware WannaCry, que atingiu milhares computadores no dia 12 de maio de 2017, uma nova ameaça está se espalhando silenciosa e, por isso, agressivamente. O Adylkuzz explora a mesma vulnerabilidade de segurança do sistema operacional Windows que fizeram o WannaCry ganhar notoriedade.

O alcance do Adylkuzz ainda é desconhecido, mas considera-se que ele possa estar se proliferando desde final de abril de 2017. Diferente do WannaCry, este malware não bloqueia o acesso do usuário ao computador e cria danos, às vezes imperceptíveis, ao sistema operacional.

Por isso é maior a dificuldade de identificá-lo. Milhares de computadores podem estar infectados e sendo usados pelo Adylkuzz como botnets (uma rede de computadores infectados sob controle de cibercriminosos) para atacar novos usuários. E esse é um grande problema, pois uma vez infectado, o computador pode ser utilizado para outros fins, como, por exemplo, para prática de crimes virtuais.

“Esta ameaça é ainda mais perigosa por não deixar vestígios de que o usuário está infectado. Quanto mais integrada for a abordagem de segurança com ferramentas para o rastreamento de novas vulnerabilidades, identificação de intrusos, firewall avançado, controle da Web 2.0 e outras funções, mais seguros estarão os usuários do Windows”, comenta Edison Figueira, diretor de R&D da Blockbit.

Alguns sintomas da infecção pelo Adylkuzz são a perda de acesso a pastas compartilhadas do Windows e degradação do desempenho do computador. Isso acontece pois ao infectar um computador, o malware finaliza qualquer instância dele mesmo que esteja rodando e bloqueia o tráfego SMB para prevenir novas invasões (inclusive do WannaCry).

Este ataque também busca lucros em moeda digital, embora de forma diferente do WannaCry. O Adylkuzz está sendo usado para “minar” a moeda virtual Monero. O processo busca validar transações financeiras na rede desta moeda usando os computadores infectados, que “ajudam” os criminosos a ganhar dinheiro sem que precisem roubar dados ou cobrar resgate da vítima.

Além de recomendar a atualização do sistema Windows em todos os computadores, Figueira sugere que os usuários sigam as já conhecidas boas práticas de segurança relativas ao comportamento do usuário: não visitar links ou baixar arquivos de origem desconhecida, avaliar todos os e-mails recebidos, manter backups atualizados e usar toda ferramenta de segurança ao seu alcance.

 

 

 

Comentário (0) Hits: 320

Que lições podemos aprender com o WannaCry?

cyber_cold_war2.jpg*Por Leonardo Carissimi
15/05/2017 - Nestes últimos dias, uma nova ameaça cibernética ganhou notoriedade, o WannaCry. Trata-se de um tipo de código malicioso classificado como ransomware, daqueles que "sequestram" dados de computadores para exigir um dinheiro em troca de devolver o acesso ao seu dono. Ou seja, uma vez infectada a máquina, ele encripta os arquivos e mostra uma tela na qual exige um resgate em dinheiro, tipicamente na moeda eletrônica bitcoins que, assim como o dinheiro vivo, não deixa rastros quando se movimenta e permite circulação de valores entre criminosos.

Interessante é que o WannaCry explora uma vulnerabilidade do sistema operacional Windows conhecida há pelo menos dois meses e que permite execução remota de um código através de uma vulnerabilidade no serviço SMB (Service Message Block).

Aprenda a se proteger do WannaCry com essas 7 lições:

Crescimento das ameaças cibernéticas: as ameaças crescem em termos de magnitude e agressividade. Com a crescente conectividade, cada nova ameaça tem o potencial de infectar mais equipamentos.

O cibercrime está crescendo: essa nova ameaça também nos recorda que o cibercrime está crescendo, pois cada vez mais as ameaças tem motivação financeira. Elas se tornam mais perigosas, porque as organizações criminosas que as orquestram têm cada vez mais recursos. Podem desenvolver "armas" sofisticadas e agir globalmente com elas.

Impacto real nos negócios: tornaram-se comuns nos últimos dias notícias de empresas que foram contaminadas e tiveram que sujeitar-se a pagar pelo resgate. Outras decidiram por desligar computadores. Nos dois casos, torna-se claro o impacto em termos de custo (seja pelo pagamento pelo resgate ou, pior, pela perda de produtividade).

Prevenção é fundamental e começa com pequenas coisas: a vulnerabilidade é conhecida há pelo menos dois meses, quando a Microsoft publicou um boletim recomendando atualização dos sistemas Windows para corrigi-las. Um trabalho de Gerenciamento de Patchs, complementado de Gerenciamento de Vulnerabilidades, teria evitado a dor de cabeça. Realizar cópias de segurança frequentemente é outra prática bastante corriqueira que ajuda em situações de ransomware. São conceitos simples, mas que precisam ser realizados de forma consistente, com processo, ferramentas e pessoal treinado.

Microssegmentar a rede: a utilização de ferramentas para microssegmentação reduz o estrago. Ao isolar sistemas por microssegmentos, a movimentação lateral realizada pelo malware é contida e ele não contamina uma grande quantidade de equipamentos na rede. Opte pela microssegmentação por software, focando inicialmente em sistemas mais críticos. Isso vai permitir adoção rápida, sem impacto na arquitetura da rede e com custo reduzido. Em médio e longo prazo a técnica vai aumentar a segurança e permitir a simplificação da rede ao reduzir complexidade de firewalls internos e segmentação via VLANs.

Monitoração de Comportamento de Malware: a cada momento surgirão novas ameaças, as quais serão desconhecidas por ferramentas tradicionais de segurança que trabalham com assinaturas e padrões de malware conhecidos. A utilização de ferramentas de correção de eventos é controle necessário, mas não suficiente. Preparar-se para o malware novo requer um SOC (Centro de Operações de Segurança) mais inteligente, que identifique comportamentos anômalos mesmo quando for um ataque novo com assinatura desconhecida. No caso do WannaCry, a comunicação pela porta do SMB, o comportamento de movimentar-se lateralmente dentro da rede, e o endereço de seu "mestre" que tenta contatar, são indícios típicos de algo estranho está acontecendo e que permitiram um SOC inteligente detectar a nova ameaça a tempo.

Resposta a incidentes: Uma vez detectada a nova ameaça, requer-se pronta resposta. Respostas automáticas ou manuais poderiam bloquear tráfego suspeito e eliminar da rede equipamentos contaminados. A utilização de uma Arquitetura de Segurança Adaptativa é recomendada para responder de modo dinâmico, mudando a arquitetura de subredes à medida que contaminações são identificadas. Um exemplo é colocar em quarentena os equipamentos contaminados e evitar que os mesmos contaminem outros.

*Leonardo Carissimi é Diretor de Soluções de Segurança da Unisys na América Latina.

Comentário (0) Hits: 333

newsletter buton