Segurança Cibernética na Quinta Revolução Industrial

/0 Comentários/em , /por

Participe da discussão sobre os impactos das rápidas mudanças na sociedade e nas empresas, que impulsionam a evolução da segurança cibernética, tornando-a melhor e mais eficaz

Imagine sua vida sem computadores e outros dispositivos digitais, que hoje são comuns para nós. Se fizer uma lista, quantos dispositivos existem em sua empresa, em sua casa e sob seus cuidados neste exato momento? Agora pense na experiência das gerações anteriores, seu entretenimento, viagens, comunicação, e até mesmo nas coisas mais simples como ler um jornal ou um livro.

As revoluções industriais transformam vidas e dão excelentes oportunidades de crescimento para indivíduos e para a sociedade. Até agora, já vivenciamos cinco: a primeira começou mais ou menos em 1750 e a quinta somente há alguns anos. Assim, temos muita experiência em reconhecer suas implicações, bem como em aproveitar seus benefícios. Somos especialistas em evoluir a partir das grandes disrupções que elas trazem.

A Primeira e Segunda revoluções: A Evolução das Indústrias

A primeira revolução industrial foi o prenúncio de uma onda massiva de inovações. Nas cidades maiores surgiram fábricas, e as pessoas começaram a produzir produtos como nunca antes. Mas como a produtividade cresceu, o número de empregos diminuiu, e o padrão de vida de uma parcela específica da sociedade caiu muito. Eventualmente, a sociedade (e a economia) foi preenchida por novos empregos que atendiam as novas indústrias pesadas. As empresas precisavam de trabalhadores mais qualificados para construir as máquinas que fabricavam mais máquinas. O resultado foi o retorno de empregos mais bem remunerados e a sociedade se recuperou.

Então veio a segunda revolução industrial, também conhecida como a Revolução Tecnológica, porque ela instaurou uma fase de muitas descobertas científicas e a padronização industrial. Do final do século 19 até a maior parte do início do século 20, a produção em massa transformou as fábricas em condutoras de produtividade. Como resultado, ao mesmo tempo em que sofremos uma nova fase de perda de empregos e agitação social, também vimos a ascensão de trabalhadores altamente qualificados e de empregos com alta remuneração, o que resultou em melhores moradias e maior mobilidade.

Terceira e Quarta revoluções: A Evolução da Sociedade Moderna

A Terceira Revolução Industrial começou nos últimos anos do século 20, quando a necessidade de melhor automação estimulou o advento dos eletrônicos, depois dos computadores, seguidos pelo surgimento da internet. Os avanços tecnológicos começaram uma transformação fundamental na economia e, com ela, veio o aumento da volatilidade. Além disso, novos métodos de comunicação convergiram com a rápida urbanização global e novos sistemas de energia, tais como fontes renováveis.

Então veio a Quarta Revolução Industrial, a qual muito dizem ter terminado logo antes do início da pandemia. O esplendor dos progressos tecnológicos anteriores facilitou a introdução do computador pessoal, dispositivos móveis e a Internet das Coisas (IoT) – avanços que nos forçaram a redefinir os limites entre os mundos físico, digital e biológico. Os avanços na inteligência artificial (IA), robótica, impressão 3D, engenharia genética, computação quântica e outras tecnologias, somaram-se às pressões social, e diluíram as fronteiras tradicionais até o ponto da confusão.

A Quinta Revolução Industrial: Fusão Social

Muitos pensadores globais acreditam que estamos em pleno processo de uma quinta revolução industrial (também conhecida como “5RI”) que inaugurou novas métricas para produtividade, que vão além de medir a produção de humanos e máquina nos locais de trabalho. Estamos vivenciando uma fusão das habilidades humanas e da eficiência das máquinas nesse contexto. As esferas físicas, digitais e biológicas são agora intercambiáveis e estão entrelaçadas. Então, não é só sobre conectar as pessoas às máquinas, mas também conectar dispositivos a outras máquinas, tudo em nome da criatividade e produtividade humana.

Um aspecto marcante das 5RI é que está acontecendo a uma velocidade sem precedentes. Por exemplo, impulsionadas pela pandemia de COVID, a rede remota e a comunicação sem fio se desenvolveram muito à medida que trabalhar de casa se tornou uma característica permanente para a força de trabalho ocidental. Assim, o local de trabalho e o lar se fundiram. Com isso também veio a fusão de educação e o lar. Mas outras fusões são mais desafiadoras para se discernir, tais como informação e desinformação, notícia e propaganda, ação política e terrorismo, e assim por diante, o que nos leva à fusão entre crime e segurança cibernética.

Aprenda e Explore os Impactos da 5RI e da Segurança Cibernética

Um ponto interessante é que uma porcentagem alta dos ataques bem-sucedidos de ransomware é devida ao fato das pessoas evitarem ou ignorarem os protocolos de segurança cibernética, simplesmente porque não acreditam que possam se tornar vítimas desses ataques. Infelizmente, o mesmo pode ser dito das organizações que ainda não priorizaram a atualização de sua tecnologia de segurança. Muitos proprietários e gerentes não entendem as ameaças e acham que ransomware só acontece em grandes empresas. Os relatórios atuais de ameaças provam que o impulso de evitar e escapar de uma melhor segurança cibernética não é prudente, e essa é a parte com a qual nós mais lutamos.

A pergunta de U$10,5 trilhões (custo anual estimado com crimes cibernéticos até 2025) é quanto esforço será necessário para corrigir essa tendência. O crime cibernético é um dos subprodutos mais complexos dessas nossas “revoluções”. Como um resultado da presença de novas ameaças, as tecnologias e comportamentos estão evoluindo rapidamente. Assumir a responsabilidade e implementar novas tecnologias de segurança cibernética nos ajudará a mitigar os riscos atuais.

Reserve o seu lugar para aprender mais em nosso próximo episódio MINDHUNTER #9 em junho.

O que é Cryptojacking e como ele afeta sua segurança cibernética?

/0 Comentários/em /por

Como você sabe se o cryptojacking está afetando seus negócios? Aprenda a detectar infecções e como implementar soluções para proteger sua rede e seus endpoints.

A boa notícia para as criptomoedas é que o modelo é um dispositivo estabelecido em finanças globais. É altamente portátil, tem valor, é comercializável para produtos e serviços, e está ganhando popularidade entre os consumidores dos principais mercados.

Também pode ser uma ferramenta gratificante de investimento se você for realmente aventureiro. Sabemos que fortunas são ganhas e perdidas em um piscar de olhos, pois muitas questões relacionadas às criptomoedas (p. ex., Bitcoins, Ethereum, Cardano) são altamente voláteis, com valores às vezes crescendo a alturas astronômicas e despencando a baixas extremas em poucas semanas ou até dias. Entretanto, existem outras formas menos assustadoras de se ganhar dinheiro com criptomoedas, e um deles é por meio da “mineração de criptomoedas”.

O que é a Criptomineração

A mineração de criptomoedas é um processo que valida as operações em criptomoedas em registros públicos distribuídos. Cada operação é vinculada à operação anterior e à operação subsequente, gerando uma cadeia de registros com data e hora. Isso é, essencialmente, uma “blockchain”.

Uma das vantagens da mineração de criptomoedas é que praticamente qualquer pessoa pode participar sem investir nas moedas. Por exemplo, se você garimpar em busca de Bitcoins, você recebe Bitcoins como uma compensação por ter concluído blocos de operações confirmadas adicionadas ao blockchain. Cerca de 10 minutos são necessários para processar um único bloco de moedas.

Tudo o que você precisa é de um pouco conhecimento sobre a conexão à rede de criptomoedas, uma conexão confiável com a internet, um ou dois servidores decentes e uma fonte de energia estável. Quanto mais potência você obtiver nos seus servidores para sua operação legítima de mineração de criptomoedas, mais blocos você consegue processar e mais dinheiro você consegue ganhar.

Mas há um truque nesse processo, e é aí que as más notícias entram em cena. Os mineradores ganham dinheiro somente quando concluem o processamento dos dados mais rápido do que os concorrentes, e existem literalmente centenas de mineradores tentando processar o mesmo bloco ao mesmo tempo. Por isto, os mineradores estão constantemente buscando meios para aumentar seu hashrate (uma métrica de potência computacional para processamento de blocos). Quanto mais hashes produzidos por segundo, potencialmente mais dinheiro você ganha.

Algumas pessoas se esquivam inteiramente do processo legítimo e recorrem ao “cryptojacking.”

Por que o cryptojacking é uma ameaça crescente?

É muito simples: o cryptojacking é um tipo de mineração de criptomoedas, mas o minerador utiliza o computador de outra pessoa sem sua permissão. A vítima geralmente não tem ideia de que seus computadores foram invadidos com esse tipo de uso, geralmente por meio de malwares instalados por meio de phishing ou outros métodos de invasão.

Em abril de 2018, a SonicWall começou a monitorar as tendências do cryptojacking. Naquela época, a empresa registrou quase 60 milhões de ataques desse tipo em um ano. Porém, conforme citado no Relatório de Ameaças Cibernéticas da SonicWall de 2022, os preços das criptomoedas tiveram novas altas em 2021, gerando assim um aumento dos incidentes para 97 milhões, um aumento de cerca de 62% desde 2018.

Cryptojacking is on the rise

Ao contrário do ransomware, que depende da visibilidade dos e-mails e mensagens de phishing, os cryptojackers realizam seu trabalho na invisibilidade, em segundo plano. O único sinal de que sua rede ou seus dispositivos foram afetados é o monitoramento do gráfico de desempenho da CPU ou uma aceleração perceptível do ventilador do dispositivo.

Nos últimos dois anos, percebemos que as equipes de ransomware tendem a mudar para outras atividades, como cryptojacking. Um motivo aparente para essa mudança é que o retorno do investimento em um esquema de ransomware (que exige meses de trabalho de desenvolvimento) é reduzido quando acaba em feeds públicos como o VirusTotal.

Assim como qualquer pessoa que administra uma empresa lucrativa, os criminosos cibernéticos tendem a ser ágeis e flexíveis em relação ao seu trabalho. O resultado é que estão ativamente em busca de métodos diferentes para atingirem suas metas financeiras. O cryptojacking oferece agilidade, graças à relativa facilidade com que os operadores podem implementá-lo junto com outras atividades criminosas.

O fascínio das criptomoedas.

Com um custo tão baixo e praticamente zero riscos, os criminosos cibernéticos têm um forte incentivo para se envolverem com as criptomoedas, como um modelo de negócios de base. Boa parte da operação em si é automatizada por software. Entretanto, a volatilidade das criptomoedas e os custos cada vez mais altos de energia representam uma forte pressão contra os mineradores. Em 2018, mineradores legítimos de criptomoedas conseguiam ganhar US$ 100,00 por dia, mas esse lucro caiu pela metade atualmente, e manter-se na legitimidade está mais complicado.

Consequentemente, conforme o Relatório de Ameaças da SonicWall, o cryptojacking ilegal está em alta novamente. No primeiro trimestre de 2021, houve 34,2 milhões de ataques de cryptojacking, o trimestre com mais ocorrências desde que a SonicWall começou a monitorar esse ponto de dados. Mas o mais preocupante é que o pior mês de cryptojacking em 2021 foi, de longe, dezembro, com 13,6 milhões de ataques registrados. Embora dezembro de 2021 não tenha superado os 15,5 milhões de ocorrências observadas em março de 2020, o mês ocupa o segundo lugar com folga, e em qualquer comparação, foi um ponto de partida abaixo do ideal para 2022.

Estou infectado por malware de cryptojacking?

Os criptomineradores estão interessados no seu poder de processamento e os cryptojackers precisam associar a furtividade aos lucros. Portanto, a quantidade de recursos que eles invadem na sua CPU depende de seus objetivos.

Roubar menos energia dificulta a percepção de usuários desavisados; roubar mais aumenta seus lucros. É claro que haverá um impacto no desempenho, em qualquer dos casos, mas se o patamar for baixo o suficiente, pode ser um desafio distinguir o minerador de um software legítimo.

Administradores de empresas podem procurar por processos desconhecidos em seu ambiente e os usuários finais de software do Windows devem instalar um Explorador de Processos Sysinternals para ver o que está em execução. Usuários de Linux e MacOS devem investigar, utilizando o Monitor do Sistema e o Monitor de Atividades, respectivamente, pelo mesmo motivo.

Como se defender de cryptojackers maliciosos.

A primeira etapa para se defender de mineradores de criptomoedas é interromper a atividade desse tipo de malware no gateway, por meio de um firewall ou de email security (segurança de perímetro), que é uma das melhores maneiras de eliminar ameaças conhecidas baseadas em arquivos.

Como as pessoas gostam de reutilizar códigos antigos, capturar os cryptojackers é uma tarefa relativamente simples. Entretanto, a SonicWall prevê a ocorrência de um surto de novas variantes de cryptojacking e novas técnicas, uma vez que os cryptojackers têm tempo para desenvolver mais ferramentas. Além disso, o cryptojacking ainda pode se tornar o método favorito para os criminosos cibernéticos, devido à sua dissimulação; danos pequenos e indiretos para a vítima reduzem as chances de exposição e ampliam a expectativa de vida útil de um ataque bem-sucedido.

Se o código do malware for desconhecido (seja ele novo ou atualizado), será possível desviar-se dos filtros estáticos da segurança do perímetro. Se um arquivo for desconhecido, ele será encaminhado a uma área restrita para que sua natureza seja inspecionada.

O Capture Advanced Threat Protection (ATP) da SonicWall possui múltiplos mecanismos e é equipado com RTDMI™, tem alta eficácia comprovada na prevenção de malwares evasivos que podem se esquivar de um mecanismo, mas não de todos.

Se você tiver um endpoint sem esta configuração típica (p. ex., roaming no aeroporto ou hotel), é preciso implementar um produto para segurança de endpoints, que inclua detecção comportamental.

As criptomoedas podem funcionar no navegador ou ser entregues por meio de um ataque sem arquivos, de forma que as soluções gratuitas instaladas no seu computador não são capazes de detectá-lo.

Soluções de segurança cibernética baseadas em comportamentos, como o Capture Client ATP, podem detectar malwares que permitem a mineração de criptomoedas, e interromper a operação. Portanto, o administrador poderá rapidamente colocar o malware em quarentena e excluí-lo ou, no caso de invasões que tenham causado danos a arquivos de sistema, restaurar o último ponto de status desejável, antes da execução do malware.

Ao combinar uma mistura de defesas perimetrais e análises comportamentais, as organizações poderão combater as formas mais novas de malware, não importando as tendências ou objetivos dos ataques.

Por Que os Serviços de Saúde Precisam Fazer Mais (e Melhor) para Garantir a Segurança dos Pacientes

/0 Comentários/em /por

Nos últimos 30 dias, violações de dados em cerca de 40 organizações de serviços de saúde em 20 estados dos EUA comprometeram quase 1,8 milhões de prontuários individuais, conforme o Departamento de Serviços de Saúde e Humanos dos EUA (Health and Human Services – HHS).

Infelizmente, este é apenas um exemplo do que está se transformando em mais um ano problemático: O relatório de violações divulgado pelo HHS indica que mais de 9,5 milhões de prontuários foram afetados até o momento em 2022 (Figura 1), sendo que mais de 45 milhões de pacientes foram impactados em 2021.

À medida que a frequência dos ataques no setor de serviços de saúde continua aumentando em todo o mundo – com ataques recentes na Costa Rica, na França e no Canadá, entre muitos outros – o total global será claramente muito maior.

Como Ocorrem as Invasões nos Serviços de Saúde

Os incidentes de invasões envolvendo servidores de rede e e-mail continuam liderando os vetores de ataques, representando mais de 80% do total (Figura 2).

Figura 1

Image describing Figure 1 Chart

Figura 2

Image describing Figure 2
Image describing Figure 2

Cada perfil de paciente contém um rico acervo de informações demográficas e de saúde, que consiste em dezoito identificadores, conforme definidos na regra de privacidade da HIPPA. Entre os 18 identificadores podemos citar:

  1. Nome
  2. Endereços
  3. Todas as datas, incluindo a data de nascimento, datas de internação, datas de altas, data da morte, etc.
  4. Números de telefone
  5. Números de fax
  6. Endereços de e-mail
  7. Números da Previdência Social (SSN nos EUA, INSS no Brasil)
  8. Números de prontuários
  9. Números de beneficiários de planos de saúde
  10. Números de contas
  11. Números de certificados ou licenças
  12. Identificadores e números de série de veículos, inclusive números de placas
  13. Identificadores e números de série de dispositivos
  14. URLs na internet
  15. Endereços IP (protocolos de internet)
  16. Identificadores biométricos, como digitais ou identificadores por voz
  17. Fotos do rosto
  18. Outras características que podem identificar pessoas específicas

Os autores das ameaças têm preferência pelos prontuários eletrônicos (RES) ou registros de saúde pessoal (Personal health records – PHR), porque são úteis para uma ampla gama de atos criminosos, como o roubo de identidade, fraudes a seguradoras, extorsões, entre outras. Como há várias maneiras de utilizar esses dados para fraudes, os criminosos cibernéticos conseguem um preço superior por eles na dark web. Enquanto isso, esses atos ilícitos causam problemas financeiros e jurídicos de longo prazo às pessoas que têm suas informações roubadas.

Apesar de contarmos com agências anti-hacking bem financiadas e equipadas em várias jurisdições pelo mundo afora, os criminosos cibernéticos ainda são capazes de atuar com impunidade e sem medo de serem identificados. Com as táticas, técnicas e procedimentos (TTP) de invasão em franca evolução e cada vez se esquivando melhor da detecção, as instalações de serviços de saúde não podem mais correr o risco de trabalhar com recursos defensivos inadequados ou despreparados.

Para muitos dos que foram pegos de surpresa, os impactos sobre os pacientes afetados, fornecedores e pagantes tem sido catastrófico. Além dos riscos que as violações de dados representam para as organizações de serviços de saúde (Healthcare Delivery Organizations – HDOs), esses impactos também podem afetar drasticamente a capacidade dessas instituições de oferecer cuidados que salvam vidas. Em um recente relatório do Instituto Ponemon, 36% das organizações de serviços de saúde prospectadas alegaram ter tido mais complicações com procedimentos médico e 22% delas alegaram que seus índices de óbitos aumentaram devido aos ataques de ransomware.

Quando vidas dependem da disponibilidade do sistema de serviços de saúde, a segurança cibernética desses serviços deve fazer mais e melhor para garantir a segurança dos pacientes e oferecer cuidados a qualquer momento e em qualquer lugar.

Como a SonicWall Pode Ajudar

Nas últimas três décadas, a SonicWall vem trabalhando com fornecedores para ajudar a construir um sistema de saúde mais saudável. Durante esse tempo, nossas inovações nos permitiram atender a novas expectativas em relação à melhoria de segurança, aumentando a eficiência das operações e reduzindo os custos de TI.

Atualmente, a SonicWall trabalha com cada organização individualmente para estabelecer uma estratégia de defesa abrangente que coincida com suas metas comerciais e posicione os profissionais de saúde para o sucesso. Ao potencializar sua diversidade e abrangência, com sua experiência em operações e processos no setor de serviços de saúde, a SonicWall ajuda as HDOs a evitar surpresas e dedicar mais tempo se concentrando em sua missão primária: assegurar a saúde e o bem-estar das comunidades que atendem.

A jornada entre “acho que estou seguro” e “tenho certeza de que estou seguro” começa com a abordagem de segurança cibernética ilimitada da SonicWall. Essa abordagem vincula segurança, gestão centralizada, análise avançada e gestão de ameaças unificada em toda a linha de soluções da SonicWall que compõem a plataforma Capture Cloud. O diagrama arquitetônico na Figura 3 mostra como as soluções de segurança da SonicWall em redes, bordas, endpoints, nuvens, recursos wireless, acesso com zero trust, internet, e-mails, dispositivos móveis e IoT se reúnem em uma única plataforma de segurança.

Figura 3

Image describing architecture

Com a plataforma Capture Cloud da SonicWall, a segurança cibernética das HDOs pode fazer mais e melhor, compondo uma estratégia de defesa personalizada em camadas, para atender às suas necessidades específicas ou implementar todo o sistema necessário para estabelecer uma postura de segurança consistente em toda sua infraestrutura crítica. A combinação dessas soluções de segurança assegura às HDOs a defesa em camadas necessária, juntamente com uma estrutura de segurança para gestão centralizada, gestão de riscos e conformidade às leis de proteção de dados.

Baixe o white paper Segurança Cibernética Ilimitada para um Setor de Serviços de Saúde Mais Seguro para descobrir como fortalecer a segurança cibernética dos serviços de saúde, tornando a prestação de cuidados ao paciente mais eficiente, resiliente e segura.

Explore a velocidade e a segurança do Suporte TLS 1.3

/0 Comentários/em /por

Os melhores produtos tendem a permanecer em alta por um tempo. Nos primeiros dois anos em que o Ford Mustang foi fabricado, 1965 e 1966, cerca de 1.3 milhões carros foram montados nas linhas de produção de Dearborn, Mich., Metuchen, N.J. e Milpitas, Calif. Entre eles, notáveis 350.000 ainda estão rodando pelas estradas hoje – e com os devidos cuidados, ainda levam pessoas do Ponto A ao Ponto B da mesma forma que faziam durante o governo do Presidente Johnson.

Mas deixando a estética de lado, esses carros seriam uma boa opção para um motorista nos dias de hoje? Em um teste de colisão contra qualquer veículo moderno (ou um em uma corrida com qualquer modelo de Mustang atual), o Mustang da primeira geração seria totalmente superado. Os recursos de segurança que não valorizamos como deveríamos, como airbags, detecção de pontos cegos e freios ABS, não existem no modelo antigo. Esses carros podem até se sair bem em um passeio casual de domingo pela cidade. Mas você levaria sua família em uma viagem em um desses?

Quando um produto forma a fronteira entre algo precioso e um desastre iminente, você precisa que, ao menos, esse produto seja o mais seguro possível. Isso também se aplica no caso de outra inovação vinda de Milpitas na Califórnia: os Firewalls da SonicWall. Para saber se a sua opção atual ainda é a melhor opção, você pode verificar quais inovações surgiram desde então, e se houve melhorias incrementais ou grandes avanços. No caso do suporte à criptografia do TLS 1.3, sem dúvidas seria este último caso.

O TLS 1.3 é a versão mais recente de segurança da camada de transporte, e oferece criptografia confiável para comunicações digitais via internet. E, assim como aconteceu com o Mustang, as inovações modernas representam saltos mensuráveis em duas áreas: segurança e desempenho.

TLS 1.3: Segurança em primeiro lugar

Desde a tecnologia SSL original introduzida em 1994, cada nova versão vinha com recursos para solucionar os problemas das versões anteriores, ao mesmo tempo mantendo a compatibilidade com essas versões. Mas, infelizmente, manter a compatibilidade com versões anteriores significava manter várias cifras desnecessárias ou vulneráveis.

Essas cifras antigas tornavam a criptografia suscetível a ataques, e oferecia aos invasores um vetor pelo qual poderiam se esquivar de novos avanços na segurança devido aos recursos mantidos para preservar uma proteção obsoleta e mais fraca. Algumas das cifras que foram mantidas até a versão 1.2 do TLS eram tão fracas que permitiam aos invasores descriptografar o conteúdo dos dados sem sequer dispor das chaves.

O TLS 1.3 representa uma mudança fundamental nessa filosofia. Devido ao aumento expressivo nos ataques, como Lucky14, BEAST, PODDLE, Logjam e FREAK, que dependiam dessas vulnerabilidades para efetuar transmissões, a força-tarefa de engenharia de internet (Internet Engineering Task Force – IETF) optou pela remoção geral dessas cifras – e o TLS 1.3 resultante dessa medida é incomparavelmente mais seguro, graças a essa mudança.

E também é mais privativo. Nas versões anteriores, incluindo a 1.2, assinaturas digitais não eram utilizadas para assegurar a integridade dos handshakes – elas protegiam apenas parte do handshake depois da negociação do pacote de cifras, permitindo que o invasor manipulasse a negociação e acessasse toda a conversa.

Com o TLS 1.3, todo o handshake é criptografado e somente o remetente e o destinatário podem descriptografar o tráfego. Isto não apenas torna impossível para pessoas estranhas interceptarem as comunicações entre cliente e servidor, como também dificulta muito o lançamento de ataques realizados por intermediários, protegendo também as comunicações em andamento, mesmo se futuras comunicações forem comprometidas.

TLS 1.3: Segurança Rápida

Com o TLS 1.3, o processo de handshake não é apenas mais seguro; também é mais rápido. O handshake em quatro etapas necessário no TLS 1.2 exigia a troca de informações em mão dupla entre os sistemas, gerando latência e consumindo largura de banda e potência.

Essas desacelerações afetavam principalmente a classe crescente de dispositivos de internet das coisas (IoT), que costumam ter problemas para lidar com conexões que exijam muita largura de banda ou potência, mas também tendem a exigir criptografia, geralmente devido à segurança fraca instalada.

Entretanto, com apenas uma troca de chave e uma quantidade significativamente menor de cifras processadas, o TLS 1.3 utiliza consideravelmente menos largura de banda. E como ele exige apenas uma viagem de ida e volta para concluir o acordo, é um sistema significativamente mais rápido. O recurso de tempo zero de ida e volta do TLS 1.3 (0-RTT) é ainda mais rápido: Em visitas subsequentes, ele oferece um tempo de latência igual ao do HTTP descriptografado.

Seu firewall é compatível com a tarefa?

Especialistas estimam que 80 a 90% de todo o tráfego nas redes atualmente seja criptografado. Mas muitos firewalls mais antigos não têm a capacidade ou potência de processamento para detectar, inspecionar e mitigar ataques cibernéticos enviados via tráfego HTTP inteiramente, ainda mais utilizando o TLS 1.3 – tornando este um canal altamente viável para os hackers implementarem e executarem malware.

Segundo o Relatório de ameaças cibernéticas da SonicWall em 2022, de 2020 para 2021, malwares enviados via HTTPS cresceram assustadores 167%. Dito isto, a SonicWall registrou 10,1 milhões de ataques criptografados em 2021 – quase tantos quanto em 2018, 2019 e 2020 juntos.

Com uma média de 7% dos clientes sofrendo um ataque criptografado em algum mês, as probabilidades de que sua organização seja alvo de um ataque este ano são imensas. Porém, se o seu firewall não puder inspecionar o tráfego criptografado – e cada vez mais, se não puder inspecionar o TLS 1.3 – você nunca vai saber até que seja tarde demais.

O SonicWall é compatível com a criptografia TLS 1.3

O firewall SonicWall Gen 7 acrescenta muito ao processo: Ele combina uma densidade superior nas portas e maior rendimento em relação às ameaças, com a análise abrangente de malware, sua simplicidade inigualável e seu desempenho líder no setor. Contudo, entre os maiores fatores de mudança da Gen 7 (e de seus antecessores capazes de executar o SonicOS Gen 6.5) encontra-se o suporte à criptografia TLS 1.3.

Os NGFWs da SonicWall com SonicOS Gen 6.5 e posteriores oferecem inspeção TLS completa, descriptografia de dados, verificação de possíveis ameaças, e finalmente a recriptografia para uma transmissão segura – tudo isto com a garantia de que você manterá um ótimo desempenho e uma visibilidade abrangente.

Afinal, assim como ocorreu com o Mustang, não há detecção de pontos cegos que os firewalls não possam administrar no tráfego criptografado dos dias de hoje – e essas soluções mais antigas são facilmente superadas no enfrentamento cara a cara. Não deixe que os firewalls do passado deixem lacunas desprotegidas na sua rede: Atualize-se e use o SonicWall Gen 7 hoje mesmo.

 

Entenda a estrutura e as avaliações do MITRE ATT&CK – Parte 2

/0 Comentários/em /por

(Observação: Na Parte 1, explicamos a estrutura do MITRE ATT&CK e como os produtos de segurança são avaliados em termos de eficácia e eficiência de detecção. Confira aqui se ainda não tiver visto).

Com os ataques crescendo e atingindo quase todos os setores, certificar-se de que sua postura de segurança está atualizada nunca foi tão importante. Mas como um CISO, explorar as diversas posições dos fornecedores de segurança cibernética pode ser um verdadeiro desafio. Como você pode saber se está realmente recebendo o que pagou para ter? Veja aqui alguns indicadores críticos:

  • Desconfie de erros, atrasos e mudanças nas configurações em excesso: Os fornecedores que apresentam muitos atrasos recebem os créditos por detecções que utilizam meios tipicamente externos ao fluxo de trabalho normal da sua ferramenta – o que significa que seu pessoal terá de fazer o mesmo. Fornecedores que precisam de muitas mudanças nas configurações sentiram a necessidade de mudar seus recursos de detecção no meio dos testes. Tente compreender se essas mudanças são compreensíveis ou se os testes estão sendo manipulados.
  • Desconfie de números altos na Telemetria e baixos nas Técnicas: Fornecedores que se vangloriam de seus ótimos números na Telemetria sem muitas Técnicas têm uma ferramenta que não automatiza a correlação entre eventos. Isto quer dizer que seu pessoal terá de fazer isto manualmente ou que poderá haver atrasos significativos e imprecisões ao ligar os pontos. Atrasos nesse momento causam atrasos na resposta e consequentemente, mais riscos.
  • Desconfie de fornecedores que inventam seus próprios sistemas de pontuação: Já presenciamos muitos fornecedores ofuscando resultados negativos com estatísticas e números que melhoram a aparência mas não fazem qualquer sentido. Estatísticas como “Contexto por alerta” e “100% de Detecção” (quando uma análise mais detalhada mostra claramente que detecções passaram em branco) são uma bobagem. Leia nas entrelinhas.

O Capture Client e a estrutura do MITRE ATT&CK

O Capture Client da SonicWall é alimentado pelo SentilenOne, que oferece a melhor proteção autônoma de endpoints da categoria, com antivírus de última geração, EDR (detecção e resposta de endpoints) e Visibilidade Aprofundada. O SentilenOne tem sido parte das avaliações do MITRE ATT&CK desde 2018 e apresentou desempenho superior nas Avaliações de 2022 (emulando os grupos de ameaças Wizard Spider e Sandworm). Veja aqui um rápido resumo de como o SentilenOne lidera a proteção contra os ataques melhor do que qualquer outro produto.

  1. Proteção autônoma interrompe ataques e repara danos imediatamente
    As equipes de segurança precisam de uma tecnologia que acompanhe o ritmo acelerado em que seus adversários operam. O MITRE Protection determina a capacidade do fornecedor de analisar rapidamente as detecções e executar reparos automatizados dos danos, para proteger os sistemas.
    100% de proteção: (9 de 9 testes com o MITRE ATT&CK)
    Fonte: www.sentinelone.com
  2. As detecções mais úteis são as analíticas
    As detecções analíticas são detecções contextuais desenvolvidas a partir de um conjunto de dados mais amplo e são uma combinação de técnicas e detecções táticas.
    100% de detecção: (19 de 19 etapas de ataques)
    99% de resultados – a mais alta cobertura analítica: (108 de 109 detecções)
    Fonte: www.sentinelone.com
  3. Atrasos nas detecções reduzem a eficácia da cibersegurança
    O tempo é um fator crítico quando você está detectando ou neutralizando um ataque. Organizações que pretendem reduzir sua exposição devem contar com detecções em tempo real e reparação de danos automatizada, como parte do seu programa de segurança.
    100% de resultados em tempo real (0 Atrasos)
    Fonte: www.sentinelone.com
  4. A visibilidade assegura que nenhuma ameaça deixe de ser detectada
    A visibilidade é o bloco de construção de EDR e é uma das principais métricas entre os resultados do MITRE Engenuity. Para compreender o que está acontecendo no empreendimento, além de detectar as ameaças com precisão, a tecnologia de segurança cibernética precisa criar uma abertura para a visibilidade. O dados devem ser precisos e proporcionar uma visão de ponta a ponta do que aconteceu, onde aconteceu e quem foi o responsável, não importando a conectividade ou o tipo de dispositivo.

Conclusão

As avaliações MITRE Engenuity ATT&CK continuam impulsionando o setor de segurança à frente, oferecendo a tão necessária visibilidade e testes independentes ao espaço de EDR. Como líder ou profissional na área de segurança, é importante ir além de um simples jogo de números para ter uma visão holística dos fornecedores capazes de fornecer alta visibilidade e detecções de alta qualidade, ao mesmo tempo reduzindo o ônus da sua equipe de segurança. Os CISOs irão achar esses princípios centrados em produto compatíveis com o espírito dos objetivos do MITRE Engenuity:

  1. Visibilidade e cobertura em EDR são suas fichas na mesa: O alicerce de uma solução de EDR superior está na sua capacidade de consumir e correlacionar dados de forma econômica e em escala, explorando o poder da nuvem. Todos os dados pertinentes devem ser capturados – com poucos ou nenhum erro – para proporcionar uma amplitude de visibilidade para a equipe de SecOps. Dados, especificamente capturando todos os eventos, são os blocos de construção da EDR e devem ser considerados suas fichas na mesa e uma métrica fundamental do MITRE Engenuity.
  2. Contexto e correlações construídos por máquina são indispensáveis: A correlação é o processo de desenvolvimento de relações entre pontos de dados atômicos. De preferência, a correlação deve ser feita por máquinas e à velocidade de máquina, de forma que o analista não perca tempo precioso associando dados manualmente. Além disso, essa correlação deve ser acessível em seu contexto original por longos períodos, se necessário.
  3. A consolidação de alertas no console é crítica: “Mais sinal, menos ruído” é um desafio para as equipes atuais de SOC e IR que enfrentam a sobrecarga de informações. Em vez de receber alertas de todos dados da telemetria no âmbito de um incidente e extenuar a já sobrecarregada equipe de SOC, é preciso se certificar de que a solução agrupa automaticamente pontos de dados em alertas consolidados. O ideal é que a solução possa correlacionar atividades relacionadas em alertas unificados, para gerar perspectiva em nível de campanha. Isso reduz o esforço manual, ajuda com a fadiga de alertas e reduz significativamente a barreira do conjunto de competências ao responder aos alertas. Todos esses recursos levam a resultados melhores para a SOC na forma de diminuição nos tempos de contenção e uma redução geral dos tempos de resposta.

Para ver um exemplo de como o Capture Client oferece a melhor proteção e detecção da categoria, clique aqui e faça um teste gratuito.