Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Contenção de ransomware

Suponha uma violação com o Zero Trust Endpoint Security

Michael Adjei
,
Diretor de Engenharia de Sistemas, EMEA
May 5, 2023
23 leitura mínima

“Nós tínhamos a segurança instalada, então como funcionou o ransomware passar?” — uma pergunta comovente que muitas vezes deu início a muitas reuniões de crise na diretoria após uma grande violação cibernética. Em um momento tão crucial para muitas empresas, há muita coisa em jogo: reputação da marca, multas de conformidade, perda da confiança dos investidores, flutuação do preço das ações e até considerações de pagamento de resgate.

ransomware-attack-encryption

E, na realidade, essa questão está longe de estar fora de lugar. As soluções de segurança de terminais e perímetros são onipresentes nas redes corporativas. Isso então levanta a questão: como o ransomware ainda está se espalhando e, o mais importante, por que ele ainda é capaz de se espalhar rapidamente, causando estragos em um ritmo tão alarmante?

Neste artigo, examinaremos essas questões. Também repensaremos as abordagens tradicionais que dominaram a segurança de terminais história até agora.

A história: Mesmo roteiro, atores diferentes

Em muitos casos, a abordagem dos agentes de ameaças cria uma trama familiar com um final assustadoramente previsível, e normalmente é mais ou menos assim:

  • Alcance frutas fáceis, como o endpoint do usuário final (credenciais) ou o servidor front-end da web
  • Use uma combinação de sondagem direta e indireta e engenharia social para um compromisso inicial
  • Descubra o que mais pode ser acessado e extrair da máquina comprometida
  • Aumente os privilégios para poder migrar para outras máquinas
  • Continue se espalhando para os sistemas de alto valor e, em seguida, complete objetivos maliciosos
  • Enxágue e repita

Nessa história, todo mundo é um alvo.

Veja, por exemplo, o desenvolvedor contratado trabalhando remotamente para fornecer um software comercial essencial para um cliente. Eles normalmente trabalham com prazos muito apertados, então às vezes estão sob pressão para possivelmente cortar custos para concluir projetos antes do prazo. Esse tipo de usuário de endpoint é um candidato ideal para um ataque à cadeia de suprimentos porque, se estiver comprometido, seu endpoint poderá ser usado para se infiltrar no pipeline de controle de código-fonte (CI/CD). Outro exemplo de usuários-alvo são os executivos de vendas e marketing que, na maioria das vezes, viajam participando de reuniões e eventos. Eles também correm o risco de ataques de engenharia social e phishing porque têm maior probabilidade de acessar redes públicas desprotegidas.

Esses usuários e seus endpoints, uma vez comprometidos, permitem que o agente da ameaça tenha um ponto central para continuar seu ataque. Em seguida, eles tentarão entrar em contas com maiores privilégios e migrar para outras máquinas antes de finalmente acessarem sistemas importantes, como sistemas de banco de dados, sistemas de gerenciamento de documentos ou sistemas de gerenciamento de relacionamento com clientes. Geralmente, esses são os ativos de alto valor que contêm informações comerciais e pessoais valiosas para a organização.

O status quo: fadiga da defesa cibernética

Os agentes de ameaças não têm escassez de técnicas a seu favor, desde malwares sem arquivo que aproveitam injeção de código sofisticada e cargas úteis de ransomware altamente evasivas até vulnerabilidades antigas que ainda são eficazes devido à dependência das organizações de sistemas legados que hospedam códigos comerciais muito antigos, mas importantes, que podem não ser muito fáceis de substituir. Às vezes, parece que os atacantes têm a vantagem.

E isso pode muito bem acontecer porque os defensores enfrentam uma enxurrada de agentes de ameaças com um arsenal cada vez maior de recursos maliciosos. Como diz o ditado, os defensores precisam acertar o tempo todo, enquanto os atacantes precisam acertar apenas uma vez. Por causa disso, os defensores enfrentam a maior parte da pressão na maioria das vezes.

Sem querer aprofundar a questão, mas aqui está um exemplo da carga útil do Brute Ratel e do mapa MITRE TTP associado para mostrar o que os defensores enfrentam com apenas uma carga útil. E existem muitas variantes diferentes de malware com essa capacidade.

Na imagem, o pequeno ponto no lado esquerdo é a carga útil do Brute Ratel. À direita estão as diversas táticas e técnicas que essa única carga pode empregar para infectar um sistema, evitar a detecção e realizar seus objetivos maliciosos.

Isso demonstra parte do motivo pelo qual os casos de violações e ransomware continuam aumentando, mesmo com uma impressionante evolução das ferramentas de segurança de terminais — antivírus (AV), antivírus de última geração (NGAV), plataformas de proteção de terminais (EPP), detecção e resposta de terminais (EDR) etc. Essas ferramentas são combinadas com uma lista ainda maior de recursos de proteção — análise de assinaturas, controle de aplicativos/processos, heurística, análise comportamental, prevenção de explorações, Sandboxing, e a lista continua — que deveriam resolver o problema real que agora parece ter sido exacerbado. A proliferação de ransomware nos últimos anos provou a gravidade do problema.

Então, por que o malware ainda consegue passar?

Pode haver vários motivos para isso. Em alguns casos, os sistemas de segurança existentes, tradicionalmente baseados na detecção em primeiro lugar, ignoraram completamente a ameaça. Isso pode ser devido a uma vulnerabilidade de dia zero ou a técnicas altamente evasivas. Também pode ser que um módulo de segurança necessário não tenha sido configurado corretamente ou que o módulo correto nem tenha sido implementado devido a restrições orçamentárias ou falsos positivos que bloqueiam os casos de uso comercial do dia a dia.

Em um cenário de uma lista quase infinita de recursos de ataque, como a ameaça de vulnerabilidades do usuário final e do fornecedor e a complexidade cada vez maior das redes modernas (ambientes híbridos), algo está fadado a dar errado. E é por isso que geralmente acontece.

Resiliência cibernética: segurança de endpoint Zero Trust

Então, o que vem a seguir? Entre no paradigma de segurança cooperativa! Essa é a segurança tradicional de endpoints de detecção combinada com a nova abordagem de segurança de endpoints Zero Trust.

É um novo paradigma de segurança baseado em segurança proativa e Princípios de confiança zero trabalhando junto com as ferramentas de segurança existentes sem a necessidade de alterações na rede e nos sistemas. Esse recurso usa dados de terminais multiplataforma que são analisados centralmente por um cérebro central inteligente e escalável.

endpoint-visibility-illumio

Tudo começa com uma implantação sem interrupções que acontece em minutos. Em seguida, fornece uma visão das comunicações leste-oeste, além das normalmente monitoradas de norte a sul. Isso é necessário porque as organizações devem ter a capacidade de ver e rastrear as comunicações em diferentes sistemas operacionais, plataformas e locais simultaneamente. E tudo isso é possível sem quaisquer alterações adicionais nos sistemas e na rede. Aqui, vemos um exemplo de todos os diferentes endpoints e cargas de trabalho do servidor, incluindo ativos de nuvem pública de forma lógica (sem alterações na rede) agrupados por seus nomes de locais designados.

endpoint-server-workloads-location

Como os endpoints não existem no vácuo, eles se comunicam com muitos sistemas diferentes. Eles podem até tentar se comunicar com outros endpoints, embora em alguns casos essa comunicação não seja realmente necessária ou desejável devido ao alto risco de movimento lateral. Isso faz com que ter visibilidade da comunicação de terminais seja um recurso muito importante.

endpoint-visibility-communication

Os endpoints também se comunicam com servidores e cargas de trabalho. Alguns deles podem estar sob o controle da organização em seus data centers, enquanto outros podem ser serviços SaaS em nuvem de terceiros. É necessário ter visibilidade dessa comunicação para entender todos os riscos desses endpoints e dos servidores aos quais eles se conectam.

endpoints-servers-connections

A visibilidade, conforme explicado acima, é um precursor necessário da fiscalização contínua, que fornece contenção após uma falha de detecção pela segurança tradicional de terminais e pelo EDR. Os recursos de fiscalização incluem políticas baseadas em identidade e domínio para eliminar as comunicações de retorno de chamada de malware, regras baseadas em processos para nanosegmentaçãoe controle de comunicação com políticas baseadas em ameaças de vulnerabilidade e firewall. Essa abordagem também significa que, se houver Políticas de Zero Trust ou nos limites da lista de negação, a política de segurança é definida e provisionada com base na inteligência de tráfego. Essa inteligência deve estar nos sistemas que temos, no que eles fazem e, com base nisso, em como protegê-los adequadamente. O reconhecimento da localização também melhora a flexibilidade das políticas dentro e fora da rede corporativa. Tudo isso deve ser aplicado uniformemente em diferentes plataformas — Windows, Linux, Mac, Unix, Cloud e Containers.

Atingir esses objetivos do ponto de vista de um defensor requer equipes e ferramentas para colaborar de forma eficaz. Uma organização que presume que uma violação provavelmente se concentre na resiliência cibernética em vez de apenas na detecção. Eles dão tanta importância às estratégias de contenção quanto à detecção.

O Illumio Endpoint complementa as ferramentas de detecção existentes

Como parte do Plataforma de segmentação Illumio Zero Trust, Endpoint Illumio foi projetado para complementar as ferramentas de segurança de detecção existentes e, ao mesmo tempo, preencher as maiores lacunas nas capacidades de visibilidade e prevenção de movimentos laterais.

Esse tipo de abordagem de contenção foi testado recentemente por Bispo Fox. Por meio de várias emulações de ataque, eles descobriram que as violações eram detectadas até 4 vezes mais rápido com o Illumio Segmentação Zero Trust porque os atacantes tiveram que contornar esses métodos de contenção, criando mais ruído para as ferramentas de detecção captarem.

No geral, a segmentação em endpoints leva a um resultado positivo postura de segurança isso, em colaboração com os investimentos de segurança existentes, cria uma ótima história de endpoint!

Quer saber mais sobre o Illumio Endpoint? Entre em contato conosco hoje para uma consulta e demonstração gratuitas.

Tópicos relacionados

Segurança de terminais
Endpoint

Artigos relacionados

Ransomware em 2025: custo, tendências e como reduzir seu risco
Contenção de ransomware

Ransomware em 2025: custo, tendências e como reduzir seu risco

Saiba como os invasores exploram as brechas de segurança, por que o ransomware agora é um modelo de negócios e como a microssegmentação pode impedir que as ameaças apareçam.

Leia mais
Contenha o ransomware em sua origem com a segmentação Zero Trust
Contenção de ransomware

Contenha o ransomware em sua origem com a segmentação Zero Trust

Saiba por que a ameaça do ransomware é tão crítica e como conseguir a contenção do ransomware com a segmentação Zero Trust.

Leia mais
Hive Ransomware: como limitar sua ação com a segmentação Illumio Zero Trust
Contenção de ransomware

Hive Ransomware: como limitar sua ação com a segmentação Illumio Zero Trust

Saiba mais sobre o ransomware Hive e como a Illumio pode ajudar a mitigar os riscos impostos à sua organização.

Leia mais
Três melhores práticas para implementar o Illumio Endpoint
Produtos Illumio

Três melhores práticas para implementar o Illumio Endpoint

Obtenha três etapas simples, mas eficazes, necessárias para proteger seus endpoints com o Illumio.

Leia mais
Demonstração do Illumio Endpoint: Como obter um ROI rápido da segmentação de endpoints
Produtos Illumio

Demonstração do Illumio Endpoint: Como obter um ROI rápido da segmentação de endpoints

Assista a esta demonstração do Illumio Endpoint para saber como a segmentação de endpoints com o Illumio oferece um ROI rápido.

Leia mais
Por que os hackers adoram endpoints — e como impedir sua disseminação com o Illumio Endpoint
Produtos Illumio

Por que os hackers adoram endpoints — e como impedir sua disseminação com o Illumio Endpoint

A segurança tradicional deixa os endpoints abertos aos hackers. Saiba como se preparar proativamente para violações com o Illumio Endpoint.

Leia mais

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais