Como usar a visibilidade baseada em riscos para proteção contra ransomware, conformidade e muito mais
Só há uma certeza quando se trata de ransomware: pode atingir qualquer organização, grande ou pequena, com ou sem experiência em segurança. Ataques de alto perfil estão no levantar, alimentado por software pronto para uso para lançá-los, pagamentos criptográficos anônimos, uma infraestrutura cada vez mais digitalizada e o aumentar em ambientes de trabalho remotos e híbridos.
Felizmente, existe uma estratégia poderosa para manter o ransomware e outros malware da propagação através de uma rede: segmentação. Com Segmentação Zero Trust, coisas ruins podem entrar, mas não podem se espalhar, não podem causar danos e não podem colocar as organizações sob ataque nas notícias.
Como acontece com qualquer estratégia de segurança eficaz, a segmentação começa com a visibilidade. Especificamente, visibilidade com base em uma avaliação de risco.
Veja como visibilidade baseada em riscos trabalha para ajudar os administradores de sistemas a mapear as comunicações entre aplicativos, avaliar vulnerabilidades e determinar como essas vulnerabilidades podem levar à exposição em todo o ambiente.
O problema com ambientes abertos
Embora a segurança seja a principal prioridade dos data centers, muitos não prestam atenção suficiente às paredes dentro de sub-redes, VLANs e zonas de rede. Em outras palavras, embora as salvaguardas protejam contra violações, geralmente não há muita segmentação para conter as incursões que acontecem. Em parte, isso ocorre por design; os ambientes ajudam muitos sistemas de negócios a se conectarem facilmente entre si para trocar dados e executar operações diárias — até que não o façam.
O problema com esses ambientes grandes e abertos é que, se o malware infectar uma máquina ou zona, ele pode se espalhar muito mais rapidamente para todo o ambiente em questão de segundos.
Um vetor de ataque comum é por meio de um usuário autorizado desavisado. Nesse caso, um funcionário em um laptop em casa clica em um link suspeito. O link lança um malware silenciosamente em segundo plano que qualquer ferramenta de detecção instalada pode não detectar. A partir daí, ele tenta se espalhar para outros ativos.
Mas se não houver movimento lateral possível através da rede, o malware simplesmente não pode se espalhar. E isso consome um tempo valioso para que a detecção ou outro software funcione. O usuário ou um profissional de segurança também tem mais tempo para perceber algo errado com a máquina infectada e agir antes de qualquer chance de danos a quaisquer outros ativos ou dados.
Resumindo, se você comprar essa janela de tempo crítica, isso pode fazer toda a diferença na contenção ransomware e outros ataques de malware. Você pode isolar os ataques em uma máquina para serem limpos em vez de tentar gerenciar posteriormente dezenas, centenas ou até milhares de máquinas comprometidas e o impacto nas operações ou na reputação. Tudo começa com a visibilidade baseada em riscos.
Os componentes da visibilidade baseada em riscos
Visibilidade baseada em riscos significa identificar quais sistemas e aplicativos estão vulneráveis devido à comunicação excessiva e desnecessária ou até mesmo a fluxos de dados não compatíveis.
É por isso que a proteção contra ransomware da Illumio começa com a criação de dependência de aplicativos mapeia. Esses mapas permitem que os administradores do sistema vejam não apenas uma confusão de endereços IP, mas também uma visão de alto nível da topologia do aplicativo. Isso significa que tudo parece bem organizado para facilitar a visibilidade, junto com relacionamentos claramente identificados que mostram como os aplicativos se comunicam com outros aplicativos e entre redes.
De uma visão refinada a uma de alto nível, os mapas de dependência de aplicativos permitem que os administradores examinem um ambiente inteiro de cima a baixo. Isso inclui como os protocolos individuais funcionam no ambiente de produção ou como um determinado conjunto de fluxos de dados opera entre os ambientes de desenvolvimento e produção.
O Illumio aumenta essa visibilidade com dados de vulnerabilidade. Ao integrar dados de vulnerabilidade e feed de ameaças com fluxos de tráfego em tempo real, você obtém um pontuação de risco quantitativa para um aplicativo ou cada carga de trabalho do aplicativo. A pontuação facilita a compreensão de quais aplicativos estão se conectando a portas vulneráveis e quanto risco geral as vulnerabilidades estão gerando. Esse contexto é inestimável para reduzir os riscos em seu ambiente. Corrija com base na criticidade ou implemente políticas de segmentação como um controle compensatório.
Obter as visões certas para as pessoas certas também é fundamental. Isso porque a visibilidade efetiva baseada em riscos depende da equipe obter as informações necessárias para responder às questões de segurança e conformidade relevantes para eles. Isso é possível graças a uma única fonte de verdade — o mapa.
O acesso em tempo real às visualizações certas reduz o risco operacional, pois todos concordam exatamente com o que é verdadeiro. Alguém da equipe de aplicativos precisa ter uma visão geral da topologia do aplicativo e dos fluxos de dados? Agora eles podem. Faz o segurança de rede a equipe precisa de dados de conformidade? Eles podem ver suas próprias visualizações dos mesmos dados. Os membros da equipe de operações de rede e DevOps também podem ver as informações de que precisam na mesma imagem. E todos concordarão que o que eles veem é, de fato, como qualquer aplicativo funciona.
Essa fonte única de verdade melhora a colaboração. E poupa às pessoas o tempo e o tédio inerentes aos projetos de pesquisa sobre software que podem ter sido instalados há meia década, para que elas possam se concentrar em outras prioridades de maior valor.
Tudo isso ajuda muito a melhorar a segurança, estabelecendo as bases para conter ransomware e outros malwares por meio de segmentação.
Visibilidade para conformidade
Os benefícios da visibilidade baseada em riscos não se limitam à contenção de malware. Também pode ajudar a validar os limites de conformidade, permitindo que as equipes identifiquem quaisquer fluxos de dados não compatíveis.
Por exemplo, uma visibilidade abrangente pode revelar um aplicativo coletando dados de outros aplicativos em contradição com as estruturas regulatórias, como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS), o SWIFT Customer Security Controls Framework ou a Health Insurance Portability and Accountability Act (HIPAA). Isso é fundamental para qualquer organização que opera em setores regulamentados, onde é muito importante o que está dentro e o que está fora do escopo da coleta e processamento de dados.
Além da conformidade regulatória, a maioria das organizações tem políticas sobre acesso remoto. Por exemplo, como a maioria dos funcionários de uma organização não precisa de todo acesso administrativo aos data centers, eles têm acesso restrito. E nos casos em que eles precisam de acesso total, geralmente precisam usar um host de salto para controlar a comunicação entre servidores remotos e de data center. Mas os Jump Hosts podem atrasar usuários impacientes, apresentando um incentivo para ignorá-los.
Com a visualização, você pode responder a perguntas críticas sobre servidores de salto, como: As pessoas realmente os estão usando? Ou você tem administradores que acreditam que são seniores o suficiente para simplesmente ignorar aquele host um pouco mais lento e se conectar diretamente aos aplicativos?
Se você puder ver essa atividade, você sabe o que fazer para reduzir esses riscos de segurança.
Para obter esse tipo de visibilidade crítica, muitas vezes, é necessário recorrer a um exame minucioso das volumosas tabelas de fluxo de dados para tentar determinar se elas estão dentro ou fora de certos limites ou faixas de rede. Essa tarefa demorada e desafiadora colocou a visibilidade abrangente, sem falar em tempo real, fora do alcance de muitas organizações. Por outro lado, as visualizações que mostram claramente as fronteiras das áreas de conformidade oferecem uma visão clara dos fluxos de dados que entram e saem de endpoints, data centers e servidores.
Essas visualizações proporcionam uma economia significativa de tempo para as partes interessadas internas e externas e preparam o cenário para conversas simples entre gerentes e auditores sobre limites e controles de conformidade.
Visibilidade, o primeiro passo para a segurança
A visibilidade é a primeira etapa para controlar o acesso aos ativos de data center e nuvem, fornecendo as informações necessárias para reforçar os controles entre usuários, aplicativos e servidores, onde quer que eles residam.
A realidade é que o ransomware é um problema para todos. Mas com a ajuda da visibilidade baseada em riscos, você pode começar a implementar estratégias preventivas e responsivas para contê-la onde ela possa causar danos mínimos.
Para saber mais:
- Leia o e-book, Como impedir ataques de ransomware.
- Veja a visibilidade baseada em riscos em ação no webinar, O ransomware acontece. Impedimos que ela se espalhe: como obter visibilidade baseada em riscos.