Avaliação de vulnerabilidades para impedir o ransomware

Em um post anterior, analisamos a visibilidade baseada em riscos como a primeira etapa para conter ransomware e outros malwares.

Esta postagem abordará como mapear essas vulnerabilidades em relação aos padrões de conectividade — ou seja, como aplicativos e processos se comunicam entre si e por meio de redes.

É a última etapa necessária antes de bloquear e impedir ativamente a propagação do ransomware.

Aumentando a visibilidade com dados avançados sobre comunicações

Em um ambiente de produção típico, praticamente tudo pode se comunicar com todo o resto — aplicativos e máquinas dentro de sub-redes, VLANs, zonas, etc. Isso permite que os sistemas de negócios trabalhem enquanto compartilham dados e se comunicam com o mundo exterior. Mas isso também cria um problema. Se o malware infectar qualquer parte desse ambiente, ele pode se espalhar muito rapidamente.

Para impedir a propagação do malware pelos ambientes de produção, você precisa bloquear as portas que ele explora para passar de um aplicativo ou máquina para outro. Mas você também precisa saber quais portas manter abertas para que seus sistemas possam continuar fazendo o que precisam fazer.

É por isso que impedir a propagação de ransomware e outros malwares depende da visibilidade em tempo real das comunicações entre os ativos. Afinal, você não pode fechar portas abertas desnecessariamente se não conseguir identificá-las.

Além disso, você precisa determinar quais portas apresentam o maior risco potencial. Somente então, com essa inteligência em mãos, você poderá implementar controles proativos e reativos que não paralisem seus negócios. Dessa forma, você pode limitar sua exposição a uma violação apenas ao ponto de entrada em sua rede sem afetar negativamente as operações.

Tal visibilidade baseada em riscos também permite priorizar a aplicação de patches antes que ocorra um incidente.

A priorização é essencial porque os departamentos de TI responsáveis por grandes redes não conseguem manter todos os sistemas atualizados o tempo todo. Alguns patches necessariamente são resolvidos antes de outros. Obviamente, você deseja priorizar a correção dos sistemas que apresentam o maior risco potencial. A questão é: quais são esses?

Responder a essa pergunta depende em grande parte da conectividade de rede.

Considere que as vulnerabilidades em um servidor operando em completo isolamento representam uma ameaça muito menor do que aquelas em uma máquina no meio de um data center acessível a milhares de outras pessoas. Considere também que algumas portas abertas representam um perigo maior para os ativos de rede do que outras.

O que é necessário é uma forma de quantificar o risco representado por um determinado conjunto de portas no contexto de sistemas específicos e como esses sistemas se conectam uns aos outros e à Internet em geral.

Identificação dos portos mais arriscados

O fato é que alguns portos apresentam mais riscos do que outros. As portas mais arriscadas incluem portas altamente conectadas usadas pelo Microsoft Active Directory e outros serviços principais. Mais riscos também vêm com pesquisas e relatórios de sistemas sobre a infraestrutura de TI.

As portas ponto a ponto representam um risco significativo, incluindo aquelas usadas por serviços como gerenciamento remoto de desktops e aplicativos de compartilhamento de arquivos. Até mesmo muitos aplicativos de mídia social funcionam dessa maneira. Eles são projetados especificamente para o tipo de padrão de tráfego de qualquer tipo que mantém os profissionais de segurança acordados à noite. Os profissionais de segurança se preocupam com eles porque o malware geralmente tem como alvo essas portas porque elas são onipresentes, geralmente abertas e “falam” de maneiras arbitrárias.

Finalmente, protocolos de comunicação mais antigos, como FTP e Telnet, tendem a permanecer ativados por padrão, mesmo que ninguém os use de acordo com a política organizacional, e representam vulnerabilidades conhecidas. Isso os torna alvos especialmente atraentes.

Mas saber que alguns portos apresentam riscos maiores do que outros é uma coisa. Outra coisa é encontrá-los e quantificá-los em redes corporativas extensas. Você também precisará saber como todos esses ativos se conectam.

É aí que entra a visualização fornecida pela Illumio.

Quantificando o risco de conectividade

O Illumio sobrepõe dados de scanners de vulnerabilidade, como Rapid7 e Qualys, aos do Illumio mapas de seus aplicativos e como eles se conectam — formando mapas de vulnerabilidade.

Ele funciona obtendo dados de conexão de fontes como roteadores executando NetFlow e jFlow, switches, sistemas em nuvem, tabelas de conexão do sistema operacional e muito mais. Em seguida, ele combina essas informações com dados de scanners de vulnerabilidade.

Em seguida, ele traz informações de identidade de usuários e máquinas de fontes como Active Directory, bancos de dados de gerenciamento de configuração, sistemas de gerenciamento de informações de segurança e sistemas de gerenciamento de endereços IP.

Os mapas resultantes oferecem visualizações em tempo real e ajustadas ao risco de todos os seus sistemas. Eles abrangem sistemas operacionais, laptops de usuários, aplicativos em nuvem e seus contêineres, mainframes, balanceadores de carga, dispositivos de rede, firewalls, etc. O resultado é uma visibilidade de ponta a ponta que oferece uma compreensão clara do risco.

Por exemplo, um servidor de banco de dados mantém conexões abertas com 300 máquinas em uma sub-rede quando só precisa se conectar a 10? Os mapas da Illumio destacarão isso como uma preocupação para que você possa agir.

Além de como os ativos trocam dados em redes e data centers, o Illumio permite que você saiba quanto e com que frequência eles se comunicam com o mundo exterior. Esse conhecimento pode ajudá-lo a decidir quais controles colocar em quais máquinas e quais patches priorizar.

Como as pontuações de exposição à vulnerabilidade melhoram a eficiência operacional

Facilitando ainda mais a avaliação de riscos, o Illumio combina informações de políticas de vulnerabilidade, conexão e segmentação para resumir tudo como um pontuação de exposição à vulnerabilidade. Esse número único oferece uma compreensão rápida da exposição relativa ao risco no contexto da execução de aplicativos.

Muitos clientes da Illumio descobrem que essa métrica por si só lhes dá o que precisam para segmentar sistemas como forma de compensar sua incapacidade de manter todos os patches atualizados o tempo todo. Segmentação significa reduzir as portas mais vulneráveis ao menor raio possível, ou seja, comunicar-se com o menor número possível de outros ativos.

As pontuações de vulnerabilidade da Illumio permitem que você se concentre rapidamente nessas áreas problemáticas para primeiro isolá-las por meio da segmentação, na medida do possível, sem interromper as operações e, em seguida, corrigir de acordo com os cronogramas que você pode manter de forma realista. Em outras palavras, as pontuações e a segmentação de vulnerabilidades permitem uma priorização efetiva para a remediação de vulnerabilidades.

O Illumio oferece uma visão abrangente e baseada em riscos de todo o seu ambiente. Ele permite que você veja fluxos ativos, sobreponha a análise de risco com base nas portas abertas usadas pelo malware e quantifique esse risco. Depois de fazer alterações em seu ambiente, você pode enxaguar e repetir para ver como as pontuações de risco mudam com o tempo, oferecendo às equipes de TI e segurança uma ferramenta poderosa para gerar relatórios sobre riscos e fazer a triagem de vulnerabilidades.

Geração de políticas para bloquear portas de risco

O Illumio também pode mitigar ativamente os riscos bloqueando as portas entre as cargas de trabalho antes de você começar a corrigi-las ou nos casos em que você não consegue acessar os sistemas afetados. Pense nisso como corrigir fluxos de dados até que você consiga corrigir cargas de trabalho.

Além disso, a Illumio pode sugerir políticas para bloquear portas como parte de um fluxo de trabalho integrado chamado Gerador de políticas.

Você pode salvar uma política sugerida e fazer com que a Illumio a provisione em seus aplicativos. Com essa ferramenta, você pode proteger seu ambiente com apenas alguns cliques em apenas alguns segundos, em vez de ficar com os dias ou semanas necessários para implantar patches.

Uma ferramenta poderosa para avaliar vulnerabilidades

Ao todo, o Illumio oferece aos profissionais de TI e segurança uma visibilidade rica e baseada em riscos de todas as comunicações de seus aplicativos e permite que eles bloqueiem as comunicações de forma ajustada ao risco para impedir a propagação do ransomware.

Além de implementar controles preventivos, a Illumio pode aprimorar sua capacidade de resposta a incidentes com políticas de segmentação ativas para impedir que o ransomware apareça.

Para saber mais:

• Leia o e-book, Como impedir ataques de ransomware.
• Veja os mapas de vulnerabilidade em ação no webinar, O ransomware acontece. Impedimos que ele se espalhe: avalie suas vulnerabilidades.