Detecção e resposta de endpoints: uma tendência para o futuro

É sexta-feira e um jovem funcionário de uma empresa com conhecimentos em programação chega em casa, liga o computador e acessa a Internet. Em seguida, ele usa um programa para entrar na Deep Web e, sem hesitar, vai ainda mais longe e acessa um site da Dark Web. Então, ele busca um serviço que lhe permite criar um novo código malicioso: um ransomware (vírus sequestrador) que pretende utilizar para ganhar muito dinheiro extorquindo desconhecidos em vários países.

As ameaças digitais não param de se multiplicar na Internet. A cada dia, surgem variantes cada vez mais sofisticadas de malwares antigos às quais os criminosos cibernéticos adicionam novas funcionalidades para evitar sua detecção e dessa maneira driblar a proteção existente nos endpoints nas LANs (redes de área local) das empresas.

O nome desse jovem pode ser João (ou qualquer outro). O importante é que ele decidiu cometer um crime: há algumas semanas, ele comprou um banco de dados com milhões de endereços de e-mail e depois de pagar com bitcoins por um serviço para enviar mensagens acompanhadas de um "novo" ransomware, que aparece como um convite "grátis" (palavra que sempre funciona para convencer as futuras vítimas a clicar no e-mail) para um site de conteúdo adulto.

Como se não bastasse o número e a complexidade crescentes dos ataques, as ameaças são desenvolvidas para atingir vários endpoints ao mesmo tempo, na tentativa de obter acesso a sistemas e dados valiosos de maneiras diferentes, o que dificulta sua detecção com um único aplicativo ou sistema.

João já havia criado um site com fotos de mulheres (compradas por um baixo preço na Dark Web) que estão "buscando amizade", como diz o corpo do e-mail escrito há alguns dias.

Então, o que uma empresa deve fazer não só para deter a avalanche de ameaças, mas também para detectá-las e, ao mesmo tempo, proteger-se contra elas? Primeiramente, os responsáveis pela segurança digital devem adquirir tanto o conhecimento para entender as ameaças como a capacidade de automatizar a proteção.

O investimento de tempo e dinheiro feito por "João" não é pequeno, mas ele tem certeza de que, além de recuperar o dinheiro, ele ainda ganhará lucros significativos, pois seu ransomware é indetectável (pelo menos isso é o que a "loja" da Dark Web garantiu).

A segurança das empresas exige uma solução de detecção e resposta a ameaças a endpoints, conhecida como EDR (do inglês "endpoint detection and response"), que possa reforçar a segurança centralizada existente com uma proteção extra para o acesso à rede local, com a finalidade de deter as ameaças, bem como impedir tentativas de invasão.

Além disso, João sabe que muitos usuários e empresas não estão preparados para um ataque como o que ele iniciou.

Com a lista de verificação de seu "arsenal" revisada e confirmada, João inicia o ataque e pressiona o botão que desencadeará um dos milhares de ataques que ocorrem diariamente na Web.

Quais características uma solução de EDR deve ter?

. Detectar incidentes de segurança.

. Imobilizar qualquer ameaça no endpoint para que as informações que circulam pela rede, ou os processos em execução, sejam controlados remotamente.

. Examinar os incidentes de segurança.

. Reparar completamente os endpoints para que voltem ao estado anterior à infecção.

Em outras palavras, uma solução que permite a detecção e a resposta a ameaças a endpoints deve não só deter os ataques, mas identificá-los de forma detalhada, informar quais componentes estão sendo atacados e qual é a vulnerabilidade dos dados, bem como reparar os danos rapidamente a fim de reduzir a exposição.

Para possibilitar que soluções como antivírus, sistemas de detecção de intrusão (IPS), gateways e firewalls protejam o endpoint atuando em conjunto, compartilhando informações e respondendo com rapidez, também é necessário ter uma arquitetura comum integrada, a qual permita que essas soluções colaborem entre si e respondam prontamente, reduzam a complexidade e evitem conflitos entre elas.

A solução de detecção e resposta a ameaças a endpoints da Intel Security apresenta três fatores essenciais, que são a base para uma prevenção eficaz: automação, adaptabilidade e monitoramento contínuo:

Automação: a solução cria armadilhas e gatilhos de forma lógica com base em vários parâmetros. Quando um indicador de ataque é detectado, a solução de segurança de endpoints executa ações especiais definidas pelo usuário, para gerenciar cada evento de forma adequada.

Adaptabilidade: após informar aos administradores sobre o indicador de ataque, a solução de endpoints escolhe e ativa uma resposta adaptada ao tipo de ataque detectado.

Monitoramento contínuo: nossa tecnologia persistente estabelece gatilhos e alertas para cada ataque, mantendo sua empresa atualizada sobre todos os eventos.

A proposta da Intel Security para alcançar essa detecção e resposta a ameaças a endpoints é uma solução de EDR que inclua:

O McAfee Endpoint Security 10, que utiliza tecnologias capazes não só de se comunicar, mas de aprender umas com as outras em tempo real e, assim, combater as ameaças avançadas, bem como distribuir conhecimentos práticos com análise pericial de ameaças. Além disso, essa solução é extensível, pois foi desenvolvida pensando no futuro, permitindo que você gerencie mais soluções de endpoint de forma centralizada à medida que sua empresa for crescendo.

Por outro lado, o McAfee Active Response pode integrar-se perfeitamente ao antivírus, ao gateway e a sistemas de detecção de intrusão, o que, além de fortalecer os investimentos feitos pelas empresas, facilita a troca de informações de segurança com base na atividade em diferentes locais do endpoint e o conhecimento prático proveniente do intercâmbio de informações sobre ameaças na empresa.

. Por: Edgar Vásquez Cruz, gerente da área de governo na Intel Security| A Intel Security —Com sua linha de produtos McAfee, a Intel Security está comprometida em criar um mundo digital mais seguro e protegido para todos. A Intel Security é uma divisão da Intel Corporation. | www.intelsecurity.com