Advanced Endpoint Protection. Como o Traps previne malwares avançados destinados a Instituições Financeiras. Combate à Ataques Account Takeover (ATO)

Transcrição

1 Advanced Endpoint Protection parceiro Como o Traps previne malwares avançados destinados a Instituições Financeiras Daniel Augusto do Amaral Systems Engineer at Palo Alto Networks Nos últimos meses, os relatos de várias violações nos bancos membros do SWIFT (Society for Worldwide Interbank Financial Telecommunications) vieram à tona. Em todos estes incidentes, segurança local foi comprometida, e credenciais válidas foram roubadas e usados para iniciar as transferências fraudulentas. Estes ataques carregam as marcas de uma Account Takeover (ATO), em que um cibercriminoso personifica um cliente válido. Algumas das melhores práticas para combater ATO incluem patching de vulnerabilidades de segurança, segmentação de rede e autenticação multi-fator. Entre as instituições financeiras - especialmente as maiores - o tempo de patch de software tem sido um desafio devido a requisitos rigorosos testes, janelas de mudança limitada, e a grande quantidade e a natureza dispersa geograficamente dos laptops, desktops e servidores. Embora haja um interesse crescente segmentação da rede para segurança cibernética, implementações reais são raras como a maioria das instituições ainda têm redes flat. Autenticação multi-fator é comum para o acesso remoto à rede corporativa, mas é atípico dentro do perímetro. Combate à Ataques Account Takeover (ATO) Uma vez que algumas das melhores práticas para abordar ATO táticas não estão em vigor em muitas instituições financeiras, uma outra abordagem é usar proteção de endpoint avançado para os laptops, desktops e servidores próprios. Estes dispositivos são o foco de pelo menos duas fases do ciclo de vida típico de ataque cibernético. Os usuários finais e seus dispositivos são alvos de spear-phishing, drive-by downloads e engenharia social. Exploits e malware são introduzidos para comprometer o endpoint. O cibercriminoso, em seguida, usa isso como uma entrada para caçar informações valiosas ou comprometer outros sistemas vulneráveis (servidores) dentro da rede. Em instituições financeiras, soluções antivírus tem sido a principal defesa por muitos anos em endpoints, mas provaram ser ineficazes para protegê-los como violações de segurança ainda estão em ascensão.

2 Prevenções Multi-Métodos O Advanced Endpoint Protection da Palo Alto Networks, o Traps, usa uma abordagem de prevenção multi-métodos que combina os módulos purpose-built mais efetivos de prevenção de malwares e exploits para proteger os endpoints contra ameaças conhecidas e desconhecidas. Como as instituições financeiras continuam a ser um alvo favorito para ataques virtuais, melhorar a proteção avançada para executar o malware ou exploits que comprometem seus sistemas. Os multi-métodos de prevenção do Traps contra malwares incluem as seguintes técnicas:

3 1. Análise estática via Machine Learning: Este método proporciona um veredicto instantânea em qualquer arquivo executável desconhecido antes de ser autorizado a funcionar. Examinando centenas de características do arquivo em uma fração de segundo, este método determina se é provável que seja malicioso ou benigno sem depender de assinaturas, digitalização ou análise comportamental. 2. Inspeção e Análise SandBox Wildfire: Traps trabalha em conjunto com WildFire para determinar se um arquivo executável é malicioso. WildFire pode eliminar a ameaça do desconhecido, transformando-o conhecido, em cerca de 5 minutos. A reprogramação automática do Traps, e conversão de inteligência de ameaças em prevenção, elimina a oportunidade de um atacante usar malware desconhecido e avançado para infectar um sistema. 3. Restrições de Execução de Trusted Publisher: Este método permite que as organizações identifiquem arquivos executáveis que estão entre o "desconhecido bons, porque eles são publicados e assinados digitalmente por entidades que Palo Alto Networks reconhece como editores de software respeitáveis. 4. Restrições de execução baseado em políticas: As organizações podem facilmente definir políticas para restringir cenários de execução específicas, reduzindo assim a superfície de ataque de qualquer ambiente. Um exemplo seria a de impedir a execução de um determinado arquivo diretamente a partir de um drive USB, ou a chamada de um processo filho. 5. Políticas de sobreposição de Admin: Este método permite que as organizações definam políticas, com base em hash de um arquivo executável, para controlar o que é permitido para ser executado em qualquer ambiente e o que não é. Fluxo de prevenção de execução Malware:

4 Para prevenções contra os multi-métodos de exploits, Traps oferece as seguintes abordagens: 1. Prevenção de Corrupção/Manipulação de memória: corrupção de memória é uma categoria de técnicas de exploit, onde o exploit manipula mecanismos de gerenciamento de memória normais do sistema operacional para a aplicação abrir o arquivo de dados com o código malicioso que contém o exploit. Este método de prevenção reconhece e pára estas técnicas de exploração antes que eles tenham uma chance para subverter a aplicação. 3. Prevenção de Execução de Código Malicioso: Na maioria dos casos, o objetivo final de um exploit é executar um código arbitrário - comandos do atacante que são incorporados no arquivo de dados do exploit. Este método de prevenção reconhece as técnicas de exploitation que permitem o código malicioso do invasor executar e as bloqueia antes que eles tenham sucesso. 2. Prevenção Logic Flaw: a falha lógica é uma categoria de técnicas de exploit que permitem a exploração para manipular processos normais do sistema operacional, que são usados para fazer com que as aplicações de destino abram o conteúdo maliocioso. Por exemplo, o exploit pode alterar o local onde bibliotecas de ligação dinâmica (DLLs) são carregadas a fim de substituir as DLLs legitimas pelas maliciosas. Este método de prevenção reconhece essas técnicas de exploração e as bloqueia antes que tenham sucesso.

5 Blindagem do Traps contra Técnicas de Exploit: como um controle de compensação para evitar a exploração de ambas as Além disso, Traps é capaz de colocar em quarentena arquivos executáveis maliciosos para evitar qualquer propagação adicional, e permite que as organizações evitem software não maliciosa, mas de outra forma indesejável (por exemplo, adware) de executar. Em vez de Gerenciamento de Patch: Como afirmado anteriormente, o gerenciamento de patches de software de endpoints é um desafio constante para as instituições financeiras. Isto é ainda mais agravada pelo grande volume de ATMs que também precisam ser corrigidos. Embora os esforços foram lançadas para atualizar ou substituir caixas eletrônicos baseados em Windows XP, que está sem suporte desde abril de 2014, não seria surpreendente ver algumas dessas ATMs ainda em serviço hoje. (um ano depois, cerca de 75%, ou 2,2 milhões, dos ATMs do mundo ainda usavam Windows XP.) Para proteger os caixas eletrônicos que ainda não foram ou não serão atualizados, Traps pode ser instalado vulnerabilidades conhecidas e desconhecidas. Traps também fornece o mesmo benefício para outros sistemas que estão por trás ou não elegíveis para aplicação de patches de software. Em vez de adição à Segmentação de rede: Em muitas instituições financeiras, ATMs ou sistemas críticos, não são realmente segmentada do resto da rede corporativa. Como mencionado anteriormente, muitas instituições financeiras ainda têm redes flat e redes internas abertas. Segmentação da rede é altamente recomendável e certamente ajudará a limitar a exposição no caso de um comprometimento. No entanto, ainda uma outra camada de defesa é a proteção endpoint avançado para os laptops, desktops e servidores. Traps, com a sua abordagem de prevenção multi-métodos, BLOQUEIA as técnicas no CORE desses ataques, em vez de focar simplesmente nos milhões de amostras de malwares e

6 exploits. Consequentemente, Traps impede ataques sofisticados, direcionados e nunca antes vistos de comprometer um endpoint. No final do dia, os endpoints possuem os recursos (por exemplo, dados confidenciais, PII cliente e transações financeiras) que são mais interessantes para os atacantes cibernéticos. Proteger os endpoints de serem comprometidos é uma fundação de uma política de segurança cibernética e ponto chave na Plataforma de Segurança Next Generation Palo Alto Networks. Proteja seus endpoints: Resolvendo a lacuna de comunicação entre o endpoint e a rede, e através da integração com a análise de malware desconhecido via Sandbox Wildfire para aumentar a visibilidade, Traps previne que novas ameaças comprometam um endpoint. A integração do Traps com a Plataforma de Segurança Next Generation Palo Alto Networks permite que as organizações compartilhem de forma contínua, a crescente inteligência contra ameaças adquirida com milhares de clientes empresariais, tanto em suas redes e endpoints, para coordenar a prevenção e resposta. É importante entender que os ataques estão cada vez mais sofisticados e é preciso ter uma plataforma de segurança eficaz com múltiplas analyses e o Traps evita violações cibernéticas aos endpoints, bloqueando ameaças conhecidas e desconhecidas. O Traps já foi certificado pela Coalfire para manter seus endpoints PCI compliant. Para mais informações, acesse: cts/secure-the-endpoint/traps Agende a visita de um especialista em proteção Endpoint de última geração! parceiro comercial@gantech.com.br