O
que é Ransomware?
Ransomware
é a ameaça de malware de crescimento mais rápido hoje e já é uma
epidemia. De acordo com um governo dos EUA relatório interagências,
uma média de mais de 4.000 resgate os ataques ocorreram diariamente
desde janeiro de 2016. Neste capítulo, você aprende sobre o
ransomware - o que é, como ele está evoluindo como uma ameaça e
como funciona.
Definindo
Ransomware:
Identificando
ransomware e sua definição características procurando as
tendências do resgate ver como o ransomware funciona
Ransomware
é um software malicioso (malware) usado em um ataque cibernético
para criptografar os dados da vítima com uma chave de criptografia
que é conhecido apenas pelo atacante, tornando os dados
inutilizáveis até um pagamento de resgate (geralmente criptografia,
como Bitcoin) é feito pela vítima.
Cryptocurrency
é uma moeda digital alternativa que usa criptografia
para
regular a "impressão" de unidades de moeda (como bitcoins)
e verificar a transferência de fundos entre as partes, sem um banco
intermediário ou central.
Os
montantes de resgate são geralmente altos, mas não exorbitantes.
Por exemplo, as demandas para pessoas tipicamente variam de US $ 300
a US $ 600, enquanto as organizações maiores geralmente pagam mais.
Em 2016, um Sul o distrito escolar de Carolina pagou um resgate
estimado de US $ 10.000 e um o hospital da Califórnia pagou
aproximadamente US $ 17 mil por cibercriminosos.
Estes
montantes somam rapidamente - mais de US $ 200 milhões no Cisco
Special Edition primeiros três meses de 2016, de acordo com o
Departamento Federal dos EUA de Investigação (FBI). Essa
característica do ransomware é por design, em um esforço para que
as vítimas simplesmente paguem o resgate como o mais rápido
possível, em vez de entrar em contato com a aplicação da lei e
potencialmente incorrendo em custos diretos e indiretos muito maiores
devido a a perda de seus dados e publicidade negativa.
Os
montantes do resgate também podem aumentar significativamente quanto
mais uma vítima espera. Novamente, isso é por design, em um esforço
para limitar a opções e levar a vítima a pagar o resgate o mais
rápido possível.
Reconhecendo
o Ransomware no Paisagem de ameaça moderna o Ransomware não é uma
nova ameaça (veja a Figura 1-1). O mais cedo conhecido Ransomware,
conhecido como PC Cyborg, foi desencadeado em 1989.
Desde
então, o ransomware evoluiu e se tornou muito mais sofisticado. O
Ransomware também se tornou mais penetrante e lucrativo com
desenvolvimentos como o seguinte:
»O
lançamento do telefone Android: o Android tornou-se um vetor de
ataque popular (macos também é um alvo e Apple O iOS, sem dúvida,
se tornará um alvo).
»O
aumento do Bitcoin: o Bitcoin permite fácil e virtualmente
pagamentos intratáveis a cibercriminosos anônimos.
»O
surgimento do Ransomware-as-a-Service (RaaS): RaaS (Ransomware que
pode ser comprado por uma pequena taxa e / ou um percentual do
pagamento do resgate) facilita a praticamente qualquer um para usar o
ransomware.
Apesar
de relatos de mídia sensacional sobre brechas maciças de dados
direcionando organizações e empresas como o Escritório dos EUA de
Gestão de Pessoal (OPM), Anthem Blue Cross Blue Shield, Target, e
Home Depot, por roubo de identidade e fraude de cartão de crédito
propósitos, o aumento do ransomware tornou-se um dos mais ameaças
generalizadas para organizações e empresas - bem como indivíduos
no ano passado.
Um
relatório do Instituto de Tecnologia de Infraestrutura Crítica
(ICIT) prevê que 2016 será o ano em que o ransomware "Causam
estragos na comunidade de infraestrutura crítica da América".
Locky
é um exemplo de uma variante agressiva de ransomware que é
acreditado para comprometer até 90.000 vítimas por dia. O resgate
médio para Locky é geralmente entre 0,5 e 1 Bitcoin. Com base em
estatísticas da inteligência de ameaças Talos da Cisco grupo, em
média, 2,9% das vítimas comprometidas em um o ataque do ransomware
pagará o resgate. Assim, o Locky poderia potencialmente infectar até
33 milhões de vítimas ao longo de um período de 12 meses,
resultando em US $ 287 milhões e US $ 574 milhões em resgate
pagamentos (ver Tabela 1-1).
Embora
uma estimativa conservadora de US $ 287 milhões possa parecer
trivial em comparação com até mesmo uma única violação de dados
(como os dados de destino violação, que se estima ter custado mais
de US $ 300 milhões), é importante lembrar que as estimativas de
perda de violação de dados são com base nos custos para a
organização visada, não o indivíduo vítimas cujas identidades e
/ ou informações do cartão de crédito são roubado. Os custos
para a organização incluem o seguinte:
»Multas
e penalidades regulatórias cobradas por diversos regulamentos
corpos, como o Payment Card Industry (PCI).Taxas legais associadas a
litígios resultantes da violação, perda de negócios devido a
interrupções de negócios, marca danos à reputação e perda de
clientes remediação, incluindo resposta e recuperação de
incidentes, relações públicas, notificações de violação e
monitoramento de crédito serviços para pessoas afetadas.
Estimativa
dos pagamentos Locky Total Ransom Ransom Price 1 Bitcoin 0.5 Bitcoin
Vítimas
/ dia 90,000 90,000
Número
de pagamentos / dia 2.610 2.610
Preço
atual Bitcoin (a partir de 2 de outubro de 2016)
$
610.82 = 1 Bitcoin $ 610.82 = 1 Bitcoin
Lucros
de 1 dia $ 1.594.240 $ 797.120
Lucros
de 1 mês $ 47.826.206 $ 23.913.603
Lucros
de 12 meses $ 573,926,472 $ 286,963,236
O
Ponemon Institute relata que o custo médio de um dado a violação
de organizações específicas é de aproximadamente US $ 6,5
milhões.
Os
cibercriminosos normalmente vendem cartão de crédito roubado e
identidade informações sobre a web escura - conteúdo web anônimo
(como vendas de medicamentos no mercado negro, pornografia infantil,
cibercrime ou outras atividades que tentam evitar vigilância ou
censura) que requer software, configuração e / ou autorização
especiais para acesso – por apenas alguns centavos a vários
dólares por registro. O Estudo de Custo de Delito Cibernético 2015
pelo Instituto Ponemon relatou que o preço médio de venda para o
crédito americano roubado os dados do cartão são de
aproximadamente US $ 0,25 a US $ 60 por cartão. Por comparação, um
cibercriminoso pode fazer várias centenas de dólares para dezenas
de milhares de dólares de resgates diretamente pagos a eles por
indivíduo vítimas e organizações.
O
custo real para as vítimas de roubo de identidade e fraude de cartão
de crédito foi estimado na Identidade 2016 da Strategy and Research
da Javelin estudo de fraude de US $ 15 bilhões em 2015. O estudo
também revela que, embora o número de vítimas dos Estados Unidos
de roubo e crédito de identidade a fraude de cartões manteve-se
relativamente estável desde 2012, com média aproximadamente 12,8
milhões de vítimas individuais, as perdas de fraude foram diminuiu
aproximadamente 25% - significando lucros para os cibercriminosos,
embora ainda significativos, também estão em declínio.
Em
contraste com a tendência decrescente de roubo de identidade e
cartão de crédito fraude, o FBI relatou um aumento de dez vezes em
crimes de resgate em relação ao ano anterior durante apenas os
primeiros três meses de 2016. O custo para as organizações e
empresas de vítimas dos EUA é conservadoramente estimado em mais de
US $ 200 milhões, colocando ransomware no ritmo de ser um crime de
US $ 1 bilhão em 2016.
Uma
vez entregue, o ransomware geralmente identifica arquivos e dados do
usuário para ser criptografado através de algum tipo de extensão
de arquivo incorporado Lista. Também está programado para evitar
interagir com determinado sistema diretórios (como o diretório do
sistema WINDOWS ou determinado programa diretórios de arquivos) para
garantir a estabilidade do sistema para a entrega do resgate após a
carga final terminar em execução. Arquivos em locais específicos
que correspondem a uma das extensões de arquivo listadas são
criptografadas. De outra forma, os arquivos são deixados sozinhos.
Depois que os arquivos foram criptografados, o ransomware normalmente
deixa uma notificação para o usuário, com instruções sobre como
pagar o resgate.
Não
há honra entre os ladrões. Embora um atacante geralmente fornece a
chave de descriptografia para seus arquivos se você pagar a resgate,
não há garantia de que o invasor ainda não tenha instalou outros
malwares e explore kits em seu ponto final ou outro sistemas em rede,
ou que não roubará seus dados para outros fins criminais ou
extorquem mais pagamentos no futuro.
Implementando
o melhor Práticas para Reduzir Riscos de Ransomware
Eu
Neste capítulo, reviso as melhores práticas de segurança e a
mitigação de riscos. estratégias que, se aplicadas de forma
completa e correta, ajudarão seu organização efetivamente se
defronta contra o resgate e outros ameaças à segurança
cibernética.
Antes
de um ataque: Descubra, Enforce, Harden
Há,
é claro, uma série de melhores práticas que as organizações
podem implementar proativamente antes de serem alvo de um atacante.
Se os atacantes não conseguem facilmente estabelecer um ponto de
apoio inicial - pegue o pé na porta, por assim dizer - eles
provavelmente buscarão um vítima mais fácil, a menos que sua
organização seja objeto de um alvo ataque.
Os
ataques de Ransomware podem ser oportunistas - O
atacante
O
motivo é muitas vezes lucro, com o menor risco e esforço possível.
Então,
impedindo um invasor de entrar na sua rede com uma abordagem
arquitetônica é a maneira mais eficaz de quebrar a "cadeia de
ciber matar" e evitar que um ataque de ransomware seja bem
sucedido em primeiro lugar.
O
modelo Lockheed Martin Cyber Kill Chain consiste em sete fases de
ataque: Reconhecimento, Armação, Entrega, Exploração, Instalação,
Comando e Controle (C2) e Ações em o objetivo. As cinco primeiras
fases estão focadas em ganhar acesso à rede e aos sistemas do alvo.
Os
atacantes costumam alcançar o acesso inicial a um alvo através de
um dos dois métodos:
»Engenharia
social / phishing para obter um usuário desavisado expor suas
credenciais de rede ou instalar malware explorando uma
vulnerabilidade em um aplicativo público (Internet) ou serviço no
que diz respeito aos ataques de phishing e treinamento de
conscientização de segurança, Relatório de incumprimento e
pesquisa de dados de 2016 da Verizon (DBIR) lamenta, "aparentemente,
a comunicação entre o criminoso e a vítima é muito mais eficaz do
que a comunicação entre funcionários e funcionários de segurança
".
As
seguintes práticas recomendadas devem ser implementadas para
prevenir os invasores tenham acesso à rede da sua organização e
sistemas:
»Conduza
conscientização e treinamento de segurança regulares para seus
usuários finais. Este treinamento deve ser atraente e contém as
informações mais recentes sobre ameaças e táticas de segurança.
Certifique-se
de fazer o seguinte:
• Reforçar
as políticas da empresa em relação a não compartilhar ou
revelando credenciais de usuários (mesmo com TI e / ou segurança),
requisitos de senha forte e o papel da autenticação em segurança
(incluindo o conceito de não repúdio, que dá aos usuários a
defesa "Não era eu"!).
• Incentivar
o uso de Software-as-aService sancionado pela empresa (SaaS), como
programas de compartilhamento de arquivos, trocar documentos com
outros em vez de enviar e-mails anexos, como forma de mitigar (ou
eliminar completamente) ataques de phishing contendo anexos
maliciosos.
• Considere
renderização de documento não-nativa para PDF e Arquivos do
Microsoft Office na nuvem. Aplicações de mesa como Adobe Acrobat
Reader e Microsoft Word frequentemente contém vulnerabilidades não
corrigidas que podem ser exploradas.
• Instrua
os usuários que não utilizam macros regularmente para nunca
habilite macros em documentos do Microsoft Office. Um ressurgimento
em malware baseado em macro foi observado recentemente, que utiliza
técnicas sofisticadas de ofuscamento para evitar a detecção.
• Explicar
procedimentos de relatórios de incidentes e garantir que os usuários
se sentem confortáveis ao reportar incidentes de segurança
com
mensagens
como "Você é a vítima, não o perp" e "The o
encobrimento é pior (em termos de danos) do que o evento ".
• Lembre-se
de cobrir a segurança física. Embora sejam menos comum do que
outras formas de engenharia social, políticas de escolta de
visitantes e táticas como mergulho de lixo, surfar no ombro e andar
de garganta (ou tailgating), o que potencialmente ameaçam a
segurança pessoal, bem como segurança da informação, deve ser
reiterada aos usuários.
»Execute
avaliações de risco contínuas para identificar qualquer fraquezas
de segurança e vulnerabilidades em sua organização, e abordar
quaisquer exposições de ameaça para reduzir o risco.
Certifique-se
de fazer o seguinte:
•Realizar
varreduras periódicas de vulnerabilidades e portas.
•Garantir
gerenciamento de patches sólido e atempado.
•Desativar
serviços desnecessários e vulneráveis e seguir orientação do
endurecimento do sistema.
•Aplicar
requisitos de senha forte e implementar Autenticação de dois
fatores (quando possível).
•Centralize
o log de segurança em um coletor de registro seguro ou plataforma de
gerenciamento de eventos e incidentes de segurança (SIEM) e
freqüentemente revisam e analisam informações de registro.
Infelizmente,
apesar dos seus melhores esforços, as pessoas são pessoas (e
Soylent Green são pessoas!) e sempre haverá zeroday ameaças que
exploram anteriormente desconhecidas - e, portanto,Unpatched -
vulnerabilidades. Se um invasor tiver acesso sua rede, seu próximo
passo é estabelecer comunicações C2, em ordem para garantir a
persistência escalar privilégios. Mova-se lateralmente em toda a
sua rede, data center e ambiente do usuário final para mitigar os
efeitos de uma intrusão bem-sucedida, implemente o seguindo as
melhores práticas:
»Implante
a proteção da camada do sistema de nomes de domínio (DNS) que
permite que você identifique de maneira preditiva domínios
mal-intencionados, IP endereços e infra-estrutura da Internet para
ajudar a mitigar risco de um ataque. Permitir automaticamente o
firewall, proteção avançada contra malwares, criptografia e
prevenção de perda de dados em todos os pontos finais, incluindo
dispositivos móveis pessoais (se "trazer seu próprio
dispositivo" [BYOD] é permitido) e mídia removível (como USB
drives) que é transparente para o usuário e não requer nenhuma
ação pelo usuário. Isso protege os usuários remotos e remotos e
fora da rede, mesmo quando não necessariamente fazem o que eles
deveriam fazer com relação às melhores práticas e políticas
estabelecidas.
»Habilite
a funcionalidade de segurança nos gateways de e-mail, incluindo
bloqueando ou removendo executáveis e outros potencialmente anexos
maliciosos, estrutura de política de remetente (SPF) verificação
para mitigar spoofing por e-mail e aceleração de e-mail (ou
"graylisting") para limitar os possíveis emails de spam.
»Ativar
produtos e serviços de segurança que analisam a Internet tráfego,
e-mails e arquivos para prevenir infecções e dados exfiltração
(discutida mais adiante nos Capítulos 3 e 4), e alavancar serviços
de inteligência de ameaças para um contexto mais profundo e
investigação rápida.
»Projete
e implemente uma segurança robusta e intrinsecamente segura
arquitetura
que usa segmentação para restringir a movimento lateral em seu
ambiente.
Aplicar
o princípio do mínimo privilégio e eliminar o usuário
"Privilégio"
para limitar a capacidade de invasão de escalar privilégios.
»Faça
backup de sistemas e dados críticos regularmente e periodicamente
teste backups para garantir que eles possam ser restaurados e são
bons.
Também
criptografe seus backups e mantenha-os offline ou em um rede de
backup separada.
»Avalie
e pratique suas capacidades de resposta a incidentes e Monitorar e
medir a eficácia geral do seu postura de segurança de forma
contínua e contínua.
A
maior parte do Ransomware depende de uma infra-estrutura de
comunicações C2 robusta, por exemplo, para transmitir chaves de
criptografia e pagamento mensagens. Ao impedir que um invasor se
conecte com o Ransomware que infectou sua rede, uma organização
pode parar um ataque bem sucedido do ransomware. Se, por exemplo, o
atacante for incapaz de enviar chaves de criptografia para um ponto
final infectado ou instruir uma vítima sobre como enviar um
pagamento de resgate, ao ransomware.
O
ataque falhará o Ransomware mais comum as variantes hoje dependem
fortemente do DNS para comunicações C2.
Em
alguns casos, um navegador Tor (The Onion Router) também é usado
para Comunicações C2.
Comunicações
C2 no ransomware.
Durante
um ataque: Detectar, Bloqueie e Defenda
Se
sua organização estiver sob ataque, um incidente rápido e efetivo
é necessária uma resposta para limitar qualquer dano potencial. O
específico as etapas de ação e os esforços de remediação a
serem realizados serão diferente para cada situação única. No
entanto, o tempo para aprender a amplitude ea extensão da resposta
de incidentes da sua organização as capacidades não são durante
um ataque! Os seus esforços de resposta a incidentes deve ser bem
compreendida e coordenada - o que é realizado antes de um ataque - e
bem documentado e repetitivo, para que você possa reconstruir um
incidente após um ataque e identificar lições aprendidas e áreas
potenciais para melhoria.
Um
componente-chave da resposta efetiva aos incidentes que muitas vezes
é ignorado é o compartilhamento de informações, que inclui o
seguinte:
»Comunicar
informações oportunas e precisas a todos partes interessadas: é
necessário fornecer informações pertinentes aos executivos para
garantir recursos adequados comprometido com a resposta e remediação,
crítica e decisões empresariais informadas podem ser feitas e
apropriadas a informação é, por sua vez, comunicada aos
funcionários, a lei Execução, clientes, acionistas e o general
público.
»Compartilhando
automaticamente novas informações de segurança ao longo de a
arquitetura: reunir dados críticos de sistemas diferentes, como
informações de segurança e eventos gestão (SIEM), inteligência
de ameaças e sandboxingferramentas, permite que a equipe de resposta
a incidentes atinja rapidamente e efetivamente triagem incidentes de
segurança de alto impacto. Para exemplo, se uma nova carga útil de
malware for detectada em um ponto final, ele deve ser enviado
automaticamente para uma base na nuvem plataforma de inteligência de
ameaças para análise, a fim de encontrar e extraia quaisquer
indicadores de compromisso (IoCs). Então novo os contramedidas devem
ser automaticamente implantados e imposta.
Após
um ataque: Escopo, Contém, e Remediate as ações importantes após
o encerramento de um ataque incluem o seguinte:
»Reanudar
as operações comerciais normais, incluindo a restauração backups
e sistemas de reimaging, conforme necessárioColetando
e preservando evidências para a aplicação da lei e fins de
auditoria.
»Analisando
dados forenses para prever e prevenir futuros ataques, por exemplo,
identificando domínios e malwares relacionados com os endereços IP
associados, os hashes de arquivos e os domínios.
»Realizar
análise de causa raiz, identificar lições aprendidas, e
redistribuição de ativos de segurança, conforme necessário
Inteligência de ameaça preditiva permite uma postura de segurança
pró-ativa ao permitir que sua organização veja a infra-estrutura
C2 que os atacantes estão apontando para ataques atuais e futuros, e
Portanto, sempre fique à frente da ameaça.
Construindo
o "Novo Melhor Segurança " Arquitetura
Eu
Neste capítulo, você aprende sobre vários desafios na atualidade.
Abordagens
para a arquitetura de segurança e um "novo melhor-de-raça"
arquitetura para abordar melhor as ameaças modernas, incluindo
ransomware.
Reconhecendo
as Limitações de Current Security Designs
No
passado, muitas empresas achavam que tinham que fazer uma escolha
quando se tratava de segurança:
»Eles
poderiam usar os melhores produtos que eram eficazes contra tipos
específicos de ameaças emergentes, mas não integrar uma abordagem
arquitetônica para integrar defesas.
»Eles
poderiam ter uma abordagem de sistemas que assimilasse produtos de
segurança autônomos (ou de ponto) que eram "bons"
suficiente "em uma arquitetura de sistema inteligente.
Muitas
organizações hoje implantaram uma rede hierárquica arquitetura
consistente em acesso, distribuição e camada central com vários
produtos de segurança autônomos, implantados em uma DMZ ou zona de
serviços locais, como um firewall e / ou servidor proxy da Web.
Infelizmente,
esta não é a mesma coisa que a verdadeira "defesa em
profundidade.
As
limitações com abordagens atuais incluem o seguinte:
»Não
há integração ou correlação. Demasiados independentes os
produtos de segurança inevitavelmente inundam a segurança limitada
recursos com informação detalhada e não coordenada que não pode
ser facilmente analisado e deixa equipes de segurança à procura de
a proverbial "agulha em um palheiro".
»A
segurança baseada em perímetro é apenas uma parte de uma
arquitetura. Firewalls, gateways web seguros e sandboxing a
tecnologia implantada na borda da rede só vê tráfego norte-sul que
atravessa a Internet. Tráfego leste-oeste no centro de dados -
tráfego entre aplicativos e final usuários que nunca atravessam a
Internet - podem ser considerados como muito como 80 por cento de
todo o tráfego de rede.
É
necessária visibilidade em toda a rede.
»Os
funcionários deixaram o prédio. Não só temos cibercriminosos
mudadam a maneira como eles trabalham (suas táticas e técnicas),
mas a maneira como nossos usuários trabalham e interagir
digitalmente também mudou. Com mais remota e roaming on-the-go
usuários trabalhando diretamente através da nuvem em vários
dispositivos, tecnologias de segurança baseadas em perímetro eas
redes privadas virtuais (VPNs) não são mais capazes de proteja
dispositivos e dados corporativos. Muitos baseados na nuvem serviços
(como Salesforce.com e Office 365) podem ser convenientemente
acessado sem uma conexão VPN, deixando esses aplicativos e dados com
apenas segurança básica, como como proteção antimalware. De
acordo com o Gartner, até 2018, 25% do tráfego de dados
corporativos irá ultrapassar o perímetro segurança e fluxo direto
de dispositivos móveis para a nuvem.
As
soluções de segurança modernas precisam permitir que sua empresa
abrace a nuvem e trabalhe a partir de qualquer dispositivo, em
qualquer lugar, em a qualquer momento - ampliando a proteção
existente muito além da perímetro de rede tradicional.
»Existe
uma falta de visibilidade. Tradicionais firewalls portuários são
cegos para muitas ameaças que utilizam técnicas evasivas, como como
portas não padrão, salto de porta e criptografia.
»Não
há segmentação suficiente e tradicional a segmentação pode ser
desafiadora. As redes são comumente segmentados em zonas
"confiáveis" e "não confiáveis" com LANs
virtuais estáticas (VLANs) definidas em switches, que podem ser
difícil de configurar e manter. Essa estrutura arbitrárianão
aborda o novo normal em centros de dados modernos - máquinas
virtuais (VMs) que se movem dinamicamente ao longo de e em centros de
dados e na nuvem. Em vez disso, múltiplo segmentação granular
(incluindo micro segmentação) precisa ser definido em dispositivos
de rede ao longo dos dados centro com segmentação definida por
software dinâmico.
»As
atualizações estáticas são apenas um ponto de partida. Fazendo o
download e instalar arquivos de assinatura anti-malware é apenas um
ponto de partida para efetivamente combater o dia zero em rápida
evolução ameaças. Os arquivos estáticos de assinatura precisam
ser reforçados com inteligência de ameaças baseada em nuvem em
tempo real.
Definindo
o "Novo Melhor-de-Raça" Arquitetura de segurança
Para
proteger as empresas contra o Ransomware e outros ameaças, uma
arquitetura de segurança "nova melhor-raça" alavanca uma
abordagem integrada, baseada em portfólio, simples, aberta,e
automatizado, em vez de produtos de pontos tradicionais. Este nova
arquitetura compartilha automaticamente inteligência de ameaças e
fornececontexto agregado, correlacionado com outros produtos de
segurança e serviços, tanto nas instalações como na nuvem, reduz
a complexidade e proporciona visibilidade total em toda a ambiente
inteiro, permite uma melhor integração com segurança nova e
existente investimentos usando padrões abertos e extensíveis e
tecnologia.
Usa
integração para fornecer resposta de segurança automatizada, então
a segurança se torna mais efetiva e reduz o peso outras equipes de
TI esta nova arquitetura de segurança de melhor qualidade consiste
no seguinte componentes:
»Firewalls
de próxima geração (NGFWs) e próxima geração sistemas de
prevenção de intrusão (NGIPSs) com visibilidade de quem está
acessando a rede e o que eles estão fazendo, a política de
aplicação, análise de fluxo e trajetória de arquivo / dispositivo
análise Inteligência de ameaça baseada em nuvem.
»Segurança
da camada do sistema de nomes de domínio (DNS) para estender
proteção além dos firewalls da organização altamente granular,
segmentação de rede definida pelo software com a implementação de
políticas baseadas em papéis independentemente da localização,
dispositivo ou endereço IP Segurança de e-mail e web Proteção de
malware avançada baseada em rede e host com capacidades de
sandboxing você aprende sobre a abordagem da Cisco para esta nova
categoria de bestas arquitetura de segurança com o Cisco Ransomware
Defense.
A
arquitetura de segurança "nova melhor-raça" fornece o
melhor cobertura de superfície de ameaça possível com defesa em
profundidade.
O
GRUPO CAMUTO DEFENDE PROPRIEDADE INTELECTUAL SEM
COMPROMISSO
PRODUTIVIDADE
O
desafio: o negócio criativo deve equilibrar a facilidade de acesso
com proteção de ativos de design
O
Grupo Camuto, uma empresa de marcas de calçados e estilo de vida com
lojas em todo os Estados Unidos e Europa, e fabricação instalações
no Brasil, na Itália e na China, prospera em virtude de sua singular
projetos. A criatividade é o competitivo mais poderoso da empresa
arma, mas para seus profissionais de segurança de TI, é uma espada
de dois gumes:
500
funcionários de Camuto, 100 dos quais trabalham remotamente e outro
250 laptops de roaming devem ser protegidos contra roubo de dados;
ainda assim é criativo e os profissionais de vendas precisam de
acesso irrestrito a uma ampla gama de sites nervosos que muitas
soluções de filtragem na Web bloqueiam incorretamente.
"Proteger
os produtos do Grupo Camuto através da segurança é um dos nossos
principais objetivos ", diz Tom Olejniczak, engenharia de rede
do Grupo Camuto
Gerente.
"Nossos produtos e projetos são o que impulsiona a empresa;
protegendo esses ativos são uma chave para apoiar com sucesso o
negócio ".
Em
trabalhos anteriores, Olejniczak descobriu que a abordagem
tradicional para garantir a experiência na web - servidores proxy -
obstáculos impostos que teve que ser resolvido manualmente. "Muitos
sites não fatais estão incorretamente criptografados ou dependem de
controles de conteúdo desatualizados, como ActiveX ", diz ele.
"Toda vez que alguém precisava chegar a uma problemática site,
eles precisavam de ajuda prática da TI ".
Em
Camuto, com sua extensa força de trabalho móvel, esse tipo de
manual a intervenção era simplesmente impossível. À medida que o
malware aumentava e socialmente a mídia aumentou cada vez mais a
produtividade, o Grupo Camuto exigiu uma solução de segurança de
rede que protegeu dispositivos de rede e fora da rede sem adicionar
latência ou dificultar a atividade de trabalho.
A
solução: o Cisco Umbrella prova a primeira linha de eficácia mais
eficaz defesa Olejniczak diz que "seguiu o Umbrella do começo",
mesmo antes um guarda-chuva era uma opção. Como parte de sua
pesquisa sobre a solução certa para Camuto, IT colocou duas
alternativas à prova: Zscaler e Websense.
No
mês em que Olejniczak deixou cair Umbrella ao piloto Zscaler,
"malware
aumentou
30%. Estávamos lutando até três infecções a cada dia, passando
um mínimo de uma a três horas cada dia fazendo a limpeza - mais se
tivéssemos de fazer uma reconstrução. "Olejniczak descobriu
que o proxy os filtros de Internet que ele usou no passado não
funcionaram bem com sites que exigiu certificados. "Demorou
muita intervenção manual", diz ele.
"O
produto Websense era apenas lento - era como ter um software extra
carregado no seu PC ", diz Olejniczak. "Aumentou a latência
por 40 por cento a 50 por cento. "Em última análise, Camuto
comprometeu-se a Umbrella, e implantou o cliente de roaming em
laptops para ampliar o Umbrella's recursos de segurança e filtragem.
"Usamos o Umbrella como a linha de frente de defesa ", diz
Olejniczak," acoplá-lo com nossa proteção antivírus e outras
ameaças proativas e proteções de rede ".
O
impacto: o Grupo Camuto bloqueia 400 malwares a cada dia ao acelerar
o desempenho da Internet "O que eu gosto do Umbrella é que é
uma solução em nuvem que substitui o trabalho de filtragem da Web
que fazíamos internamente ", diz Olejniczak. Para proteger os
funcionários no local, dispositivos virtuais para guarda-chuva da
Camuto implantados o que lhes dá a capacidade de identificar redes
internas ou Usuários do Active Directory infectados ou alvo de
ataques, sem tocar dispositivos ou re-autenticando usuários.
Empregados que trabalham rede corporativasão protegidos através do
cliente de roaming da Umbrella, instalação dos quais "é tão
fácil como adicionar alguém a um grupo através de Microsoft Active
Directory.
O
Grupo Camuto viu um impacto imediato e mensurável sobre a segurança.
"Quando eu vou ao painel do guarda-chuva na manhã,"
Olejniczak diz: "Normalmente vejo até 400 pedaços de malware
que foram redirecionado - são milhares por semana. "No entanto,
o poder da Umbrella permanece discreto para os usuários. "Realmente
melhorou a velocidade da Internet ligeiramente ", diz
Olejniczak. "Nós vemos talvez um 5% a 10%melhoria, o que o
torna pelo menos 30% melhor do que outros produtos."
Em
uma empresa que depende de pessoas criativas que tenham acesso a
sites de moda de ponta, a capacidade de gerenciar listas brancas e
pretas rapidamente é crítico. "Nós podemos escolher
categorias seguras, aceitáveis em termos de RH paraFiltro de
conteúdo rápido ", diz Olejniczak. Quando os relatórios
expõem anteriormente sites desconhecidos que são inadequados ou
arriscados - ou quando os funcionários solicitam acesso a sites
legítimos que tenham sido bloqueado - atualizar as listas é fácil.
"É extremamente eficiente: posso registrar dentro, faça as
mudanças e faça o login em menos de três minutos ".
Olejniczak
observa que o valor da Umbrella aumenta ao longo do tempo. "O
mais
tempo você usa o produto ", diz Olejniczak," melhor você
é. Existem apenas alguns produtos que usei na minha carreira que
realmente fazem o que eles dizem que farão e Umbrella é um deles.
"Esta visualização de dados (veja a figura abaixo) é uma
visão geral de alto nível de como a Cisco Umbrella vê a
infra-estrutura de domínio de um cliente e como uma parte de os
usuários do Umbrella (mais de 65 milhões) interagem com esse
domínio e é a infra-estrutura relacionada.
»Tirando
a defesa do ransomware para a nuvem
»Fechando
vetores de ataque do ransomware em pontos finais e no e-mail
»Aplicando
políticas de segurança com a próxima geração firewalls e
segmentação
»Envolvendo
os Serviços de Consulta de Segurança da Cisco
O
Cisco Ransomware Defense alavanca a segurança da Cisco arquitetura e
pesquisa de ameaças Talos para proteger as empresas.
Esta
solução oferece uma abordagem arquitetônica para combate o
ransomware em todos os lugares que tenta atacar uma rede.
Isso
significa proteção em camadas e complementares que se estendem da
camada DNS para o email, a rede e o ponto final. Dentro neste
capítulo, você aprende sobre o Cisco Ransomware Defense solução.
Aproveitando
DNS como a Primeira Linha de Defesa na nuvem
Há
muitas fases em um ataque de resgate. Antes do lançamento um ataque,
o invasor precisa organizar a infraestrutura da Internet para
suportar as fases de execução e comando e controle (C2).
Cisco
Umbrella fornece a primeira linha de defesa, interrompendo o
ransomware ataques (e outros ataques cibernéticos) mais cedo na
cadeia de matarbloqueando conexões à Internet para sites maliciosos
que servem ransomware em primeiro lugar. Construído na base da
Internet, a Umbrella impõe a segurança no sistema de nomes de
domínio (DNS) e as camadas do Protocolo de Internet (IP).
DNS
é a primeira linha de defesa contra ataques de resgate Umbrella
oferece visibilidade completa sobre a atividade da Internet em todo
todos os locais, dispositivos e usuários, e bloqueia ameaças em
qualquer porta ou protocolo antes de alcançar sua rede ou pontos
finais. De Analisando e aprendendo com os padrões de atividade da
Internet, Umbrella descobre automaticamente a infra-estrutura do
invasor encenada para a atuale ameaças emergentes, e bloqueia de
forma proativa solicitações para maliciosos destinos antes que uma
conexão seja estabelecida ou uma
arquivo
malicioso baixado. Umbrella também pode bloquear callbacks C2 para
servidores de invasores e para evitar sistemas comprometidos de
extruir dados. Com Umbrella, você pode parar o phishing e o malware
infecções anteriores, identifique dispositivos já infectados mais
rapidamente, e evitar a exfiltração de dados.
Ao
contrário dos aparelhos, o serviço da nuvem protege os pontos
finais e fora da rede corporativa. Ao contrário dos agentes,
proteção de camada DNS estende-se a todos os dispositivos
conectados à rede – mesmo a Internet das coisas (IoT). É a
maneira mais rápida e fácil de proteja todos os seus usuários e
pode ser implantado em tão pouco quanto 30 minutos. Baixe o
whitepaper: "Por que uma camada de DNS
Assuntos:
30 minutos para uma empresa mais segura "em http:
//cs.co/30-mins-to-a-more-secure-enterprise para aprender mais.
CISCO
IT IMPLEMENTS UMBRELLA DEFENDER CONTRA RANSOMWARE E OUTRAS MELOS
RESIDENTES
Em
abril de 2016, a Cisco aprovou o Umbrella para sua TI interna com
dois
objetivos
principais:
• Para
aumentar a proteção contra malware, botnets e brechas:
Como
uma rede de provedores de DNS global, a Umbrella vê 2% da pedidos de
internet do mundo. Aprende rapidamente sobre e bloqueia emergente
ameaças antes de terem uma chance de causar danos.
• Para
obter informações sobre o comportamento dos usuários com risco:
Umbrella gera um registro que mostra todas as atividades na Internet,
independentemente da porta e protocolo. Os logs aumentam a segurança
e as equipes de TI da Cisco capacidades de visibilidade e auditoria.
A
transição para o Umbrella era excepcionalmente simples. "Nós
adicionamos Pownovos controles, sem necessidade de implantar novo
hardware, reconfigurar a rede, realizar extensas análises de
interoperabilidade ou alterar qualquer um dos nossos outros sistemas
", diz Rich West, Cisco Information Security (InfoSec)
arquiteto.
A
Cisco formou uma equipe de oito membros da TI e da InfoSec para
planejar e implementar Umbrella. Os aspectos técnicos da transição
levaram muito pouco tempo. Os membros da equipe passaram a maior
parte do tempo reunindo-se com proprietários de aplicativos e
equipes de operações de rede para explicar os benefícios da
transição e para responder a quaisquer questões relacionadas ao
potencial impactos na aplicação ou no desempenho da rede.
A
conversão foi tão simples como adicionar quatro linhas de código
ao DNS arquivo de configuração nos servidores DNS internos da Cisco
para direcionar consultas para Umbrella. Agora, os servidores DNS da
Cisco solicitam o Umbrella para o DNS recursivo consultas em vez de
perguntar aos vizinhos a montante. A conversão era tão sem costura
que os usuários internos nem sabiam que uma mudança tinha ocorreu.
COMO
UM MÉDICO GLOBAL ROUTS DO FABRICANTE RANSOMWARE
O
desafio: lutar contra desafios de segurança infinitos com finitos
Recursos nas décadas da fundação de 1983, a Octapharma tem
firmemente tornar-se um dos maiores fabricantes de proteínas humanas
do mundo.
Com
uma iniciativa corporativa destinada a duplicar a capacidade de
produção e aumentar as eficiências globais até 2019 agora em
curso, no entanto, a A empresa está experimentando uma expansão sem
precedentes.
O
impacto desse surto de crescimento é evidente ao longo da
organização - mesmo no nível da rede. "À medida que
adicionamos mais funcionários em mais locais usando mais
dispositivos móveis e serviços em nuvem, também adicionamos novas
vulnerabilidades de segurança de rede ", diz Octapharma
Engenheiro sênior da rede sénior Jason Hancock. "Nós vimos um
pico em uma variedade de atividades maliciosas, incluindo o
ransomware ".
"Em
vez de tentar cobrir quaisquer exposições contratando o tipo de
profissionais de segurança treinados já estão em falta,
identificando novos soluções para abordar essas vulnerabilidades e
alinhamento com a organização Objetivos de eficiência tem sido uma
prioridade ", acrescenta "De acordo com esse foco",
diz Hancock, "primeiro precisamos manter a rede diminui a cada
15 minutos e melhora as eficiências tanto para a nossa equipe como
para os usuários. Quando entrei na empresa em 2014, meu objetivo
inicial era estabilizar as coisas para que eu pudesse me concentrar
na prevenção malware progressivamente mais agressivo, como um
CryptoLocker violação que encontramos. "
A
solução: funcionalidade que se encaixa "Antes de chegar à
Octapharma, o time havia trabalhado para alguns tempo de migração
de dispositivos de segurança web local para o serviço de nuvem do
mesmo vendedor, selecionado por um antecessor. Inicialmente estava
Encarregado de completar essa implantação ", lembra Hancock.
"Tão logo Quando vi o que me pediam para trabalhar, sabia que
não iria atender às nossas necessidades ".
"Encontramos
questões significativas que causaram preocupação quanto à
viabilidade
do produto em nosso ambiente, começando pela funcionalidade da
Internet ".
Notas
Hancock, "Nossa equipe recebeu muitos comentários dos usuários
que estavam insatisfeitos com o serviço de Internet, o que foi
atribuído a tanto o serviço da nuvem como o cliente do ponto final
nas máquinas dos usuários ".
"Fora
disso", ele continua, "o conjunto de recursos era
inconsistente com nossas necessidades e houve uma dificuldade
generalizada em toda a equipe em torno da administração. Isso
significava que devíamos fornecer muita formação para apoiar uma
gestão muito detalhada e não intuitiva das políticas e vários
componentes ".
"Depois
de uma implantação norte-americana carregada de problemas, nossa
rede foi baixo em uma base regular. A falta de confiabilidade de não
ter Internet para horas em um momento refletido desfavoravelmente em
nossa equipe, e não foi resolvível através dos canais de suporte
do produto, "Hancock explica. "Finalmente, [o fornecedor]
sugeriu que abandonássemos nossa migração para a nuvem em favor de
aparelhos virtuais, que exigiam o redirecionamento do tráfego de
mais de 50 locais globais, o que não era desejável e em alguns
casos não é possível ".
"Foi
quando eu levantei a mão e disse," a única maneira de resolver
isso o problema é o Cisco Umbrella, e posso fazê-lo implantado e
protegendo nossa rede global dentro de seis semanas. "Depois de
investir tanto em um solução que não funcionou para nós,
estávamos prontos para uma solução que eu sabia da experiência
anterior teriam sucesso: Umbrella. " Os resultados: redução
drástica no ransomware após uma implantação fácil, a Octapharma
viu resultados imediatos. "Desde a nós colocamos o Umbrella no
lugar, não tivemos nenhum compromisso de segurança na web "
Hancock diz"Reduzimos drasticamente nossa exposição ao
ransomware e, como Implementando o Umbrella, não fomos vítimas de
Ransomware como um resultado de clicar em um link malicioso. Na
verdade, vemos dezenas de milhares de blocos por semana devido a
política de segurança; que não conta os blocos com base em
políticas de categorias ", ele acrescenta. "Nós cobrimos
um grande risco em o vetor de ataque da web do ransomware e melhorou
muito o nosso usuário experiência em relação à conectividade com
a Internet ".
Proteção
de pontos finais e endereçamento ameaças por Email
As
ameaças de malware de hoje são mais sofisticadas do que nunca.
Avançado malware, incluindo o ransomware, evolui rapidamente e pode
evadir detecção após ter comprometido um sistema usando vários
métodos, incluindo o seguinte:
»Técnicas
do sono
»Polimorfismo
e metamorfismo
»Criptografia
e ofuscação
»Uso
de protocolos desconhecidos
Ao
mesmo tempo, o malware avançado fornece uma plataforma de lançamento
para um invasor persistente para se mover lateralmente ao longo de um
comprometido rede da organização.
As
campanhas de phishing por e-mail são favoritas - e
surpreendentemente eficaz - vetor de ataque de malware para
cibercriminosos. Recente as variantes do ransomware, como Locky e
Chimera, usam o phishing técnicas para infectar suas vítimas.
As
soluções Cisco Ransomware Defense garantem os pontos finais e
impedem as ameaças de e-mail incluem o Cisco Advanced Malware
Protection (AMP) para Endpoints e Cisco Cloud Email Security com AMP.
Cisco
Advanced Malware Protection (AMP) para pontos finais software de
antimalware tradicional que usa apenas ponto-a-tempo as técnicas de
detecção por si só nunca serão 100% efetivas.
No
entanto, é preciso apenas uma ameaça que evite a detecção para
comprometer todo o seu ambiente. Usando um malware específico para o
contexto, os atacantes sofisticados possuem recursos, conhecimentos e
persistência para as defesas pontuais mais inteligentes. Ponto no
tempo a detecção também é completamente cega para o escopo e a
profundidade de um violar depois de acontecer, tornando as
organizações incapazes de impedir que um surto se espalhe ou impeça
um o ataque de acontecer novamente.
Embora
nenhuma solução antimalware possa remover o ransomware ou
desencriptar
arquivos uma vez que um ponto final está infectado, a Cisco ajuda
organizações detetive proactivamente o ransomware e bloqueie-o
antes dele chega à rede.
Com
base nesta compreensão do malware, a Cisco criou o AMP para pontos
de extremidade para fornecer uma estrutura completa de recursos de
detecção e grande análise de dados para analisar continuamente
arquivos e tráfego em ordem para identificar e bloquear ameaças
avançadas de malware. Sofisticado as técnicas de aprendizagem
mecânica avaliam mais de 400 características associado a cada
arquivo. Segurança retrospectiva - a capacidade olhar para trás no
tempo e rastrear processos, atividades de arquivo e comunicações a
fim de compreender a extensão total de uma infecção, estabelecer
causas raiz e executar remediação - pode detectar e
alertá-lo
para arquivos que ficam maliciosos após a disposição inicial.
Essa
combinação de análise contínua e segurança retrospectiva fornece
proteção avançada de malware que vai além do tradicional detecção
pontual. Detecção em ponto de encontro em comparação com análise
contínua e segurança retrospectiva.
Cisco
Email Security with Advanced Proteção de Malware (AMP)
O
email é uma ferramenta crítica de comunicação empresarial, mas
pode expor organizações para uma ampla gama de ameaças
sofisticadas. Email da Cisco Segurança com Advanced Malware
Protection (AMP) bloqueia o spam e e-mails de phishing e anexos e
URLs maliciosos, que é um vetor de ataque importante para
ransomware. A tecnologia AMP é o mesmo que é aplicado no ponto
final, mas é implantado no gateway de e-mail CISCO BEBE SUA PRAIA
CHAMPANHE
A
Cisco IT depende do Cisco Email Security com a AMP por sua ameaça
estratégia de segurança de e-mail. Como mostra o gráfico abaixo,
Os resultados falam por si!
A
segurança de email da Cisco com a AMP protege o e-mail crítico do
negócio com proteção em camadas que inclui:
»Inteligência
de ameaça global
»Bloqueio
de spam
»Detecção
de Graymail e inscrição segura
»Proteção
avançada contra malwares
»Filtros
de surto
»Rastreamento
de interação na Web
»Controle
de mensagem de saída
»Detecção
forjada de e-mail
"
Prevenção de perda de dados
Protegendo
a rede com NextGeneration Firewalls e Segmentação
Firewalls
de próxima geração da Cisco Firepower focados em ameaças (NGFWs)
oferecem uma defesa de ameaças integrada em toda a continuum de
ataque - antes, durante e depois de um ataque – com visibilidade
incomparável não é possível em firewalls baseados em portas
legados.
A
tecnologia Cisco TrustSec oferece um software dinâmico definido
segmentação de rede. Ele usa a rede existente para granular
políticas de segurança baseadas em função a serem aplicadas em
rede discreta segmentos, independentemente da localização ou
dispositivo do usuário. O resultado é uma segmentação mais
simples que ajuda a prevenir o malware de movendo-se lateralmente
dentro da rede de uma organização; isso pode limitar danos de
malware quando ocorreu uma violação.
Cisco
Firepower Next-Generation Firewall (NGFW)
Firewall
da Próxima Geração da Cisco Firepower (NGFW) com Avançado
Proteção
de Malware (AMP) e tecnologia de sandboxing Grade de Ameaça
bloqueia
ameaças conhecidas e comando e controle (C2) retornos de chamada ao
fornecer análises dinâmicas para malware desconhecido e ameaças.
Cisco Firepower fornece visibilidade e controle precisos da aplicação
(AVC): Identificar e controle o acesso dos usuários a mais de 4.000
comerciais aplicativos, além de suporte para aplicativos
personalizados.
Cisco
Next-Generation IPS: prevenção de ameaças altamente eficaz e uma
consciência contextual completa de usuários, infra-estrutura,
aplicativos e conteúdo ajudam a detectar múltiplos vetores ameaça
e automatiza a resposta de defesa.
»Filtragem
de URL baseada em reputação e categoria: This A filtragem fornece
alertas e controle abrangentes suspeita de tráfego na web. Aplica
políticas em centenas de milhões de URLs em mais de 80 categorias
proteção avançada contra malware: detecção de violação efetiva
com baixo custo total de propriedade (TCO) oferece proteção valor.
Descubra, compreenda e pare o malware e seja emergente ameaças
perdidas por outras camadas de segurança - ativadas com uma licença
de software simples.
Use
a rede como um sensor e aplicador a Cisco usa a rede para reforçar a
política de segurança de forma dinâmica com segmentação definida
por software projetada para reduzir a superfície de ataque geral,
contém ataques impedindo a lateral movimento de ameaças na rede e
minimizar o tempo necessário isolar ameaças quando detectado.
As
soluções Cisco permitem que a própria rede sirva de sensor e
Enforcer. Motor de Serviços de Identidade (ISE) com TrustSec e
Stealthwatch simplifica o provisionamento e gerenciamento de
segurança acesso à rede, proporciona maior visibilidade em rede
anômala atividade, acelera operações de segurança e de forma
consistente. impõe políticas em qualquer lugar da rede. Ao
contrário do controle de acesso mecanismos baseados em topologia de
rede, Cisco TrustSec os controles são definidos usando agrupamentos
de políticas lógicas, então o recurso A segmentação eo acesso
seguro são consistentemente mantidos, mesmo à medida que os
recursos se movem em redes móveis e virtualizadas. O que tudo isso
significa? A aplicação da política TrustSec pode impedir um
ransomware ataque de propagação em toda a sua rede.
A
funcionalidade Cisco TrustSec está incorporada na troca da Cisco,
roteamento, LAN sem fio (WLAN) e produtos de firewall para proteger
ativos e aplicativos em redes corporativas e de centro de dados.
Os
métodos tradicionais de controle de acesso segmentam e protegem
ativos usando LANs virtuais (VLANs) e listas de controle de acesso
(ACLs). Cisco O TrustSec usa políticas de grupo de segurança, que
estão escritas em uma matriz de linguagem simples e desacoplada de
endereços IP e VLANs. Usuários e ativos com a mesma classificação
de função são atribuído a um grupo de segurança.
As
políticas do Cisco TrustSec são criadas centralmente e
automaticamente
distribuídos
em redes com fio, sem fio e VPN para que os usuários
e
os ativos recebem acesso e proteção consistentes à medida que se
movem em redes virtuais e móveis. Segmentação definida pelo
software ajuda a reduzir o tempo gasto em tarefas de engenharia de
rede e validação de conformidade racionalizando implantações e
reforço da resposta ao incidente.
Os
Serviços de Consulta de Segurança da Cisco incluem serviços de
implantação para Soluções Cisco Ransomware Defense incluindo
Firepower e AMP, bem como resposta a incidentes.
A
equipe de Resposta a Incidentes de Serviços de Segurança da Cisco
pode fornecer
»Serviços
proativos de pronta resposta a incidentes para ajudar sua organização
desenvolve e / ou avalia sua resposta de incidente capacidades
»Resposta
de incidente reativo no caso de um ransomware ataque ou outros
incidentes de segurança
Além
disso, o Cisco Safety Integration Services resolve o nível de
solução desafios arquitetônicos. Ele simplifica a implantação de
tecnologias de soluções como Advanced Malware Protection (AMP) para
pontos de extremidade e Firewalls de próxima geração Cisco
Firepower (NGFWs).
COMO
A IMÓVEIS LOGÍSTICA LEADER BOOSTS SECURITY AND
DESEMPENHO
COM CISCO
O
desafio: desenvolver proteção de defesa em profundidade. A
Prologis, Inc., líder mundial em logística imobiliária, locação
moderna instalações de distribuição para uma base diversificada
de aproximadamente 5,200 clientes em duas grandes categorias:
business-to-business e retail / atendimento online. Possui mais de 60
escritórios em 20 países em quatro continentes.
Listado
na Bolsa de Valores de Nova York sob o símbolo PLD, Prologis está
nas empresas mais admiradas do mundo e Topo do mundo 100 listas de
Empresas Sustentáveis.
"Ser
global significa trabalhar em todos os lugares, e ser capaz de
fazê-lo com sucesso significa uma forte dependência da computação
em nuvem ", diz Prologis Security Solutions Architect, Tyler
Warren. "Como a maioria da infra-estrutura de TI da Prologis
está na nuvem, não temos um típico infra-estrutura ou perímetro,
o que pode fazer a identificação de soluções de segurança
difícil."
Como
uma organização global pública, centrada na nuvem, o Prologis
precisa proteger seus sistemas de serem comprometidos e garantir que
não acontece criando sua pilha de segurança é a missão de Warren
"À
medida que vimos aumentar a atividade de ameaça, tornou-se claro que
o Prologis necessário para fortalecer as medidas de segurança
existentes para proteger a rede e proteger usuários dentro e fora da
rede contra atividades mal-intencionadas como reencaminhamento de
comando e controle, malware e phishing ", ele continuou. "Um
modelo de segurança em camadas fez sentido para nós, porque não O
único elemento de segurança é forte o suficiente para pegar tudo
".
A
solução: segurança reforçada que se adapta à pilha e ao pessoal
"Construir nossa pilha de segurança levou alguns testes e
erros. Nós queríamos todos os elementos para serem compatíveis e
capazes de ser perfeitamente integrado sem impacto para os usuários.
E, "observa Warren," eles tiveram que nos proteja onde
trabalhamos: em todo o mundo e na nuvem ".
A
breve lista de bloqueios do Prologis de tipos de conteúdo ofensivo
muito específicos filtragem web necessária, que foi tratada
inicialmente por outro fornecedor.
De
acordo com Warren, "nós achamos difícil de administrar. Mais
importante, não se encaixava no nosso objetivo corporativo de mover
tudo para a nuvem ".
"Precisávamos
de uma camada de segurança que pudesse nos ajudar a combater a
segurança certa questões levantadas pelo uso da Internet dos
funcionários, e também precisávamos pisar até nossa filtragem na
web ", conta ele. "Agradecemos o fato de que Umbrella é a
primeira camada para bloquear a atividade mal-intencionada ".
Na
busca da melhor maneira de atender a essas necessidades, o Prologis
correu testes de prova de conceito com outros três fornecedores e a
Cisco. Depois de eliminando os outros com base em uma variedade de
fatores, incluindo hardware requisitos, complexidade, configuração
de tempo e preço, O Prologis escolheu o Cisco Umbrella.
"Umbrella
atende todas as nossas necessidades", diz Warren. "Ele
aborda nosso específico preocupações de segurança, cuida da
filtragem da web, e cobre o nosso usuários remotos - tudo em uma
única solução baseada em nuvem e facilmente implantada ".
Os
resultados: execução da política com ganhos de desempenho
dramáticos "Não tivemos que esperar muito para ver
resultados", afirma Warren. "A capacidade forçar
consistentemente políticas em todos os lugares - incluindo
off-network
dispositivos
- é extremamente importante para o Prologis ", acrescenta. "O
guarda-chuva a implementação do cliente de roaming foi tão
perfeita que ninguém é mesmo ciente de que está envolvido ".
Quanto
ao bloqueio de atividades e sites mal-intencionados, "nos
últimos seis meses, Nós tivemos apenas quatro a cinco falsos
positivos, e eles eram de países não-americanos. sites. Esse é um
número impressionante; menos de um por mês é verdadeiramente
excepcional ".
Warren
aponta para um aumento significativo no desempenho como mais um
positivo resultado. "Depois de instalar o Umbrella, vimos uma
grande melhoria em desempenho. Por exemplo, na China e no Japão, a
resposta do aplicativo vezes melhorou até 50%. Em nosso escritório
de Denver, um 10MB o tempo de download da nuvem passou de 11,4
segundos antes da implantação a 4.4 segundos depois. Como a maioria
dos aplicativos que o Prologis usa estão na nuvem, o desempenho é
extremamente importante para nós. Cem Por cento dos aplicativos que
usamos ganhos de desempenho experientes ".
Outras
características de Umbrella também provaram ser úteis.
"Automatizado
o
relatório é valioso - especialmente o Cloud Services Report -
porque eu posso compartilhar dados claros e digeríveis sobre o quão
bem o a rede está protegida e a quantidade de TI que está ocorrendo
na nuvem, que tem sido um verdadeiro abridor de olho ", observa
Warren. "O relatório facilita para mim identificar quaisquer
problemas e faz muito a vida das pessoas melhor, sublinhando a
necessidade de nossa defesa – indepth infra-estrutura de segurança
".
"Adicionar
Umbrella à nossa pilha de segurança foi uma ótima decisão todo
mundo está satisfeito com o bem-estar da segurança e desempenho
aprimorados nós experimentamos como resultado de sua implantação
".
»Compreender
os desafios de defesa do ransomware
»Construindo
e implantando um inerentemente ambiente seguro mantendo-o simples
»Automatizando
tarefas para se manter à frente ameaças em rápida evolução Ten
Key Ransomware Takeaways de defesa cobrimos alguns pontos importantes
sobre o Ransomware defesa que vale a pena lembrar!
Ransomware
está evoluindo
Ransomware
é a ameaça de malware de crescimento mais rápido hoje, e está
evoluindo rapidamente. Por exemplo, CryptoWall - um dos mais
campanhas de ransomware lucrativas e de longo alcance na Internet
hoje - foi inicialmente desencadeada em 2014 e bilhões infectados de
arquivos em todo o mundo. Desde então, três variantes adicionais de
CryptoWall foi desenvolvido, cada um mais sofisticado do que é seu
antecessor.
O
ritmo da evolução também está acelerando. Nos últimos três
anos, o número de campanhas e variantes exclusivas do ransomware tem
muitos vezes mais eclipsou o total de campanhas e variantes de
ransomware dos últimos 25 anos desde a primeira campanha de
ransomware – PC Cyborg - foi lançado em 1989. Durante o primeiro
trimestre de 2016, metade das variantes de malware foram descobertas
à medida que o número descoberto durante todo o ano de 2015, e
quase o dobro do total de de 2014.
Vários
fatores contribuíram para o rápido crescimento e evolução de
ransomware, incluindo a onipresença de telefones Android (que se
tornou um vetor de ataque popular), o aumento de Bitcoin
(possibilitando pagamentos fáceis e praticamente intratáveis a
cibercriminosos), e o surgimento do Ransomware-as-a Service (RaaS;
ver a próxima seção), o que torna mais fácil para praticamente
qualquer pessoa use o ransomware.
Ransomware-as-a-Service
É
uma ameaça emergente RaaS emergiu como uma nova ameaça que,
literalmente, torna tão fácil como "um, dois, três" para
praticamente qualquer pessoa com técnicas limitadas habilidades para
se tornar um cibercriminoso. Por exemplo, Tox - um dos As ofertas
RaaS mais antigas conhecidas, descobertas em maio de 2015 - podem ser
baixado da tela escura usando um navegador Tor e depois configurado
da seguinte forma:
1.
Insira um valor de resgate.
2.
Crie uma nota de resgate.
3.
Digite um CAPTCHA para que os criadores do Tox saibam que você não
está um bot.
O
software RaaS está normalmente disponível para download gratuito ou
para um pequena taxa. O lucro real para os criadores do software RaaS
está em o corte que eles tomam dos pagamentos de resgate que são
cobrados - tipicamente de 5% a 30%.
Pagar
um resgate não resolve seus problemas de segurança, para a maioria
das vítimas de ransomware, a maneira mais rápida e fácil, lidar
com o problema é simplesmente pagar o resgate. Contudo,npagando o
resgate - embora você possa ter acesso aos seus arquivos - não
resolve seus problemas.
Na
maioria dos casos, seus arquivos serão descriptografados se você
pagar o resgate, mas não há garantia. Embora seja o melhor dos
cibercriminosos interesses para restaurar seus arquivos se você
pagar o resgate (se um ransomware a campanha ganha reputação por
não descriptografar arquivos quando o resgate é pago, então não
há motivo para as futuras vítimas pagar o resgate), não há honra
entre os ladrões. Isto é particularmente verdade com o surgimento
de RaaS (discutido no precedente seção) porque um cibercriminoso
"novato" pode não ver o maior cenário. Além disso, se a
chave de criptografia não funcionar por algum motivo, você não
pode simplesmente ligar para o serviço ao cliente!
Também
não há garantia de que o perpetrador não tenha instalado outros
malware ou kits de exploração para facilitar futuros ataques
cibernéticos contra sua organização. Uma cópia de seus arquivos
também pode ter sido extratada para outros fins, como a venda da sua
organização informações confidenciais na web escura.
Pagar
um resgate diretamente financia e perpetua o futuro cibercrime.
É
exatamente o mesmo que pagar um resgate aos terroristas ou
estados-nação desonestrados em troca de reféns. Isso encoraja,
incentiva e financia futuros atos desse tipo.
Finalmente,
pagar um resgate não anula o fato de que um serio a violação de
segurança ocorreu em sua organização. Dependendo sobre a natureza,
alcance e circunstâncias da violação, e a regulamentos da
indústria e jurisdições legais que sua organização está
sujeito, você pode ser obrigado a divulgar publicamente a violação
e pagar multas e penalidades severas - tipo de tapa no rosto depois
de pagar um resgate!
Para
mitigar possíveis danos de um ataque de ransomware, as organizações
deve sempre garantir que eles mantenham um bem periódico e conhecido
backups de todos os arquivos importantes e imagens atuais de todos os
sistemas.
Construa
uma arquitetura de segurança em camadas baseado em padrões abertos
Os
padrões abertos e extensíveis permitem um "novo
melhor-de-raça" arquitetura que permite tecnologias de
segurança novas e existentes para seja facilmente integrado em uma
solução abrangente de segurança.
Implantar
integrados, melhores raças soluções
A
defesa em profundidade é uma indústria de segurança há muito
estabelecida melhor
prática.
Infelizmente, até agora, a defesa em profundidade exigiu
organizações para implantar produtos de segurança autônomos (ou
pontos) que não se integram facilmente com outras soluções de
segurança no meio Ambiente.
Com
a arquitetura "nova melhor-raça", as organizações podem
implementar soluções integradas baseadas em portfólio que reduzam
a complexidade no seu ambiente de segurança e melhorar a sua
globalidade postura de segurança.
Incorporar
segurança em todo o seu Ambiente de rede
A
segurança deve ser inerente e penetrante em toda a organização
todo o ambiente de computação, incluindo rede, em todo o data
center, nos pontos de extremidade e no celular dispositivos e na
nuvem.
Reduzir
a complexidade em seu Ambiente de segurança as tecnologias de
segurança devem ser simples de implantar e usar. Complexidade
introduz risco devido à possibilidade de configurações erradas e
erros, e pode potencialmente enterrar importantes indicadores de
compromisso (IoC) e outros pontos de dados em incômodo e detalhado
logs. Não hesite em se apoiar em serviços de segurança de
terceiros e aproveitar sua ampla experiência, a fim de complementar
seu profundo conhecimento e compreensão da sua organização
ambiente e postura de ameaça, para juntar um plano de segurança
integrado e eliminar a complexidade desnecessária.
Aproveite
o tempo baseado na nuvem Inteligência de ameaça Ransomware e outras
ameaças à segurança cibernética estão evoluindo rapidamente.
Os
ataques do dia zero representam a maior ameaça para a maioria das
organizações.
A
inteligência de ameaças em tempo real baseada em nuvem permite que
equipes de TI para implementar as contramedidas mais atualizadas tão
rapidamente quanto possível quando surgirem novas ameaças e
aproveitar os conhecimentos de segurança que se estende muito além
de sua organização.
Automatize
ações de segurança para reduzir o tempo de resposta sempre
que possível, as ações de segurança devem ser automatizadas para
manter ritmo de ameaças que podem se espalhar por toda uma empresa
rede em poucos minutos ou
segundos.
Aqui
estão alguns exemplos de ações de segurança que podem ser
automatizadas:
»Distribuição
e instalação de anti-malware e intrusão arquivos de assinatura do
sistema de prevenção (IPS)
»Cobrança
centralizada, correlação e análise de segurança registros e dados
de ameaças
»Proteção
de ameaças que bloqueia pedidos para destinos mal-intencionados
antes que uma conexão seja estabelecida e pare ameaças sobre
qualquer porta antes de chegarem à sua rede e pontos finais
»Listas
de controle de acesso dinâmico (ACLs), domínio e site listagem
branca / lista negra e criação de regras de firewall
»Provisão
de provisão / desprovisionamento e direitos de acesso gestão
Veja
algo, diga algo
O
Escritório Federal de Investigação dos Estados Unidos (FBI) está
exortando o ransomware vítimas para relatar os seus dados de
infecção, que, por sua vez, dê ao FBI uma visão mais abrangente
do spread e do impacto do Ransomware. O FBI diz que tem sido um
desafio "verificar o número real de vítimas de ransomware
tantas infecções não declarado ".
O
FBI está preocupado com o fato de as vítimas não estarem relatando
infecções por uma série de razões - uma razão principal é que
as vítimas não vejo o ponto em fazê-lo, especialmente se eles
resolverem o problema internamente, pagando o resgate ou limpando o
malware infecção.
O
FBI não defende pagar um resgate. "Pagando um resgate não
garante que a vítima recupere o acesso aos seus dados " de
acordo com o FBI. "Na verdade, alguns indivíduos ou
organizações nunca recebem chaves de descodificação depois de
pagar um resgate.
Pagar
um resgate encoraja o adversário a atacar outras vítimas com fins
lucrativos, e poderia incentivar outros criminosos a participar de
atividades ilícitas semelhantes para obter ganhos financeiros ".
Para
denunciar uma infecção, acesse www.ic3.gov e forneça a segue:
Data
da infecção e informação da empresa vítima (como tipo de
indústria e tamanho do negócio)
»Variante
de Ransomware (identificada na página de resgate ou por a extensão
de arquivo criptografado)
»Como
ocorreu a infecção (por exemplo, um link em um e-mail, navegando na
internet)
»Reembolso
pedido e montante pago (se houver)
»Endereço
da Carteira Bitcoin do atacante (pode estar listado no página de
resgate)
»Perdas
globais associadas a uma infecção por ransomware (incluindo o
montante do resgate e a declaração de impacto da vítima)
