À medida que a evolução da tecnologia amplia as possibilidades de integração e eficiência das empresas, principalmente por meio da internet das coisas (IoT), o aumento de vulnerabilidades associadas ao baixo nível de segurança cibernética corporativa também é evidenciado.
Nesse cenário, o nível de qualidade das ameaças é potencializado e compromete a integridade dos dados, podendo prejudicar fisicamente os sistemas, dado o seu nível de conexão, inclusive com danos à infraestrutura crítica.
De acordo com o relatório Global Risks 2018, do Fórum Econômico Mundial, os ataques aumentaram em relação aos anos anteriores, tanto na prevalência quanto no potencial disruptivo: a quantidade de violações por empresa passou de 68 em 2012 para 130 em 2017. Somente em 2016, 357 milhões de novas variantes de malware foram lançadas.
Por esse motivo, especialistas em segurança de TI reiteraram a necessidade de aumentar a confiança nas tecnologias digitais, para que a mesma inovação que propicia o seu uso ilegal como inteligência artificial e aprendizado de máquina possa evoluir as possibilidades de detecção e combate a intrusões.
Uma das ferramentas responsáveis por garantir maior segurança às organizações é o NGTE (Next Generation Threat Emulation) — solução de sandbox desenvolvido pela Checkpoint, empresa parceira da GetTI que, gentilmente, por meio de Julio Kusman, concedeu a entrevista que embasou este post.
Afinal, o que é NGTE?
O NGTE é uma vertente do NGP (Next Generation Prevention), que atua de forma mais ampla na prevenção de ameaças por meio da prevenção e não apenas detecção.
Por meio de algoritmos, o NGTE:
- identifica as ameaças físicas e lógicas;
- reconfigura os dispositivos para se defender;
- mitiga as vulnerabilidades antes que sejam disseminadas.
Isso acontece porque a detecção de ameaças, como é feito por grande parte das ferramentas disponíveis, é importante, mas para uma segurança avançada é necessário que as soluções não permitam que malwares, ramsonwares etc. — sejam eles conhecidos ou desconhecidos — entrem em redes corporativas.
A disponibilidade da ferramenta é imprescindível nesse sentido, para prevenir quanto a ameaças conhecidas, identificar padrões de atividades incomuns e intrusões potencialmente disruptivas, classificá-las e imobilizá-las até que sejam feitas ações necessárias para impedir sua instalação nos sistemas e ajustá-lo com base nas novas informações.
A Mastercard Inc., por meio de uma triagem minuciosa no recebimento de e-mails, principal meio de acesso corporativo a intrusões, encaminha documentos de alto risco para análise de segurança antes de encaminhá-lo ao destinatário para evitar ataques de phishing.
Como está a situação das empresas quanto à prevenção?
Atualmente, a grande maioria das empresas está vulnerável. Quando, nas décadas de 1980 e 1990, apareceram os primeiros tipos de vírus, foram desenvolvidas as primeiras soluções — antivírus que previnem hardwares contra possíveis ameaças.
Já em meados da década de 1990, foram desenvolvidos os firewalls, que possibilitaram a aplicação de políticas de segurança mais amplas. Nos anos subsequentes, com o aumento na variedade de ameaças, que ainda adquiriram aspectos polimórficos, a inteligência da segurança passou a apresentar novas alternativas.
Apesar disso, muitas empresas mantiveram suas soluções de antivírus e firewalls, adquiridas com o aparecimento dos primeiros vírus, ou seja, a grande maioria ainda se encontra vulnerável quanto a ataques polimórficos, caracterizando uma média de maturidade do mercado ainda baixa.
Na pesquisa da PwC, Global State of Information Security (GSISS), esse fato é evidenciado: apesar da consciência sobre essa situação, 44% das empresas participantes não têm uma estratégia de segurança, 48% não realizam treinamento para os colaboradores e 54% não têm possibilidade de resposta a incidentes de TI.
O setor em que já é possível encontrar soluções mais robustas é composto por instituições financeiras que apresentam criticidade e, por isso, um senso de segurança de TI maior.
Essa falta de preparo e o alto nível de obsolescência permitem perdas incalculáveis quando ocorrem ataques notáveis, como o Wannacry, que afetou 300 mil computadores em 150 países.
Segundo a Ponemon Institute, os custos financeiros dos ataques cibernéticos são atualmente de 11,7 milhões de libras por empresa, o que caracteriza um aumento anual de 27,4%.
Como o NGTE se relaciona com a prevenção?
Tem sido cada vez mais comuns conteúdos dinâmicos — códigos que compõem arquivos — carregarem malwares recentes, de difícil identificação. Chamados de vírus de dia zero, por serem desconhecidos, não são detidos pelos firewalls ou gateways de segurança, pois essas soluções não conseguem fazer a distinção entre o que é ou não ameaça.
Quando esse tipo de intrusão entra na rede corporativa, o NGTE emula o arquivo com conteúdos dinâmicos dentro de um ambiente controlado no gateway ou na nuvem. Sequencialmente, ele analisa o comportamento do arquivo relacionado à quantidade de portas que cria, tentativas de criptografia ou arquivos que manipula.
Se esse tipo de comportamento tipificar um ataque e for nocivo, o NGTE cria uma nova assinatura para os arquivos e atualiza o gateway, tornando o sistema mais seguro.
Como a ação é efetivada?
O arquivo recém-chegado fica preso em quarentena enquanto a emulação acontece em seu conteúdo dinâmico. O NGTE oferece ao usuário final uma cópia segura do arquivo, o que pode dinamizar o acesso à informação pelas empresas, ao mesmo tempo que a mantém segura.
Se o arquivo foi emulado e nada foi encontrado, a cópia do arquivo fornecido é substituída pelo original, não acarretando impacto na gestão da informação, o que não ocorre com antivírus e outras soluções tradicionais.
Dessa forma, o NGTE trabalha o comportamento e não a assinatura (registro) das ameaças, sendo atuante e seguro, independentemente do nível de obsolescência das intrusões.
Quais são os benefícios do NGTE em relação a soluções mais antigas?
-
eleva o nível de segurança da informação sem gerar impacto na rotina organizacional;
-
possibilita integração com todas as soluções de segurança — camada de firewall, antivírus, emulação, entre outros;
-
disponibiliza relatórios de todos os eventos que, correlacionados, apresentam-se com alto nível de detalhamento e facilidade de visualização;
-
protege a informação de forma abrangente, independentemente do local em que está arquivado.
Qual é o principal impeditivo de as empresas não atualizarem suas soluções de segurança?
Muitas vezes, as empresas acreditam estar imunes a ataques muito evoluídos ou quanto à sua inevitabilidade. Dessa forma, não despendem muito esforço na busca de soluções de segurança mais completas ou evitam investir mais nesse tipo de ferramenta, mantendo-se desatualizadas.
O maior impeditivo é a falta de importância dada à segurança da informação no ambiente corporativo. A ocorrência desse tipo de ataque e a crescente interconexão mundial aumentam exponencialmente a vulnerabilidade das empresas, e as consequências abrangem desde interrupções isoladas e temporárias até choques sistêmicos radicais e irreversíveis.
Uma política de segurança bem estruturada na infraestrutura de TI é fator-chave para o sucesso das ferramentas implementadas, sendo imprescindível manter a segurança também nos equipamentos de endpoints (laptops, tablets, smartphones e outros dispositivos) e uma solução robusta garantida por serviços gerenciados.
Uma plataforma centralizada de gerenciamento permite correlacionar todos os eventos e garantir segurança ampla. A GetTI implementa e otimiza o NGTE e outros serviços gerenciados, com equipamentos atualizados e práticas de segurança de dados inovadoras.
Quer conhecer melhor essas soluções? Entre em contato com a GetTI!