Conheça os principais benefícios das soluções da Cylance

[av_image src=’http://www.proof.com.br/wp-content/uploads/2017/01/AI-845×321.png’ attachment=’6595′ attachment_size=’entry_with_sidebar’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

Conheça os principais benefícios das soluções da Cylance

[/av_textblock]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_textblock size=” font_color=” color=”]
Para entender os benefícios, custos e riscos associados aos investimentos em soluções da Cylance, a Forrester entrevistou o CISO do governo de um grande condado dos Estados Unidos, e produziu o relatório Total Economic Impact™ (TEI) of Cylance, que avalia o potencial retorno de investimento (ROI) que as empresas podem obter ao investir na solução de proteção avançada CylancePROTECT®, e seus serviços de implantação e configuração, ThreatZero™.

O propósito do estudo é oferecer um framework de avaliação do potencial impacto da CylancePROTECT® e da ThreatZero™ em diversas organizações e mostrar como soluções de antivírus e cibersegurança avançada podem ajudar a conquistar, atender e reter clientes.

A CylancePROTECT® é uma solução de segurança da informação preditiva de próxima geração, que traz capacidades de inteligência artificial para prevenir a execução de malwares em endpoints em tempo real.

O produto geralmente é implementado com o ThreatZero™, um serviço contínuo de planejamento, integração e otimização da solução, que geralmente inclui a educação e o treinamento do usuário final, bem como total suporte na eliminação de ameaças e incidentes de segurança.

O CISO do governo do condado dos Estados Unidos já usava outras soluções de segurança, mas contava com um processo de mitigação de ameaças altamente manual que sobrecarregava a equipe e os recursos da TI.

As soluções também falhavam em prevenir ataques ao sistema de maneira preditiva.

Com as soluções da Cylance combinadas, a organização conseguiu reduzir significativamente as violações de segurança, chegando a quase zero.

A equipe de segurança da informação passou a ser capaz de identificar malwares antes que eles ganhassem acesso a registros públicos, reduzindo significativamente os custos de remediação e resposta a incidentes, e aumentando a produtividade da equipe de TI e segurança da informação.

Segundo o relatório, o condado americano obteve ROI e benefícios consideráveis e custos reduzidos.

De acordo com a análise, ao longo de três anos, a organização obteve benefícios de mais de US$ 7 milhões, enquanto os custos ficaram em torno de US$ 2,2 milhões.

Além disso, o condado obteve um valor presente líquido de mais de US$ 5,5 milhões durante o período de três anos do estudo.

O ROI em três anos, segundo o estudo, chegou a 251%.

Os benefícios quantificados incluem ainda a redução de custos devido à prevenção e à detecção de incidentes em tempo real antes que eles causassem danos à rede, à redução dos custos com a recuperação de endpoints e remediação de ameaças e ao equivalente a tempo completo de produtividade da equipe de TI e segurança.

O que levou o CISO a buscar a Cylance?

O condado americano era regularmente infestado de malwares e outros ataques, apesar de não contar com muitos registros de grandes violações públicas.

O objetivo da organização era manter baixos níveis de grandes violações de segurança com uma solução que oferecesse uma abordagem proativa de combate às ameaças e melhor capacidade de bloquear malwares do tipo zero-day.

Ao mesmo tempo, os times de TI e segurança também gastavam muito tempo na detecção de dispositivos infectados, deixando a organização mais vulnerável a outros riscos.

O condado americano já contava com outros fornecedores de soluções de segurança do endpoint, mas tinha de desempenhar processos de mitigação de ameaças altamente manuais para malwares do tipo zero-day e ameaças mais sofisticadas, que podiam ser identificadas pelas soluções presentes no ambiente da organização, mas não eram mitigadas automaticamente.

Isso gerava altos custos com a reconfiguração de máquinas, além de reduzir a produtividade do usuário final. Por causa disso, os recursos internos ficavam sob constante pressão.

Além disso, apesar de não contar com grandes violações em seu histórico, outros condados da região não estavam tendo tanta sorte.

Muitos sofreram violações de dados relacionadas a registros públicos e informações de segurança social.

Diante deste cenário, o condado passou a procurar por uma solução com melhor capacidade proativa.

Benefícios obtidos com a Cylance

De acordo com o relatório da Forrester, a implementação das soluções da Cylance trouxe uma série de benefícios ao governo do condado americano, como maior capacidade de identificar malwares do tipo zero-day, redução no tempo gasto com a remediação e a reconfiguração de dispositivos comprometidos, redução na possibilidade de violações de dados e redução nos requisitos de memória e hardware.

“Antes da Cylance, tínhamos de gastar muito tempo perseguindo problemas e reconfigurando máquinas. Esse custo não apenas reduzia a produtividade do usuário final, mas também ocupava nosso time interno de TI e segurança”, explica o CISO do condado.

O governo do condado citou ainda outro importante benefício da implementação das soluções da Cylance no ambiente: o sentimento psicológico de segurança trazido pelas soluções CylancePROTECT® e ThreatZero™.

O CISO notou que essa sensação de segurança ajudou a melhorar a moral dos funcionários do departamento de TI e aliviou os funcionários do sentimento de “viver no limite” devido à possibilidade constante de sérios ataques de malwares e violações de dados.

“Odeio dizer isso, mas a agonia dos meus colegas me permitiu justificar os meios.Os números de violações de dados dos últimos anos, o custo de recuperação de uma violação e a perda de confiança pública foram grandes incentivadores para nós”, afirma o CISO.

Menor incidência de ameaças do tipo zero-day e riscos de violação

Para o governo do condado o maior benefício quantificável da implementação do CylancePROTECT® no ambiente foi a habilidade de reduzir o risco de ataques do tipo zero-day.

Segundo o CISO da organização, antes da solução, o condado era 100% vulnerável a ataques cibernéticos e violações de dados.

A organização conta com cerca de 20 mil registros de clientes e estima que, caso haja uma violação de dados, cada dado perdido custe US$ 400.

Antes da implementação das soluções da Cylance, as possibilidades de violação ficavam por volta de 30%.

Segundo o relatório, o condado reduziu vulnerabilidades do tipo zero-day em 99%, representando uma economia anual de custos de US$ 2,37 milhões.

Antes, os problemas de segurança resultavam em uma média de seis remediações e reconfigurações de endpoint por mês.

Cada um desses problemas custava cerca de 12 horas de trabalho da equipe de TI e segurança, que tinha de identificar e implementar uma solução.

Os problemas também geravam 12 horas de downtime para cada usuário afetado.

A organização também ganhou a capacidade de agir de maneira proativa não só contra ataques do tipo zero-day, mas também em ataques baseados em memória e documentos maliciosos.

Isso resultou em um aumento da eficiência da equipe de TI e segurança.

Com o ThreatZero™, o condado aprendeu as melhores práticas de arquitetura da rede, gestão de patches e serviços que podem ser vulneráveis a ataques maliciosos.

“Antes que um exploit tenha chances de gravar algo no disco, estamos em modo de proteção de memória. Isso também nos protege da execução de scripts e programas maliciosos em tempo real”, afirma o CISO do governo do condado americano.

Tenha acesso ao relatório completo The Total Economic Impact™ of Cylance.

PROOF é a primeira empresa do Brasil a oferecer Cylance em MSS

Desde o último ano a PROOF é parceira da Cylance no Brasil, tornando-se a primeira empresa de serviços gerenciados de segurança (em inglês, managed security services – MSS) a oferecer uma solução de next-generation antivírus (NGAV) no Brasil.

As ameaças do tipo zero-day aumentaram 125% entre 2014 e 2015, tornando soluções como as da Cylance críticas para o negócio.

A PROOF alia um serviço especializado de segurança com uma das melhores soluções contra ameaças do tipo zero-day, ransomwares e outros ataques avançados. Saiba mais sobre os produtos da Cylance fornecidos pela PROOF.
[/av_textblock]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_blog blog_type=’taxonomy’ link=’post_tag,211′ blog_style=’blog-grid’ columns=’3′ contents=’title_read_more’ content_length=’content’ preview_mode=’custom’ image_size=’medium’ items=’3′ offset=’0′ paginate=’no’ conditional=”]

NGAV devem substituir as soluções tradicionais 

Analistas preveem que, nos próximos cinco anos, o mercado de antivírus de próxima geração (Next Generation Antivírus, na sigla em inglês) deverá crescer a uma margem de 60% ao ano.

E esse crescimento será impulsionado pela demanda do mercado em obter soluções mais robustas, e que possam prevenir os ataques a partir do endpoint, e que utilizam como gatilho o comportamento do usuário final.

Embora o UBA (User Behaviour Analytics) faça o endereçamento essas demandas, ele não previne a infecção, e age apenas na detecção da ameaça quando já está agindo internamente.

Aliás, qual é a principal diferença dos antivírus de próxima geração em relação às soluções atuais de segurança?

Os antivírus tradicionais não conseguem fazer a prevenção, como veremos mais abaixo, e as ferramentas baseadas em UBA agem somente depois que o código malicioso está em ação na rede.

A partir deste ponto, é impossível definir qual é a extensão dos danos causados.

A questão é que os antivírus tradicionais não conseguem prevenir ou detectar qualquer tipo Ameaça Persistente Avançada (ATP, na sigla em inglês), por causa do seu alto grau de complexidade.

Apenas soluções que envolvem várias técnicas de prevenção e detecção estão prontas para mitigar este tipo de ataque.

Por que os tradicionais antivírus não funcionam mais?

Os antivírus tradicionais, ao longo de sua história, sempre funcionaram varrendo os arquivos à procura de algum tipo de assinatura – ou seja, pedaços de códigos encontrados em outros tipos de ataques e já documentados.

As bases de dados das assinaturas, distribuídas pelas empresas de antivírus, acabam se revelando um método efetivo somente para as ameaças tradicionais – para esse novo tipo de ataque, são ineficientes por várias razões.

O número de códigos maliciosos e sua velocidade de criação são enormes – e, com isso, as bases de dados de assinaturas só vão aumentando.

Mais do que isso, o método de assinaturas é totalmente ineficaz contra ataques de dia zero (zero-day) – cujo código nunca foi visto antes.

Para coibir a complexidade dessas ameaças, o mais eficaz é utilizar sistemas que possam detectar malware com base no fato de que o código é malicioso – e irá se comportar como tal.

Sistemas tradicionais não conseguem fazer essa detecção pelo simples motivo de que não conseguem “aprender” com o comportamento da máquina.

Ou seja: é preciso utilizar técnicas de Inteligência Artificial para permitir a identificação de padrões de comportamento de máquina além da assinatura.

Machine Learning

Antivírus de próxima geração têm como base machine learning (aprendizado de máquina) e Inteligência Artificial.

Essas ferramentas têm seus algoritmos treinados para reconhecer se um determinado elemento é seguro ou não, a partir do aprendizado prévio.

Uma vez que os algoritmos estejam “treinados”, estão prontos para trabalhar com desafios reais e determinar o que é seguro e o que não é.

Aparentemente o problema estaria resolvido, mas a questão vai além.

Eventualmente, é possível que um arquivo seguro seja classificado como “inseguro”, ou uma aplicação seja bloqueada.

Nesses casos, como funciona um antivírus de próxima geração baseado em Inteligência Artificial?

Irá testar o arquivo para determinar seu grau de confiabilidade.

Se realmente houver uma ameaça, a AI (Artificial Intelligence) é capaz de utilizar esse conhecimento para mitigar ataques futuros.

Artificial Intelligence

Muitas empresas de Segurança da Informação estão desenvolvendo pesquisas voltadas para Inteligência Artificial – não é possível ignorar a tendência, principalmente com a complexidade cada vez mais alta dos ataques.

E uma delas é a norte-americana Cylance, que baseia seu antivírus de próxima geração em Inteligência Artificial.

A Cylance se especializou em criar proteção para o endpoint a partir do aprendizado de máquina, e não das assinaturas reativas.

A Cylance detecta e bloqueia ameaças conhecidas e desconhecidas.

E isso é possível porque a empresa desenvolveu uma plataforma de pesquisa baseada em machine learning que utiliza algoritmos e Inteligência Artificial para analisar e classificar milhares de características por arquivo, compartimentando-os até um nível atômico para decidir se um objeto é seguro ou não, em tempo real.

Como isso funciona?

Pense em como a máquina consegue distinguir a fotografia de um gato da de um cachorro. Cães e gatos têm orelhas e narizes, e são peludos. Para fazer essa distinção, é preciso analisar um volume enorme de detalhes.

O mesmo acontece ao tentar distinguir um PDF seguro de um código malicioso: não há um indicador único.

A rede de Inteligência Artificial precisa examinar uma enorme quantidade de dados para fazer um julgamento confiável.

A abordagem matemática da Cylance permite a interrupção de qualquer código malicioso, independente se o sistema tem algum conhecimento prévio daquele código, ou se o código está utilizando algum tipo de técnica para coibir sua identificação.

Recentemente, a PROOF fechou uma parceria com a Cylance para incorporar às ferramentas da fabricante ao seu serviço de MSS, que se tornou o primeiro no Brasil a oferecer soluções de antivírus de próxima geração.

As soluções de da Cylance são capazes de prevenir ameaças avançadas, do tipo zero-day e ransomwares, complementando ou substituindo os antivírus tradicionais.

Contra o Ransomware

Os antivírus de próxima geração são especialmente eficazes quando se trata do ransomware – uma das maiores ameaças de 2016, que consumiu recursos e tirou o sono de vários gestores.

Isso porque é muito fácil obter um código malicioso de ransomware – não é preciso que o criminoso tenha sequer conhecimentos específicos.

Para agravar a situação, o ransomware não está mais sendo utilizado para somente sequestro de dados e pedido de resgate.

Em alguns casos, o ransomware é usado como uma distração para acobertar um crime mais grave: primeiro o criminoso rouba credenciais, e depois criptografa as informações para manter o time de TI ocupado enquanto informações mais importantes ou sensíveis são roubadas.

No caso do ransomware, empresas como a Cylance também possuem soluções que endereçam essas ameaças de maneira mais efetiva, atuando na prevenção do problema.

O aprendizado de máquina e a Inteligência Artificial permitem realizar ações de prevenção altamente eficazes contra esse tipo de ameaça – que não é detectável pelo antivírus tradicional e embora possa ser identificada pelas ferramentas UBA, é possível que o aviso seja emitido tarde demais.

Ataques Zero-day

Em um teste realizado em janeiro deste ano, 140 códigos maliciosos de ataques zero-day rodaram em uma máquina de testes que utiliza o CylancePROTECT.

A ferramenta permitiu que apenas três códigos maliciosos fossem executados na máquina – um deles foi bloqueado na execução, e os outros dois seguiram.

O resultado do teste mostrou que a solução da Cylance bloqueou 97.9% das ameaças zero-day.

Mais do que isso, o modelo matemático utilizado pelo CylancePROTECT nesse teste foi o mesmo criado em setembro de 2015, e não teve qualquer atualização.

Ao contrário dos antivírus tradicionais, que precisam ter sua base atualizada, a Inteligência Artificial desenvolvida pela Cylance permite a prevenção de ataques complexos e desconhecidos.

Outro teste realizado pela Cylance consistiu em 14.658 amostras de malware, dividido em várias categorias diferentes, como backdoors, bots, vírus, worms, downloaders, aplicativos para roubo de senhas, entre outros.

Deste total, ao menos 97% foram bloqueados antes de serem executados.

Dados da Kaspersky estimam que o Brasil concentra 92,31% de todos os casos de ransomware na América Latina.

Além disso, informações do ISTR Symantec 2016 revelam que os ataques de ransomware cresceram 35% em relação ao ano de 2015, sendo registrados cerca de 992 ataques por dia.

Preocupante, não?

Prevenção vs Detecção e Resposta

Existe uma grande discussão sobre a necessidade de mudar a abordagem da segurança da informação de um foco em prevenção para dar mais ênfase à parte de detecção e resposta.

Afinal, em um mundo onde devemos assumir que todos já foram invadidos, a estratégia lógica é investir em identificação e contenção rápida das ameaças. 

Isso não significa que as empresas devam deixar de investir em práticas de prevenção, como a correção de vulnerabilidades, no entanto, o debate sobre prevenção, detecção e resposta gerou uma série de equívocos e falsas expectativas. 

A ideia geral é a de que tecnologias e abordagens preventivas, como gestão de vulnerabilidades e sistemas de prevenção de intrusão, não são suficientes para mitigar várias das ameaças mais avançadas e modernas e que, por isso, as empresas precisam investir mais em detecção de ameaças e resposta a incidentes. 

Infelizmente, alguns interpretaram isso como “não gaste dinheiro com prevenção”, o que é totalmente equivocado.

Alguns críticos ainda argumentam que velhas vulnerabilidades ainda são responsáveis por 85% da exploração do tráfego de dados pelos cibercriminosos, segundo o relatório DataBreach Report 2016 da Verizon. 

Usar isso como argumento é extremamente arriscado, pois não há uma interpretação correta das causas e do impacto desse problema.

Em geral, os hackers buscam essas falhas antigas porque estão buscando algo fácil que possa trazer grande retorno, trata-se de oportunismo.

Isso não significa que as falhas de segurança novas não possam ser usadas também. 

Como contra-argumento, podemos usar a seguinte estatística: 63% das violações de dados confirmadas envolvem senhas fracas ou roubadas.

Uma boa estratégia de prevenção poderia evitar o problema das senhas fracas, reforçando a necessidade de senhas fortes, por exemplo. 

Porém, essa estratégia irá por água abaixo se as senhas forem roubadas.

Nesse caso, o monitoramento de acesso e das atividades do usuário vai oferecer um controle mais assertivo, pois vai identificar quando um usuário falso estiver tentando se passar por usuário legítimo. 

Crie uma estratégia balanceada 

Se sua empresa conta com uma boa estratégia de prevenção, é provável que um hacker insistente tente obter acesso não autorizado à sua rede de outras maneiras, usando técnicas de engenharia social e malwares do tipo zero-day, por exemplo.

Nesses casos, a prevenção pode fazer pouco pela sua segurança e, se você não contar com uma estratégia e tecnologias de detecção e resposta, estará praticamente “cego” quando o assunto for ameaças avançadas. 

Isso mostra que as empresas precisam investir cada vez mais em uma abordagem que privilegie a detecção e a resposta, mas as tecnologias de prevenção ainda são a base de qualquer bom programa de segurança, pois, sem isso, é impossível proteger seu ambiente contra as ameaças mais básicas. 

Ferramentas de prevenção tornam a vida do hacker mais difícil, pois os forçam a recorrer a técnicas mais sofisticadas de invasão.

Com isso, o cibercriminoso é obrigado a fazer “barulho” e é detectado mais facilmente pelos sistemas de detecção e resposta. 

Ou seja, uma boa estratégia de segurança deve prevenir o que pode e detectar e responder o resto.

Deixar de investir em prevenção ou confiar que apenas a prevenção será capaz de cuidar de todas as ameaças atuais pode ser extremamente arriscado para o negócio.

Uma boa estratégia de segurança da informação deve ser bem balanceada entre prevenção, detecção e resposta. 

Entenda o que precisa mudar na sua estratégia de segurança para se proteger no atual cenário de ameaças: 

Gestão de vulnerabilidades 

Apesar de algumas falhas de segurança serem mais complexas, o mais comum é que a maioria das vulnerabilidades seja resolvida com a aplicação de patches e a reconfiguração da infraestrutura existente.

O desafio é quando há mais falhas de segurança do que recursos para corrigi-las. 

Para lidar de maneira efetiva com vulnerabilidades conhecidas, é preciso priorizá-las de acordo com a criticidade e o valor dos ativos corporativos afetados e com o custo e o tempo para resolvê-las de maneira efetiva. 

Informações do Data Breach Investigation Report, da Verizon, indicam que apenas 5% das falhas de segurança de 2014 se originaram durante o período.

A maioria datava de muito tempo atrás, incluindo década de 1990. 

Boa priorização pode reduzir consideravelmente a lista de gestão de patches, transformando uma relação de tarefas sem fim em uma ferramenta útil na tomada de decisões. 

Ameaças desconhecidas 

Todos os dias surgem novas ameaças e nem todos os vetores de ataque são bem compreendidos – alguns são mais criativos e não tão óbvios.

Os softwares baseados em assinaturas ainda tem um papel importante, mas as novas exigências de detecção e resposta exigem padrões de atividades diferenciadas.

Por essa razão, as empresas precisam de feeds de inteligência em segurança. 

O primeiro passo é contextualizar as ameaças e sua relevância na empresa.

Isso envolve um grande trabalho manual, que exige bastante habilidade da equipe de TI para analisar indicadores que podem chegar a qualquer momento por meio de diversas aplicações. 

Muitos analistas podem fazer um bom trabalho, mas a tendência é que isso seja cada vez mais automatizado por meio de ferramentas capazes de correlacionar dados de segurança de diferentes fontes para reduzir o tempo de detecção de ameaças, incluindo até a análise de feeds de inteligência em segurança. 

Violações de dados 

Uma grande empresa geralmente tem mais de 60 diferentes produtos de segurança em seu ambiente para evitar violações de dados.

Infelizmente, isso não é garantia de nada.

Vários indicadores de violações de dados estão escondidos dentro de aplicações de segurança, mas muitas empresas não são capazes de identificá-los. 

Uma das causas desse problema é que a maioria das soluções de segurança não se integra e é disposta em diferentes silos.

Uma pode ser excepcional em uma tarefa, mas pode falhar em outra se não detecta pequenas alterações que se correlacionam com atividades detectadas na rede

Uma solução capaz de correlacionar dados de diversos sistemas é essencial para reduzir o tempo de detecção de uma violação. 

Investimento em detecção cresce a cada dia 

As equipes de segurança da informação estão cada vez mais conscientes de que é praticamente impossível prevenir todos os ataques à rede e ao usuário.

Isso tem causado mudanças no modo de investir em segurança. 

Dados divulgados pelo Gartner no último ano estimam que as equipes de segurança gastam cerca de 10% do budget com produtos focados em detecção de intrusos dentro da rede atualmente.

Segundo o instituto, isso deve subir para 75% em 2020

A necessidade de detectar ameaças avançadas e responder a elas com rapidez, tem feito com que muitas empresas passassem a implementar uma série de novos produtos com foco em detecção e resposta rápida.

Essas aplicações atuam identificando como o “bom” tráfego se parece para então detectar anomalias e prever falhas. 

No entanto, o simples gasto com softwares de segurança caros de detecção e resposta não é suficiente para manter o ambiente seguro.

Muitas empresas acabam investindo em controles que acham que vão resolver todos os seus problemas, mas, a rigor, não estão agregando em nada à segurança

Ransomware, o que você sabe sobre essa ameaça?

[av_image src=’http://www.proof.com.br/wp-content/uploads/2016/12/RANSOM-1030×517-1.jpg’ attachment=’6531′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

Ransomware, o que você sabe sobre essa ameaça?

Ransomware, ransom + malware. Ransom, do inglês, é resgate. Enquanto “malware” é um malicious software (ou software malicioso). Só de ler o nome da ameaça, já é possível imaginar do que ela é capaz.

E você sabe quantos ataques de ransomware ocorreram nos últimos anos? 269 mil em 2014, 362 mil em 2015 e 463 mil em 2016. Depois do incidente de sexta, não serial irreal considerar que 2017 vá terminar bem pior.

Importante frisar estatísticas da Symantec são apenas da variante de crypto-ransomware, sem contar outras categorias menos populares como o Scareware e Lock-screen.

A ameaça é uma espécie de malware que se instala no sistema da vítima e restringe seu acesso a dados e programas.

Trata-se de uma espécie de “sequestro” dos dados, em que o único objetivo é cobrar da vítima um resgate para que ela possa acessar novamente suas informações e ter suas informações restauradas. 

Como o ataque começa?

Esse tipo de ataque geralmente começa com um e-mail contendo um malware anexado ou um link para um site malicioso, ou ainda um pop-up ad que aparece na tela do usuário, dizendo que ele foi infectado e que, para encontrar a solução, precisa clicar no link fornecido. 

Depois de cair no golpe, o usuário logo descobre que seu sistema foi invadido por algum malware que pode criptografar todos os dados no seu HD, tornando-o inutilizável, ou criar um novo registro master boot para o drive.

Logo aparece uma mensagem dos hackers exigindo o pagamento de uma quantia em bitcoins para fornecer a chave para descriptografar o arquivo e restaurar os sistemas. 

Como essa do ransomware WannaCrypt0r do famoso episódio de sexta-feira, 12 de maio.

O valor do resgate pode variar de acordo com o tipo de malware, podendo ultrapassar US$ 1000 por máquina, dependendo de empresa atacada. Nesse caso, os cibercriminosos pediram “apenas” US$ 300 dólares.

Dependendo do tipo de malware que atacou a organização, o ransomware pode vir ainda com recursos para pressionar a vítima para que pague rapidamente o resgate – como aumentar o valor do pagamento depois de um certo período de tempo, apagar uma quantidade específica de arquivos de tempos em tempos até que o resgate seja pago, ou ainda exibir imagens pornográficas aleatórias na tela (causando grande constrangimento no ambiente de trabalho, por exemplo). 

Novamente, nesse caso do WannaCry, o valor do resgate era válido por três dias. A partir do quarto, subia para 600 dólares e, se não fosse pago em até sete dias, os dados seriam corrompidos pra sempre.

Quer entender tudo sobre ransomware? Então baixe nosso eBook e saiba todos os detalhes da ameaça!

O bitcoin, a criptomoeda virtual que fica armazenada em carteira digitais na nuvem ou no computador do usuário, é sempre usado para pedir o pagamento do resgate, pois impede que os dados sejam rastreados. Se quiser entender mais, leia nosso artigo sobre Blockchain, a rede que valida as transações de bitcoin.

Existe ainda a possibilidade de os cibercriminosos não cumprirem sua promessa e simplesmente não oferecerem as chaves de descriptografia necessárias para restaurar os sistemas.

Vale lembrar que os ransomwares geralmente incluem um spyware que pode permanecer na rede mesmo depois de restaurar os sistemas, gravando teclas digitadas, movimentos do mouse e outros dados. 

Você deve se preocupar com o ransomware? 

Como esse tipo de software malicioso pode ser adquirido facilmente e traz grandes retornos para os cibercriminosos, o ransomware deve se tornar cada vez mais comum e destrutivo.

As vítimas geralmente pagam o valor pedido para obter acesso a seus dados, pois acham que é melhor do que gastar tempo e dinheiro tentando restabelecer os sistemas.

Dados divulgados pelo FBI este ano revelam que, nos Estados Unidos, as empresas gastaram mais de US$ 325 milhões com resgates de ransomware apenas nos três primeiros meses do ano – a estatística leva em conta apenas as perdas reportadas pelas vítimas. O ano terminou com prejuízo na casa do um bilhão de dólares.

Um relatório divulgado em junho deste ano pela PhishMe sugere que, no fim do mês de março, 93% das mensagens de phishing nos Estados Unidos continham ransomwares. Assustador, não?

E pensar que o phishing é o principal vetor de ataque pelo qual o ransomware é infectado nas máquinas

No Brasil, dados da Kaspersky estimam que o país seja o mais afetado pelos ataques de ransomware na América Latina e alguns casos recentes mostram o poder de destruição dessa ameaça em empresas de diversos tamanhos. 

Enquanto a Trend Micro caminha nas mesmas conclusões.

No segundo semestre de 2016, a Trend Micro fez uma pesquisa sobre ataques de Ransomware e consultou mais de 500 empresas brasileiras e da América Latina. O resultado foi que 51% das empresas brasileiras tiveram algum tipo de incidente em 2015.

Casos recentes 

Há, claro,  o famoso e recente caso do Ransomware Wanna Cry  do episódio dessa sexta-feira, 12 de maio.

Uma série de ataques em escala global fazendo uso de uma versão atualizada do crypto-ransomware, WanaCrypt0r 2.0 impactou organizações públicas e privadas ao redor do mundo, passando de 150 países e 200 mil máquinas infectadas.

Empresas como BBVA, KPMG, Teléfonica Espanha, Petrobras, até mesmo o INSS e o Ministério Público de São Paulo foram atacados. Muitos de seus funcionários foram instruídos a desligarem suas máquinas.

Mas também há outros casos conhecidos no mercado sobre infecções do malware.

Por exemplo, em fevereiro, hackers criptografaram dados do Hollywood Presbyterian Medical Center, em Los Angeles, deixando computadores offline por mais de uma semana até que os cibercriminossos recebessem US$ 17 mil.

Em março, o Methodist Hospital, no Kentucky, nos Estados Unidos, sofreu um caso semelhante – na ocasião, a empresa usou um backup e não pagou nada aos cibercriminosos. 

Na primeira semana do mês de junho, um relatório divulgado no veículo australiano The Sydney Morning Herald, revelou que pelo menos 10 mil pessoas tinham sido vítimas de um e-mail scam de ransomware que tentavam se passar pela empresa de energia australiana AGL.

As mensagens falsas foram enviadas aos clientes da empresa como se fossem boletos, pedindo para que fizessem download de uma cópia da conta, um arquivo fechado com ZIP. A ameaça, ao se instalar no computador das vítimas, exigia um pagamento de cerca de US$ 640. 

Em julho deste ano, por exemplo, o grupo Anonymous sequestrou dados da Anatel –  Agência Nacional de Telecomunicações.

No caso, em vez de pedir o pagamento de um resgate, o malware pediu um posicionamento mais firme da empresa sobre o fim da franquia de dados na internet, assunto que esteve em alta na mídia durante o período e revoltou usuários brasileiros. 

Como funciona o ransomware 

O funcionamento do ransomware pode variar de acordo com a variante usada pelo criminoso e pela família do malware.

Os vetores primários de infecção também podem mudar. Continue acompanhando o post e conheça as principais variantes, famílias e vetores de infecção do ransomware.

Variantes de ransomware 

  • Criptográfico: trata-se da forma mais clássica do ransomware. Malwares desse tipo podem criptografar todo o HD da vítima, e demandam o pagamento para fornecer a chave para descriptografar os arquivos. 
  • Lock-screen: esse malware trava o funcionamento da máquina na tela que exige o pagamento da vítima. Em alguns casos, o cibercriminoso tenta se passar por um órgão governamental cobrando uma multa. 
  • Scareware: essa variante de ransomware indica erroneamente que o computador da vítima está com problemas e exige um pagamento para solucioná-los. O computador continuará funcionando, mas a vítima receberá uma série de alertas e não conseguirá acessar alguns programas. 

Vetores de ataque de ransomware 

  • Malvertising: Campanhas maliciosas iludem a vítima para que clique em anúncios que levam a páginas falsas. Baixe o plugin do AdBlock aqui.
  • Outros computadores infectados: Os ransomwares infectam facilmente outros arquivos dentro da rede. Separe sua rede!
  • “Cracks” piratas: Cracks ou keygens presentes em sites de torrent podem também infectar a máquina com ransomware. Diga não a pirataria. 

Principais famílias de ransomware 

  • Cerber: O ransomware Cerber é distribuído por meio de e-mails de spam. Depois de infectar arquivos, ele adiciona extensão “.cerber” e pede que o pagamento do resgate seja feito em até 7 dias. 
  • Cryptolocker: Usa técnicas de engenharia social para persuadir a vítima a fazer download do malware. Quando o usuário abre o arquivo malicioso, o ransomware gera uma série de chaves de criptografia.
  • Cryptowall: Quando se instala na máquina, a ameaça comprime um código binário com uma série de instruções que dão a ele a capacidade de burlar o antivírus e criptografar os arquivos. 
  • Jigsaw: O nome faz referência ao personagem da franquia Jogos Mortais. A ameaça deleta arquivos de hora em hora para pressionar a vítima a pagar o resgate o mais rápido possível. 
  • Locky: O ransomware, que se espalha por meio de campanhas de spam e sites comprometidos, adiciona a extensão “.locky” aos arquivos criptografados. 
  • Petya: Essa variante de ransomware, que se espalha por meio de um link do Dropbox, é capaz de criptografar um HD inteiro de uma só vez. Profissionais de RH são seu principal alvo. 
  • Wanna Cry: Os ataques WanaCrypt0r iniciam seu ciclo a uma organização através de um ataque de phishing via e-mail que inclui um link ou documento PDF maliciosos. O ataque de phishing, obtendo sucesso, resulta na entrega do ransomware WanaCrypt0r na máquina local e consequente tentative de espalhar-se em larga escala na rede utilizando protocolo SMB, atacando a vulnerabilidade ‘EternalBlue’ (CVE-2017-0144) em sistemas operacionais Windows e que foi corrigida pela Microsoft em março de 2017 com o patch MS17-010. 

Proteja-se do ransomware 

Para evitar os ataques de ransomware, as empresas precisam investir cada vez mais em segurança, especialmente em ferramentas de prevenção, pois pouco pode ser feito depois que o ransomware já está na rede. 

Os softwares de próxima geração, como o next-generation antivirus (NGAV), são mais efetivos contra o ransomware do que as ferramentas tradicionais, que dependem de blacklists e detecções dinâmicas.

Além de soluções mais modernas de prevenção, processos eficazes de backup e restauração de dados podem salvar a empresa nesses momentos.

Com uma boa estratégia de backup, basta limpar o malware e restaurar os sistemas sem ter que pagar o resgate.
[/av_textblock]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_one_half first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/ransomware-saber.png’ attachment=’7032′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

10 COISAS QUE VOCÊ PRECISA SABER SOBRE RANSOMWARE

[/av_textblock]
[/av_one_half]

[av_one_half min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/NGAV-CYLANCE-1030×709.png’ attachment=’6462′ attachment_size=’large’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ngav-cylance’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

NEXT GENERATION ANTIVÍRUS

[/av_textblock]
[/av_one_half]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_textblock size=” font_color=” color=”]

QUER CONHECER UM POUCO MAIS SOBRE OS CONTEÚDOS DA PROOF?

ENTÃO CONFERE NOSSO BLOG

[/av_textblock]

[av_postslider link=’post_tag,162′ columns=’3′ items=’6′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_social_share title=” style=” buttons=”]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_comments_list]

7 razões pra você mudar para um NGAV

[av_textblock size=” font_color=” color=”]

7 razões pra você mudar para um NGAV

[/av_textblock]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2016/12/NGAV.AV_.jpg’ attachment=’6385′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_textblock size=” font_color=” color=”]
Se nos últimos anos a principal preocupação dos gestores de Segurança da Informação foi garantir que criminosos não conseguissem avançar utilizando brechas na rede, ou vulnerabilidades em aplicações.

Nesse percurso, um aspecto ficou bastante desprotegido: o endpoint.

Durante todo esse período, gestores confiaram nas tradicionais soluções de antivírus para trazer segurança ao usuário final. 

Acontece que o cenário mudou, e muito, quando ameaças complexas entraram no jogo.

As ATPs (Ameaças Persistentes Avançadas) entraram no jogo e tiraram, definitivamente, o sono do gestor de Segurança da Informação.

Isso porque esse tipo de ataque é geralmente direcionado a uma indústria em particular, e por conta disso, há muita engenharia social envolvida.

Por este motivo, inclusive, a porta de entrada é geralmente o usuário final, que é atraído à armadilha e levado a fazer o download de algum potencial código malicioso.

Esse tipo de ataque é desenhado para infectar a rede e comprometer ativos e informações sem ser percebido até que todo o estrago já tenha sido feito. 

A melhor defesa para os ATPs é uma forte proteção no endpoint e a utilização de um antivírus de próxima geração (Next-Generation Antivirus), solução que trabalha com um número variado de técnicas de prevenção, garantindo que nenhuma possibilidade de execução do código malicioso e invasão seja levada adiante.  

.

O que as empresas devem esperar de um antivírus de próxima geração? 

A proteção deve estar no cerne de uma solução para endpoint e as empresas devem procurar por soluções avançadas que auxiliam em todos os estágios de um ataque.

No primeiro estágio, de prevenção, a ferramenta deve conseguir interromper o funcionamento do malware antes que ele seja executado.

O segundo estágio é o de prevenção – a ferramenta deve agir na identificação rápida da ameaça, caso seja executada.

O terceiro estágio é o de resposta, ou seja, a ferramenta precisa agir imediatamente uma vez que a ameaça é detectada. 

Conheça as sete razões pelas quais a sua empresa deve adotar soluções de antivírus de próxima geração: 

.

1. Ajuda o gestor no controle da variável mais difícil: o comportamento do usuário

Gestores de SI sabem que o aspecto mais difícil na gestão da segurança é o controle do comportamento do usuário.

Tecnologias UBA podem auxiliar na identificação do problema, mas fazem pouco quando o assunto é prevenção.

Entre o download do código malicioso e sua identificação –por meio do UBA– pode haver semanas ou até mesmo meses.

Neste sentido, os antivírus de próxima geração são primordiais para prevenir as ameaças antes mesmo de chegarem ao ambiente interno. 

.

2. Auxilia na prevenção efetiva

Uma proteção avançada para endpoint deve conter técnicas que detenham ameaças já bem mapeadas pelo mercado.

Ferramentas que contenham uma camada extra de software que execute ações preventivas contra ameaças conhecidas são capazes de bloquear possíveis invasões.

Para que isso realmente funcione, é preciso contar com um fornecedor que tenha um banco de dados de ameaças realmente atualizado –e mais do que isso, que forneça updates regulares à ferramenta no cliente.   

A prevenção basicamente deve manter focar em evitar a ameaça antes mesmo que ela alcance o usuário, eliminando a possibilidade de contágio.

Isso pode ser feito a partir da prevenção à exposição, evitando páginas web suspeitas de abrigarem código malicioso, e controlando devices que são utilizados no dia a dia, mas que podem originar um ataque, como pendrives.  

.

3. Realiza a detecção dinâmica de vulnerabilidades

Utilizar vulnerabilidades de código como vantagem para invadir é uma técnica sofisticada.

Nesse contexto estão as ameaças de engenharia social que induzem o usuário a baixar arquivos e que são potenciais ameaças para invasões mais elaboradas.

A proteção ao endpoint deve incluir ferramentas anti-exploit, e que evitam ataques que utilizam vulnerabilidades envolvendo aplicações ou recursos de memória.

Isso é possível se a ferramenta trabalhar a partir do método do ataquem e não apenas atuar na prevenção utilizando o escaneamento do código shell.

Essa abordagem, aliás, é muito mais efetiva, já que os métodos de invasão não variam tanto – pelo menos não o seu cerne, ao contrário do código shell, muito fácil de ser modificado. 

.

4. Faz a detecção dinâmica do malware

Detectar e bloquear ataques com alvo fixo ou um exploit de dia zero precisa ser uma das principais funções de uma ferramenta efetiva de proteção do endpoint.

E isso envolve monitoramento em tempo real e análise de comportamento de aplicações e processos, com base nas atividades desempenhadas pelo sistema operacional, incluindo memória, disco, registro, rede entre outros.

Já que vários ataques começam utilizando esses processos de sistema e aplicações para mascarar suas atividades, a habilidade de inspecionar a execução desses processos e compreender seu contexto real de execução é a chave.

Esse método de detecção é mais efetivo quando roda no próprio equipamento – permitindo resguardar o endpoint mesmo quando ele está offline. 

.

5. Mitigação

Detectar ameaças é necessário, mas não é suficiente.

A habilidade de realizar ações de mitigação deve ser também uma parte integral de proteção ao endpoint.

As opções de mitigação de ameaças devem se basear nas políticas da empresa, e serem flexíveis o suficiente para cobrir um número abrangente de casos de uso, como a inclusão de arquivos em quarentena, a interrupção de processos suspeitos, a desconexão de uma máquina infectada da rede, até mesmo seu desligamento completo.

A mitigação deve ser automatizada e periodizada.

A mitigação rápida durante os estágios iniciais do ciclo de vida do malware minimizam os danos e aceleram a remediação.  

.

6. Remediação

Durante sua execução um malware geralmente cria, modifica ou apaga arquivos de sistema e registro, e altera configurações.

Essas alterações, ou o que é deixado para traz, pode causar mau funcionamento do sistema e instabilidade.

A ferramenta de proteção do endpoint deve estar apta a restabelecer o equipamento para seu estado antes do ataque, enquanto faz o log do que foi alterado e do que foi remediado com sucesso.  

.

7. Forensics

Já que nenhuma tecnologia é 100% efetiva, a habilidade de investigar em tempo real as origens do ataque também é uma função importante em uma ferramenta de proteção ao endpoint.

Ter visibilidade da atividade maliciosa no endpoint é essencial para o rápido entendimento do escopo do ataque e para a adoção de medidas apropriadas. 

.

É possível obter tudo isso de uma única solução? 

A partir dessas informações, as organizações precisam escolher entre obter uma solução de antivírus de próxima geração que integre as necessidades de proteção, prevenção, detecção e remediação, ou contar com várias soluções, de fornecedores diferentes, o que vai fatalmente exigir que haja integração manual das soluções.

Mais do que isso: as ferramentas precisarão conversar entre si para correlacionar e priorizar alertas.

O principal desafio, na segunda opção, é que é necessário haver sempre a intervenção manual para analisar os dados das soluções de maneira individual, a fim de se coordenar uma resposta.

Para muitas empresas de médio porte, isso significa dedicar recursos que vão pesar no orçamento e acabar deixando outros projetos a descoberto.  

Ou seja, um antivírus de próxima geração que seja efetivo precisa cobrir todos os pontos de maneira automatizada, e depender o mínimo de qualquer intervenção operacional humana para seu correto funcionamento. 

Gostou do nosso material?

Que tal conferir alguns dos nossos outros eBooks?

[/av_textblock]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_one_half first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/NGAV-CYLANCE-300×206.png’ attachment=’6462′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ngav-cylance’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

ANTIVÍRUS DE PRÓXIMA GERAÇÃO

[/av_textblock]
[/av_one_half]

[av_one_half min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/cylanceprotect-300×209.png’ attachment=’6461′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/cylance_protect’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

CYLANCE PROTECT

[/av_textblock]

[/av_one_half]