Opinion

Defesa em tempo real para ambientes multicloud contra ameaças e ataques maliciosos

As organizações de hoje têm uma grande dificuldade em implementar uma deteção de ameaças em tempo real devido à infraestrutura multicloud, o que gera a possibilidade de os cibercriminosos explorarem as fragilidades do ambiente

Por Sergio Pedroche, country manager de Qualys para Espanha e Portugal . 03/03/2023

Defesa em tempo real para ambientes multicloud contra ameaças e ataques maliciosos

As abordagens tradicionais baseadas em assinaturas são ineficazes neste ponto e existe a necessidade de uma abordagem baseada na inteligência artificial que ajudará a detetar tanto as ameaças conhecidas, como desconhecidas, que evoluem com uma elevada frequência. Esta questão exige um novo paradigma de segurança para abordar as preocupações descritas abaixo:

1. Focar-se apenas na consolidação ou no patching e não na deteção de ameaças

Em muitas ferramentas de segurança na cloud, o foco está em rever o estado de base da infraestrutura, detetando configurações erradas e violações de conformidade que possam existir. Esta abordagem tem permitido que vulnerabilidades de elevada severidade permaneçam sem reparação durante semanas, porque é muito difícil atualizar os sistemas de produção sem desativar todo o sistema. É, portanto, essencial uma ferramenta que permita a monitorização contínua dos ativos na cloud à medida que as workloads são executadas, o que assegurará a proteção contra ameaças e ataques à medida que estes correm.

2. A deteção de ameaças com base em assinaturas e sandboxes continua a ser predominante

Existe ainda uma grande quantidade de ferramentas de segurança que dependem de motores baseados em assinaturas e sandboxes de malware para detetar ameaças, o que pressupõe que todas as ameaças são conhecidas antecipadamente e serão detetadas de acordo com as suas características ou comportamento prévio. A realidade é outra: estes sistemas de deteção podem ser facilmente contornados com uma simples modificação. É aqui que a inteligência artificial e a formação de redes neurais podem trazer um elevado valor na deteção de ameaças conhecidas e desconhecidas que não são reconhecidas pelos métodos tradicionais de deteção.

3. O scan periódico sem agente negligencia o malware a nível de protocolo

Para fornecer serviços de software de segurança sem exigir o uso de agentes, algumas ferramentas de segurança implementaram uma abordagem que utiliza snapshots ou instantâneos periódicos de sistemas de ficheiros para analisar máquinas virtuais ou ambientes de containers sem instalar agentes. No entanto, existe a possibilidade de esta abordagem não detetar ameaças que não estejam escritas num sistema de ficheiros. Tais ameaças manifestam-se apenas no tráfego de rede ou na memória de uma máquina. Um problema com estas soluções, é que ignoram manifestações típicas de infeção, como o tráfego de Comando e Controlo (que é uma componente chave para determinar a fase inicial de um ataque), ataques de força bruta, movimentos laterais ou exfiltração de dados.

Para identificar todas as ameaças é fundamental uma monitorização contínua do tráfego da rede na cloud em tempo real e as organizações atuais que operam em ambientes multi-cloud precisam de confiar numa plataforma de deteção e resposta que utilize algoritmos de IA e aprendizagem profunda, capaz de satisfazer os seguintes requisitos:

  • Detetar uma exploração ativa e mitigar o risco em tempo de execução: Inspecionar o tráfego de rede para comunicações suspeitas, atividade não autorizada, cryptomining, malware e comunicações C2;
  • Detetar ameaças de zero-day: Ao contrário das abordagens baseadas em assinaturas ou padrões, uma abordagem baseada em IA pode detetar novas ameaças com base no contexto e na aprendizagem adquirida;
  • Detetar ameaças em qualquer fase: Conseguir detetar todas as técnicas e táticas da estrutura MITRE ATT&CK com proteção adicional contra ataques emergentes baseados na cloud;
  • Implementação sem agentes em múltiplas clouds sem fricção: Isto permite uma rápida geração de valor nesses ambientes combinados e uma enorme facilidade na implementação;
  • Melhor priorização de riscos com base em dados de tempo de execução: Para melhorar a segurança, é necessário identificar o contexto de forma dinâmica e tomar as medidas necessárias de forma automática.

Porque, em última análise, o que as empresas precisam hoje em dia é de tecnologia precisa, que proporcione deteção em segundos, que não dependa de assinaturas desatualizadas e funcione de forma nativa com a infraestrutura da cloud para proporcionar visibilidade e conformidade em todo o ecossistema.

Isto deverá abranger o maior número possível de ameaças atuais, como, por exemplo comunicações de Comando e Controlo, incluindo Beaconing (uma técnica através da qual os atacantes verificam se estão dentro do alvo e se estão prontos para continuar o ataque), realizando uma análise e inspeção do tráfego Norte-Sul, o que pode ajudar a identificar atores maliciosos específicos ou malware que comunica com os seus centros de controlo.

Deve, também, permitir-nos saber se existem movimentos laterais, ou seja, antecipar o próximo passo do atacante, que, uma vez obtido o acesso, requer reconhecimento para determinar para onde se deslocar a seguir ou que recursos estão disponíveis para a infiltração. O SSH e o RDP são dois protocolos úteis para detetar estes movimentos laterais.

Também será necessário abordar a exfiltração de dados – visto que, uma vez comprometidos os ativos, o atacante roubará os dados ou emitirá um pedido de resgate -, assim como a cryptomining, identificando as comunicações que utilizam a interface JSON-RPC sobre HTTP, um modus operandi clássico destes ataques.

A solução de segurança para a cloud moderna

Existe, claramente, um problema com a abordagem da segurança na cloud, uma vez que está assente na recolha e análise manual de dados em silos independentes, o que aumenta os tempos de resposta e, como resultado, aumenta o risco significativamente. 

É, portanto, essencial ter uma plataforma única na cloud que forneça continuamente o contexto do nosso ambiente e a inteligência suficiente para ser capaz não só de detetar, mas, também, de prever e antecipar o máximo possível. Além disso, ser capaz de orquestrar a nossa gestão de risco de forma automatizada nestes ambientes é fundamental para o negócio.

Isto permitirá às equipas de segurança concentrarem-se em tarefas mais complexas e de maior valor para as empresas, apoiadas por tecnologia inovadora que satisfaz as necessidades dos atuais ambientes da cloud.


RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº20 Outubro 2024

IT SECURITY Nº20 Outubro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.