S.Labs
A IT Security e a Infoblox organizaram um pequeno-almoço executivo dedicado ao tema da prevenção precoce para ameaças inteligentes. Representantes de várias organizações portuguesas estiveram presentes para partilharem a sua experiência e pontos de vista sobre o tema.
30/07/2024
O atual mercado exige soluções avançadas para gerir serviços críticos de rede em ambientes físicos, virtuais e em cloud. Os cibercriminosos encontram no DNS uma porta de entrada e de acesso aos dados. De forma a evitar este cenário, é necessário que o DNS seja rápido, confiável e seguro. A IT Security e a Infoblox organizaram um pequeno-almoço executivo no passado mês de junho, onde estiveram presentes representantes de organizações portuguesas, dos mais variados setores de atividade, para abordarem as estratégias de prevenção precoce para ameaças inteligentes. Com o tema “AI/ML road to anticipation”, Joaquín Gómez, Cybersecurity Sales Lead Southern Europe da Infoblox, começou por alertar para o facto de existirem muitos dados ao nível do DNS que não estão a ser monitorizados, o que pode representar uma porta aberta para os cibercriminosos. Hoje, a cada segundo, são criados dois domínios; por dia, o total ascende a 200 mil. De acordo com os dados apresentados, 85% destes novos domínios são ou serão maliciosos. “Muitos tipos de ataques começam com um novo domínio ou um domínio malicioso que é localizado. O DNS está a ser usado cada vez mais para ataques”, referiu Joaquín Gómez. De facto, 92% dos ataques de malware recorrem ao DNS. Para fazer face a esta problemática, a Infoblox procura responder com uma deteção precoce do domínio, antes que um possível ataque ocorra.
“Nós estamos a criar a nossa inteligência na escala do DNS. Não nos concentramos no que o malware está a fazer no dispositivo; estamos focados em compreender como é que esse malware chega aos dispositivos, como é que é distribuído”, referiu Joaquín Gómez.
Juan Salazar, CISO da IQVIA: “Qual a etapa que se segue a partir do momento em que a solução da Infoblox tem o conhecimento daquilo que são domínios suspeitos recém-criados? Se o cliente está a fazer requisição para este domínio suspeito, do ponto de vista da Infoblox, já começam a ter indícios de que este domínio que era considerado suspeito passe a ter requisições, ou tentativas de requisições por um cliente, por diversos clientes. Qual é o input de informação para a cadeia de clientes ou para a infraestrutura de maneira geral? Porque deixa de ser um suspeito para passar a ser uma ameaça”
Miguel Gonçalves, CISO da CUF: “Comecei a ver, nos últimos tempos, a utilização, por exemplo, de letras de alfabeto cirílico para emular um site, por exemplo, em vez de ser cuf.pt, ficava igual a CUF, mas a letra ‘u’ em cirílico significa outra coisa qualquer. Isto em sites que ainda não estão classificados pelas nossas firewalls”
Paulo Martins, IT Director do Sport Lisboa e Benfica: “Nós temos avaliado a Infoblox há algum tempo, mais na perspetiva de resiliência e performance para a complexidade de LAN e de redes que temos dentro da organização. Não tínhamos ainda analisado a componente DNS mais de exterior, ransomware. Estamos mais a olhar para uma perspetiva para proteger mais os utilizadores remotos. Acho que é um caminho, porque para a parte de segurança temos cada vez mais produtos, cada um para fazer um pouco de tudo”
Carlos Silva, CISO, Banco CTT: “Claramente estas soluções é onde a questão da inteligência artificial se aplica com mais propriedade. Até para detetarmos as pequenas alterações na criação dos domínios. Falou-se em 35 patentes nesta deteção. Na realidade, nós achamos que todas estas soluções já trazem inteligência artificial e já andamos a falar de machine learning há dez, 15 anos, por exemplo, e aí está à base de tudo isto”
Rui Sousa Gil, IT Director da José Mello Capital: “É essencial trabalhar todas as camadas, tendo em conta o risco que estamos a enfrentar. Daí que eu tento estar sempre à procura deste tipo de soluções para mitigar riscos específicos. Numa experiência anterior, a Infoblox resolveu um conjunto de riscos com os quais eu era confrontado logo no período de pedidos iniciais”
Rafael Ferreira, Security Operation Center Manager, Banco de Portugal: “A consolidação é a palavra-chave para nós, equipas de segurança, porque acabamos por ter muitas tecnologias de diversos fabricantes. Consolidar toda esta informação de segurança é um desafio e pode tornar a tarefa de obter uma visão holística dos sistemas bastante complexa. Neste sentido, sabemos que a introdução do machine learning e da inteligência artificial revela- -se uma grande mais-valia, porque nos permite traçar padrões muito mais rapidamente”
Miguel Borges, IT Manager da Galucho: “As soluções que se encontram no mercado dos próprios fabricantes são um pouco mais abrangentes, fazendo várias coisas, mesmo que possam não ser melhores neste contexto concreto, e acabam por dar uma resposta mais provável àquilo que é a realidade de empresas mais pequenas em Portugal”
João Cavaco, IT Director da Inspeção Geral da Educação e Ciência: “Estas situações, estes produtos, parecem-me essenciais. A dificuldade que eu tenho é, não podendo chegar lá diretamente, esperando que eles estejam incluídos noutra solução, que arquiteturas é que nós temos de ter para aceder. Parece-me que são essenciais, temos mesmo de ter acesso, os riscos são elevados”
Nuno Gaspar, CISO da Viagens Abreu: “Temos os DNS que estão internos, estão dentro da nossa infraestrutura, mas o que se nota mais, por exemplo, no nosso caso, são os DDoS, tem sido uma coisa brutal nos últimos tempos. Estamos a bloqueá-los a nível de firewall, vamos bloqueando os DDoS, mas o que nós notamos mesmo, tendo os DNS internos, dentro de casa, têm sido os DDoS”
Conteúdo co-produzido pela MediaNext e pela Infoblox |