Prevenir e conter ransomware com Cisco Umbrella e AMP for Endpoints

Com a mobilidade empresarial, a informação das organizações será acedida a partir de redes não controladas. Por outro lado, nem sempre os colaboradores utilizarão VPN quando estão a utilizar serviços de Cloud. Se a VPN não está sempre ativa, a única defesa que resta é o tradicional antivírus, que não é suficiente para fazer face às novas ameaças.

Por outro lado, no passado, as filiais passavam todo o tráfego através da sede, pelo que tinham o mesmo nível de proteção. Contudo muitas têm hoje acesso direto à Internet, muitas vezes com políticas de segurança diferentes da sede. Os ataques são, cada vez mais, feitos através do elo mais fraco entre a rede da organização, a rede das filiais e os utilizadores, móveis ou não. Desta forma, as organizações precisam de estender a proteção para além do perímetro.

As organizações deverão pensar não apenas em proteger o tráfego Web, mas toda a atividade de Internet em todas as portas e protocolos. Embora muitos dos command and control (C2) maliciosos utilizem as portas tradicionais como a 80 ou a 443, a maior parte dos ataques utilizam outras portas para fazer a comunicação com a infraestrutura maliciosa para roubar ou encriptar os dados.

Assim, as organizações deverão ter uma solução de segurança que deverá proteger de toda a atividade da Internet sem necessitar de full proxy ou de mecanismos de segurança complexos.

Cisco Umbrella

Ao analisar e aprender padrões de atividade da Internet, o Cisco Umbrella, de uma forma automática, protege a organização das ameaças conhecidas e emergentes. Igualmente, de uma forma proativa, bloqueia pedidos maliciosos ainda antes de chegarem à rede ou a endpoints da organização.

A solução previne os periféricos de se ligarem a sites maliciosos, ainda antes de se efetuar o download do ficheiro ou uma conexão IP. Com o Cisco Umbrella a organização poderá evitar as infeções de malware e phishing, identificar os periféricos infetados mais rapidamente e prevenir o roubo de informação.

Reunir inteligência em ataques que envolvem a rede da organização é vital, mas é fundamental que possa de uma forma simples aplicar essa inteligência. O Cisco Umbrella bloqueia as novas ameaças para além do perímetro de rede da organização, em todos os lugares onde os colaboradores da organização trabalhem. Como está construído sobre a base da Internet e é uma solução cloud, o Cisco Umbrella fornece uma visibilidade completa da atividade da Internet entre todas as localizações e utilizadores.

Assim, o Cisco Umbrella funciona como a primeira linha de defesa. Desta forma, as equipas de segurança terão poucas infeções de malware para remediar e as ameaças irão parar antes de causar qualquer dano.

Ao mesmo tempo, evita Commands and Control callbacks independentemente da porta ou do protocolo e fornece relatórios em tempo real desta atividade, entregando visibilidade crucial para resposta aos incidentes. O Cisco Umbrella é o produto de segurança mais simples de instalar. Apenas terá de apontar o DNS para o IP da rede global do Umbrella e automaticamente estará a proteger todos os equipamentos da rede, filiais e utilizadores móveis. E, como é fornecido pela Cloud, o Cisco Umbrella fornece uma plataforma de segurança efetiva que é aberta, automatizada e fácil de utilizar, sendo a primeira linha de defesa contra as ameaças da Internet, independentemente de onde os utilizadores se situem.

Cisco AMP for Endpoints

Cisco Advanced Malware Protection (AMP) for endpoints fornece proteção point-in-time contra ficheiros de malware conhecidos e utiliza análise contínua e segurança restropetiva para detetar malware que escapou na inspeção inicial.

Utilizando a combinação de assinaturas de ficheiros, reputação dos ficheiros, indicadores de comportamento e sandboxing, o AMP pode parar a execução inicial do exploit box no endpoint e, pode também, parar a execução de ficheiros de ransomware e apagar os mesmos.

Ao mesmo tempo, o AMP continua a analisar e registar toda a atividade dos ficheiros de um sistema. Se, mais tarde, o ficheiro se comportar de uma forma suspeita, o AMP retrospetivamente deteta e alerta a equipa de segurança.

O AMP fornece um histórico de registos detalhados do comportamento do malware ao longo do tempo, incluindo onde e como entrou na rede, por onde andou e o que está a fazer. Baseado num conjunto de políticas, o AMP pode de uma forma automática conter e remediar a ameaça, ou permitir que a equipa de segurança possa, de uma forma manual, bloquear e remediar através de uns simples cliques na consola.

Conclusão

Os ataques de Ransomware continuam a aumentar em persistência, roubo, discrição bem como em potenciais danos e custos. A capacidade dos ataques de ransomware poderem desativar completamente redes inteiras estende os seus danos muito mais além do valor monetário necessário, comprometendo o acesso aos sistemas críticos. Poderá ser catastrófico se um ataque de ransomware acontecer na organização.

As soluções de Cisco Umbrella e Cisco AMP for endpoints são duas soluções de segurança que ajudam a proteger a organização destes ataques e permitem que o negócio continue a funcionar continuamente.

Advertorial

Artigo elaborado por Cisco e Comstor