Cibersegurança
Protegendo a Infraestrutura Contra Ransomware – Líderes de Pensamento
Por Dr. Aviv Yehezkel, co-fundador e CTO, Cynamics
Desde hospitais até escolas e fábricas de embalagem de carne, nenhuma indústria é insignificante para os atacantes de ransomware. O ransomware custará às empresas dos EUA $3,68 bilhões apenas este ano. Operadores de rede e segurança precisam de cobertura de rede de alto nível para prevenir e mitigar ataques de ransomware. A complexidade crescente das arquiteturas – que inclui componentes legados no local, virtuais e em nuvem em execução na rede – tornou quase impossível obter visibilidade completa. O status quo não está funcionando. Uma nova abordagem é necessária.
Soluções atuais não atendem às demandas da rede
Além de se tornarem mais complexas, as redes também aumentaram em tamanho, escala e volume. Em todos os setores, essas redes lidam com quantidades massivas de dados que continuam a crescer em volume e envolvem mais pontos de extremidade, mais conectividade (interna e externa) e mais sites de rede (físicos e/ou lógicos). Enquanto as redes estão aumentando exponencialmente em escala e complexidade, a maioria das soluções de segurança ainda depende de abordagens tradicionais, como dispositivos e agentes. E esses não são feitos para esses níveis de complexidade e volumes de dados.
As soluções atuais de detecção e resposta de rede (NDR) ainda são baseadas em uma abordagem destinada a redes de um tempo mais simples. As soluções são laboriosas, caras para implementar e cada vez menos eficazes. Elas envolvem a colocação de dispositivos, sensores e/ou sondas que coletam e analisam os dados da rede. No entanto, não é possível cobrir a rede inteira com esses dispositivos. Eles exigem a análise de 100% dos dados da rede – o que não é prático. Isso obriga as empresas a fazerem concessões todos os dias, limitando a cobertura e a detecção a pequenas porções da rede, deixando a maior parte da rede como um ponto cego vulnerável.
Além disso, a maioria dos provedores de NDR usa uma abordagem baseada em dispositivos que acessa ou expande portas para analisar o tráfego de rede. Isso não escala facilmente e expande a superfície de ataque de uma organização como uma porta de entrada direta para o núcleo da rede do cliente, como foi notado muitas vezes no ano passado com os ataques de “pandemia” de cadeia de suprimentos. No ambiente digital interconectado de hoje, essa abordagem falha em fornecer transparência suficiente em redes inteligentes cada vez mais complexas e deixa as organizações vulneráveis a pontos cegos.
Problemas com visibilidade e novidade
A maioria dos ataques de ransomware começa com uma violação da rede que é normalmente possível por meio de uma vulnerabilidade na periferia da rede. E os atores mal-intencionados começarão a se mover pela sua rede e tentarão maximizar os danos, saltando de um lugar para outro, até infectar hosts suficientes para serem usados no ataque. Eles encontrarão os pontos cegos que não estão sendo monitorados – quando você deixa áreas descobertas, cria muito espaço para que os cibercriminosos se esgueirem.
Há outro problema significativo: com a maioria das soluções de detecção, a novidade passa despercebida. Elas são treinadas para procurar assinaturas e regras muito específicas associadas a atividades de ransomware conhecidas. Mas novas variações e tipos de ataques de ransomware estão sendo desenvolvidos o tempo todo – e mesmo uma pequena mudança nas assinaturas que essas ferramentas são treinadas para detectar e sinalizar pode fazer com que o ataque passe despercebido.
O papel da IA e do ML
Analistas humanos, por mais inteligentes e capazes que sejam, simplesmente não podem monitorar as redes de hoje sozinhos – e você não pode cobrir a rede inteira com dispositivos e agentes. Mas deixar porções da sua rede descobertas não é uma opção. Atacantes e cibercriminosos estão sempre à procura de maneiras de infiltrar e se esgueirar para dentro.
Como você pode superar esses desafios? Técnicas de inteligência artificial (IA) e aprendizado de máquina (ML) podem desempenhar um papel fundamental na detecção e resposta de rede. O ML pode ser usado para inferir o comportamento do tráfego de rede de 100% com base em uma amostra de apenas uma pequena fração dos dados da rede. E, em seguida, pode aprender automaticamente se um padrão de rede é legítimo ou suspeito e “entender” autonomamente as tendências em mudança na rede.
O que torna o ML e a IA tão úteis é sua capacidade de detectar padrões ocultos que sinalizam ataques – para revelar o que está realmente acontecendo nas redes em tempo real. Isso elimina a necessidade impraticável e cara de cobrir a rede inteira. Isso também ajuda a resolver o problema mencionado acima sobre a evolução contínua de novas formas de ataques de ransomware.
Inovação necessária
O ransomware é implacável. É óbvio que as soluções de segurança legadas não estão funcionando ou acompanhando o ritmo do panorama de ameaças em evolução. É uma praga que custa bilhões de dólares às organizações; parece incontrolável, mas deve ser controlado. Mas isso é mais fácil de dizer do que de fazer quando a maioria das redes está se tornando cada vez mais complexa e inclui uma mistura de componentes legados e novos.
Os cibercriminosos estão aproveitando ao máximo a IA, então os operadores de rede também precisam. Uma nova estratégia de segurança deve incluir NDR baseada em IA e amostragem. Soluções desse tipo usam uma pequena porção do tráfego de rede para aprender o que é normal para a rede inteira, permitindo visibilidade que de outra forma não seria possível. É um exemplo das soluções inovadoras necessárias para ficar à frente do ransomware e das muitas outras ameaças de rede em operação hoje.
