Os primeiros dias da Internet, quando o software antivírus era a única proteção contra ameaças online, já se foram. Novas ferramentas como Endpoint Detection and Response (EDR) foram desenvolvidas para preencher a lacuna à medida que os antivírus se tornavam incapazes de impedir novas formas de ataques cibernéticos, como malware.
Mas mesmo o EDR tradicional tem seus pontos fracos – principalmente o fato de ele só registrar ameaças depois que elas penetrarem no seu sistema. Sua organização precisa de uma solução de segurança de endpoint de confiança zero que interrompa as ameaças antes que elas sejam executadas em seu ambiente.
Do antivírus à detecção e resposta de endpoints
O desenvolvimento de ferramentas EDR foi o próximo passo na resiliência cibernética depois que os antivírus começaram a ficar para trás em sua capacidade de impedir malware.
A luta começou quando a taxa de criação e distribuição de novos malwares superou em muito a taxa de registro e prevenção de danos. O passo mais lógico a tomar foi desenvolver uma ferramenta de segurança cibernética que pudesse identificar malware pelas ações realizadas, e não apenas pelo código.
Os especialistas em segurança cibernética trabalham continuamente para melhorar as ferramentas de EDR para melhor detectar e responder às ameaças com mais rapidez e precisão, introduzindo estratégias que incluem, mas não se limitam a:
- Inteligência artificial (IA): O recente boom da IA ajudou as ferramentas de segurança cibernética a identificar malware com mais frequência e com menos falsos positivos ou negativos.
- Resposta automatizada a incidentes: A maioria dos EDRs tradicionais possui automações para agir assim que o EDR percebe uma ameaça potencial.
- Detecção e resposta gerenciadas: As organizações podem terceirizar o gerenciamento de ferramentas EDR para um fornecedor de produtos. Os fornecedores delegam uma equipe interna para supervisionar alertas e tomar ações adicionais após quaisquer respostas automatizadas, ao mesmo tempo que notificam o cliente.
O problema com EDRs tradicionais
Usando a ofuscação de malware, os agentes de ameaças podem contornar técnicas de identificação de EDR, como analisar o comportamento de malware programado para agir como um usuário final e reconhecer assinaturas ou características de malware em comparação com malware conhecido.
Além disso, os cibercriminosos agora estão usando IA para agilizar o processo de geração de malware, criando malware em velocidades mais rápidas e melhorando sua capacidade de execução sem detecção.
Outro problema crucial com os EDRs tradicionais e outras ferramentas baseadas em detecção é que eles não agem até que o malware já esteja em execução no ambiente, o que os leva a falhar nos clientes e a perder ataques cibernéticos até que já seja tarde demais.
Isso significa que o malware pode causar danos imensos antes que as ferramentas tradicionais de EDR percebam e atuem, se é que percebem, e que o melhor que podem fazer é reduzir a quantidade de danos incorridos.
As ferramentas de detecção não são o futuro da segurança de endpoint
O próximo passo na resiliência cibernética são os controles de “confiança zero” que impõem o mínimo de privilégios em aplicativos, acesso de usuários, acesso a dados e tráfego de rede.
Tomemos, por exemplo, lista de bloqueio de aplicativos versus lista de permissões de aplicativos. A lista de bloqueio se alinha às estratégias antivírus, pois faz uma lista do que é conhecido como ruim, bloqueia a execução de tudo nessa lista e permite todo o resto.
Com a lista de permissões de aplicativos, você cria uma lista dos aplicativos e softwares em que confia e precisa e bloqueia a execução de todo o resto. A lista de permissões é um método de confiança zero para controle de aplicativos que impede a execução de ameaças conhecidas e desconhecidas em seus dispositivos, evitando a detonação de ataques cibernéticos, como ransomware.
Como o ThreatLocker preenche falhas de segurança deixadas pelo EDR
ThreatLocker é uma plataforma de proteção de endpoint de confiança zero que usa controles proativos para mitigar ameaças cibernéticas conhecidas e desconhecidas. As soluções que compõem a plataforma ThreatLocker desempenham um papel crítico na prevenção de ataques cibernéticos antes que um EDR possa detectá-los:
- Lista de permissões: permite que apenas o software necessário seja executado e bloqueia todo o resto.
- Ringfencing: impõe restrições sobre o que o software permitido pode fazer, evitando a transformação de aplicativos confiáveis em armas.
- Controle de elevação: remove todos os privilégios de administrador local do usuário final. Os privilégios de administrador podem ser delegados automaticamente aos aplicativos por meio de políticas do ThreatLocker.
- Controle de armazenamento: protege seus dados contra acesso não autorizado ou roubo, definindo políticas granulares em seus dispositivos de armazenamento.
- Controle de rede: oferece visibilidade e controle completos sobre todo o tráfego de rede, incluindo ACLs dinâmicas que podem abrir e fechar portas automaticamente em seu servidor para garantir que apenas dispositivos confiáveis acessem seus recursos de rede.
- ThreatLocker Detect: alerta sobre indicadores de comprometimento bloqueados por módulos, como quando a lista de permissões bloqueia repetidamente a execução de software desconhecido em seus dispositivos corporativos.
Estudo de caso: ThreatLocker protege hospital de gangues de ransomware
Em 15 de janeiro de 2024, um hospital sem nome foi protegido pelo ThreatLocker de um ataque de ransomware que devastaria um segundo hospital que ainda estava conectado à rede do hospital inicial devido a restrições tecnológicas.
O ataque começou quando o agente da ameaça violou o site do hospital com credenciais de administrador de domínio roubadas compradas na dark web e entrou na rede através da VPN corporativa. Na época, o hospital não tinha autenticação de dois fatores habilitada para conexões VPN na rede por falta de orçamento.
Ao acessar a rede, a gangue de ransomware tentou instalar e executar o AnyDesk, um aplicativo de desktop remoto, que foi imediatamente negado e bloqueado por padrão devido à lista de permissões do aplicativo ThreatLocker. Entendendo que não seriam capazes de executar nenhum malware no ambiente, os agentes da ameaça moveram-se lateralmente para atacar o segundo hospital na mesma rede que não estava protegido pelo ThreatLocker.
ARK Technology Consultants, o provedor de serviços gerenciados (MSP) do hospital e parceiro do ThreatLocker, descobriu que houve uma tentativa de ataque cibernético quando identificaram que alguém havia tentado limpar os logs de eventos. ARK foi capaz de observar as tentativas de atividades do agente da ameaça por meio da lista de permissões do ThreatLocker e dos registros de eventos dos módulos de controle de armazenamento registrados na auditoria unificada.
A gangue de ransomware deixou uma nota alegando ter roubado terabytes de dados do primeiro hospital, mas a auditoria unificada, com logs de eventos do módulo de controle de armazenamento, disse o contrário. Na realidade, o ThreatLocker Storage Control os impediu de ler, gravar ou mover dados críticos, deixando a gangue incapaz de roubar qualquer coisa importante do primeiro hospital.
No final, apesar da gangue de ransomware ter roubado credenciais de administrador de domínio e acesso VPN à rede do hospital, eles não puderam realizar seu ataque cibernético porque a lista de permissões do aplicativo ThreatLocker bloqueou a execução do AnyDesk e impediu que o ataque exfiltrasse ou alterasse os arquivos no banco de dados com Controle de armazenamento.
Proteção de endpoint de confiança zero para o futuro
Uma estratégia de segurança completa exige uma ferramenta de detecção como EDR e antivírus para que todas as bases sejam cobertas. Essas ferramentas atuam como sua última linha de defesa contra ameaças cibernéticas. Mas o EDR tradicional e outras ferramentas de detecção não podem mais ser considerados uma estratégia de segurança completa.
O ThreatLocker fornece controles de segurança proativos para evitar ataques cibernéticos em primeiro lugar, e não reagir a eles depois que já estiverem acontecendo. O ThreatLocker controla aplicativos, dados e privilégios do usuário e, em seguida, alerta sobre indicadores de comprometimento por meio do ThreatLocker Detect.
O ThreatLocker Detect é diferente do EDR tradicional, que normalmente é a primeira linha de defesa para algumas organizações. O ThreatLocker Detect, por outro lado, é a última linha de defesa porque os outros módulos do ThreatLocker já impedirão a maioria dos ataques cibernéticos baseados em endpoints.
Além disso, o ThreatLocker Cyber Hero MDR combina os recursos do ThreatLocker Detect com um serviço de resposta gerenciado 24 horas por dia, 7 dias por semana, 365 dias por ano, oferecendo suporte especializado para investigar e responder às ameaças à medida que elas surgem.
Para saber mais sobre como você pode implementar uma abordagem proativa para proteger seu ambiente, agende hoje mesmo uma demonstração com o ThreatLocker.
Notícias de Tecnologia:
Bluesky aborda questões de confiança e segurança em relação a abuso, spam e muito mais
Por que você não precisa mais pagar por software antivírus
3 meses com meu Pixel 9 Pro Fold: a maior atualização geracional em anos (não é suficiente)
A Samsung está trazendo um “recurso carro-chefe” para a série A, mas isso é suficiente para fazer você reconsiderar?
Indicados para melhor álbum vocal pop tradicional
O MacOS agora oferece uma ferramenta integrada de ajuste de janela – mas é suficiente para usuários avançados?