Releases

Proteção avançada: a chave para o cenário das ameaças cibernéticas em constante mudança

RELATÓRIO APONTA SEIS TENDÊNCIAS EM AMEAÇAS CIBERNÉTICAS E COMO COMBATÊ-LAS

O PandaLabs, o laboratório de segurança da Panda Security, detalha e analisa as questões básicas que afetam a segurança cibernética no Relatório de Insights sobre ameaças de 2020

Os ataques cibernéticos estão em constante evolução e, ao mesmo tempo, estão se tornando mais frequentes. Por esse motivo, os profissionais de segurança cibernética devem olhar além das ideias tradicionais e deixar para trás estratégias puramente reativas e adotar uma abordagem mais proativa e progressiva. Proteger o endpoint da mesma maneira que sempre foi protegido não é mais suficiente. Atualmente, as ameaças se multiplicam e mudam tão rapidamente que as empresas não podem mais depender de ferramentas de defesa manual para garantir a segurança cibernética.

Além disso, em 2020, toda infraestrutura ou ambiente de TI precisa considerar o que pode vir no futuro. Portanto, é vital empregar soluções de segurança cibernética com várias camadas que podem monitorar malware em tempo real para descobrir padrões de comportamento e eliminar todos os tipos de ameaças persistentes avançadas, ataques sem arquivos e outras atividades maliciosas que podem pôr em risco a organização. Os endpoints devem ser protegidos usando uma abordagem que combine a proteção avançada de endpoint (EPP) e a detecção e resposta de endpoint (EDR), com uma postura de segurança de confiança zero apoiada por inteligência artificial.

O PandaLabs, laboratório de segurança da Panda Security, multinacional espanhola líder em soluções e serviços avançados de segurança cibernética e ferramentas de gerenciamento e controle, escreveu o Relatório de Insights sobre Ameaças de 2020 que ressalta a importância da proteção avançada. Para isso, analisou e detalhou vários aspectos-chave no campo da segurança cibernética:

  1. Insights com base em dados, não em intuição. A segurança do endpoint requer uma enorme quantidade de dados a serem coletados e analisados. Esses dados abastecem tudo, da inteligência artificial que analisa os comportamentos e cria padrões até os serviços de caça de ameaças, responsáveis por interceptar as ameaças antes que elas possam atacar. Na defesa cibernética, os dados dos endpoints fornecem um nível de visibilidade essencial que pode oferecer proteção de primeira linha e ver o que está acontecendo em todos os dispositivos, redes e conexões. Dessa forma, é possível detectar qualquer mudança, tendência ou anomalia no cenário global de ameaças. Sem esse alto nível de visibilidade, agora e no futuro, os criminosos cibernéticos poderão percorrer as redes com facilidade.
  2. Hotspots globais: os atacantes ou atacados? De acordo com os dados coletados pelo PandaLabs, a Tailândia é o país com mais detecções por endpoint (40,88), enquanto os EUA são o 14º na lista (0,12). O Oriente Médio e a América do Sul são as regiões com maior concentração de alvos. Estes números levam a uma conclusão surpreendente: estes países são alvos atraentes para os ataques cibernéticos porque existem muitos sistemas expostos e mal protegidos, o que significa que os hackers tiveram um impacto maior e mais sucesso neles. Além disso, é razoável supor que esses não são os alvos finais, mas que esses sistemas comprometidos são a fonte de outros ataques contra alvos em todo o mundo.
  3. A comprovação está no PDF: os ataques com base em arquivos persistem. Agentes ruins usam extensões de arquivo para realizar suas atividades. Por trás de cada extensão, há uma vulnerabilidade na maneira como o arquivo é projetado, que pode ser explorada em todos os tipos de atividades de crimes cibernéticos (phishing, por exemplo). No topo da classificação das extensões de arquivo mais acessadas em 2019 estão .pdf, .odf, .job, .pem e .mdb. Outras extensões, como .xls, .doc ou .ppt, também fazem parte da lista.
  4. Os limites da lista de permissões. Hoje, com o aumento da segurança baseada em políticas de confiança zero, muitos profissionais de segurança cibernética negligenciam a proteção de aplicativos na lista de permissões, acreditando que eles são confiáveis. Entretanto, as listas de permissões, assim como as listas negras, têm seus limites: não apenas as ameaças são capazes de contornar os aplicativos de segurança usados nesses espaços, mas também podem explorar especificamente o software nessas listas. Felizmente, o monitoramento ativo de todos os softwares e processos ultrapassa os limites da lista de permissões. Se absolutamente todas as atividades dos endpoints forem monitoradas, o malware será identificado e não poderá ser executado, e o goodware não poderá ser usado para fins maliciosos.
  5. A nova ameaça: ataques sem arquivo. Existem ferramentas de produtividade, navegadores e componentes de sistema operacional que são onipresentes na grande maioria dos endpoints que geralmente são incluídos na lista de permissões. Nenhum aplicativo ou executável nesta lista seria classificado como suspeito, muito menos malware. Isto os torna vetores ideais para ataques sem arquivos, atividade hacker ao vivo, ataques living-off-the-land (LotL) e muitos outros. Para manter os sistemas seguros, é necessário ter uma tecnologia antiexploit. Como mostram os dados coletados pelo PandaLabs, os três principais aplicativos mais comumente explorados são Firefox, Microsoft Outlook e Internet Explorer.
  6. Uma solução, múltiplas camadas. Nem todas as ameaças cibernéticas são iguais e, quando os sistemas interrompem uma ameaça, podem deixar que outras passem despercebidas. É por isso que as organizações precisam de uma combinação de tecnologias locais baseadas em assinaturas, tecnologias baseadas em nuvem e análise comportamental baseada no contexto para detectar e responder a ameaças cibernéticas de forma adequada.

“As ameaças cibernéticas nunca foram tão variadas quanto são agora. Em um determinado dia, um endpoint pode encontrar um golpe de phishing com link para um arquivo malicioso, adquirir ransomware de um site falsificado, ser vítima de um ataque insidioso sem arquivo que se mantém oculto na memória por semanas, meses ou mais. Em um momento em que o número de ameaças cresce e evolui constantemente, os profissionais de TI devem implantar todas as ferramentas disponíveis com o objetivo de manter a segurança das redes”, explica a equipe do PandaLabs.

Metodologia

Este relatório é baseado em dados de telemetria e detecção coletados por agentes Panda em endpoints que executam a tecnologia Adaptive Defense durante 2019.  Foi compilado e analisado pelo laboratório antimalware e pelo centro de operações de segurança da Panda Security. O PandaLabs atua como o centro nervoso de tudo o que está relacionado a malwares e ajuda a moldar a tecnologia da Panda.

A tecnologia do Adaptive Defense monitora constantemente todas as ações acionadas pela execução de processos em endpoints protegidos.  Cada evento é catalogado com base em mais de 2.000 características singulares de objetos. Esses eventos de telemetria não são considerados como incidentes, objetos maliciosos ou anomalias; em vez disso, eles representam informações vinculadas a um objeto específico, por exemplo: processos, arquivos, comunicações ou registros.

Estas ações são enviadas para a plataforma na nuvem da Panda Security, na qual são analisadas por meio de técnicas de machine learning que extrai automaticamente inteligência de segurança avançada.  Estas informações permitem que a Panda Security classifique cada processo executado, com 99,08% de precisão e falsos positivos ou negativos quase nulos.

Sobre a Panda Security

Desde que foi fundada na Espanha em 1990, a Panda Security se tornou uma das principais multinacionais europeias em soluções e serviços de segurança cibernética e em ferramentas para gerenciar e controlar computadores e sistemas. Mantendo consistentemente o seu espírito inovador, a Panda alcançou vários marcos históricos no setor.

Atualmente, a Panda Security é a principal fabricante de EDR na Europa, com acionistas, sedes, tecnologia e plataforma em nuvem totalmente europeus.  Seu modelo de segurança cibernética visionário e disruptivo serviu para ajudar a Panda a obter a certificação “Common Criterial EAL-2”, a qualificação do Centro Criptológico Nacional da Espanha “Produto de Segurança Qualificado para TIC” e a classificação “ENS High”. Isso torna o Panda Adaptive Defense a única solução no mercado com essas certificações. A empresa está presente em mais de 80 países, possui produtos traduzidos em mais de 23 idiomas e possui mais de 7,5 milhões de clientes em todo o mundo.

Read More
Releases

Campanhas de ataque cibernético explorando a COVID-19 têm impacto global, alerta a Panda Security

A doença Covid-19 está sendo usada como gancho para campanhas maliciosas de engenharia social, incluindo spam, malware, ransomware e domínios maliciosos. À medida que o número de casos continua a crescer no mundo, as campanhas que usam a doença como isca também aumentam. Pesquisadores do Panda Security têm identificado campanhas maliciosas relacionadas ao coronavírus, incluindo países como Estados Unidos, Japão, Rússia, China, Itália e Brasil.

Muitos desses e-mails, supostamente de organizações oficiais, afirmam conter atualizações e recomendações relacionadas à doença. Como a maioria das campanhas de spam, eles também incluem anexos maliciosos.

Um exemplo é uma campanha de spam supostamente enviada pelo Ministério da Saúde no Reino Unido. Ela contém recomendações sobre como prevenir infecções e vem com um anexo que supostamente contém as últimas atualizações sobre a Covid-19. No entanto, ele realmente contém um pedaço de malware. “Corona Virus Últimas Atualizações” como assunto.

Outros e-mails utilizados nessas campanhas estão relacionados às entregas de produtos, que supostamente foram adiadas ou modificadas por causa da propagação da doença. Tem ainda uma mensagem em português que promete notícias sobre uma suposta vacina para a Covid-19. Os cibercriminosos estão aproveitando ainda os mapas de monitoramento de coronavírus online, substituindo-os por sites falsos que facilitam o download e a instalação de malware.

Uma variante do ransomware CoronaVirus usa um site falso de otimização de sistema para se espalhar. As vítimas, sem saber, baixam um downloader para dois tipos de malware: o ransomware CoronaVirus e o roubo de senhas. Esta campanha faz parte de uma tendência recente vista no ransomware: combina criptografia de dados com roubo de informações.

Além disso, outra peça de ransomware, desta vez afetando os usuários de dispositivos móveis, chamada CovidLock, que supostamente ajuda a rastrear casos da Covid-19. O ransomware bloqueia os celulares de suas vítimas, dando-lhes 48 horas para apagar todos os dados no telefone e vazando detalhes de suas contas de mídia social.

Atenção deve ser dada aos domínios maliciosos que usam a palavra corona, como os que listamos a seguir:

  • corona [.] com
  • contra-coronavirus [.] com;
  • alphacoronavirusvaccine [.] com
  • corona-blindado [.] com
  • anticoronaproducts [.] com
  • corona-crisis [.] comcorona [.] com
  • corona-emergencia [.] com
  • beatingcoronavirus [.] com
  • corona explicada [.] com
  • bestcorona [.] com
  • corona-iran [.] com
  • betacoronavirusvaccine [.] com
  • corona-ratgeber [.] com
  • buycoronavirusfacemasks [.] com
  • coronadatabase [.] com
  • byebyecoronavirus [.] com
  • coronadeathpool [.] com
  • cdc-coronavirus [.] com
  • coronadetect [.] com
  • combatcorona [.] com
  • coronadetection [.] com

Como se defender dessas e outras ameaças cibernéticas

O fato é que todos esses ataques usam vetores de entrada que poderiam ser considerados “tradicionais”. “Na Panda Security, temos esses vetores mais do que cobertos com nossas soluções para endpoint. Graças os bloqueios de quaisquer binários maliciosos, temos soluções de grande valor para parar essas campanhas, entre outras”, esclarece Américo Spachacquercia, Analista de sistemas e consultor em Cibersegurança da Panda Security Brasil.

As soluções Panda Adaptive Defense e o Panda Adaptive Defense 360 são serviços que oferecem um modelo de proteção baseado em confiabilidade, classificação de arquivos e controle de execução de aplicativos. O modo Bloqueio, que pode ser escolhido pela equipe de TI do usuário, impede a execução de todos os programas desconhecidos até que eles sejam classificados e avaliados se oferecem ameaças à rede.

“Este serviço permite um mecanismo altamente eficiente e automatizado para detectar e bloquear malware e ransomware, mesmo antes de serem executados, independentemente de serem novas variantes ou novos domínios de download, como é o caso das variantes de malware relacionadas ao COVID-19”, completa Américo.

As soluções Panda analisam os indicadores comportamentais e contextuais de ataque (IoAs) em dispositivos protegidos, mapeando os comportamentos comuns e incomuns que podem incluir baixar um executável de um Word ou acessar uma URL desconhecida ou maliciosa. Qualquer tentativa de comprometer o dispositivo é imediatamente bloqueada, na qual a execução e conexão dessas atividades maliciosas são interrompidas.

 

Read More
Releases

Artigo: Como garantir o acesso remoto seguro à rede corporativa com o aumento do home office*

Américo Spachacquercia, Analista de sistemas e consultor em Cibersegurança da Panda Security Brasil

Proteger as informações e a rede corporativa são atividades cada vez mais complexas. O perímetro está cada vez mais disperso, pois a mobilidade e o trabalho em home office tornou vital garantir que inúmeros endpoints, como laptops, celulares, tablets e muitos dispositivos de Internet das Coisas (IoT), também estejam seguros.

 

Nos últimos 15 anos, a quantidade de pessoas trabalhando em casa aumentou 140%. E, nas últimas semanas, o trabalho em home office teve um aumento repentino, por causa da crise global do coronavírus (COVID-19). Para tentar conter o contágio de seus colaboradores, muitas empresas começaram a promover o teletrabalho. Mas, será que as organizações se preocuparam em implementar medidas para garantir a cibersegurança corporativa?

Dicas para garantir o acesso remoto à rede corporativa

Para acessar a rede corporativa, a maioria das empresas fornece computadores e uma conexão remota para que o funcionário possa acessar serviços corporativos através de sua própria conexão com a Internet. Mas, como podemos garantir que todo o processo de conexão seja seguro?

  1. O computador que tenta se conectar obviamente precisa ser protegido com uma solução de proteção avançada. No entanto, para reforçar a segurança, é de vital importância ter um sistema EDR  que possa certificar que todos os processos executados por esse computador são confiáveis. Dessa forma, podemos parar  ataques cibernéticos que não usam malware, bem como os ataques avançados que poderiam entrar na rede corporativa através do nosso computador. Em muitos casos, os trabalhadores também usam seus próprios computadores para acessar recursos corporativos. Nesses casos, a empresa deve exigir que eles instalem as mesmas soluções de segurança nesses computadores, ou pedir que eles não usem seus próprios computadores para tarefas corporativas. Caso contrário, eles poderiam estar colocando em risco os ativos da empresa sem sequer perceber.
  2. A conexão entre o computador e a rede corporativa deve ser garantida por uma VPN (Virtual Private Network) o tempo todo. Esta é uma rede privada que permite criar uma rede local segura sem a necessidade de seus integrantes estarem fisicamente conectados entre si. Isso também permite que eles usem remotamente os túneis de dados dos servidores de seu escritório.
  3. As senhas utilizadas para acessar serviços corporativos, e aquelas que usamos em geral, devem ser complexas e difíceis de decifrar para evitar serem descobertas. Para certificar que a conexão está sendo solicitada pelo usuário certo, e não é uma tentativa de fraude de identidade, é importante fazer uso da autenticação multifatorial (MFA). Graças a este sistema de dupla certificação para acesso do usuário aos serviços da empresa, podemos proteger mais eficazmente o acesso à VPN, aos logins de funcionários para portais corporativos e recursos para aplicativos em nuvem. Ele até nos ajudará a cumprir os requisitos de proteção de dados.
  4. Os sistemas de firewall, sejam virtuais ou físicos, provaram ser a primeira linha de defesa na segurança da rede corporativa. Esses sistemas monitoram o tráfego de entrada e saída e decidem se bloqueiam ou permitem tráfego específico com base em um conjunto de lógicas de segurança previamente definidas. Esses sistemas são, portanto, elementos básicos na proteção da rede corporativa, ainda mais se considerarmos o tráfego extra que o teletrabalho gera para estabelecer uma barreira entre redes internas seguras, controladas e confiáveis e redes externas menos confiáveis.
  5. Os serviços de monitoramento de redes, aplicativos e usuários e serviços para responder e sanar os contratempos que podem surgir são totalmente necessários para monitorar e garantir a continuidade dos negócios ao se trabalhar remotamente. É importante prepará-los para o volume que estes terão que suportar nos próximos dias, porque esse aumento no trabalho remoto também pode colocar uma carga extra nas ferramentas de monitoramento de rede, ou serviços de detecção e resposta, uma vez que agora encontrarão um maior número de dispositivos e processos a serem monitorados. Um dos recursos que devem ser monitorados com atenção especial são documentos que contêm informações confidenciais. Para isso, sua equipe de TI deve ter implantado uma  ferramenta capaz de auditar e monitorar dados pessoais não estruturados em computadores: desde dados em repouso até dados em uso e dados em movimento. Dessa forma, os dados da sua empresa serão protegidos, onde quer que estejam.

 

Read More