Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Contenção de ransomware

5 etapas para conter o malware com segmentação Zero Trust

Editorial Illumio
,
November 1, 2021
23 leitura mínima

Os ataques cibernéticos estão aumentando em frequência e sofisticação, colocando em risco a segurança das organizações. No ano passado, mais de um terço das empresas em todo o mundo foram atingidos por um ataque de ransomware ou uma violação de dados que bloqueou o acesso aos dados.

De acordo com uma pesquisa com mais de 500 profissionais de segurança realizada pela empresa de pesquisa IDC, as empresas relataram que o malware avançado foi o contribuinte mais frequente para as violações de segurança.

Para se proteger contra ameaças avançadas, as organizações de TI devem fazer uma variedade de investimentos em segurança. Isso inclui produtos de segurança tradicionais, como software antivírus para detectar malware. Eles também devem investir em treinamento de segurança para os funcionários.

Mas há outra etapa crítica: adotar um Segmentação Zero Trust estratégia.

Para segmentar a rede, você implanta controles de política de “lista de permissões” nos endpoints, permitindo apenas tipos específicos de tráfego necessários para operações comerciais legítimas. Essa abordagem reconhece que os ataques são inevitáveis. Em uma grande organização com milhares ou até centenas de milhares de endpoints, o malware entrará em algum lugar, de alguma forma.

A melhor defesa, então, é impedir que o malware viaje de um terminal para outro — uma técnica conhecida como “movimento lateral”.

Com a segmentação Zero Trust aplicada aos endpoints, o malware e o ransomware não poderão se espalhar e causar danos materiais. Isso não varrerá a empresa, nem mesmo um único departamento. Em vez disso, ele estará contido em um único laptop.

Adotando uma abordagem de cinco etapas para impor a confiança zero em endpoints

Em um recente Destaque de tecnologia da IDC, Michael Suby, chefe de pesquisa de segurança da IDC, recomendou o seguinte processo de cinco etapas para conter a propagação de ataques de malware e ransomware, adotando uma Confiança zero abordagem (“lista de permissões”).

Etapa 1: visualize os fluxos de tráfego

O objetivo de restringir o tráfego de endpoints é evitar que o malware se espalhe facilmente em toda a rede. Para gerenciar o tráfego de terminais, essa estratégia aproveita os firewalls incorporados aos sistemas operacionais hospedeiros.

Ao controlar esses firewalls com um agente leve, as equipes de TI podem restringir o acesso aos dados apenas ao acesso necessário para os negócios. Em outras palavras, eles podem permitir que os funcionários e seus endpoints acessem os aplicativos e os dados de que precisam — e não acessem mais nada.

Para determinar qual acesso os funcionários precisam, a IDC afirma que as organizações de TI devem monitorar os fluxos de tráfego, preferencialmente por cerca de 30 dias, para contabilizar as flutuações normais no uso de aplicativos e dados. O monitoramento deve ser abrangente, rastreando fluxos de dados no local, em locais remotos e de e para a nuvem.

Para obter melhores resultados, aproveite os relatórios de software e infraestrutura de rede baseados em host, em vez de tentar monitorar todo o tráfego em todos os locais para todos os dispositivos a partir de um único servidor.

Etapa 2: agrupar endpoints

A criação de políticas para permitir e proibir o tráfego pode rapidamente se tornar complexa. Para agilizar esse trabalho, agrupe os endpoints de acordo com suas características comuns e desenvolva políticas de lista de permissões adequadamente. Os agrupamentos de endpoints podem incluir:

  • Localização (por exemplo: escritório em Nova York, controle remoto etc.)
  • Tipo de dispositivo (por exemplo: laptop)
  • Afiliações de funcionários (por exemplo: departamentos, funções etc.)
  • Horário de funcionamento (por exemplo: horário de trabalho padrão ou horário não laboral)

Ao atribuir endpoints a esses agrupamentos, os administradores de TI podem simplificar o trabalho de criar e ajustar políticas nas etapas a seguir.

Etapa 3: definir e testar políticas de lista de permissões

A próxima etapa é definir políticas que permitam o tráfego usando portas, endereços e protocolos de rede específicos para aqueles necessários para dar suporte às operações comerciais diárias. É uma boa ideia começar com as políticas mais restritivas e monitorar como elas afetariam o tráfego se aplicadas. Como princípio geral, você deseja limitar o tráfego o máximo possível para dar ao malware o mínimo possível de aberturas de movimento.

Etapa 4: aplicar políticas de lista de permissões

A próxima etapa é aplicar as políticas de lista de permissões, permitindo somente o tráfego especificamente identificado por uma política. Teoricamente, essa etapa pode exigir que os administradores de TI criem regras complexas de firewall manualmente e implantem cada conjunto de regras nos grupos de endpoints apropriados.

Mas com uma solução como Illumio Edge e Núcleo Illumio, não é necessário que os administradores escrevam ou gerenciem regras de firewall diretamente. Em vez disso, eles podem definir as políticas de lista de permissões que desejam, e a Illumio traduz automaticamente essas políticas em regras de firewall detalhadas que são fáceis de implantar em endpoints, bem como em cargas de trabalho de data center e nuvem.

Etapa 5: refinar as políticas de lista de permissões

A etapa final desse processo é continuar monitorando e refinando as políticas de lista de permissões conforme necessário, restringindo o acesso o máximo possível sem nunca interferir nas operações comerciais.

Benefícios de conter o malware com a segmentação Zero Trust

Os benefícios dessa abordagem usando soluções como Illumio Edge e Illumio Core são substanciais:

  • Visibilidade aprimorada do tráfego de terminais e das possíveis ameaças.
  • Redução dos danos causados por malware, ransomware e outros ataques cibernéticos.
  • Automação que torna rápida e fácil definir, implantar e refinar políticas de lista de permissões.
  • Escalabilidade adequada para as maiores redes corporativas.
  • Integração com sistemas SIEM e outras ferramentas de segurança de TI, para que as políticas de lista de permissões possam funcionar como parte de uma abordagem maior e de várias camadas à segurança de TI.

Para saber mais sobre essas etapas e a pesquisa da IDC, leia o IDC Technology Spotlight, Reduza a propagação de malware com visibilidade abrangente e controle de políticas de lista de permissões.

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

O Kubernetes não está imune ao ransomware — e como o Illumio pode ajudar
Contenção de ransomware

O Kubernetes não está imune ao ransomware — e como o Illumio pode ajudar

Saiba por que o ransomware é um risco muito real de segurança cibernética no Kubernetes que os arquitetos do DevSecOps não podem se dar ao luxo de ignorar.

Leia mais
Suponha uma violação com o Zero Trust Endpoint Security
Contenção de ransomware

Suponha uma violação com o Zero Trust Endpoint Security

Saiba por que as abordagens tradicionais de segurança de terminais não são suficientes e como o Illumio Endpoint pode complementar suas ferramentas de detecção existentes.

Leia mais
Concentre-se novamente no ransomware: 3 verdades para construir uma rede pronta para ransomware
Contenção de ransomware

Concentre-se novamente no ransomware: 3 verdades para construir uma rede pronta para ransomware

Obtenha informações sobre a criação de redes seguras contra a propagação de ataques de ransomware.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais