Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Contenção de ransomware
Illumio Editorial
Illumio Editorial
14 de dezembro de 2020
23 minutos. ler

Redução de ransomware 101: movimento lateral entre terminais

No pior momento possível, o ransomware representa uma ameaça maior do que nunca, obrigando as operações de TI a voltarem ao papel e à caneta e derrubando empresas quando menos podemos nos dar ao luxo de perdê-las. Em meio a uma pandemia, temos visto o aumento contínuo de ataques de ransomware contra o setor de saúde. Para quem tem filhos estudando remotamente , o ransomware é o novo dia de folga por causa da neve.

Por que ainda existem tantos ataques bem-sucedidos de ransomware?

O que é movimento lateral?

O movimento lateral ocorre quando um invasor ou ataque ultrapassa o perímetro da sua empresa e se desloca lateralmente pelo ambiente, atingindo outras máquinas, o que resulta em uma violação de dados muito maior e mais dispendiosa. Isso pode começar em um endpoint ou até mesmo em uma carga de trabalho comprometida em um data center, derrubando dezenas de milhares de computadores de usuários finais, ou até mesmo visando estrategicamente seus ativos mais valiosos e importantes do data center.

A estrutura ATT&CK da MITRE afirma isso claramente: "o adversário está tentando se infiltrar em seu ambiente". Isso significa que não devemos apenas nos concentrar em impedir que as ameaças ganhem terreno, mas também em impedir esse movimento lateral do atacante. Isso se tornou tão fundamental para o trabalho de um defensor que o MITRE ATT&CK destaca o movimento lateral como uma técnica-chave do atacante contra a qual se deve defender. 

Por que o malware é tão bem-sucedido na propagação usando o movimento lateral entre os terminais? Para entender por que isso acontece, primeiro precisamos examinar como a segurança tradicional de aplicativos funciona na proteção do data center, mas nem sempre do endpoint.

Movimento lateral no data center

A segurança do data center se concentra nas comunicações cliente-servidor dos endpoints para o servidor. Na maioria dos aplicativos comerciais atuais baseados em navegador, quando um usuário insere a URL do aplicativo na janela do navegador, o navegador abre uma conexão com um servidor web em execução em um data center ou em uma nuvem pública. As máquinas do usuário final se comunicam com esses servidores front-end por meio de portas padrão, como 80 e 443. Os servidores Web por trás do perímetro corporativo são protegidos por firewalls, IPS, detecção e resposta e outras tecnologias de segurança de data center. Os servidores front-end estão conectados à lógica comercial, ao banco de dados e a outros tipos de servidores, tudo dentro dos limites do data center ou do ambiente de nuvem.

É aqui que o movimento lateral pode causar danos. Se um servidor externo ou uma carga de trabalho forem comprometidos por meio de uma vulnerabilidade, um invasor poderá passar lateralmente da carga de trabalho comprometida para onde residem dados valiosos, como em servidores de banco de dados. Em uma rede plana sem microssegmentação, isso não é nada difícil.

Com uma segmentação efetiva, todos esses servidores “internos” estão protegidos contra ameaças externas. A microssegmentação impede que invasores ou ameaças se espalhem ou se movam lateralmente, ou “leste-oeste”, em data centers, nuvens ou redes de campus.  Uma ameaça será contida no segmento de rede ou no segmento de host que foi implementado, para que os invasores não possam se mover para outras partes de um ambiente. Isso protege melhor as organizações contra violações ao limitar seu tamanho e impacto.

Movimento lateral do ponto final ao ponto final

Por que isso não é suficiente para impedir o ransomware? A resposta é que o ransomware não precisa se comunicar com o servidor para se propagar. Ele pode se espalhar de um ponto a outro para dezenas de milhares de máquinas em segundos.

O ransomware normalmente se inicia no endpoint e se espalha diretamente para outros endpoints via RDP, SMB, SIP, Skype, etc. Aplicativos ponto a ponto (P2P) entre endpoints criam esse movimento lateral, ou conexão leste-oeste, que não envolve comunicação entre endpoints e servidores. Enquanto a maioria das aplicações empresariais modernas depende exclusivamente de conexões de saída – endpoints iniciando conexões com o servidor – as tecnologias P2P aproveitam as conexões de entrada de endpoints vizinhos. Esses pontos de extremidade se comunicam sem redirecionar o tráfego por meio de um servidor ou centro de dados – o que significa que eles dependem da segurança existente no próprio ponto de extremidade.

Evitando o movimento lateral entre os pontos finais

Quais são os desafios para garantir o movimento lateral entre os terminais?

Visibilidade — as conexões laterais entre endpoints na mesma sub-rede, por exemplo, ficarão invisíveis para firewalls e gateways, tornando esses dispositivos de segurança totalmente ineficazes na detecção e prevenção das ameaças associadas. Isso também significa uma total falta de visibilidade do que está acontecendo em casa para os funcionários que trabalham remotamente.

E quanto à segurança de terminais? Embora possam detectar e responder, as ferramentas de EDR e EPP em execução no endpoint são reativas às ameaças. Em outras palavras, ele funciona somente após a ocorrência de uma violação, em vez de impedir sua propagação desde o início.

Zero Trust para o endpoint

A melhor prática para evitar a propagação de violações é adotar uma política de segurança Zero Trust. Isso significa a listagem obrigatória de serviços aprovados para execução entre endpoints, com permissões concedidas somente para acesso para fins comerciais legítimos.

Se você já tentou baixar e instalar um aplicativo P2P, como o Skype, da internet em seu laptop em um novo emprego e recebeu um nastygram da TI, você entende como isso funciona. Os usuários só devem acessar recursos aprovados pela empresa, para a proteção de todos.

À medida que as ameaças à segurança evoluem e os hackers patrocinados pelo estado se tornam cada vez mais sofisticados, as soluções de segurança devem se manter atualizadas para permanecerem relevantes. As soluções Zero Trust podem proteger vários sistemas de forma proativa, oferecendo cobertura de segurança baseada nos primeiros diretores e uma baixa taxa de falsos positivos. Ferramentas de software como o Illumio Edge lideram o gerenciamento escalável de firewall baseado em host e oferecem proteções de segurança sem precedentes e defesa contra movimentos laterais maliciosos.

Saiba mais sobre o Illumio Edge em nosso site ou inscreva-se hoje mesmo em nosso webinar de21 de dezembro.

Tópicos relacionados

Segurança de terminais

Artigos relacionados

Pontos cegos do Kubernetes: por que a segurança de contêineres sem agente é essencial
Contenção de ransomware

Pontos cegos do Kubernetes: por que a segurança de contêineres sem agente é essencial

Saiba por que a segurança de contêineres sem agente da Illumio oferece a visibilidade e a segmentação automatizada de que as equipes precisam para se manterem seguras.

Leia mais
Ransomware: como organizações de pequeno e médio porte podem impedir sua propagação
Contenção de ransomware

Ransomware: como organizações de pequeno e médio porte podem impedir sua propagação

Saiba como a segmentação Zero Trust ajuda organizações de pequeno e médio porte a visualizar fluxos de tráfego, fechar caminhos e impedir a propagação lateral do ransomware.

Leia mais
Como a Illumio impede a movimentação lateral de ransomware em ambientes híbridos de múltiplas nuvens
Contenção de ransomware

Como a Illumio impede a movimentação lateral de ransomware em ambientes híbridos de múltiplas nuvens

Descubra como as soluções de detecção e segmentação em nuvem da Illumio previnem a movimentação lateral de ransomware e contêm violações em nuvens híbridas.

Leia mais
Nenhum item encontrado.

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Saiba mais