Como identificar a origem de um ataque ou de uma malware no ambiente?

Muito se fala em segurança de dados, mas como podemos estar um passo à frente de um ataque ou uma infecção?
Diversas soluções de mercado nos fornecem proteção de gateway para nossa rede e também para nossos ativos internos, como antivírus convencionais. Mas nem sempre se consegue ter a visão de como um ataque foi originado, e para isso, em muitos casos, as empresas necessitam dispor de uma grande quantidade de tempo e de profissionais da área da tecnologia da informação para identificarem a origem de um ataque e evitar que outro ocorra

Em muitos casos as empresas não tem uma área de segurança da informação, o que lhes deixa com uma brecha para que o ataque que foi realizado anteriormente possa vir a acontecer novamente em outro período, ou até mesmo num curto espaço de tempo, levando a empresa a ter impactos no negócio, na sua produção e no comprometimento da integridade das suas informações.

Atualmente, muitos dos ataques que ocorrem são combinados com a técnica de criptografia de dados, o famoso Ransomware, como conhecemos. Para evitar que tenhamos os dados comprometidos utilizamos de antivírus, IPS, firewalls, backups e etc. No entanto, precisamos ter o entendimento de onde está o ponto de falha de uma rede, se está no usuário, na configuração e comunicação dos sistemas que as empresas utilizam, na rede que possa estar mal configurada e até mesmo, nas políticas de segurança da informação que não estão sendo cumpridas ou levadas a sério.

Então, para que se busque uma maneira de encontrar o(s) ponto(s) de falha e para entender o comportamento de um ataque na rede, desde de sua origem até o seu destino, precisa-se realizar uma análise forense no ambiente, com isso a Trend Micro fornece a solução de Endpoint Sensor (EDR), para que os profissionais de TI consigam de maneira automatizada e simplificada entender o comportamento de um ataque e posteriormente mitigá-los.

Como funciona a solução?

O EDR funciona como um agente ou módulo dentro do Apex One, na qual fica em full time mapeando e coletando todo as informações em tempo de execução.

A solução está integrada e faz parte do Endpoint Security da Trend Micro, que por sua vez é um agente de antivírus unificado que fornece diversos módulos de segurança além do módulo do Endpoint Sensor.

O Endpoint Sensor da Trend Micro fornece uma total visibilidade do mapeamento da ação de um malware no ambiente, desde a execução fileless até mesmo pelo download de um arquivo malicioso na internet ou a execução de um arquivo local no ambiente. É possível também descobrirmos com quais botnets e redes C&C os malwares se comunicam e até mesmo qual foi o primeiro usuário que foi afetado.

Proteção Integrada

O Endpoint Sensor compartilha as suas informações de detecção referente as ameaças com a rede do Deep Discovery da Trend Micro, podendo utilizar dos recursos avançados de detecção de ameaças e SandBox.

Managed Detection Responde – MDR or XDR

São projetados para ajudar organizações que não possuem amplo conhecimento e recursos internos a obter um recurso de segurança cibernética de nível empresarial por uma fração do custo de criar os mesmos recursos internamente. O MDR pode-se dizer que atua como uma extensão da equipe interna de uma organização para mitigar as ameaças que são encontradas pelo EDR.
Managed Detection and Response (MDR) é um termo usado para descrever um serviço* que combina conhecimento humano, inteligência de ameaças e uma variedade de tecnologias de detecção de rede e de terminais para ajudar as organizações a detectar e responder a ameaças.
*Os serviços gerenciados de detecção e resposta, são fornecidos pela Integrasul.

A Trend Micro fornece um monitoramento 24/7 sobre as ameaças detectadas no EDR, com uma equipe pró ativa, ao identificar o ataque ou uma ameaça, os especialistas entram em contato informando sobre com o cliente fornecendos as informações necessárias para que o cliente possa tomar uma ação antes que o malware ou o atacante encontre uma falha de segurança na rede e comprometa os dados da organização.

Recursos Chave

XDR gerenciado para terminais: usa um agente leve que combina nossas soluções de proteção de terminais com Trend Micro EDR para fornecer uma gravação detalhada dos comportamentos e eventos do sistema no kernel e níveis de usuário. O XDR gerenciado rastreia esses eventos em contexto, fornecendo um histórico detalhado que pode ser acessado em tempo real. O serviço também monitora ambientes de servidor 24 horas por dia, 7 dias por semana, para identificar fontes específicas de ameaças.

XDR gerenciado para cargas de trabalho na nuvem: o Trend Micro Deep Security oferece proteção abrangente em uma única solução que é criado especificamente para proteger seus ambientes virtuais, em nuvem e em contêiner. O Deep Security fornece uma ampla gama de recursos para proteção contra vulnerabilidades, malware e não autorizado alterações para garantir proteção consistente, independentemente da carga de trabalho. O Deep Security pode enviar metadados de atividade do servidor e dados de monitoramento de integridade de arquivos no Trend Micro Managed XDR serviço para correlação e visibilidade de cargas de trabalho físicas, virtuais e na nuvem.

• XDR gerenciado para redes: o Trend Micro Deep Discovery Inspector é um dispositivo de rede que monitora todas as portas e mais de 100 protocolos diferentes para descobrir ameaças avançadas e ataques direcionados e fora da rede e lateralmente através dela. O dispositivo detecta e analisa malware, comunicações de comando e controle (C&C) e atividades evasivas do invasor que são invisíveis às defesas de segurança padrão. Os alertas são enviados diretamente para o serviço Managed XDR, enquanto os metadados registrados são coletados e consultados pelo serviço Managed XDR, conforme necessário.

• XDR gerenciado para mensagens: o Trend Micro Cloud App Security é um serviço avançado de proteção contra ameaças baseado em nuvem que protege o compartilhamento de arquivos de e-mail e nuvem no Microsoft Office 365, Gmail, Box, Dropbox TM e Google Drive. Ao usar o Cloud App Security, o serviço XDR gerenciado pela Trend Micro pode “varrer” ou pesquisar através do Office 365 para indicadores de compromisso (IoCs). As ameaças mais avançadas começam com um phishing, combinando uma proteção avançada de e-mail com a capacidade de rastrear uma ameaça a seus O ponto de entrada é uma defesa eficaz contra os mais recentes ataques de email.

LUCAS LEITOW – Analista de Suporte da Integrasul

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *