Novo relatório da companhia expõe como os cibercriminosos estão executando ransomware em poucas horas
A Sophos, líder global em inovação e fornecimento de cibersegurança como serviço, apresentou uma série de novas soluções que reforçam os mecanismos de defesa contra invasores ativos. No relatório "The 2023 Active Adversary Report for Security Practitioners", a companhia revela como os cibercriminosos estão realizando ataques "rápidos" de ransomware em poucas horas.
O relatório, desenvolvido pela equipe doSophos X-Ops, unidade multioperacional da companhia, mostra dados de ataques rápidos de ransomware do tipo "smash-and-grab" – quando os atacantes invadem a rede-alvo e roubam dados de forma muito rápida – e as táticas, técnicas e procedimentos (TTPs) que os cibercriminosos estão usando para operar essa nova técnica de alta velocidade – incluindo os LOLBins, que são utilitários legítimos do sistema operacional, e outras ferramentas e comportamentos que os aproximam de recursos cruciais que buscam explorar. As evidências apresentadas no relatório e as explicações detalhadas de como determinados incidentes se desenvolvem demonstram a necessidade de soluções de segurança adaptadas constantemente para proteger, detectar e interromper as invasões o mais rápido possível.
"Diante de invasores que se movem rapidamente e que estão continuamente evoluindo seus TTPs – muitas vezes utilizando ferramentas legítimas – para executar ataques em vários estágios, as defesas de segurança cibernética precisam ser dinâmicas e preventivas", afirma Raja Patel, diretor de Produtos da Sophos. "A Sophos está adotando uma abordagem proativa de proteção para deter as ameaças logo que elas se iniciam, antes que fiquem mais complexas. Estamos desenvolvendo produtos com recursos pioneiros de segurança , que são alimentados pela profunda inteligência de ameaças do Sophos X-Ops, que conta com mais de meio milhão de organizações em todo o mundo, identificando e combatendo ameaças em velocidade e escala".
Os novos recursos inovadores incluem:
- O novo software Sophos Firewall v20 com Active Threat Response: interrompe automaticamente os ataques e bloqueia a entrada de atacantes ativos nas redes, tudo sem a necessidade de adicionar regras de firewall. Se os administradores, por exemplo, forem alertados sobre um beacon Cobalt Strike, que o Sophos X-Ops frequentemente observa no comportamento dos invasores, conforme indicado no novo Active Adversary Report for Security Practitioners, eles podem adicionar seu destino a uma lista de bloqueio com essa finalidade e o restante da rede será impedido de acessar esse endereço IP, domínio ou URL. A nova versão do software Sophos Firewall também inclui um gateway integrado a Zero Trust Network Access (ZTNA), o que facilita o fornecimento de acesso remoto e seguro a aplicativos por trás do firewall. Além disso, a solução oferece melhorias na escalabilidade da rede para suportar empresas descentralizadas, além de apresentar melhorias na facilidade de uso do gerenciamento.
- Sophos Network Detection and Response (NDR) com Extended Detection and Response (XDR): o Sophos NDR está disponível para os clientes Sophos XDR e Sophos Managed Detection and Response (MDR) para estender as capacidades de detecção de ameaças à rede. O Sophos NDR monitora a atividade dentro da rede em busca de padrões de tráfego suspeitos e maliciosos que possam sinalizar um ataque e detecta uma ampla gama de riscos de segurança, incluindo dispositivos desprotegidos, ameaças internas, ataques de dia zero não detectados e ameaças direcionadas à Internet das Coisas (IoT) e à tecnologia operacional (OT).
- Aprimoramentos do Sophos XDR: conecta dados de segurança de várias fontes para detectar ameaças mais rapidamente e deter invasores ativos com maior velocidade. Um conjunto ampliado de integrações de terceiros facilita a coleta, o enriquecimento e a combinação de telemetria em soluções de endpoint, firewall, nuvem, identidade, rede e e-mail. Os recursos aprimorados de operações de segurança, fluxo de trabalho de analistas e gerenciamento de casos também permitem que os clientes filtrem alertas desnecessários e redundantes, obtenham visibilidade completa em um único console e reduzam as cargas de trabalho com ações de resposta automatizadas.
"À medida que os criminosos aceleram seus cronogramas de ataque, uma das melhores coisas que as organizações podem fazer é aumentar a segurança sempre que possível. Em outras palavras, se os sistemas são bem mantidos, os atacantes precisam fazer mais para sabotá-los. Isso leva tempo e aumenta a janela de detecção", afirma John Shier, diretor de Tecnologia de Campo da Sophos. "As defesas robustas e em camadas criam mais dificuldade para os invasores, aumentando o nível de habilidade que ele precisa ter. Muitos simplesmente não terão o que é preciso e partirão para alvos mais fáceis", conclui o executivo.
Disponibilidade
O novo software Sophos Firewall está disponível para compra imediata exclusivamente através do canal global de parceiros e provedores de serviços gerenciados (MSPs) da Sophos, e como um upgrade gratuito para todos os clientes de firewall licenciados. Os novos pacotes de integração de terceiros Sophos NDR e XDR também estarão disponíveis até o final de novembro.
Os usuários podem gerenciar facilmente as soluções da Sophos na plataforma Sophos Central, nativa da nuvem, onde o portfólio de produtos de segurança e serviços gerenciados compartilham informações para responder automaticamente às ameaças, isolando endpoints infectados, bloqueando o movimento lateral de invasores e muito mais. As organizações também podem aproveitar o Sophos MDR como um serviço abrangente para detectar e responder a ameaças. Como a oferta de MDR mais usada no mundo, com mais de 19 mil clientes, o Sophos MDR oferece busca, detecção e resposta a ameaças 24 horas por dia, sete dias por semana, com os primeiros recursos de integração de terceiros do setor e uma garantia de proteção contra violações de US$ 1 milhão.
Comentários de analistas e parceiros de canal
"Para muitas organizações, o desejo de consolidação está crescendo, e temos visto evidências de que as PMEs, em particular, expressam uma tendência maior de concentrar as compras de vários produtos com seus fornecedores de segurança de endpoint", declara Chris Kissel, vice-presidente de Pesquisa de Produtos de Segurança e Confiança do IDC. "O principal motivador da consolidação de fornecedores não é financeiro, mas a eficiência das operações de segurança. As organizações podem obter melhores resultados de segurança com ferramentas que abrangem diferentes facetas do ecossistema, projetadas para trabalhar em conjunto e gerenciadas centralmente por uma plataforma XDR, completa.
"Essas inovações nos capacitam, como MSP, a adotar uma abordagem mais proativa para criar novas barreiras e oferecer proteções adaptáveis e personalizadas em todas as diversas propriedades de nossos clientes, a fim de manter determinados invasores afastados", explica Sam Heard, presidente da Data Integrity Services. "A Sophos está continuamente atualizando seu portfólio de tecnologia para nos proteger contra as ameaças em constante mudança e, como resultado, estamos extremamente confiantes em nossa capacidade de detectar e responder às ameaças logo no início, antes que elas causem qualquer dano".
"O Sophos NDR proporcionou um aumento significativo na produtividade da nossa equipe de TI, permitindo que nos concentrássemos em outros projetos e aspectos da nossa segurança cibernética. O fato de proteger nossos equipamentos industriais e endpoints que não são da Sophos é um verdadeiro divisor de águas, e ter a capacidade em tempo real de detectar fluxos baseados em IP nos dá uma visão privilegiada do que está acontecendo dentro da nossa rede", conta Vishvas Chitale, diretor de Segurança da Informação e sócio da Chitale Dairy.
"Agora, com o Sophos Firewall v20 e o Active Threat Response, o tempo de resposta é instantâneo e há ainda menos envolvimento exigido pela nossa equipe de TI local. Podemos identificar simultaneamente os hosts comprometidos graças à telemetria sincronizada de segurança, que identifica detalhes sobre o dispositivo infectado, incluindo nome do host, usuário, processo ou arquivo executável e a natureza da ameaça. Isso não só melhora o tempo de resposta da nossa segurança, como também facilita a limpeza de qualquer ameaça e libera ainda mais o tempo da nossa equipe para trabalhar em projetos mais estratégicos. Além disso, graças à nova funcionalidade IPv6 BGP no Sophos Firewall v20, simplificamos o roteamento da nossa rede, aproveitando os controles granulares do BGPv6 no firewall. Juntamente com os aprimoramentos de rede e SD-WAN, estamos entusiasmados em construir nossa rede de datacenter com o Sophos Firewall para fluxos Leste-Oeste e Norte-Sul. O Sophos Firewall é uma excelente plataforma de segurança de rede, que fornece um painel único para gerenciar nossa postura de segurança com grande facilidade", finaliza o executivo.