segunda-feira, 13 de abril de 2015

Cisco traz novas soluções de proteção avançada incluindo também mercado SMB

São poucas as empresas que têm seu nome fortemente conectado ao seu segmento de atuação de tal forma que praticamente seu nicho de atuação seja confundido com a própria empresa em questão. Tornando mais simples e exemplificando: o nome CISCO é reconhecido pelo mercado como “excelência e referência em redes”. Notadamente entre as grandes corporações este nome está presente com larga participação. Claramente isso não é sem motivo. Apenas um bom marketing não sustentaria esta situação Mas então o que pensar quando a empresa que “nada de braçada” no segmento de redes desenvolve linhas de produtos e soluções no segmento de segurança?

O que parece algo distante na verdade não é! As múltiplas soluções de conectividade, interconexão, roteamento, etc. são as plataformas ideais para prover camadas de segurança. Afinal toda a gestão do tráfego está ali mesmo, ao alcance das mãos. Mais do que isso, passando pelas mãos que gerenciam o tráfego e que também aprenderam a tutelar todos os assuntos de segurança. Curioso que isso não aconteceu de um dia para o outro, foi algo gradual.

Mesmo quando a CISCO ainda não se posicionava também como empresa de segurança,  fortes recursos de inspeção de dados, análise de pacotes, identificação e mitigação de excesso de tráfego (como um ataque DDoS), atributos de proteção já estavam presentes. Por isso prover na camada de segurança a competência e expertise que já era reconhecida pelo mercado no segmento de redes foi um processo natural de evolução.

E o mundo atual se tornou um ecossistema muito complicado. Espionagem digital é a grande ameaça. Existem diversos tipos. Desde aquelas que “atiram para todos os lados” e recolhem dados capturados por um sem número de malwares até os ataques denominados persistentes e direcionados que visam deliberadamente subtrair informações de uma empresa ou executivos em particular. Isso evoluiu (infelizmente) a tal ponto que há mercado no submundo digital de “serviços escusos” e de dados capturados para serem usados. Vejam a figura abaixo.


figura 01 – diferentes “serviços” ou “produtos” do submundo da espionagem digital

Estatísticas presentes no Relatório Anual de Segurança da Cisco 2015 demonstram 250% de aumento nos ataques do tipo Malvertising (publicidade maliciosa). Além disso, o documento aponta também que as empresas estão em estado permanente de infecção, já que 100% das redes analisadas tiveram tráfego direcionado para sites que hospedam malware. Por conta disso e da importância da continuidade dos processos de negócios (que pode ser tremendamente comprometida por um incidente de segurança) a CISCO apresenta para o mercado uma série de inovações agregadas em seus produtos e serviços.

AMP – Advanced Malware Protection Everywhere – consiste de análises dinâmicas de malware, seja por meio de “traços genéticos” (assinaturas) ou por meio de comportamentos perniciosos ou maliciosos. Podem ser utilizados os serviços do AMP Threat Grid, um sistema em nuvem (ou local) que fornece para as equipes responsáveis pela segurança métodos de detecção, mitigação, interrupção de ataques ou ameaças.

O termo “Everywhere” é usado porque o campo de ação vai da infraestrutura de rede, servidores, Endpoints (estações de trabalho), e-mail e dispositivos móveis. Uma vez que o malware seja identificado o AMP vai “retroceder no tempo”, alertar todos os pontos de contato identificados, remediar a situação interrompendo a ameaça. Dessa forma o tempo e o custo direto da eliminação do problema (custos diretos e indiretos) são bastante reduzidos. É ao mesmo tempo uma ação ATIVA e REATIVA, dependendo do contexto.

figura 02 – AMP Threat Grid

Incidente Response Services – trata-se de serviço que coloca à disposição uma “equipe de emergência” que está capacitada para encontrar a fonte de uma ameaça (o paciente zero) e identificar o movimento do malware por todo o ambiente de rede. Dessa forma permite que as empresas possam minimizar o custo e o impacto global de qualquer violação, bem como identificar métodos para redução de riscos futuros. Há recursos automatizados para coleta de informações, bem como equipes de especialistas nos escritórios e laboratórios de segurança da CISCO que acumulam base de conhecimento com milhares de incidentes, comportamentos, medidas defensivas para identificar, isolar e convenientemente encerrar o problema.

figura 03 – Cisco Incident Response Services

Cisco ASA com FirePOWER Services – é uma tecnologia, antes disponível em produtos muito sofisticados direcionados para grandes corporações e que agora estão ao alcance de empresas pequenas e médias ou para escritórios remotos e filiais de empresas. São os conhecidos “Next Generation Firewalls” disponíveis para todos os segmentos de aplicação e não apenas grandes data centers corporativos. Há modelos direcionados para diferentes aplicações. Há dispositivos próprios para plantas industriais (ambientes insalubres), com recursos de inspeção da camada de aplicação (camada 7 do modelo OSI), com gerenciamento de WiFi incorporado, com foco em performance e incorporando funcionalidades de “Next Generation Firewall”, IPS avançado (detecção de intrusão/invasão), inspeção de aplicação – AVC (Application Visibility Control) e filtragem de URL.

Ao integrar camadas de defesa, organizações de qualquer tamanho podem aumentar a visibilidade e habilitar avançada proteção contra ameaças que abordam toda a superfície de contato com o exterior, antes, durante e depois do ataque. A CISCO aponta como destaques a arquitetura multicamada que proporciona visibilidade extremamente ampla da rede, gerenciamento bastante simplificado e baixo custo de aquisição e propriedade (TCO). Há modelos com custos a partir de US$ 995, faixa de preço realmente bastante acessível.


figura 04 – novos dispositivos com tecnologia ASA e serviços FirePOWER


Opinião

Quando o fato está concretizado ele parece óbvio. Mas o mérito da CISCO está em ter aproveitado sua expertise em redes e o fato de “ter todos os dados em mãos” para prover as necessárias camadas de segurança. Vejo também como altamente positiva a iniciativa de “fazer caber” as mais avançadas tecnologias em dispositivos mais “modestos” em termos de hardware, visando escritórios remotos, filiais de grandes empresas ou mesmo companhias do segmento SMB. É um tiro certeiro.

A segurança aprimorada, com tecnologia de ponta deve estar em todo espectro de empresas, a despeito de seu tamanho ou capacidade financeira. Empresas com tráfego imenso podem precisar de equipamento com maior poder de processamento, mas essencialmente a pequena empresa, com equipamento menor, precisa das mesmas proteções.

Em meu papel de consultor de TI, com foco no mercado SMB (mas com eventual trânsito em grandes empresas) sempre percebi que havia uma lacuna tecnológica separando estes segmentos. Há bons produtos para SMB, mas nunca tão avançados como seus congêneres para grandes corporações. Por isso mesmo tive minha curiosidade extremamente aguçada por essa nova linha de produtos com todas estas tecnologias e serviços embarcados. Quiçá possa ter a oportunidade de experimentar em “caso de uso real”, validar e poder ratificar tudo anunciado pela CISCO hoje.

Na sequência deste texto eu replico o comunicado de imprensa original divulgado pela CISCO.


 Cisco lança novas soluções de proteção avançada contra malware e serviços de respostas a incidentes
  
Nova inteligência contra ameaças, análise dinâmica de malware e segurança com recurso retrospectivo são poderosas ferramentas para detecção e resolução de ataques

  
A Cisco lançou em 7 de abril uma série de novos recursos e serviços aos profissionais de segurança, oferecendo inteligência e análises abrangentes dos potenciais comprometimentos na rede, e soluções para proteção, controle e recuperação de ataques.

Entre as novidades está a integração do AMP Threat Grid ao seu portfólio de Proteção Avançada contra Malware (Advanced Malware Protection - AMP), parte integrante da inovação adquirida no ano passado, com a aquisição da ThreatGRID.  Essa integração possibilita oferecer as informações mais atuais sobre ameaças de malware e ferramentas de análise dinâmica, tanto local como na nuvem, reforçando os recursos de detecção de ataques de dia zero e análise contínua do Cisco AMP.

Além disso, a companhia está lançando os Serviços de Resposta a Incidentes que equipa as organizações com times de especialistas em Segurança da Informação, aprimorando a inteligência contra ameaça e as melhores práticas de prontidão e controle, da rede ao dispositivo e para nuvem.

Mesmo com tanto dinamismo, o atual cenário de ameaças apresenta algumas constantes. Os hackers estão empenhados no aperfeiçoamento e desenvolvimento de novas técnicas capazes de escapar da detecção e esconder a atividade maliciosa continuamente. Esse fato é comprovado pelas estatísticas que demonstram 250% de aumento nos ataques do tipo Malvertising (publicidade maliciosa), conforme identificou o Relatório Anual de Segurança da Cisco 2015. Além disso, o documento aponta também que as empresas estão em estado permanente de infecção, já que 100% das redes analisadas tiveram tráfego direcionado para sites que hospedam malware.

AMP Everywhere: Proteção avançada contra malware em todo lugar

Os novos recursos de inteligência contra ameaças, análise dinâmica de malware e segurança com capacidade retrospectiva do Cisco AMP reforçam a proteção por todo a continuidade do ataque. Esses recursos, agora com a integração ao AMP Threat Grid, podem ser implementados ​​em toda a rede de área estendida incluindo terminais, dispositivos móveis, sistemas virtuais, bem como as ferramentas de segurança da Cisco de Web e e-mail.
Nova Análise Dinâmica de Malware e Inteligência contra Ameaças

• O AMP Threat Grid 
fornece análises dinâmicas de malware e inteligência contra ameaças. Esses recursos avançados são fornecidos como um serviço independente na nuvem ou através de novos sistemas unificados de computação (Unified Computing System - UCS) da Cisco, com base em ferramentas locais. Os mecanismos de análise do AMP Threat Grid fornecem às equipes de segurança detecção de violação contra malware avançado, permitindo o alcance rápido e a recuperação de uma violação, fornecendo um contexto detalhado de inteligência para uma ação imediata contra ameaças.

• Vulnerabilidade, visibilidade e priorização: O AMP para dispositivos  (AMP for Endpoints) traz visibilidade extra para a rede, fornecendo uma lista dos hosts que contêm softwares vulneráveis, uma relação dos softwares vulneráveis em cada host, e os hosts com maior probabilidade de comprometimento. Alimentado pela Cisco Threat Intelligence e análise de segurança da Cisco, o AMP identifica softwares vulneráveis a serem alvos de malware e o possível exploit, oferecendo aos clientes uma lista de prioridades dos hosts nos quais ferramentas de segurança como patches devem ser aplicados.

Segurança aprimorada com recursos retrospectivos

Essa solução exclusiva do Cisco AMP registra e analisa continuamente a atividade executada nos arquivos após a inspeção inicial. Se um arquivo apresentar um comportamento malicioso após a inspeção, o recurso de segurança retrospectiva revê a gravação para verificar a origem de uma potencial ameaça, o comportamento exibido e oferece o recurso de controle integrado para contenção e eliminação da ameaça.

·        Indicadores de Comprometimento de Endpoint  (IoCs): As equipes de segurança agora podem aprofundar o nível de investigação de ameaças avançadas menos conhecidas específicas às aplicações mediante a exposição direta dos IoCs ao Cisco AMP.

·
        Baixa prevalência: Capacitando ainda mais as equipes de segurança para que possam delimitar o escopo e entender rapidamente os ataques direcionados, o Cisco AMP para dispositivos agora exibe os arquivos executados em toda a organização, ordenados do menor para o maior número de incidências. Os clientes também poderão submeter arquivos identificados com baixa prevalência para análise dinâmica de malware para obter maior visibilidade e contexto, manualmente ou automaticamente, de acordo com cada política. Esse conjunto de recursos visa ajudar a trazer à tona ameaças direcionadas não detectadas, visualizadas por um número pequeno de usuários.

Serviços de Controle de Incidentes de Segurança da Cisco: Proteção especializada contra ameaça

Há uma lacuna cada vez maior entre a disponibilidade de profissionais especialistas em segurança e as necessidades da indústria, devido à carência de financiamento e mão de obra para uma proteção adequada dos ativos e da infraestrutura nas empresas. Por isso, Diretores de Segurança da Informação estão cada vez mais buscando especialistas externos para orientação relacionada à segurança.

Aproveitando a inteligência contra ameaças da Cisco Talos Inteligência de Segurança e Grupo de Pesquisa, do Cisco AMP e da experiência da equipe da Cisco Security Solutions (CSS), o Grupo de Serviços de Controle de Incidentes trabalha junto às empresas na identificação da fonte de infecção, por onde a invasão foi realizada e que dados foram comprometidos.

Utilizando os produtos de segurança da Cisco como o AMP, a equipe de controle de incidentes estará capacitada para encontrar a fonte – o paciente zero – e identificar o movimento do malware por todo o ambiente de rede, permitindo que as empresas possam minimizar o custo e o impacto global de qualquer violação, bem como identificar métodos para redução de riscos futuros. O Serviço de Resposta a Incidentes apoia as empresas em duas áreas:

• Resposta a ataque digital: Cada evento é único e a metodologia do Serviço de Respostas a Incidentes de Segurança da Cisco é conveniente, oferecendo flexibilidade de ajuste contínuo ao cenário dinâmico das ameaças. Seja tratando-se de uma ameaça interna, ataque de negação de serviço (DoS Attack), malware avançado nos endpoints ou violação de dados de clientes, a equipe orienta a empresa na identificação, isolamento e resolução do ataque, por meio de Avaliação, Análise e Exploração de Dados, Análise Forense de Imagem, Instrumentação Dinâmica de Sistema Infectado, Engenharia Reversa de Malware e Análise e Reimplantação de Exploits.

• Prontidão da Segurança Digital: Com o número crescente de casos de ataques digitais e violações de dados nas empresas, cresce a necessidade de especialistas terceirizados para avaliação e execução das melhores práticas de segurança, bem como para a proteção dos dados corporativos e prontidão para um inevitável incidente de violação de dados. A oferta da Cisco de Resposta a Incidentes abrange prontidão para violações da infraestrutura, para segurança operacional, para violação de comunicação, entre outros.

Citações de apoio

Marty Roesch, vice-presidente e Chefe de Arquitetura do Grupo de Negócios de Segurança da Cisco

"As empresas são diariamente confrontadas com ameaças avançadas que se infiltram e permanecem nos ambientes corporativos durante meses, até serem descobertas. Acreditamos que a forma mais eficaz para enfrentar esses desafios do mundo real é a proteção contínua contra esses ataques. Aprimoramentos como a correlação avançada de indicadores de comprometimento, mapeamento de vulnerabilidade e segurança retrospectiva expandida contribuem para o diferencial do Cisco AMP e fortalecem o controle das equipes de segurança antes, durante e depois de um ataque."
  
James Mobley, vice-presidente, da área de Soluções de Segurança da Cisco
  
"Os ataques estão ocorrendo em um ritmo alarmante. Infelizmente, muitas empresas não têm profissionais de segurança com a experiência e habilidades necessárias para prevenir e mitigar esses ataques digitais. A equipe de Serviços de Resposta a Incidentes da Cisco trabalha junto às empresas para enfrentar esses desafios, com uma abordagem orientada por informações de segurança, para que os pontos cegos de segurança possam ser reduzidos e a visibilidade de rede aprimorada. Munida dessa informação, a Cisco pode minimizar significativamente o impacto de uma violação por meio de serviços de prontidão e controle comprovados."

Recursos de Apoio

RSA Conference: Demonstração do AMP Threat Grid - estande N3801
AMP Everywhere: Informações sobre o produto
Case: Controle de Incidentes
Relatório Anual de Segurança da Cisco - www.cisco.com/go/asr2015
  
Sobre a Cisco

A Cisco (NASDAQ: CSCO) é líder mundial em Tecnologia da Informação, que ajuda empresas a aproveitarem as oportunidades do amanhã, demonstrando que coisas surpreendentes acontecem quando se conecta o que antes estava desconectado. Para informações sobre a Cisco, acesse http://www.cisco.com.br. Para notícias sobre Brasil, acesse: http://newsroom.cisco.com/brasilnetwork.  Siga a Cisco no Twitter.

Nenhum comentário:

Postar um comentário