O Netscout “Arbor Edge Defense” ocupa uma posição única na borda da rede, para além do firewall, entre a rede da empresa e a internet. Por que isso é importante? A resposta está nas cinco maneiras pelas quais o AED redefine os recursos de segurança cibernética, atuando como a primeira e ao mesmo tempo como a última linha de defesa contra diferentes tipos de ameaças que tentam entrar ou enviar dados a partir da rede corporativa.
1. O AED foi criado para uma nova era de ameaças, em que elas atuam na escala da Internet. A arquitetura das redes corporativas muda, e também mudam as técnicas – cada vez mais sofisticadas e persistentes – utilizadas pelos invasores. “As arquiteturas de data center e de rede distribuíram-se em direção à borda, sobrecarregando os pontos tradicionais de segurança no perímetro”, comenta Jeff Wilson, diretor de pesquisa de segurança cibernética da IHS Markit.
As campanhas hoje se dirigem a alvos muito diversos, por uma ampla gama de motivos, que vão desde a política até o roubo de propriedade intelectual. Os atacantes geralmente usam como canal a cadeia de suprimentos, uma tática que lhes permite atacar seu principal alvo por meio das interligações com parceiros e fornecedores.
Os agentes das ameaças continuam a expandir seus recursos, utilizando-os como armas, uma vez que o malware tradicional se vale de módulos de worm que permitem ao software malicioso se espalhar mais rápida e facilmente. Um exemplo é o “NotPetya”: um backdoor plantado em um popular pacote de software de contabilidade ucraniano, que tinha inicialmente como alvo a Ucrânia, onde mais de 80 empresas foram afetadas. Mas rapidamente proliferou-se por toda a França, Alemanha, Itália, Polônia, Reino Unido, Rússia e Estados Unidos.
Esses ataques causaram sérios prejuízos, levando organizações globais como a Federal Express, e gigantes como a Maersk (navegação) e Mondelez (produtos de consumo) a perder negócios e centenas de milhões em receita.
O AED foi feito para combater essas invasões em escala de internet. “A combinação de filtragem sem manutenção de tabelas de estado, curadoria rigorosa de uma inteligência de ameaças customizada e a inclusão de feeds de terceiros permite que o NETSCOUT AED bloqueie ameaças de saída com o mesmo nível de confiança que vêm bloqueando ameaças DDoS de entrada há anos”, observa Wilson.
2. O AED estende a proteção para além do firewall. Dispositivos tradicionais de segurança de perímetro, como firewalls de próxima geração, soluções de prevenção de intrusões e balanceadores de carga, são suscetíveis a ataques de esgotamento de tabelas de estado acionados por botnets. O 13o Relatório Anual sobre Segurança da Infraestrutura Global de Redes (WISR) da NETSCOUT revela que 52% dos entrevistados no mundo corporativo tiveram que lidar com firewalls que apresentaram falha ou contribuíram para uma interrupção dos serviços de sua rede durante um ataque DDoS.
O AED é implementado de modo a proteger essas soluções contra ataques DDoS, que visam sua disponibilidade. O mecanismo de processamento de pacotes sem estado da NETSCOUT é capaz de detectar e mitigar a maioria dos ataques DDoS sem rastrear nenhuma sessão de estado. Nos casos em que o rastreamento é necessário, o AED armazena o mínimo de informações, e por um curto período de tempo. Como resultado, consegue resistir a ataques direcionados que sobrecarregam as tabelas de estado nesses outros produtos de segurança, ameaçando a disponibilidade.
3. O AED bloqueia ameaças na entrada e na saída da rede. Além de proteger as soluções de perímetro contra ameaças à disponibilidade, como os ataques DDoS, o AED possui uma camada capaz de bloquear as comunicações para destinos suspeitos. Operacionalizar o uso adequado dessas listas de reputação, comumente chamadas de Indicadores de Comprometimento (IoCs), ganha eficiência com o uso de dispositivos sem manutenção de estado, devido a velocidade e escala.
Detectar e interromper as comunicações de Comando e Controle na borda requer um processo de pacote sem estado na escala da Internet. O AED é um dispositivo criado especificamente para acompanhar a atividade dos invasores, reduzindo a carga de desempenho gerada por funções que vão além da finalidade principal dos dispositivos (stateful).
4. Mitigação automatizada de ameaças. O AED conta com a inteligência de ameaças fornecida pelo ATLAS Intelligence Feed (AIF). Desenvolvido pelo time ASERT (ATLAS Security Engineering & Response Team) da NETSCOUT, o AIF inclui dados de localização geográfica e automatiza a identificação de ataques de botnets e malware conhecidos. Assim, garante a entrega automática das atualizações para novas ameaças, sem atualizações de software.
O AED oferece suporte a padrões como STIX / TAXII para a integração de inteligência de ameaças de terceiros. E, ainda, uma API REST para integrar telemetria de detecção e bloqueio de ameaças ao fluxo de trabalho e ferramentas de gerenciamento da área de operações de segurança.
5. O AED oferece inteligência acionável contra ameaças. A NETSCOUT acredita que uma inteligência contra ameaças eficaz não só identifica ataques, mas também fornece o contexto que permite entender e catalogar a infraestrutura de ataque, além de métodos e indicadores relacionados a ele, para que os profissionais de segurança possam tomar decisões mais rápidas e confiáveis. A inteligência contextual não apenas vincula os IoCs a ameaças conhecidas; vincula também os dados que correlacionam comunicações in-bound / out-bound aparentemente sem nexo entre si, expondo dessa forma campanhas direcionadas.
Com essas informações, os profissionais de segurança enxergam um quadro abrangente, ganhando condições de perceber rapidamente os vínculos existentes entre o tráfego mal-intencionado de entrada e as comunicações de saída. Essa inteligência contra ameaças é essencial para detectar os componentes de campanhas de ataque por botnets, permitindo localizar e bloquear os ataques antes que eles causem danos reais.
Para saber mais sobre a nova era de ataques em escala da Internet, leia o Relatório de Inteligência de Ameaças 2018 da Netscout.
