A Sophos (LSE:SOPH), líder global de segurança na rede e para endpoint, anunciou o Intercept X para Servidor com tecnologia de Deteção e Resposta Endpoint (EDR). Ao incluir o EDR ao Intercept X para Servidor, os gestores de TI podem investigar os ciberataques aos servidores, um alvo muito procurado devido ao elevado valor dos dados neles armazenados. Os cibercriminosos desenvolvem frequentemente os seus métodos de ataque, e estão agora a combinar as suas capacidades de hacker a indíviduos (Engenharia Social) com uma ferramenta de automatização para levar a cabo com sucesso, os ataques a servidores. Esta novo tipo de ataques combina a utilização de bots para identificar possíveis vítimas com adversários ativos, que tomam decisões sobre quem e como atacar.

Aproveitar os bots para descobrir alvos fáceis é simples para os cibercriminosos, tal e como destaca a SophosLabs Uncut, no seu artigo Worms Deliver Cryptomining Malware to Web Servers. No relatório explica-se como um ataque automatizado pode conseguir libertar uma grande quantidade de código malicioso dentro dos servidores, já que costumam atualizar-se com menos regularidade.

A estrutura de um Ciberataque Combinado

Quando os bots identificam potenciais alvos, os cibercriminosos utilizam os seus conhecimentos e experiência para selecionar vítimas com base na importância dos dados confidenciais da empresa ou na propriedade intelectual, na sua capacidade de pagar um resgate elevado, ou se existe possibilidade de aceder a outros servidores e redes. O passo final leva-se a cabo de forma manual, consistindo em entrar, evitando a deteção e movendo-se de forma lateral para completar a missão. Neste caso, devem mover-se de forma silenciosa para poder roubar a informação e sair sem ser detetado, desativando as cópias de segurança e encriptando os servidores para depois exigir resgates elevados, ou utilizar servidores como rampa de lançamento para atacar outras empresas.

“Os ciberataques combinados, uma vez que se incorporem no manual do ciberataque de infraestruturas governamentais, estão agora a tornar-se numa prática comum para o quotidiano dos cibercriminosos, porque são rentáveis. A diferença é que ciberatacantes de este tipo de infraestruturas tendem a persistir dentro das redes durante longos períodos de tempo, enquanto os cibercriminosos comuns procuram oportunidades para fazer dinheiro rapidamente,” afirma Alberto Rodas, Diretor de Engenharia da Sophos Ibéria. “A maior parte do malware já está automatizado, pelo que é fácil para os atacantes encontrar organizações com sistemas de segurança fracos, avaliar o seu potencial de pagamento e utilizar técnicas de hacking para causar tantos estragos quanto possível.”

Sophos Intercept X para Servidor com EDR

Com o Sophos Intercept X para Servidor com EDR, os gestores de TI nas empresas de qualquer dimensão têm, agora, visibilidade completa da sua organização. Isto permite-lhes a deteção, de forma proactiva, de ataques sigilosos, bem como uma melhor compreensão do impacto de um incidente de segurança e a rápida visualização de todo o histórico de ataques.

“Quando os adversários entram numa rede, dirigem-se diretamente ao servidor. Infelizmente, a função fundamental dos servidores numa empresa impede muitas organizações de realizarem alterações, muitas vezes atrasando de forma significativa a implementação do patch. Os cibercriminosos estão a contar com esta oportunidade. Se as organizações forem mesmo vítimas de um ataque, elas precisam de saber todo o contexto de que dispositivos e servidores foram atingidos, de forma a melhorar a segurança, bem como a resposta a questões com base em legislação regulatória mais rigorosa. Ter conhecimento desta informação com precisão pode ajudar as empresas a resolver problemas de forma muito mais rápida e prevenir a repetição da violação de dados,” assegura Rodas. “Se os reguladores se basearem na análise forense digital como provas de dados perdidos, então as empresas podem basear-se nas mesmas análises forenses para demonstrar que os seus dados não foram roubados. O Sophos Intercept X para Servidor com EDR oferece este conhecimento necessário e informações de segurança.”

O Sophos Intercept X para Servidor com EDR expande a oferta do EDR da Sophos, anunciada previamente para endpoints em outubro de 2018. O EDR da Sophos é alimentado por tecnologia Deep Learning para uma descoberta de malware mais abrangente. A rede neural de aprendizagem profunda da Sophos foi testada em centenas de milhões de amostras para encontrar atributos suspeitos em códigos maliciosos, de forma a detetar ameaças nunca vistas. Oferece uma análise especializada e vasta de potenciais ataques, comparando o ADN de ficheiros suspeitos com as amostras de malware já categorizadas nos SophosLabs.

“A nossa pesquisa indica que as preocupações com a segurança e a falta de qualificações são uma prioridade para os gestores de TI e segurança em muitas organizações,” declarou Fernando Montenegro, Senior Industry Analyst na 451 Research. “Com a chegada das ciberameaças desde múltiplos vetores e a um ritmo constante, as empresas não podem permitir a existência de falhas na sua visibilidade. Acreditamos que, à medida que as equipas de segurança procuram oportunidade para reforçar a sua proteção, reunir capacidades EDR e visibilidade nos endpoints e nos servidores é um passo positivo em direção a uma maior eficiência.”

Com a função EDR da Sophos, os gestores de TI também têm acesso sob demanda a curated intelligence através do SophosLabs, investigações guiadas a eventos suspeitos e recomendações sobre os próximos passos. Para manter uma visibilidade total sobre o cenário de ameaças, o SophosLabs deteta, descontrói e analisa 400.000 ataques de malware, únicos e nunca vistos, em cada dia.

“Os nossos clients utilizam o Sophos Intercept X com EDR para os seus endpoints, e o feedback que temos tido é de que o EDR da Sophos é fácil de implementar, fácil de utilizar e fácil de gerir. Isto reduz as capacidades necessárias para gerir o EDR e torna os nossos clientes muito mais eficientes na proteção dos seus servidores, um fator crítico considerando o elevado índice de ataques que sofrem”, disse Sam Heard, Presidente da Data Integrity Services, Parceira da Sophos em Lakeland, Fla. “Com o EDR para servidores, a Sophos está a desenvolver a sua proteção de endpoint líder de mercado, Intercept X. A Sophos é, também, o único fornecedor a unir todos os seus produtos de segurança numa única plataforma de gestão baseada na cloud, o Sophos Central, e a conetar as suas proteções de endpoint e de rede através do Synchronized Security. Acrescentar o EDR para servidores é mais um avanço essencial para o setor e vai proteger os nossos clientes.”

Valor e Disponibilidade

Os detalhes sobre o valor e a disponibilidade estão disponíveis junto dos parceiros da Sophos a nível global.

Para mais informação, por favor leia o artigo, Worms Deliver Cryptomining Malware to Web Servers, e um artigo relacionado no Naked Security. Informação adicional sobre o Sophos Intercept X para Servidor com EDR está disponível em Sophos.com.