Sophos Central Endpoint Intercept X - A solução contra ransomware
Vamos encarar os factos: hoje em dia, quem liga um computador à Internet fica, num instante, exposto a uma vasta gama de ameaças. Só é possível proteger‑se com uma combinação de bom senso, um antivírus eficaz e, idealmente, uma firewall com filtro web à frente da rede. Chegar ao fim do dia, desligar o computador e ter a certeza de que não se apanhou qualquer software malicioso está a tornar‑se um verdadeiro desafio.
Desde Novembro de 2015 que o Ransomware anda nas manchetes e, durante muito tempo, não existiam mecanismos de protecção técnica, apenas dicas e recomendações para os responsáveis de TI. Com Sophos Intercept X, a Sophos lançou agora no mercado um produto que complementa a solução de segurança de endpoints que já utilizam e que pode proteger contra Ransomware, ataques de dia zero (zero‑day exploits) e ataques furtivos (stealth attacks).
Neste artigo deixamos de lado os vírus, worms e trojans “clássicos” e vamo‑nos concentrar no tipo mais problemático, o chamado Ransomware (trojans de encriptação). Além disso, mostramos de que forma Sophos pode proteger contra este tipo de malware e que produtos são necessários para tal.
Mas afinal, o que é o Ransomware?
Imaginem que abrem, sem qualquer suspeita, o anexo de um e‑mail e, de repente, surge no ecrã uma mensagem a informar que os vossos dados foram encriptados e que só serão recuperados mediante o pagamento de um “resgate”. O pagamento não é efectuado através de meios habituais, como PayPal, cartão de crédito ou transferência bancária, porque as transacções devem ser o mais anónimas possível e não poder ser rastreadas. Como se o incidente, por si só, não fosse já suficientemente stressante, são ainda obrigados a lidar com Bitcoins. Bastante descarado, não?
Ransomware - quando, de repente, têm de pagar um resgate pelos vossos dados.
O hacker de hoje encontrou assim uma forma extremamente eficaz de ganhar muito dinheiro em muito pouco tempo. O hacker, ou melhor, a organização de hackers, obtém fundos suficientes para reinvestir parte desse dinheiro na continuação da disseminação de Ransomware. A probabilidade de vocês, ou mesmo a vossa empresa, se tornarem vítimas aumenta continuamente. Pensem no valor real que os dados da vossa organização têm para o vosso negócio.
No vídeo seguinte, Sophos explica o tema em 90 segundos:
O Ransomware não vai desaparecer
O Ransomware é, actualmente, o tipo de ataque mais eficaz - e, por isso mesmo, não vai desaparecer tão depressa. Os dados são encriptados e, se os quisermos de volta, temos de pagar. E não são apenas as empresas que têm dados; os utilizadores particulares também os têm. Ou seja, todos estão potencialmente em risco. As empresas, porém, correm um risco maior, porque vários utilizadores acedem aos mesmos dados. Basta um único colaborador ser infectado para que a unidade de rede de grupo seja encriptada e a empresa fique parada. Para os hackers, o Ransomware é uma história de sucesso - um negócio de milhares de milhões! Quem ainda não tomou medidas contra isto deve, sem falta, agir.
Como podemos proteger‑nos contra Ransomware?
Quando o tema “Ransomware” surgiu no espaço público, apareceram inúmeros guias que explicavam aos responsáveis de TI o que podiam fazer contra estes cripto‑trojans. Em essência, recomendava‑se formar os colaboradores, sensibilizá‑los activamente para estes riscos e efectuar cópias de segurança regulares dos dados empresariais. Não existia, porém, uma solução de software capaz de detectar especificamente este tipo de trojan. Os fabricantes de antivírus estavam sobrecarregados com estes trojans inovadores e bastante inteligentes - e alguns continuam a estar. A Sophos foi a primeira, em Dezembro de 2015, a lançar no mercado, com Sophos Sandstorm, uma solução para defesa contra Advanced Persistent Threats (APT) e malware de dia zero (zero‑day). Foi, pelo menos, um começo. Se querem proteger‑se contra Ransomware, podemos recomendar o novo produto Sophos Intercept X que, na nossa opinião, deveria estar instalado em todos os endpoints.
Actualização: entretanto, existem os novos produtos Intercept X Advanced e Intercept X Advanced for Server.
Com Sophos Intercept X contra o Ransomware
Sophos Intercept X é, na nossa perspectiva, simplesmente indispensável para uma protecção eficaz contra estas novas ameaças. Intercept X baseia‑se na tecnologia do fornecedor de segurança SurfRight, adquirido no ano anterior. O primeiro produto resultante desta aquisição foi Sophos Clean. Com Intercept X, esta tecnologia foi integrada em Sophos Central e ampliada com novas funcionalidades. Na detecção de padrões de ameaça recorre‑se à análise comportamental, a vectores de ataque e a Big Data. Desta forma, é possível detectar malware sem depender de actualizações ou de assinaturas. A detecção sem assinaturas tem ainda a vantagem de garantir protecção contra programas maliciosos desconhecidos e ataques baseados em zero‑day exploits.
CryptoGuard - uma inovação anti‑Ransomware
Um dos componentes de Intercept X é o CryptoGuard. Esta funcionalidade protege contra Ransomware e detecta, de imediato, quando ficheiros estão a ser encriptados. Nessa situação, o processo de encriptação é bloqueado e os ficheiros já encriptados são restaurados automaticamente, evitando assim a perda de dados.
A funcionalidade decisiva é a análise
A cereja no topo do bolo vem no fim. Imaginem que, apesar de todas as medidas de protecção, algum malware conseguiu penetrar na vossa rede. Como foi possível? Que dispositivos foram infectados e o que fazer agora? Todas estas questões podem ser respondidas, em detalhe, pela “Root Cause Analysis Tool” da Intercept X. Uma análise visual de 360 graus ajuda‑vos a identificar onde ocorreu o ataque, que partes do sistema foram afectadas e em que ponto poderia ter sido bloqueado. São ainda fornecidas recomendações de acção para ataques semelhantes no futuro.
Protecção adicional ao antivírus existente
A oferta de pacotes antivírus é quase esmagadora. Existem, por exemplo, Symantec, McAfee, Kaspersky, Trend Micro, Avira e Avast, só para citar alguns. É altamente provável que estejam a utilizar um destes produtos. Com Intercept X, não precisam de alterar nada disso! Na verdade, isso é mesmo desejável, porque Sophos Intercept X pode - ou melhor, deve - ser instalado adicionalmente às soluções de segurança de endpoints existentes de qualquer fabricante, aumentando assim o nível de segurança.
O Intercept não é uma alternativa a um antivírus, é uma camada de protecção adicional.
Sophos Intercept X pode, naturalmente, ser utilizado em conjunto com Sophos Central Endpoint Standard (NOVO!) ou Advanced, oferecendo assim uma camada de protecção adicional e de elevado desempenho.
Gestão de Intercept X
Intercept X pode ser instalado e gerido através da consola de gestão baseada na cloud Sophos Central. Os administradores podem controlar e configurar definições, atribuir licenças, adicionar novos endpoints e acompanhar todas as actividades.
Requisitos de sistema
Intercept X funciona, sem problemas, em paralelo com o antivírus existente, seja McAfee, Kaspersky, Symantec, Trend Micro, Avira, Avast ou outra solução de protecção de endpoints.
Segundo o nosso contacto na Sophos, está a caminho uma solução para Mac, que será também integrada em Intercept X.
Experimentar Sophos Intercept X agora!
Para avaliarem, por vós próprios, Sophos Intercept X, podem testá‑lo gratuitamente durante 30 dias. Para isso, só precisam de uma conta Sophos Central.
Se ainda não tiverem uma conta Sophos Central, podem criá‑la no site da Sophos e testar gratuitamente, durante 30 dias, todas as funcionalidades, incluindo “Sophos Intercept X”.
Se já tiverem uma conta Sophos Central e o período de teste de 30 dias tiver expirado, podem encomendar uma licença para “Sophos Intercept X” na nossa loja ou optar pela nossa subscrição “Sophos Central Abo” e alugar as licenças mensalmente, segundo o princípio “Pay‑As‑You‑Go”:
Ransomware Simulator
Se ainda não estiverem totalmente convencidos e acharem que estão protegidos contra Ransomware mesmo sem Intercept X, vejam o programa de teste independente e gratuito “RanSim” da KnowBe4. Com esta ferramenta podem testar se o vosso sistema poderia ser comprometido por Ransomware.
