A validação de segurança é um princípio fundamental em segurança cibernética que visa garantir que sistemas, aplicativos e processos sejam seguros e operem conforme o esperado.
Por que a segurança de endpoint é crítica
A segurança de endpoint é frequentemente identificada como o ponto de controle mais crítico, já que os dispositivos de endpoint são o alvo principal dos agentes de ameaças. Os agentes de ameaças estão procurando obter acesso inicial a um endpoint, aumentar seus privilégios e, em seguida, mover-se lateralmente por outros endpoints na rede em busca de sistemas e dados de valor (ou suas joias da coroa de TI).
Os controles de segurança de endpoint incluem soluções antivírus (AV) baseadas em assinatura legada e soluções de detecção e resposta de endpoint (EDR) baseadas em comportamento mais sofisticadas dentro de uma plataforma de proteção de endpoint (EPP) mais ampla. A maioria das organizações está migrando para soluções EDR, dado o aumento de ataques sem arquivo em vez de ataques baseados em arquivo (assinatura), à medida que os agentes de ameaças aumentam o nível de sofisticação de seus ataques.
Ataques recentes destacam a importância da segurança de endpoint
No primeiro semestre de 2024, já testemunhamos alguns ataques extremamente notáveis que tornaram sistemas de endpoint críticos inoperantes, causando danos e interrupções generalizadas:
- Ataque da Change Healthcare aos sistemas de processamento de reivindicações e pagamento
- Ataque da Ascension Health aos sistemas de cuidados críticos
- Ataque da CDK Global aos sistemas de revendedores
Dada a importância crítica dos controles de segurança de endpoint, é essencial validá-los com frequência para garantir que estejam operando conforme o esperado e possam interromper as ameaças cibernéticas mais recentes. Esses controles podem suportar muitos ajustes e configurações para a detecção e prevenção de ameaças maliciosas, mas como você sabe que seus controles estão operando de forma eficaz?
Melhores práticas da Cymulate para validação de segurança de endpoint
As melhores práticas da Cymulate para validação de segurança de endpoint incluem uma avaliação abrangente de controles de segurança de endpoint com uma ampla gama de métodos de execução usados por agentes de ameaças para explorar e comprometer endpoints.
Com mais de 490 cenários de teste, a avaliação abrange uma gama completa de tipos de ataques críticos, incluindo arquivos maliciosos conhecidos para controles AV e comportamentos maliciosos para controles EDR envolvendo ransomware, worms e trojans. Os cenários de teste desafiarão os controles de segurança de endpoint mais bem avaliados usando a gama completa de métodos de execução e comportamentos maliciosos dos agentes de ameaças mais avançados em todo o mundo.
A avaliação de segurança de endpoint da Cymulate inclui as seguintes melhores práticas para controles AV e controles EDR, além de rootkits, carregamento lateral de DLL e diferentes formas de injeção de código.
Prática recomendada: arquivos maliciosos conhecidos (antivírus)
As equipes de segurança devem conduzir testes de validação usando um conjunto abrangente das amostras de arquivos de malware mais recentes conhecidas para determinar os recursos de detecção e prevenção da solução antivírus e verificar se o banco de dados de assinaturas está atualizado e se o software está configurado corretamente para escanear todos os arquivos e fluxos de dados relevantes.
Esses testes são projetados para simular amostras de malware baseadas em assinaturas que são descartadas no disco (sem execução) para verificar a resposta de soluções de software antivírus e antimalware tradicionais em execução no endpoint.
Melhores práticas: comportamentos maliciosos (EDR)
Os agentes de ameaças de hoje foram além dos ataques baseados em assinaturas que são facilmente detectados pelos controles de segurança de endpoint para ataques mais baseados em comportamento que são mais difíceis de detectar porque eles geralmente usam processos legítimos do sistema e comportamentos do usuário para contornar os controles de segurança. Esses tipos de ataques exigem soluções de EDR mais sofisticadas para detectar e prevenir ataques baseados em comportamentos suspeitos e maliciosos.
As equipes de segurança devem simular uma ampla gama de comportamentos adversários usando diferentes métodos de execução e payloads cobrindo os mais recentes malwares, ransomwares, worms e amostras de trojans para validar totalmente seus recursos de detecção e prevenção de EDR.
Melhores práticas: rootkits
Rootkits são um tipo de malware que normalmente opera em um nível baixo no sistema operacional para evitar detecção. Eles geralmente manipulam funções principais do sistema e substituem chamadas do sistema para tentar disfarçar suas ações maliciosas.
As equipes de segurança devem testar seus controles de segurança de endpoint para validar a integridade dos binários do sistema e determinar se os controles podem detectar quando as funções do sistema foram alteradas por um agente de ameaça.
Prática recomendada: carregamento lateral de DLL
O carregamento lateral de DLL é outro método usado por agentes de ameaças para carregar arquivos DLL maliciosos no espaço de memória de aplicativos legítimos.
As equipes de segurança devem simular esses comportamentos de carregamento lateral de DLL para testar sua solução de segurança de endpoint e validar que ela pode detectar e impedir que arquivos DLL sejam carregados na memória.
Melhor prática: injeção de código
A injeção de código é um método usado para explorar os aplicativos que estão sendo executados nos dispositivos de endpoint com o objetivo de comprometer sistemas, aplicativos e/ou dados.
As equipes de segurança devem simular a injeção de código malicioso em campos de entrada de seus aplicativos confiáveis em execução em seus endpoints.
Frequência recomendada: semanal
O objetivo dessas práticas recomendadas é testar completamente a eficácia dos controles e políticas de segurança de endpoint de uma organização simulando amostras de arquivos maliciosos e comportamentos para obter acesso e controle de dispositivos de endpoint.
Dada a função crítica que os endpoints desempenham nas operações comerciais do dia a dia e a diversidade de dispositivos de endpoint (Windows, Mac, Linux, desktops, laptops, servidores, etc.), é altamente recomendável que esses testes de validação sejam executados semanalmente para identificar fraquezas em suas soluções de segurança de endpoint.
Para obter mais informações, baixe nosso resumo da solução e agende uma demonstração de nossa avaliação de segurança de endpoint.
Deixe um comentário