O gerenciamento e a segurança dos endpoints são essenciais no ambiente atual de crimes cibernéticos crescentes. Os usuários finais conectam-se e desconectam-se continuamente da rede com seus dispositivos de endpoint. Ao mesmo tempo, esses endpoints são o campo de batalha para panorama de ameaças atual. As ameaças criptografadas estão cada vez mais atingindo endpoints não verificados, ransomware está aumentando e o roubo de credenciais persiste silenciosamente. No entanto, a crescente ameaça de ransomware e de outros ataques mal-intencionados baseados em malware provou que as soluções de proteção de clients não podem ser medidas com base apenas na conformidade dos endpoints.
Os desafios da proteção de enpoints
Os produtos de segurança de endpoints estão no mercado há anos, mas os administradores enfrentam os seguintes desafios:
• Manter produtos de segurança atualizados
• Aplicar políticas e conformidade
• Obter relatórios
• Ameaças provenientes de canais criptografados
• Compreender alertas e etapas de correção
• Gerenciamento de licenças
• Impedir ameaças avançadas, como ransomware
Manter produtos de segurança atualizados
Os administradores precisam garantir que os endpoints gerenciados estejam executando a versão correta dos componentes de software de segurança instalados conforme exigido pela política de conformidade.
Para impedir ataques emergentes, os administradores de segurança de rede precisam de endpoints gerenciados para avaliar a postura de segurança e relatar seu status de forma contínua.
Alguns administradores precisam interromper o tráfego entre servidores em seus data centers, o que geralmente representa a maior parte do tráfego entre seus switches. Eles precisam da opção de colocar um dispositivo em quarentena localmente caso ele não esteja em conformidade ou seja infectado. Nestes casos, o firewall deve bloquear o acesso à Internet, assim como bloquear esse dispositivo a partir da LAN, restringindo assim os caminhos de rede para os mesmos locais de quarentena que o firewall está restringindo.
Além disso, os administradores de segurança precisam garantir que todos os dados entre o cliente unificado e o console de gerenciamento centralizado não possam ser adulterados durante o trânsito, a fim de garantir a integridade dos dados.
Aplicar políticas e conformidade
Se os endpoints estiverem em um estado não coberto pela política, os administradores precisarão ser capazes de impedir que o dispositivo de endpoint use os serviços UTM para passar o tráfego pelo firewall. Os usuários finais também têm uma importante função a desempenhar na segurança de enpoints. Eles realizam seus trabalhos em notebooks corporativos e outros endpoints. Os usuários precisam saber imediatamente se algum software ou comportamento mal-intencionado for detectado para que possam agir ou arquivar um tíquete, se necessário.
Obter relatórios
Em alguns casos, os administradores podem gerenciar múltiplos firewalls, mas seus usuários são configurados em um único pool. Eles precisam ser capazes de obter o login único (SSO) de qualquer administrador de firewall ou de consoles de gerenciamento de segurança para gerenciar as políticas do cliente. Ao mesmo tempo, as regulamentações de conformidade geralmente determinam que todas as funções de administrador cumpram o princípio de privilégio mínimo, de modo que o gerenciamento do cliente unificado tenha controle de acesso baseado em função suficiente para acesso privilegiado. Por exemplo, isso pode ser limitado a duas funções, uma com acesso de leitura/gravação e outra com acesso somente leitura.
Ameaças provenientes de canais criptografados
Com mais aplicativos da Web sendo protegidos por canais criptografados, como HTTPS, e o malware também recorrendo à criptografia para ignorar a inspeção baseada em rede, tornou-se imperativo ativar a Inspeção Profunda de Pacotes de tráfego SSL/TLS (DPI-SSL). No entanto, isso não é facilmente aplicado sem a implantação em massa de certificados SSL/TLS confiáveis para todos os endpoints a fim de evitar a experiência do usuário e os desafios de segurança. Isso requer um mecanismo subjacente para distribuir e gerenciar certificados e a forma como os navegadores confiam neles.
Compreender alertas e etapas de correção
Os usuários finais normalmente são menos conscientes do risco de segurança do que os profissionais de segurança e, portanto, eles precisam da plataforma de proteção de endpoints para alertá-los sobre o perfil de risco em mudança enquanto viajam com seus notebooks entre diferentes locais e para aconselhá-los sobre como ficar protegidos.
Por exemplo, um alerta pode ser gerado a partir de um cliente unificado ou de um software de terceiros ou pode fornecer um redirecionamento para uma fonte externa, como uma página da Web.
Para corrigir rapidamente qualquer problema de conformidade com a política da empresa, pode ser benéfico para os usuários finais e a TI para que os usuários finais tenham acesso a informações de autoajuda. Se o dispositivo de um usuário ficar fora da política e esse usuário estiver em quarentena, os usuários também precisarão de orientação sobre as ações necessárias para voltar à conformidade.
Gerenciamento de licenças
Os administradores precisam garantir que qualquer software de segurança de endpoint adquirido seja atualizado automaticamente para sua interface de gerenciamento para que eles possam manter os endpoints licenciados corretamente. Por exemplo, todas as informações de licença relacionadas a um cliente devem ser monitoradas e armazenadas centralmente. No caso de uma nova compra de licença, um sinal deve ser enviado ao gerenciamento centralizado do cliente unificado para alertar e iniciar o direito de software.
Em uma programação periódica, alguns administradores precisam executar relatórios de conformidade em relação a todas as licenças de terceiros implantadas para pagar seus parceiros.
Impedir ameaças avançadas, como o ransomware
As abordagens tradicionais podem, às vezes, deixar lacunas no cumprimento dos requisitos administrativos. A abordagem das tecnologias tradicionais de antivírus, baseada em assinaturas com muitos conflitos, falhou em relação ao ritmo no qual novos malwares são desenvolvidos e suas técnicas de evasão, trazendo a necessidade de uma abordagem diferente para a proteção do cliente. Isso não deve apenas fornecer mecanismos avançados de detecção de ameaças, mas também oferecer suporte a uma estratégia de defesa em camadas nos endpoints.
Uma limitação importante nas soluções pontuais atuais (conhecidas como clientes de AV reforçados) é que o desenvolvimento é específico de um determinado terceiro e foi incorporado às ofertas dele. Os administradores precisam de um modelo mais aberto, permitindo uma adição relativamente rápida de módulos de segurança adicionais caso o negócio ou o setor exijam isso.
Conclusão
Devido ao aumento do uso de endpoints como um vetor de ataque cibernético, os profissionais de segurança precisam agir para proteger os dispositivos de endpoint. Além disso, com a proliferação de teletrabalho, mobilidade e BYOD, há uma necessidade extrema de fornecer proteção consistente para qualquer cliente, em qualquer lugar.
A Portnet é parceira Gold com certificação Technical Master da SonicWall. Fale com a gente!
Fonte: SonicWall