Para a maioria das organizações, o trabalho nunca mais será o mesmo de antes da pandemia, com os modelos de trabalho de qualquer lugar sendo a realidade em um futuro previsível. Em alguns casos, os modelos de negócios tiveram que mudar quase da noite para o dia para oferecer suporte às opções digitais de atendimento ao cliente, entrega ou pedido online. E muitos funcionários e empregadores descobriram que algumas pessoas são mais produtivas ou simplesmente gostam mais de trabalhar em casa do que no escritório. E a redução resultante nas despesas gerais do escritório físico é altamente atraente para muitas organizações. Portanto, o esforço que as equipes de TI fizeram para treinar as pessoas com acesso remoto certamente não será desperdiçado.
Não há dúvida de que os estilos de trabalho mudaram e há um reconhecimento crescente de que a maioria das organizações não vai trazer toda a sua força de trabalho de volta para o escritório, pelo menos não do jeito que era antes. Ao mesmo tempo, estamos vendo um aumento ainda maior nos ataques de ransomware. A combinação do trabalho da força de trabalho de qualquer lugar e o cenário de ameaças cada vez mais sofisticado enfatiza exatamente a importância da segurança do endpoint para as organizações protegerem sua infraestrutura e seus usuários.
Segurança de endpoint é mais importante do que nunca
Apoiar iniciativas digitais e um modelo de trabalho em qualquer lugar levou a um aumento dramático nas bordas expostas da rede. Ao mesmo tempo, malware, ransomware e outras ameaças continuam a desafiar as organizações, explorando dispositivos de endpoint e redes domésticas mal protegidos. A sofisticação crescente do cenário de ameaças, demonstrada pelo rápido aumento no número de funcionários remotos, juntamente com sérias preocupações, como um aumento de sete vezes no ransomware durante os últimos seis meses de 2020, sem mencionar os ataques cibernéticos de alto perfil que começaram em 2021 , mostraram a necessidade de uma segurança de endpoint mais forte.
Resolver os problemas de segurança contínuos relacionados às redes cada vez mais distribuídas e ao perímetro da rede em rápida dissolução pode parecer assustador. As primeiras etapas para lidar com esses desafios, especialmente para acesso remoto, incluem mudar para soluções de segurança de endpoint modernas e adotar um modelo de confiança zero. As soluções de segurança de endpoint precisam fornecer melhor visibilidade dos dispositivos e de seu estado, fortes medidas de proteção, ferramentas de monitoramento remoto e remediação de ameaças para dispositivos endpoint de todos os tipos. E as soluções de confiança zero precisam ser flexíveis o suficiente para facilitar com segurança o acesso do usuário a qualquer recurso ou aplicativo, não importa onde o usuário ou o recurso esteja localizado.
Os componentes de segurança de um endpoint moderno
As plataformas de proteção de endpoint (EPP) tradicionais de primeira geração que se concentram na prevenção baseada em inteligência de ameaças deram lugar a abordagens de proteção baseadas em comportamento mais recentes. Mas, mesmo assim, a prevenção nunca pode ser 100% eficaz por um longo período de tempo, dada a sofisticação das ameaças cibernéticas de hoje.
Da mesma forma, a primeira geração de produtos de detecção e resposta de endpoint (EDR), projetados para complementar a proteção de endpoint tradicional, também ficou para trás em relação ao volume de ataques cibernéticos rápidos. Lidar com uma enxurrada de alertas e descobrir ameaças reais de um mar de falsos positivos leva tempo, deixa as equipes de segurança cada vez mais para trás e expõe a organização a grandes riscos cibernéticos.
Essa abordagem de retalhos de EDR agregada ao EPP tradicional simplesmente não é mais suficiente para as organizações digitais de hoje e trabalha em qualquer lugar. Em vez disso, a segurança de endpoint moderna deve unificar essas funções com a capacidade de:
- Prever e prevenir ataques por meio da redução da superfície de ataque e prevenção de malware
- Detecte e desarme as ameaças com detecção e desarmamento em tempo real
- Responda, investigue e busque ameaças com a ajuda de remediação orquestrada e investigação forense
FortiEDR é uma solução unificada de segurança de endpoint projetada desde o início para adotar uma abordagem baseada em comportamento para proteção pré e pós-infecção, bem como detecção e resposta. Essa combinação única é mais eficaz para interromper violações e prevenir ataques de criptografia de ransomware porque bloqueia, detecta e desarma ameaças automaticamente.
Outros fornecedores de EDR geralmente contam com respostas manuais para a detecção inicial, que pode levar de 30 minutos a várias horas para ser contida. A etapa de detecção e desarmamento do FortiEDR é preventiva; ele bloqueia as comunicações externas de malware e nega o acesso aos sistemas de arquivos, o que impede a exfiltração de arquivos e a criptografia de ransomware em tempo real.
O FortiEDR também neutraliza ameaças sem encerrar o processo ou colocar o endpoint em quarentena. Possui rastreamento granular da operação do sistema que permite que a solução veja todas as etapas das operações do sistema, permitindo que ela espere o máximo possível para ter a maior confiança possível ao realizar uma ação de bloqueio. Essa abordagem reduz o risco de falsos positivos enquanto bloqueia os objetivos finais de muitos ataques cibernéticos.
Ao fazer isso, ganha tempo para a análise contínua do incidente. E no caso raro de uma ação muito agressiva, o bloqueio é levantado sem perturbar os usuários ou interromper os negócios.
Além disso, o FortiEDR também automatiza a avaliação e classificação contínuas de detecção suspeita. A inteligência artificial fornecida pela nuvem e os microsserviços continuam a analisar detecções que ficam abaixo do limite de bloqueio. Depois de chegar a um veredicto, ele inicia uma resposta que pode então ser automatizada usando um manual personalizável. Este manual permite que as organizações predefinam ações com base em categorizações de ameaças e grupos de políticas, para procedimentos automatizados de resposta e correção específicos para a organização. Por fim, os analistas de segurança humana ganham tempo para cuidar dessa solução de segurança de endpoint amplamente autônoma, continuar a refinar sua automação, aprender com os ataques cibernéticos identificados e melhorar continuamente a postura de segurança de sua organização.
A mudança para o acesso à rede Zero Trust
Conforme observado, mesmo após o fim da pandemia, as organizações precisarão apoiar o teletrabalho porque é provável que muitos funcionários continuem a trabalhar remotamente pelo menos parte do tempo. E o ano passado demonstrou a necessidade de mais do que apenas uma VPN para gerenciar com segurança o acesso remoto às redes distribuídas e dinâmicas de hoje. Portanto, além de usar EDR para proteger dispositivos terminais, o acesso à rede de confiança zero (ZTNA) também deve ser implementado. A ZTNA trata de questões relacionadas ao acesso a aplicativos.
No passado, restringir o acesso a aplicativos específicos pode ter funcionado no escritório, mas esse era o único lugar que funcionava. Um usuário que estava viajando ou fora do escritório por algum motivo, conectado por meio de uma VPN, que não apenas deu acesso ao aplicativo que desejavam usar, mas com muita frequência, a todo o resto também. Sempre que um dispositivo ou usuário é automaticamente confiável dessa forma, os dados, aplicativos e propriedade intelectual de uma organização estão em risco.
Um modelo de segurança de confiança zero adota a abordagem oposta. O pressuposto é que nenhum usuário ou dispositivo é confiável até prova em contrário. Isso significa que nenhuma confiança é concedida a qualquer transação sem primeiro verificar se o usuário e o dispositivo estão autorizados a ter acesso.
O Fortinet usa a combinação de um agente de endpoint e o poder do FortiOS para realizar a verificação de identidade para cada sessão. Ele controla quais aplicativos um usuário tem permissão para acessar, independentemente de o usuário estar localizado na sede ou se conectar de outro lugar. Os usuários são validados sempre que acessam um aplicativo para cada sessão. Seu acesso aos aplicativos também pode ser limitado com base em coisas como sua função.
E a partir da versão FortiOS 7.0, FortiOS é capaz de transformar a infraestrutura Fortinet existente de uma organização em uma arquitetura de confiança zero porque os firewalls de próxima geração FortiGate (NGFWs) e as soluções de proteção de endpoint FortiClient empregam recursos ZTNA. O fato de o FortiEDR e o ZTNA estarem totalmente integrados ao FortiOS permite um gerenciamento fácil e uma visibilidade superior em toda a infraestrutura.
Além disso, a implementação do ZTNA pela Fortinet não depende do SASE. Muitas soluções de confiança zero são apenas na nuvem, o que limita suas opções. Mas a solução ZTNA da Fortinet pode ser implantada no local ou na nuvem. E o ZTNA agora está integrado ao FortiOS, permitindo que os clientes da Fortinet aproveitem ainda mais seus investimentos existentes em firewalls FortiGate e outros produtos Fortinet para construir uma estratégia ZTNA. Como o ZTNA é um recurso gratuito que já está no FortiGates, como a solução Secure SD-WAN da Fortinet, é fácil migrar da VPN para a capacidade de acesso ZTNA sempre que estiver pronto.
O Fortinet Security Fabric combinado com o Endpoint Security Duo
A configuração de soluções de acesso remoto requer uma variedade de componentes e, em muitas organizações, essas soluções são fornecidas por diferentes fornecedores, adicionando complexidade a um ambiente já sobrecarregado. Pior ainda, os componentes geralmente são executados em sistemas operacionais diferentes e usam consoles diferentes para gerenciamento e configuração, portanto, configurar uma segurança robusta de endpoint e acesso remoto pode ser complexo e às vezes até impossível.
Com a Fortinet, você não apenas pode estabelecer facilmente um acesso remoto seguro por meio de um único fornecedor, como todos os componentes podem ser integrados por meio do Fortinet Security Fabric. O Security Fabric é uma abordagem arquitetônica à segurança que permite conectar diferentes dispositivos de segurança em um único sistema de segurança integrado que abrange sua rede distribuída. Isso é crítico quando você tem usuários que estão se conectando de quase qualquer lugar a recursos que podem estar localizados em quase qualquer outro lugar, permitindo que você saiba o que está acontecendo para que possa manter até os pontos mais distantes de sua rede o mais seguro possível.
REFERÊNCIAS:
https://www.fortinet.com/blog/industry-trends/the-need-for-endpoint-security-isnt-going-away