Um único componente pode fazer toda a diferença em sua segurança. Entenda porque o IPS é tão importante.
Este artigo ilustra como o componente opcional IPS (Sistema de prevenção de invasão) do SEP14 pode ajudar os administradores de segurança a manter sua organização segura e rastrear computadores infectados na rede.
IPS? O que é isso?
Ao contrário do antivírus, que procura arquivos mal-intencionados conhecidos, o IPS verifica o fluxo de tráfego da rede para encontrar ameaças, usando explorações conhecidas e vetores de ataque. O IPS não detecta arquivos específicos, mas sim métodos específicos que podem ser usados para obter arquivos maliciosos em sua rede. Isso permite que o IPS te proteja contra ameaças conhecidas e desconhecidas, mesmo antes que as assinaturas de antivírus possam ser criadas para elas.
O componente IPS do SEP aumenta consideravelmente o número de ameaças que podem ser bloqueadas, por esse motivo o uso do IPS é altamente recomendado em quase todos os Endpoints.
Também disponível para MAC
O IPS foi um componente opcional do SEP para Windows desde o início. Para habilitar o IPS no Symantec Endpoint Protection 11.x, a parte do firewall do cliente (Network Threat Protection) deve ser instalada e estar em execução. No SEP 12.1, a função de firewall do cliente é separada e não precisa ser instalada ou habilitada para que o IPS funcione.
Um dos melhores desses aprimoramentos é que o IPS agora pode defender também as máquinas Mac, bem como as caixas do Windows na rede. Então, definitivamente, atualize a proteção em seus Macs!
Como o IPS atua contra ameaças?
Para obter uma excelente ilustração de como o IPS pode proteger contra uma ameaça muito perigosa, consulte “Recovering Ransomlocked Files Using Built-In Windows Tools”. Mesmo que o Trojan.Cryptolocker .exe inicial não seja detectado pelos componentes do antivírus do SEP, as assinaturas de ataques IPS podem ainda bloquear o tráfego de rede com o qual essa ameaça se baseia e assim gerar as chaves necessárias para sabotar os arquivos de um computador. Se você vir um pop-up “System Infected: Trojan.Cryptolocker”, o IPS acabou de bloquear a atividade de rede do Trojan (e te salvou de um grande problema). Mantenha esse computador isolado e execute um diagnóstico de loadpoint para identificar qualquer arquivo de malware não identificado!
Gerando relatórios SEPM de ataques a rede
O SEP Manager possui recursos avançados para relatórios e alertas. Muitas vezes, você pode dizer exatamente o que está acontecendo com a segurança da sua rede, se você souber como procurar.
Um relatório que pode ser gerado sob demanda é o Network Threat Protection: Attacks. (Lembre-se: a partir do SEP 12.1, não é necessário ter o componente NTP do SEP instalado para utilizar IPS. O IPS pode ser instalado sem o NTP. O relatório de todos os ataques IPS ainda está listado sob a Proteção de ameaças à rede como no SEP 11).
Basta clicar em Monitors, na aba Logs e escolher a opção ” Network Threat Protection “. Escolha “Attacks” para ver todos os eventos IPS que ocorreram em clientes SEP gerenciados e foram encaminhados para o SEPM.
Os logs para todos os ataques serão exibidos na tela. Todos podem ser exportados para sua planilha eletrônica preferida para análises mais avançadas.
Identificando computadores desprotegidos
Veja como estes registros podem ser úteis: um administrador estava fazendo de tudo para eliminar o W32.Downadup da rede corporativa. Houve detecções constantes de que essa ameaça estava sendo interrompida. Em algum lugar havia computadores infectados que constantemente tentavam reativar outros. Examinar os Relatórios de Risco não foi suficiente para mostrar quaisquer casos em que a ameaça fosse detectada pelo antivírus, então, onde eles estavam?
Examinando os dados exportados, ficou bastante claro que o IPS também estava bloqueando as tentativas de infecção (tráfego que tentou explorar a vulnerabilidade que W32.Downadup usa para se espalhar). Esses registros, no entanto, mostraram quais os endereços IP envolvidos com cada “[SID: 23179] OS Attack: MSRPC Server Service RPC CVE-2008-4250 attack blocked. Traffic has been blocked for this application: SYSTEM”.
Examinar os Hosts Remotos que foram responsáveis por todo esse tráfego foi a solução para este caso. Haviam vários computadores infectados que não tinham nenhum antivírus instalado. A instalação do SEP acabou definitivamente com o persistente W32.Downadup.
Identificando máquinas infectadas
Em outro exemplo: centenas de eventos de Auto-Protect de vírus (Evento ID 51) foram vistos no diretório compartilhado de um servidor de arquivos. Foram necessários vários dias examinando os loadpoints do próprio servidor, sem encontrar nada malicioso. O motivo: a infecção estava em um dos 400 clientes que se conectam diariamente a essa unidade mapeada. Algum cliente na rede tentou fazer o dano, mas qual deles? Não seria possível examinar o diagnóstico do ponto de carga de todas essas centenas de clientes.
Felizmente, esse servidor de arquivos tinha o IPS instalado. Os registros IPS foram examinados e um grande número de entradas do “Evento de Auto-Bloqueio de Entrada” foram detectados. Todos os registros provenientes de um endereço IP específico. Esta atividade pode ter sido uma coincidência, mas neste caso, foi uma pista muito importante sobre qual cliente estava infectado. Esse computador foi isolado, limpo e recolocado à rede. Problema resolvido.
Conclusão
O IPS pode proteger seus computadores – e tudo que há neles – de forma que o antivírus sozinho não pode. E, seus logs podem fornecer inteligência valiosa sobre quais computadores da rede estão infectados.
Moral desta história: é muito mais fácil implementar o SEP IPS e ler seus logs do que examinar 400 diagnósticos de loadpoints.
Uma recomendação final: é sempre um bom momento para garantir que as defesas de sua empresa estejam em boas condições. Há uma grande quantidade de malwares em circulação, e é garantido que amanhã os hackers apresentarão novos códigos e técnicas. Tome uma atitude agora e proteja sua empresa!
Saiba mais sobre o Symantec Endpoint 14 (SEP 14) acessando a página que criamos especificamente para esse produto. Clique aqui.
Continua com duvidas, quer enviar uma sugestão, encontrou um erro ou algo que pode ser melhorado? Fale conosco através do [email protected].
Gostou? Curte, comenta, compartilha e deixa um recado para o nosso time aqui nos comentários abaixo!
O conteúdo acima foi traduzido do Blog da própria Symantec, um dos maiores desenvolvedores de segurança da informação do mundo. Para acessar a o post em inglês, basta clicar aqui.
[wp-review id=”11061″]