Ataques Living-off-the-Land: Um Desafio para Detecção e Resposta nos Serviços Gerenciados Cobertos pelo WatchGuard Advanced EPDR
Na área da cibersegurança, os ataques Living-off-the-land (LotL) têm se mostrado um desafio significativo, especialmente para os provedores de serviços gerenciados responsáveis pela segurança de seus clientes. Esses ataques, que utilizam ferramentas e funcionalidades legítimas do sistema, em vez de malware tradicional, requerem uma estratégia sofisticada de detecção e resposta.
O Papel Crítico dos Parceiros Avançados na Detecção de Ataques LotL
Como parceiro avançado, seu papel na defesa contra ataques LotL é crucial. Esses ataques são difíceis de detectar, pois não envolvem a introdução de arquivos maliciosos nos sistemas de seus clientes, que seriam bloqueados pelo Zero-Trust Application Service, presente no WatchGuard EDR, EPDR e Advanced EPDR. Em vez disso, os atacantes utilizam ferramentas nativas como PowerShell, WMI e macros do Office para realizar atividades maliciosas sem levantar suspeitas.
Como o WatchGuard Advanced EPDR Facilita a Detecção e Resposta a Ataques LotL
O WatchGuard Advanced EPDR é projetado para fornecer aos parceiros as ferramentas necessárias para detectar e responder efetivamente a ataques LotL. Através do acesso à telemetria enriquecida e das capacidades avançadas de análise comportamental, o WatchGuard Advanced EPDR identifica atividades suspeitas mapeadas nas táticas e técnicas do framework MITRE ATT&CK, mesmo quando os atacantes tentam se esconder usando técnicas LotL. Isso ajuda os analistas a identificar rapidamente o curso de ação em um ataque.
Estratégias Específicas para Parceiros Avançados que Oferecem Serviços de Segurança Gerenciados
- Implementação de Políticas de Controle de Aplicações: Como parceiro, você pode configurar políticas de controle de aplicações que restrinjam ferramentas como PowerShell ou WMI apenas para usuários autorizados. Isso ajuda a minimizar o risco de que os atacantes abusem dessas ferramentas para comprometer os sistemas de seus clientes.
- Monitoramento e Investigação em Tempo Real: A nova versão do WatchGuard Advanced EPDR permite que os analistas de segurança acessem telemetria enriquecida com inteligência contra ameaças a partir de um console centralizado na nuvem para investigar um IoA (indicador de ataque) crítico detectado nos ambientes de seus clientes.
Essa funcionalidade é essencial para detectar rapidamente os padrões de comportamento típicos dos ataques LotL, com informações sobre a tática e a técnica MITRE ATT&CK, como a execução de scripts sem arquivos em PowerShell ou o uso de WMI para executar comandos remotamente. - Investigação Ampliada e Resposta Rápida através de Shell Remoto em Todas as Plataformas: A nova versão do WatchGuard Advanced EPDR inclui a capacidade de abrir um shell remoto para obter arquivos, inspecionar processos e até tomar medidas diretas no endpoint, seja Windows, Linux ou macOS.
- Segmentação de Rede e Controle de Conexões: Além da segmentação implementada dentro da rede, o WatchGuard Advanced EPDR permite que você bloqueie conexões de endpoints não compatíveis que representem risco para os endpoints protegidos. Isso fortalece ainda mais a postura geral de segurança de seus clientes, impedindo que os atacantes se movimentem lateralmente dentro da rede.
- Treinamento Contínuo e Conscientização: Uma parte crucial de sua estratégia como parceiro é garantir que os usuários finais estejam bem treinados sobre os riscos das macros e o uso seguro de ferramentas administrativas. O treinamento contínuo pode prevenir que os funcionários executem scripts maliciosos inadvertidamente, o que poderia comprometer a segurança de toda a organização.
Benefícios para seus Clientes ao Utilizar o WatchGuard Advanced EPDR
Ao utilizar o WatchGuard Advanced EPDR como parte de seus serviços gerenciados, você oferece aos seus clientes uma solução robusta que, graças ao Zero-Trust Application Service, não apenas detecta e bloqueia ataques utilizando aplicativos não confiáveis, mas também equipa sua equipe para lidar com técnicas de ataque avançadas como LotL. Seus clientes podem ter certeza de que seus serviços de segurança gerenciados protegem seus sistemas contra as ameaças mais discretas e perigosas.
Conclusão
Os ataques Living-off-the-land representam um desafio único que requer uma combinação de tecnologias avançadas e monitoramento contínuo. Como parceiro avançado, você tem a responsabilidade e a oportunidade de proteger seus clientes dessas ameaças utilizando soluções como o WatchGuard Advanced EPDR. Ao integrar essas capacidades em seus serviços gerenciados, você pode oferecer uma proteção superior e uma resposta rápida a incidentes, fortalecendo a confiança dos clientes em seus serviços.