Acelere a implantação do SASE com a série SASE Week Backstage. Explore as sessões

fechar
fechar
  • Por que Netskope divisa

    Mudando a forma como a rede e a segurança trabalham juntas.

  • Nossos clientes divisa

    A Netskope atende a mais de 3.400 clientes em todo o mundo, incluindo mais de 30 das empresas da Fortune 100

  • Nossos parceiros divisa

    Fazemos parceria com líderes de segurança para ajudá-lo a proteger sua jornada para a nuvem.

Um Líder em SSE.
E agora Líder em Single-Vendor SASE.

Descubra por que a Netskope estreou como líder no Quadrante Mágico™ do Gartner® para Single-Vendor SASE

Obtenha o Relatório
Destaques de clientes visionários

Leia como os clientes inovadores estão navegando com sucesso no cenário atual de mudanças na rede & segurança por meio da plataforma Netskope One.

Baixe o eBook
Destaques de clientes visionários
A estratégia de comercialização da Netskope, focada em Parcerias, permite que nossos Parceiros maximizem seu crescimento e lucratividade enquanto transformam a segurança corporativa.

Saiba mais sobre os parceiros da Netskope
Grupo de diversos jovens profissionais sorrindo
Sua Rede do Amanhã

Planeje seu caminho rumo a uma rede mais rápida, segura e resiliente projetada para os aplicativos e usuários aos quais você oferece suporte.

Receba o whitepaper
Sua Rede do Amanhã
Apresentando a plataforma Netskope One

O Netskope One é uma plataforma nativa da nuvem que oferece serviços convergentes de segurança e rede para permitir sua transformação SASE e zero trust.

Saiba mais sobre o Netskope One
Abstrato com iluminação azul
Adote uma arquitetura Secure Access Service Edge (SASE)

O Netskope NewEdge é a maior nuvem privada de segurança de alto desempenho do mundo e oferece aos clientes cobertura de serviço, desempenho e resiliência inigualáveis.

Conheça a NewEdge
NewEdge
Netskope Cloud Exchange

O Cloud Exchange (CE) da Netskope oferece aos clientes ferramentas de integração poderosas para tirar proveito dos investimentos em estratégias de segurança.

Saiba mais sobre o Cloud Exchange
Vista aérea de uma cidade
A plataforma do futuro é a Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG) e Private Access for ZTNA integrados nativamente em uma única solução para ajudar todas as empresas em sua jornada para o Secure Access Service Arquitetura de borda (SASE).

Vá para a plataforma
Vídeo da Netskope
Next Gen SASE Branch é híbrida — conectada, segura e automatizada

Netskope Next Gen SASE Branch converge o Context-Aware SASE Fabric, Zero-Trust Hybrid Security e SkopeAI-Powered Cloud Orchestrator em uma oferta de nuvem unificada, inaugurando uma experiência de filial totalmente modernizada para empresas sem fronteiras.

Saiba mais sobre Next Gen SASE Branch
Pessoas no escritório de espaço aberto
Desenvolvendo uma Arquitetura SASE para Leigos

Obtenha sua cópia gratuita do único guia de planejamento SASE que você realmente precisará.

Baixe o eBook
Mude para serviços de segurança na nuvem líderes de mercado com latência mínima e alta confiabilidade.

Conheça a NewEdge
Rodovia iluminada através de ziguezagues na encosta da montanha
Permita com segurança o uso de aplicativos generativos de IA com controle de acesso a aplicativos, treinamento de usuários em tempo real e a melhor proteção de dados da categoria.

Saiba como protegemos o uso de IA generativa
Ative com segurança o ChatGPT e a IA generativa
Soluções de zero trust para a implementação de SSE e SASE

Conheça o Zero Trust
Passeio de barco em mar aberto
Netskope obtém alta autorização do FedRAMP

Escolha o Netskope GovCloud para acelerar a transformação de sua agência.

Saiba mais sobre o Netskope GovCloud
Netskope GovCloud
  • Recursos divisa

    Saiba mais sobre como a Netskope pode ajudá-lo a proteger sua jornada para a nuvem.

  • Blog divisa

    Saiba como a Netskope permite a transformação da segurança e da rede por meio do serviço de acesso seguro de borda (SASE)

  • Eventos e workshops divisa

    Esteja atualizado sobre as últimas tendências de segurança e conecte-se com seus pares.

  • Security Defined divisa

    Tudo o que você precisa saber em nossa enciclopédia de segurança cibernética.

Podcast Security Visionaries

O futuro da segurança: mudança quântica, inteligência artificial e macropolítica
Emily Wearmouth e Max Havey conversam com o CEO da Netskope, Sanjay Beri, e o CTO Krishna Narayanaswamy sobre o futuro da segurança.

Reproduzir o podcast Navegue por todos os podcasts
O futuro da segurança: mudança quântica, inteligência artificial e macropolítica
Últimos blogs

Leia como a Netskope pode viabilizar a jornada Zero Trust e SASE por meio de recursos de borda de serviço de acesso seguro (SASE).

Leia o Blog
Nascer do sol e céu nublado
SASE Week 2024 On-Demand

Aprenda a navegar pelos últimos avanços em SASE e confiança zero e explore como essas estruturas estão se adaptando para enfrentar os desafios de segurança cibernética e infraestrutura

Explorar sessões
SASE Week 2024
O que é SASE?

Saiba mais sobre a futura convergência de ferramentas de redes e segurança no modelo predominante e atual de negócios na nuvem.

Saiba mais sobre a SASE
  • Empresa divisa

    Ajudamos você a antecipar os desafios da nuvem, dos dados e da segurança da rede.

  • Carreira divisa

    Join Netskope's 3,000+ amazing team members building the industry’s leading cloud-native security platform.

  • Customer Solutions divisa

    Estamos aqui junto com você a cada passo da sua trajetória, assegurando seu sucesso com a Netskope.

  • Treinamento e credenciamentos divisa

    Os treinamentos da Netskope vão ajudar você a ser um especialista em segurança na nuvem.

Apoiando a sustentabilidade por meio da segurança de dados

A Netskope tem o orgulho de participar da Visão 2045: uma iniciativa destinada a aumentar a conscientização sobre o papel da indústria privada na sustentabilidade.

Saiba mais
Apoiando a sustentabilidade por meio da segurança de dados
Ajude a moldar o futuro da segurança na nuvem

At Netskope, founders and leaders work shoulder-to-shoulder with their colleagues, even the most renowned experts check their egos at the door, and the best ideas win.

Faça parte da equipe
Vagas na Netskope
A talentosa e experiente equipe de Serviços Profissionais da Netskope fornece uma abordagem prescritiva para sua implementação bem sucedida.

Conheça os Serviços Profissionais
Netskope Professional Services
Proteja sua jornada de transformação digital e aproveite ao máximo seus aplicativos de nuvem, web e privados com o treinamento da Netskope.

Saiba mais sobre Treinamentos e Certificações
Grupo de jovens profissionais trabalhando

Detecção avançada de Beacon C2 para estruturas maleáveis

10 de setembro de 2024

Uma das ameaças mais evasivas e difíceis de detectar está nas estruturas de memória que usam beacons maleáveis de comando e controle (C2) para se esconder no tráfego benigno. Eles permitem que os invasores entrem e permaneçam invisíveis com reconhecimento oculto, descoberta, C2 e exploração de dados. Por mais de uma década, as defesas de segurança tradicionais que usam assinaturas estáticas, intervalos de endereços IP e URLs/domínios geralmente falharam em detectar essas ameaças evasivas. Além de estarem na memória dos endpoints, esses ataques podem evitar a detecção de antivírus e endpoints, projetados principalmente para analisar a atividade de arquivos e discos em busca de arquivos de malware. Originalmente criadas como ferramentas de teste de penetração para equipes vermelhas contra equipes azuis, essas estruturas caíram nas mãos do cibercrime e dos estados-nação como a principal ferramenta de cadeia de mortes após entrarem em uma rede ou explorarem uma vulnerabilidade de acesso. 

Então, vamos começar a jornada com beacons, pois há muitos usos bons para os beacons C2, de endpoints a servidores, para controlar e atualizar programas e aplicativos de software. Adotar uma abordagem de martelo e bloquear todos os Beacons C2 não é a resposta. Até mesmo o Netskope Client usa beacons para seu serviço de balanceamento de carga global para encontrar o caminho mais rápido na rede privada NewEdge para cada usuário remoto. Os beacons benignos são úteis e existem muitos deles no tráfego da web, da nuvem e de aplicações. Na verdade, uma das estruturas de simulação de adversários mais populares, o Cobalt Strike, inclui mais de 240 perfis de beacons benignos para usar para ocultar seus sinais C2 maliciosos. Como ferramenta de teste de penetração, é quase certo que equipes vermelhas entrarão em redes de equipes azuis usando o Cobalt Strike, pois a detecção é muito difícil, demorada e quando se usam defesas antigas carregadas de falsos positivos. 

Em 2012, Raphael Mudge criou o Cobalt Strike para testes de caneta da equipe vermelha C2 e acesso remoto quase invisível. A estrutura ajuda a simular ataques, identificar falhas de segurança e praticar defesas contra ameaças potenciais, como ataques, instalação de implantes e backdoors. Além disso, ele pode criar carregadores de beacon e cargas úteis para detectar vulnerabilidades de rede e estabelecer comunicação com atacantes/testadores on-line. Um fator-chave do design é a maleabilidade, permitindo que os agentes de ameaças modifiquem o comportamento dos componentes para imitar o tráfego legítimo da rede e evitar a detecção pelas defesas de segurança. Quão bom é isso? Bem, o código de shell malicioso permanece invisível para a detecção de antivírus e EDR e se move por meio de canais nomeados nos sistemas Windows e Linux. Portanto, o sandboxing requer a emulação de tubos nomeados, o que é raro. Portanto, o uso criminoso dessa estrutura altamente eficaz era apenas uma questão de tempo como ponto de entrada usado em redes infectadas para fornecer mobilidade lateral após uma intrusão na rede, comum em ataques avançados de ransomware e malware. 

Existem outras estruturas de simulação, incluindo Brute Ratel, Mythic, Metasploit, Sliver e Merlin. Esses kits de ferramentas são altamente configuráveis (por meio de perfis maleáveis) e podem variar facilmente o tempo, a frequência, o volume, os protocolos do aplicativo, os IPs/domínios de destino, a configuração de agentes de usuário, cabeçalhos HTTP, verbos HTTP, URIs, parâmetros, carga útil, certificados SSL/TLS, atraso de sinalização com instabilidade aleatória e conteúdo. As ferramentas da estrutura C2 também permitem muitas ações pós-exploração, que são criptografadas, baixadas e executadas na memória, tornando a atividade pós-comprometimento muito difícil de detectar nos endpoints.

Usando controles de política de firewall, você pode bloquear portas e protocolos não utilizados, além de inspeção com estado e alocações dinâmicas de portas. No entanto, os beacons C2 maleáveis provavelmente se esconderão no tráfego HTTP/HTTPS em um mar de beacons benignos. Os sistemas de prevenção de intrusões (IPS) são uma opção mais popular, eles permitem que você desenvolva assinaturas de beacon C2 de malware, e as soluções IPS de código aberto geralmente fornecem assinaturas de beacon C2 de malware conhecidas. O problema é o alto número de falsos positivos decorrentes de assinaturas estáticas e o atraso no jogo para detectar um alvo maleável e em constante mudança. As soluções antivírus e EDR enfrentam ataques à estrutura na memória, e um gateway web seguro (SWG) exige alto desempenho para uma boa experiência do usuário em milissegundos. Portanto, a detecção fica em segundo plano usando eventos de transações na web e análise pós-evento. Usar um SIEM ou data lake e até mesmo capturas de pacotes de tráfego (PCAPs) com uma solução de detecção e resposta de rede (NDR) exige tempo e especialistas em ameaças altamente evasivas. 

Portanto, deve haver uma maneira melhor e, na era da IA e do aprendizado de máquina, uma nova abordagem foi criada na Netskope. Conforme mencionado acima, ter o tráfego, os eventos de transação e o contexto avançado como fontes de dados para alimentar os modelos de ML é um requisito básico para resolver esse problema. No entanto, as soluções de borda de serviço de segurança (SSE) criadas na infraestrutura de nuvem pública não estão abertas a todos esses dados valiosos, incluindo capturas de pacotes de tráfego. O Netskope NewEdge, como uma rede privada, permite o acesso a esses dados, incluindo capturas de pacotes de tráfego, leia mais sobre a integração do Netskope Cloud TAP e do NDR neste blog.

Hoje, a Netskope tem mais de 65 modelos de ML em produção, com mais de 130 detectores para sua detecção avançada de anomalias de comportamento UEBA na Web, SaaS, IaaS e tráfego de saída de usuários, além de adicionar mais três patentes para detectar beacons C2, aproveitando a experiência e o conhecimento do Netskope AI Labs e de nossas equipes do Threat Labs. O que essas equipes criaram foi uma abordagem mais eficaz baseada não em indicadores estáticos, mas sim em modelos focados de aprendizado de máquina que podem detectar anomalias no tráfego da rede usando uma infinidade de sinais de rede que indicam atividades suspeitas de comando e controle (C2) em comparação com o que as aplicações válidas normalmente fazem para os usuários específicos dentro da organização específica. Além disso, métricas de risco refinadas são rastreadas no nível do usuário para fornecer as ações de mitigação mais precisas e eficazes. Você pode ler mais detalhes neste white paper

O resultado é a detecção de beacon C2 da Netskope usando modelos avançados de ML UEBA e dados de rede contextuais avançados para fornecer uma taxa de detecção substancialmente melhor com menos falsos positivos do que usar um IPS ajustado por especialistas para essas ameaças altamente evasivas. Consulte o white paper para ver os resultados dos testes, pois sua quilometragem pode variar. E, sim, você deve colocar suas defesas em camadas e bloquear ameaças conhecidas com AV/EDR em endpoints, além de fazer parceria com Netskope SSE para proteção avançada contra ameaças em linha, incluindo controles de política de firewall em nuvem (FWaaS), detecção de sistema de prevenção de intrusões (IPS) e Remote Browser Isolation (RBI) para proteger usuários e dispositivos contra conteúdo e scripts mal-intencionados.

Se estiver interessado nessa nova defesa depois de ler o white paper, entre em contato com o representante de vendas da Netskope para considerar a possibilidade de participar do nosso programa de testes à medida que finalizamos a solução e a colocamos em produção para nossos clientes.  Além disso, agradecemos aos nossos clientes por nos desafiarem nesse tópico e às nossas equipes de pesquisa por pensarem de forma inovadora em uma era de inovações de IA/ML. 

Saiba mais sobre os outros recursos interessantes do recente anúncio da plataforma da Netskope, incluindo:

Além disso, junte-se a nós na SASE Week 2024 para explorar o que há de mais recente em SASE e Zero Trust e aprender como aprimorar a estratégia de segurança e transformação de rede da sua organização.

author image
Tom Clare
Tom Clare is a Product Marketing Director, his focus at Netskope centers on product strategy with marketing experience in web/cloud proxies, data protection, and more.