BLOG

Agora você pode ver campanhas de ameaças bem diante dos seus olhos

Miniatura de Navpreet Gill
Navpreet Gill
Publicado em 08 de setembro de 2022


A maioria das organizações empresariais hoje usa entre 200 e 1.000 aplicativos em média, conforme apontado no Relatório F5 State of Application Strategy (Figura 1, abaixo). Esses aplicativos provavelmente abrangem diversas nuvens públicas/privadas e data centers, o que significa que mantê-los disponíveis e seguros é um desafio.

Figura 1: Relatório de Situação de Aplicação F5 2022
Figura 1: Relatório de Situação de Aplicação F5 2022

Só no ano passado, tivemos vulnerabilidades generalizadas e altamente exploradas, como Log4j e Spring4Shell . As equipes de segurança trabalharam dia e noite, sete dias por semana, apenas para localizar e aliviar as vulnerabilidades em seus aplicativos existentes, enquanto tentavam desesperadamente se proteger contra explorações e mitigar qualquer dano. E, infelizmente, só ouvimos falar das principais vulnerabilidades, porque nem todas as vulnerabilidades são relatadas e categorizadas: O NIST.gov destacou que cerca de 28% das vulnerabilidades simplesmente não foram relatadas em 2021, de um total de 25.646 vulnerabilidades naquele ano. 

Muitas organizações têm programas maduros de gerenciamento de vulnerabilidades em vigor, onde é rotina corrigir sistemas de produção pelo menos uma vez por mês. O grande problema, porém, é que vulnerabilidades críticas são lançadas a cada 9 a 12 horas, de acordo com a pesquisa do F5 Labs , que também observa que quase três vulnerabilidades críticas são lançadas a cada dia. A preocupação com código vulnerável sendo explorado é até mesmo abordada no OWASP Top 10, o recurso de conscientização padrão para profissionais de DevOps e SecOps; “Componentes Vulneráveis e Desatualizados” foi destacado na última lista OWASP Top 10 (2021) e até subiu na classificação de gravidade em relação à lista anterior (2017).

Frequentemente, campanhas de ameaças direcionadas aproveitam vulnerabilidades conhecidas e usadas para lançar explorações e campanhas de ameaças coordenadas. Essas campanhas de ameaças são sofisticadas e podem ser incrivelmente difíceis de detectar. E em alguns desses casos, uma organização pode adotar políticas de segurança altamente restritivas na tentativa de bloquear ataques e campanhas de ameaças, correndo o risco de que até mesmo usuários legítimos sejam bloqueados dos recursos necessários para realizar suas tarefas diárias. Isso pode ser um problema muito urgente, especialmente para equipes de segurança menores ou com poucos funcionários.

No entanto, há opções. Uma excelente abordagem que pode mitigar as explorações coordenadas de aplicativos e APIs por meio de código vulnerável é implantar um firewall de aplicativo web (WAF). Mesmo que sua organização seja lenta em corrigir uma vulnerabilidade conhecida, um WAF pode proteger seus aplicativos mais críticos e APIs vitais contra ataques e explorações de campanhas de ameaças coordenadas. Mas, é claro, os malfeitores e criminosos que lançam campanhas de ameaças são especialmente astutos e dissimulados, com maneiras de mascarar uma campanha de ameaças para que ela permaneça escondida até mesmo do WAF mais bem ajustado. Então, como um WAF pode lidar melhor com ataques direcionados dessas ameaças avançadas sem bloquear seus usuários reais ou impactar negativamente sua experiência de trabalho?

A F5 oferece serviços inteligentes de ameaças à segurança, incluindo F5 Threat Campaigns. O F5 Threat Campaigns é um complemento de assinatura do F5 BIG-IP Advanced WAF e está incluído no F5 Distributed Cloud WAF e no NGINX App Protect WAF. A F5 Threat Campaigns usa análises de segurança com aprendizado de máquina avançado e honeypots para fornecer às organizações proteção contra ameaças e explorações comuns. As Campanhas de Ameaças F5 fornecem insights sobre a natureza e o propósito de uma campanha de ameaças ativa. Hoje em dia, as organizações precisam de inteligência de ameaças ativa e acionável que possa aumentar a eficácia dos controles de segurança existentes, incluindo WAFs, com controles que detectam e bloqueiam automaticamente campanhas de ameaças ativas. E é exatamente isso que a F5 Threat Campaigns faz. 

Com o F5 Threat Campaigns e uma solução F5 WAF, sua equipe de SecOps pode definir políticas de segurança controladas granularmente que protegem sua organização, aplicativos e APIs. O serviço ajuda a proteger aplicativos e infraestrutura de TI de campanhas de ameaças sofisticadas, detectando e bloqueando ataques preventivamente. Usando aprendizado de máquina, a F5 Threat Campaigns consegue pegar feeds de ameaças que podem inicialmente parecer díspares e correlacioná-los, encontrando pontos em comum entre os diferentes ataques e explorações, até que uma imagem de uma rede de campanhas de ameaças coordenadas se torne clara e aparente. Isso ajuda uma equipe de segurança a direcionar e mitigar ataques e explorações que aproveitam vulnerabilidades existentes. 

O mais recente recurso no arsenal do F5 Threat Campaigns, o mapa-múndi do F5 Threat Campaigns (Figura 2, abaixo), foi lançado há apenas alguns dias. Ele está disponível publicamente no F5.com para qualquer pessoa ver e usar, ajudando a fornecer maior visibilidade às campanhas de ataques cibernéticos com insights e telemetria apresentados juntos. Este mapa pode ser visualizado em escala, permitindo que os espectadores mergulhem em detalhes granulares as campanhas de ameaças em andamento.

Figura 2: Mapa de campanhas de ameaças F5
Figura 2: Mapa de campanhas de ameaças F5

Além do novo Mapa de Campanhas de Ameaças do F5, as Campanhas de Ameaças do F5 incluem:

  • Atualizações ao vivo com inteligência de ameaças acionável da F5
  • Segurança de aplicativos da web aprimorada com quase zero falsos positivos
  • Mitigação de risco confiável com um modelo de baixo custo
  • Não mais caça às ameaças
  • Visibilidade em feeds de ameaças precisos e relevantes

Antes de abordar e, finalmente, mitigar a exploração do Log4j, a F5 lançou diversas proteções, regras e atualizações de políticas, além de se comunicar ativamente e frequentemente com clientes e o público. A F5 também lançou as Campanhas de Ameaças F5 para lidar com explorações ativas do Log4j na mesma semana. Os clientes do F5 Threat Campaigns também conseguiram detectar ataques explorando a vulnerabilidade do Spring4Shell em seu feed de ameaças, bloqueando e mitigando a ameaça (Figura 3, abaixo).

Figura 3: O feed de campanhas de ameaças F5 detecta vulnerabilidades exploráveis, como Spring4Shell
Figura 3: O feed de campanhas de ameaças F5 detecta vulnerabilidades exploráveis, como Spring4Shell

Com acesso ao recém-lançado mapa F5 Threat Campaigns, equipado com feeds ao vivo sobre campanhas coordenadas, ataques e explorações que aproveitam vulnerabilidades, como Log4j e Spring4Shell, você também pode capacitar seu WAF para mitigar e lidar com ataques direcionados com serviços de inteligência F5 (incluindo F5 Threat Campaigns).

Entre em contato com seu parceiro de canal ou gerente de conta da F5 para obter mais informações sobre como adicionar uma assinatura do F5 Threat Campaigns ao seu BIG-IP Advanced WAF ou para começar a usar o F5 Threat Campaigns em sua solução F5 Distributed Cloud WAF ou NGINX App Protect WAF hoje mesmo.