Facebook Linkedin twitter YouTube

Testemunho de cliente comprova eficiência do anti-malware Sky ATP

Publicado em Palavra do Cliente, por Juniper em 11/02/2017


Leia o testemunho de Matt Jolly, arquiteto de soluções IP da Vology, provedor de serviços de TI que administra mais de 100 mil dispositivos, em mais de 20 mil pontos nos EUA, sobre a experiência da companhia com o Sky ATP, um serviço baseado na rede e integrado aos firewalls da série SRX da Juniper Networks.


Por Matt Jolly*


Na Vology, instalamos o firewall SRX1500s e, recentemente, ativamos o anti-malware Sky ATP, Sky Advanced Threat Prevention (Sky ATP, sigla em inglês que significa prevenção avançada de ameaças), um serviço baseado na rede e integrado aos firewalls da série SRX da Juniper Networks, que emprega uma série de tecnologias na nuvem e identifica vários níveis de riscos de forma automatizada, usando análise profunda, bloqueio in-line de malware e acionamento de relatórios.


O objetivo foi ter um serviço capaz de mostrar em tempo real o tráfego remoto em todo o nosso data center. Queríamos enxergar as ameaças no momento em que elas aconteciam e agir muito rapidamente. E o que experimentamos foi inesperado e esclarecedor. O sistema e os painéis de monitoramento são muito fáceis de usar. Entrar em hosts específicos é extremamente simples. Isso nos possibilitou enxergar as descobertas do Sky ATP já nas primeiras horas que estava on-line.


Descobrimos que alguns dos servidores internos no data center e vários de nossos usuários remotos foram sinalizados e bloqueados por hits de comando e controle (C & C). Analisando os detalhes do incidente, verificamos rapidamente que as ameaças de comando e controle estavam chegando pelo navegador web local das máquinas infectadas. Os servidores C & C aguardavam respostas de scripts inseridos em páginas web de sites legítimos (por exemplo, Yahoo e CNN). A maioria dos sites públicos tem anúncios incorporados que preenchem espaços em branco à direita ou à esquerda da página principal. Esses anúncios são de empresas como Outbrain ou Webtrends. Observamos que muitos desses scripts de anúncios parecem não ser policiados e estão permitindo a inserção de códigos maliciosos. Em alguns casos, o potencial servidor C & C conectaria a máquina dos usuários sem que eles precisassem clicar no anúncio. O Sky ATP imediatamente bloqueia o cliente para protegê-lo desse acesso até que o problema seja remediado.


O sistema registra todo o tráfego suspeito e o classifica em escala de 1 a 10. Fomos imediatamente notificados de incidentes provenientes dos Países Baixos, Rússia, China e EUA com níveis de ameaça de 8 a 10. Na primeira semana, uma das ameaças mais preocupantes, avaliada no nível 10, veio da Holanda e realizou 1282 acessos em uma hora. Foi categorizada como uma VPN, Bot. O Sky ATP bloqueou automaticamente esta ameaça e permitiu que os nossos administradores corrigissem os hosts que poderiam ser comprometidos. Os relatórios e painéis de monitoramento fornecem os IPs de servidor externo, nível de ameaça de C & C, quantidade de acessos, país/continente, detalhes de data e hora e nomes de host externos, IPs e URLs, além de ações tomadas pelo sistema Sky ATP, como bloquear/permitir e categoria de ofensa.


Nossa equipe de TI percebeu que precisa mudar a sua postura nas questões de segurança, para responder às ameaças em tempo real. O time estava frustrado e alarmado porque não tinha uma solução para a questão. Eles tinham razão. As plataformas de desktop ou servidor baseadas em A/V (áudio e vídeo) não detectam (nem são capazes de fazê-lo) as ameaças. Agora a equipe está trabalhando no desenvolvimento de novas políticas de segurança, que vão incorporar sistemas ativos de prevenção de ameaças (Sky ATP em nosso escritório corporativo, por exemplo).


Isso destaca a necessidade de uma solução de borda robusta que possa tomar medidas imediatas pra brecar ameaças que evoluem ativamente. Aprendemos que sites em que acreditamos não são confiáveis. Aprendemos que nossa equipe de TI deve estar à frente das ameaças e das respostas de segurança. Aprendemos que as ameaças ativas não podem ser gerenciadas com soluções de segurança reativas.


O Sky ATP é uma ferramenta de segurança valiosa, fácil de usar e eficaz. Vamos levar esse conhecimento a nossos clientes e incorporá-lo ao ciclo de vendas.


*Matt Jolly é arquiteto de soluções IP da Vology, provedor de serviços de TI dos Estados Unidos

 


Leia também
Conheça o malware AutoIT
Utilizar ROP para detectar malware é perda de tempo
Conheça os malwares que fogem de detecção e análise
Juniper divulga o primeiro, de uma série de relatórios, sobre as ameaças do momento na rede.

 

 


Tags: Sky ATP, Segurança, Rede, Prevenção de ameaças, SRX, Firewall, Malware, Data center


Tags: sky-atp, seguranca, rede, prevencao-de-ameacas, srx, firewall, malware, data-center


Posts Relacionados


Deixe seu comentário:

=