SlideShare uma empresa Scribd logo

Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta

Symantec Brasil
Symantec Brasil

1) Novas ameaças avançadas estão afetando empresas de todos os setores e causando grandes perdas financeiras. 2) Produtos especializados em análise e proteção contra ameaças (STAP) estão evoluindo para detectar ameaças sofisticadas que não podem ser detectadas por métodos tradicionais. 3) Soluções STAP como o Symantec Advanced Threat Protection usam várias técnicas para detectar ameaças persistentes avançadas e melhorar a prevenção, detecção e resposta a incidentes.

Apresentações relacionadas

Relatório semestral sobre segurança
Relatório semestral sobre segurançaRelatório semestral sobre segurança
Relatório semestral sobre segurança
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability Manager
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
1 de 6
Baixar para ler offline
IDC 1996 I D C T E C H N O L O G Y S P O T L I G H T Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta Outubro 2015 Adaptado do Artigo Worldwide Specialized Threat Analysis and Protection Forecast, 2015–2019: Defending Against the Unknown, IDC #256354 Patrocinado pela Symantec Novas ameaças modernas e ataques em vários estágios estão agora afetando todos os setores. O FBI estima perdas associadas com um único ataque recente em mais de US$ 100 milhões. Cada vez mais, ataques difíceis de detectar estão mudando o cenário da proteção de segurança e, subsequentemente, a postura de segurança da empresa. Estes ataques ocorrem em vários pontos diferentes em toda a rede, tornando mais difícil para as empresas a detecção e resposta aos mesmos. As limitações dos produtos de segurança baseados em assinaturas são bem conhecidas, e modelos avançados de detecção de ameaças estão em ascensão. Este artigo analisa o mercado de análise e proteção especializada de ameaças (chamado pela IDC como STAP), juntamente com a tecnologia que pode ajudar a proteger as empresas contra o crescimento de malware avançado, sofisticado, e personalizado. Ele também considera as ofertas do fornecedor de tecnologia Symantec neste mercado significativo, crescente e estratégico. Introdução Para garantir que a rede corporativa, aplicações, dados e endpoints possam permanecer seguros (sem malware e violações), produtos e serviços anti-malware estão evoluindo. Avanços focam nas ameaças cada vez mais sofisticadas, dependendo menos de assinaturas e adotando outras formas de detecção. Enquanto muitos produtos estão incorporando algumas dessas capacidades, produtos dedicados fornecem a melhor segurança e foco para ameaças avançadas. O mercado STAP sobrepõe os mercados de segurança funcionais (endpoints, mensagens, rede e Web). O principal fator diferenciador para determinar se uma solução se enquadra na categoria STAP é que o método de detecção ou prevenção de malware (ou um tipo similar de ameaça) não se baseia na detecção padrão de assinaturas (ou seja, blacklists). Soluções STAP também devem ser altamente automatizadas. A alta demanda por soluções especializadas de proteção e análise de ameaças é refletida no crescimento das ofertas de mercado, que a IDC prevê que aumentará de US$ 930.000.000 em 2014 para US$ 3,14 bilhões em 2019, representando uma taxa composta de crescimento anual (CAGR) de 27,6%. Definições Ameaça Persistente Avançada Serviços de inteligência de ameaças foram desenvolvidos pelos prestadores de serviços de segurança, com capacidades de detecção de ameaças para enfrentar o desafio de detectar ameaças persistentes avançadas (APTs), malware avançado, ataques anteriormente não identificados e outras ameaças.
©2015 IDC 2 Proteção e Análise Avançada de Ameaças Produtos STAP ajudam a proteger as empresas contra novos ataques de malware que não podem ser detectados por técnicas tradicionais baseadas em assinaturas. Estes produtos usam uma variedade de métodos de proteção não baseados em assinatura - incluindo sandboxing, análise comportamental, monitoramento de integridade de arquivos, heurística telemétrica, contentorização, análise de netflow, e inteligência de ameaças - que podem detectar um ataque de malware ou comprometimento, identificando atividades de ataques ou mudanças sutis no processo dos sistemas. Alguns dos produtos somente detectam e alertam, enquanto outros podem controlar o malware para impedi-lo de causar danos. Intersecção de APTs e STAP APTs são uma combinação de malware, mecanismo de entrega (por exemplo, phishing), e extração de dados. Ameaças persistentes avançadas podem ser consideradas como um processo de ataque. Inteligência baseada em ameaças de soluções STAP analisa, alerta e/ou repara partes ou a totalidade desta cadeia de ataque. Produtos STAP investigam cada uma das camadas da cadeia de ataque, como o reconhecimento, a infiltração (ataques do tipo "low and slow" parecem ser mais prevalentes do que ataques do tipo "smash and grab"), e a extração de informações específicas. Sub-mercados STAP A IDC identificou dois sub-mercados STAP particularmente relevantes: perímetro e endpoint. Estes sub-mercados não são especificamente baseados em tecnologia; em vez disso, baseiam-se na rede, onde o processo de proteção é executado. Perímetro Esta categoria de produtos monitora e analisa arquivos de malware ou indicadores maliciosos (como locais conhecidos de comando e controle) que entrarão na rede da empresa. O perímetro abrange todos os tipos de tráfego (por exemplo, HTTP, SMTP, TCP/IP). A categoria perímetro é composta por mensagens, Web e produtos de gerenciamento unificado de ameaças (UTM)/firewall. A maioria das soluções de perímetro consistem de equipamentos de segurança, mas algumas funções serão tratadas na nuvem. O perímetro STAP, a maior área, deve chegar a US$ 2 bilhões em receita de fornecedores em 2019. Endpoint Esta categoria abrange os produtos que são projetados para fortalecer e proteger endpoints (computadores, servidores, smartphones e tablets), tornando-os menos vulneráveis a ataques avançados. Para endpoint, algum tipo de cliente é necessário, mesmo quando muitas das funções (tais como análises e cálculos) são realizadas em um servidor central ou na nuvem. Se não houver um cliente, a solução STAP seria categorizada como perímetro ou análise de rede interna. O endpoint STAP apresenta o mais rápido crescimento de demanda, com um CAGR de oferta que se aproxima de 48%. Quais são os benefícios? Como você se defende de algo que nunca foi visto antes? Essa é a pergunta fundamental com a qual as organizações estão enfrentando dificuldades. Malware atualmente é direcionado, polimórfico e dinâmico. Para resolver este problema cada vez mais complexo, uma nova categoria de produtos emergiu, potencializando uma variedade de técnicas para coletar informações em torno do comportamento, comunicação, atividade, reputação, e outros fatores, a fim de detectar o que é aparentemente indetectável. O objetivo final dos ataques de hoje é tipicamente a extração de dados, que adotam uma abordagem "low and slow", onde os ataques podem passar despercebidos por longos períodos de tempo. As
©2015 IDC 3 organizações estão enfrentando dificuldades para identificar e conter ameaças avançadas antes que se tornem violações de dados. O tempo de espera, o tempo entre um ponto inicial da infecção e o ponto em que for detectada uma ameaça (às vezes dias ou semanas mais tarde), é um tempo muito longo, dando criminosos a capacidade de roubar dados de forma rápida e passar a um novo alvo. O foco na redução de tempo de espera vai motivar as organizações a investir em soluções de STAP para identificar ameaças e resolvê-las em um ritmo mais rápido. Soluções STAP aumentam a visibilidade e também suportam os esforços de resposta aos incidentes, fornecendo contexto suficiente para as ameaças, permitindo que analistas reconheçam a criticidade de uma ameaça e conhecimento suficiente para tomar medidas imediatas. A segurança está sendo incorporada nas aplicações de modo que até 2018, 25% dos recursos de segurança adquiridos anteriormente serão incorporados em aplicações. O modelo utilizado tem sido o aumento de segurança sobre uma função. Existem soluções dedicadas de segurança para autenticação, rede, aplicativos da Web, mensagens e endpoints. Isso poderia criar problemas de desempenho e usabilidade. Como resultado, muitos fornecedores de software independentes determinaram que é melhor incorporar segurança em seus produtos, não só para agregar valor aos produtos, mas também torná-los mais resistentes aos ataques. Para os clientes, isso reduz os custos de aquisição e integração de sistemas e pode exigir menos profissionais de TI, pois a consolidação gera eficiências. O monitoramento de fluxo de rede ou outro tráfego para descobrir anomalias na rede foi adotado principalmente para apoiar os esforços de otimização de desempenho. Um aumento de interesse em soluções que abordam os riscos colocados pela Internet das Coisas (Internet of Things - IoT) poderia gerar interesse em soluções de análise de redes internas. Principais Tendências SaaS A adoção crescente de serviços de SaaS, impulsionados pela 3ª Plataforma (nuvem, dispositivos móveis, social, big data e dados analíticos) dificulta que as organizações tenham total controle sobre seus dados e aplicativos. A segurança corporativa não tem o mesmo ritmo das alterações na arquitetura. Algumas organizações não investirão em produtos STAP ou dependerão dos fornecedores de SaaS para se responsabilizarem pela segurança. Produtos STAP podem também tornar-se menos eficazes à medida que arquiteturas distribuídas os tornam mais fáceis de evitar. Investimentos devem ser feitos para fornecer capacidades adicionais às empresas que adotarem esta tecnologia e busquem integração com outros parceiros de segurança. Organizações comprarão produtos STAP que podem integrar com investimentos em segurança existentes e apoiar a criação de um sistema de segurança coeso. Sandboxes Melhorados As perdas resultantes de cibercrimes estão ajudando a aumentar a aceitação dos sandboxes. Os sandboxes foram integrados em tantas soluções de segurança de rede diferentes que o valor de ter um ambiente protegido que permita a detonação e monitoramento de binários suspeitos não é mais questionado. Embora esta área esteja rapidamente sendo considerada um commodity, a sua oportunidade de mercado está expandindo drasticamente. Provedores de segurança de rede oferecem sandboxes virtuais em seu núcleo, para analisar arquivos suspeitos e identificar ameaças avançadas. Equipamentos utilizam sandboxes de emulação ou virtualização para detectar ataques.
©2015 IDC 4 Relação Riscos x Benefícios dos Investimentos Decisões de compra de segurança estão se tornando cada vez mais em decisões de gestão de risco conduzidas por objetivos de negócios. Estes investimentos são cada vez mais comparados com o valor dos riscos enfrentados pela empresa. É difícil mitigar ataques sem entender as ameaças, valor de ativos e vulnerabilidades. As organizações que procuram maximizar o retorno sobre seus investimentos em segurança devem desenvolver e implementar um processo de prioridade para as iniciativas de segurança baseado nas vulnerabilidades e ameaças específicas detectadas e validadas em seu próprio negócio, evitando a armadilha de responder inicialmente à ameaça que gere o maior barulho. Mudanças de processo e outros esforços de mitigação de risco podem ter um grande efeito na redução da área de ataque. Nenhum produto de segurança é infalível, e apesar da necessidade de tecnologias STAP de detectar malware avançado, muitas violações graves decorrem de falhas de segurança básicas. Os produtos STAP têm valor limitado quando um invasor usa senhas fracas ou roubadas ou se aproveita de vulnerabilidades e fraquezas de configuração. Investimentos em Endpoints O endpoint é um item físico de alto preço na maioria das empresas, e várias soluções de segurança estão competindo para atendê-lo. As empresas devem ser extremamente cuidadosas sobre a adoção de novas soluções de segurança que podem fornecer benefícios iniciais, mas causam problemas de desempenho ou produtividade. Enquanto o crescimento em endpoints STAP é alto, os números gerais ainda são relativamente baixos. A IDC espera que este espaço apresente mudanças consideráveis, à medida que as empresas fazem suas escolhas de parceiros estratégicos. Considerando Produtos de Segurança da Symantec No mercado mundial de produtos de segurança de mais de US$ 30 bilhões, a Symantec continua a ser o maior fornecedor de segurança e oferece produtos em quase todas as áreas funcionais, dominando a segurança de endpoints com uma participação de 31,5% e se estabelecendo como líder de mercado em segurança de mensagens. A Symantec atende a necessidade de unificar produtos para detecção de ameaças avançadas com menores custos operacionais e adota tecnologias emergentes como a nuvem, sem comprometer a segurança. Proteção contra ameaças, proteção de informações e dados analíticos de segurança são as três principais necessidades conduzindo a estratégia unificada de segurança da Symantec. A empresa está expandindo seu foco da prevenção à detecção e resposta, para resolver o problema de detecção de ameaças avançadas de uma forma diferenciada. O Symantec Advanced Threat Protection, que se enquadra na classificação de STAP da IDC, representa a mudança da Symantec para dados analíticos. Esta solução incorpora prevenção, detecção e resposta de ameaças em endpoints, e-mail e redes sob uma plataforma comum e se integra com o agente do Symantec Endpoint Protection e do Symantec Email Security.cloud. Isso permite que os clientes tenham um único console para gerenciamento, caça e análise forense da violação para responder mais rapidamente aos possíveis problemas, sem a necessidade de agentes de segurança de endpoint ou software adicionais, oferecendo aos clientes acesso imediato a recursos, conhecimentos e habilidades essenciais durante cenários de resposta a incidentes. Ter a capacidade de monitorar violações em vários pontos de controle permite respostas mais rápidas e mais informações sobre o que causou a violação. Segundo a empresa, apenas o Symantec Global Intelligence Network tem o volume e a variedade de análise de dados de ameaças para detectar ameaças avançadas, vulnerabilidades e comportamento malicioso. As organizações podem potencializar a análise da sua própria atividade de rede local com a inteligência de segurança da Global Intelligence Network para obter dados detalhados, relevantes e que permitem a tomada de ações, necessários para responder a eventos críticos de segurança de uma forma rápida e eficaz.
©2015 IDC 5 Os clientes que implantam o Symantec Advanced Threat Protection têm a opção de contratar a equipe da Symantec Services para garantir uma implantação bem-sucedida, e ajudar com a gestão do seu ambiente, a interpretação do impacto do incidente, e redução geral nos riscos e posição das ameaças. A equipe da empresa de profissionais de segurança experientes detém várias certificações do setor, incluindo a Certified Information Systems Security Professional (CISSP). O maior valor da Symantec para empresas estará na habilidade da empresa em combinar tecnologias separadas em uma solução de segurança coerente e consistente, eliminando transferências entre produtos diferentes e fazendo a segurança mais fácil de gerenciar. Apenas um pequeno grupo de fornecedores no mundo têm os recursos para cumprir um papel tão crítico para as empresas. Mais importante ainda, um conjunto abrangente de soluções permite que a Symantec aumente o seu ponto de entrada nos clientes em potencial do nível de gerenciamento de TI para o nível do CISO ou CIO - e tenha o conjunto correto de conversas de acompanhamento. Desafios O maior desafio para a Symantec nos próximos 6 a 12 meses - enquanto ela evolui para uma empresa de segurança independente - é a execução da estratégia. A Symantec está em uma posição melhor para fazer isso, à medida que se torna uma empresa de segurança independente e focada. A Symantec também precisa se adaptar às mudanças no modelo de negócio de licenciamento para serviços, assinaturas e SaaS. Embora não seja uma questão exclusiva de fornecedores independentes de software, é um outro desafio que a Symantec precisa lidar. Conclusão Em 2017, 75% das grandes empresas vão receber informações de inteligência de ameaças customizadas para sua indústria, empresa, marca e ambiente. A inteligência de ameaças será uma das ofertas integradas de dados como um serviço que crescerão mais rapidamente na 3ª Plataforma. A capacidade de integrar dados externos de ameaças, dados de logs de segurança internos, vulnerabilidades do sistema, e as atividades funcionais de TI irá exigir uma plataforma de software para total visibilidade e integração de dados. Vários produtos de segurança terão de ser configurados para compartilhar informações e serem capazes de responder automaticamente a esse conhecimento. O valor da adoção das abordagens emergentes de detecção e contenção foi amplamente provado para as empresas que já as utilizam. Ao longo dos próximos anos, as organizações comprarão produtos STAP não apenas porque querem reforçar os investimentos existentes em segurança, mas também porque são atraídas pelo benefício de criar um sistema de segurança coeso, capaz de se adaptar ao rápido ritmo de mudança associado com a 3ª Plataforma. Os líderes de mercado para a próxima geração de fornecedores de segurança terão de se concentrar em uma abordagem baseada na informação e orientada a plataformas, ao contrário dos mercados de software de segurança tradicionais que conhecemos e percebemos ao longo dos últimos 20 anos. Os CISOs constantemente se queixam sobre a solução de segurança fragmentada que eles precisam gerenciar, um problema que poderia ser resolvido com a abordagem de "segurança unificada" da Symantec. Assumindo que a Symantec consiga enfrentar os desafios descritos neste documento, a IDC acredita que a empresa está bem posicionada no desenvolvimento de tecnologia e coleta de informações a nível global para ter sucesso no atual ambiente de negócios.
©2015 IDC 6 S O B R E E S T A P U B L I C A Ç Ã O Esta publicação foi produzida pela IDC Custom Solutions. A opinião, análise e resultados de pesquisa aqui apresentados são extraídos de pesquisas e análises mais detalhadas, conduzidas independentemente e publicadas pela IDC, a menos que o patrocínio de um fornecedor específico seja especificado. IDC Custom Solutions disponibiliza o conteúdo da IDC em uma ampla gama de formatos para distribuição por diversas empresas. A licença para distribuir conteúdo da IDC não implica o endosso ou opinião acerca do licenciado. D I R E I T O S A U T O R A I S E R E S T R I Ç Õ E S Qualquer informação da IDC ou referência a IDC que seja usado em publicidade, comunicados de imprensa ou materiais promocionais requer aprovação prévia por escrito da IDC. Para solicitações de permissão, entre em contato com a IDC Custom Solutions information no telefone 508-988-7610 ou e-mail gms@idc.com. A tradução e/ou localização deste documento requer uma licença adicional da IDC. Para obter mais informações sobre a IDC, visite www.idc.com. Para obter mais informações sobre a IDC Custom Solutions, visite http://www.idc.com/prodserv/custom_solutions/index.jsp Sede Mundial: 5 Speen Street Framingham, MA 01701 USA P.508.872.8200 F.508.935.4015 www.idc.com

Mais conteúdo relacionado

Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta

  • 1. IDC 1996 I D C T E C H N O L O G Y S P O T L I G H T Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta Outubro 2015 Adaptado do Artigo Worldwide Specialized Threat Analysis and Protection Forecast, 2015–2019: Defending Against the Unknown, IDC #256354 Patrocinado pela Symantec Novas ameaças modernas e ataques em vários estágios estão agora afetando todos os setores. O FBI estima perdas associadas com um único ataque recente em mais de US$ 100 milhões. Cada vez mais, ataques difíceis de detectar estão mudando o cenário da proteção de segurança e, subsequentemente, a postura de segurança da empresa. Estes ataques ocorrem em vários pontos diferentes em toda a rede, tornando mais difícil para as empresas a detecção e resposta aos mesmos. As limitações dos produtos de segurança baseados em assinaturas são bem conhecidas, e modelos avançados de detecção de ameaças estão em ascensão. Este artigo analisa o mercado de análise e proteção especializada de ameaças (chamado pela IDC como STAP), juntamente com a tecnologia que pode ajudar a proteger as empresas contra o crescimento de malware avançado, sofisticado, e personalizado. Ele também considera as ofertas do fornecedor de tecnologia Symantec neste mercado significativo, crescente e estratégico. Introdução Para garantir que a rede corporativa, aplicações, dados e endpoints possam permanecer seguros (sem malware e violações), produtos e serviços anti-malware estão evoluindo. Avanços focam nas ameaças cada vez mais sofisticadas, dependendo menos de assinaturas e adotando outras formas de detecção. Enquanto muitos produtos estão incorporando algumas dessas capacidades, produtos dedicados fornecem a melhor segurança e foco para ameaças avançadas. O mercado STAP sobrepõe os mercados de segurança funcionais (endpoints, mensagens, rede e Web). O principal fator diferenciador para determinar se uma solução se enquadra na categoria STAP é que o método de detecção ou prevenção de malware (ou um tipo similar de ameaça) não se baseia na detecção padrão de assinaturas (ou seja, blacklists). Soluções STAP também devem ser altamente automatizadas. A alta demanda por soluções especializadas de proteção e análise de ameaças é refletida no crescimento das ofertas de mercado, que a IDC prevê que aumentará de US$ 930.000.000 em 2014 para US$ 3,14 bilhões em 2019, representando uma taxa composta de crescimento anual (CAGR) de 27,6%. Definições Ameaça Persistente Avançada Serviços de inteligência de ameaças foram desenvolvidos pelos prestadores de serviços de segurança, com capacidades de detecção de ameaças para enfrentar o desafio de detectar ameaças persistentes avançadas (APTs), malware avançado, ataques anteriormente não identificados e outras ameaças.
  • 2. ©2015 IDC 2 Proteção e Análise Avançada de Ameaças Produtos STAP ajudam a proteger as empresas contra novos ataques de malware que não podem ser detectados por técnicas tradicionais baseadas em assinaturas. Estes produtos usam uma variedade de métodos de proteção não baseados em assinatura - incluindo sandboxing, análise comportamental, monitoramento de integridade de arquivos, heurística telemétrica, contentorização, análise de netflow, e inteligência de ameaças - que podem detectar um ataque de malware ou comprometimento, identificando atividades de ataques ou mudanças sutis no processo dos sistemas. Alguns dos produtos somente detectam e alertam, enquanto outros podem controlar o malware para impedi-lo de causar danos. Intersecção de APTs e STAP APTs são uma combinação de malware, mecanismo de entrega (por exemplo, phishing), e extração de dados. Ameaças persistentes avançadas podem ser consideradas como um processo de ataque. Inteligência baseada em ameaças de soluções STAP analisa, alerta e/ou repara partes ou a totalidade desta cadeia de ataque. Produtos STAP investigam cada uma das camadas da cadeia de ataque, como o reconhecimento, a infiltração (ataques do tipo "low and slow" parecem ser mais prevalentes do que ataques do tipo "smash and grab"), e a extração de informações específicas. Sub-mercados STAP A IDC identificou dois sub-mercados STAP particularmente relevantes: perímetro e endpoint. Estes sub-mercados não são especificamente baseados em tecnologia; em vez disso, baseiam-se na rede, onde o processo de proteção é executado. Perímetro Esta categoria de produtos monitora e analisa arquivos de malware ou indicadores maliciosos (como locais conhecidos de comando e controle) que entrarão na rede da empresa. O perímetro abrange todos os tipos de tráfego (por exemplo, HTTP, SMTP, TCP/IP). A categoria perímetro é composta por mensagens, Web e produtos de gerenciamento unificado de ameaças (UTM)/firewall. A maioria das soluções de perímetro consistem de equipamentos de segurança, mas algumas funções serão tratadas na nuvem. O perímetro STAP, a maior área, deve chegar a US$ 2 bilhões em receita de fornecedores em 2019. Endpoint Esta categoria abrange os produtos que são projetados para fortalecer e proteger endpoints (computadores, servidores, smartphones e tablets), tornando-os menos vulneráveis a ataques avançados. Para endpoint, algum tipo de cliente é necessário, mesmo quando muitas das funções (tais como análises e cálculos) são realizadas em um servidor central ou na nuvem. Se não houver um cliente, a solução STAP seria categorizada como perímetro ou análise de rede interna. O endpoint STAP apresenta o mais rápido crescimento de demanda, com um CAGR de oferta que se aproxima de 48%. Quais são os benefícios? Como você se defende de algo que nunca foi visto antes? Essa é a pergunta fundamental com a qual as organizações estão enfrentando dificuldades. Malware atualmente é direcionado, polimórfico e dinâmico. Para resolver este problema cada vez mais complexo, uma nova categoria de produtos emergiu, potencializando uma variedade de técnicas para coletar informações em torno do comportamento, comunicação, atividade, reputação, e outros fatores, a fim de detectar o que é aparentemente indetectável. O objetivo final dos ataques de hoje é tipicamente a extração de dados, que adotam uma abordagem "low and slow", onde os ataques podem passar despercebidos por longos períodos de tempo. As
  • 3. ©2015 IDC 3 organizações estão enfrentando dificuldades para identificar e conter ameaças avançadas antes que se tornem violações de dados. O tempo de espera, o tempo entre um ponto inicial da infecção e o ponto em que for detectada uma ameaça (às vezes dias ou semanas mais tarde), é um tempo muito longo, dando criminosos a capacidade de roubar dados de forma rápida e passar a um novo alvo. O foco na redução de tempo de espera vai motivar as organizações a investir em soluções de STAP para identificar ameaças e resolvê-las em um ritmo mais rápido. Soluções STAP aumentam a visibilidade e também suportam os esforços de resposta aos incidentes, fornecendo contexto suficiente para as ameaças, permitindo que analistas reconheçam a criticidade de uma ameaça e conhecimento suficiente para tomar medidas imediatas. A segurança está sendo incorporada nas aplicações de modo que até 2018, 25% dos recursos de segurança adquiridos anteriormente serão incorporados em aplicações. O modelo utilizado tem sido o aumento de segurança sobre uma função. Existem soluções dedicadas de segurança para autenticação, rede, aplicativos da Web, mensagens e endpoints. Isso poderia criar problemas de desempenho e usabilidade. Como resultado, muitos fornecedores de software independentes determinaram que é melhor incorporar segurança em seus produtos, não só para agregar valor aos produtos, mas também torná-los mais resistentes aos ataques. Para os clientes, isso reduz os custos de aquisição e integração de sistemas e pode exigir menos profissionais de TI, pois a consolidação gera eficiências. O monitoramento de fluxo de rede ou outro tráfego para descobrir anomalias na rede foi adotado principalmente para apoiar os esforços de otimização de desempenho. Um aumento de interesse em soluções que abordam os riscos colocados pela Internet das Coisas (Internet of Things - IoT) poderia gerar interesse em soluções de análise de redes internas. Principais Tendências SaaS A adoção crescente de serviços de SaaS, impulsionados pela 3ª Plataforma (nuvem, dispositivos móveis, social, big data e dados analíticos) dificulta que as organizações tenham total controle sobre seus dados e aplicativos. A segurança corporativa não tem o mesmo ritmo das alterações na arquitetura. Algumas organizações não investirão em produtos STAP ou dependerão dos fornecedores de SaaS para se responsabilizarem pela segurança. Produtos STAP podem também tornar-se menos eficazes à medida que arquiteturas distribuídas os tornam mais fáceis de evitar. Investimentos devem ser feitos para fornecer capacidades adicionais às empresas que adotarem esta tecnologia e busquem integração com outros parceiros de segurança. Organizações comprarão produtos STAP que podem integrar com investimentos em segurança existentes e apoiar a criação de um sistema de segurança coeso. Sandboxes Melhorados As perdas resultantes de cibercrimes estão ajudando a aumentar a aceitação dos sandboxes. Os sandboxes foram integrados em tantas soluções de segurança de rede diferentes que o valor de ter um ambiente protegido que permita a detonação e monitoramento de binários suspeitos não é mais questionado. Embora esta área esteja rapidamente sendo considerada um commodity, a sua oportunidade de mercado está expandindo drasticamente. Provedores de segurança de rede oferecem sandboxes virtuais em seu núcleo, para analisar arquivos suspeitos e identificar ameaças avançadas. Equipamentos utilizam sandboxes de emulação ou virtualização para detectar ataques.
  • 4. ©2015 IDC 4 Relação Riscos x Benefícios dos Investimentos Decisões de compra de segurança estão se tornando cada vez mais em decisões de gestão de risco conduzidas por objetivos de negócios. Estes investimentos são cada vez mais comparados com o valor dos riscos enfrentados pela empresa. É difícil mitigar ataques sem entender as ameaças, valor de ativos e vulnerabilidades. As organizações que procuram maximizar o retorno sobre seus investimentos em segurança devem desenvolver e implementar um processo de prioridade para as iniciativas de segurança baseado nas vulnerabilidades e ameaças específicas detectadas e validadas em seu próprio negócio, evitando a armadilha de responder inicialmente à ameaça que gere o maior barulho. Mudanças de processo e outros esforços de mitigação de risco podem ter um grande efeito na redução da área de ataque. Nenhum produto de segurança é infalível, e apesar da necessidade de tecnologias STAP de detectar malware avançado, muitas violações graves decorrem de falhas de segurança básicas. Os produtos STAP têm valor limitado quando um invasor usa senhas fracas ou roubadas ou se aproveita de vulnerabilidades e fraquezas de configuração. Investimentos em Endpoints O endpoint é um item físico de alto preço na maioria das empresas, e várias soluções de segurança estão competindo para atendê-lo. As empresas devem ser extremamente cuidadosas sobre a adoção de novas soluções de segurança que podem fornecer benefícios iniciais, mas causam problemas de desempenho ou produtividade. Enquanto o crescimento em endpoints STAP é alto, os números gerais ainda são relativamente baixos. A IDC espera que este espaço apresente mudanças consideráveis, à medida que as empresas fazem suas escolhas de parceiros estratégicos. Considerando Produtos de Segurança da Symantec No mercado mundial de produtos de segurança de mais de US$ 30 bilhões, a Symantec continua a ser o maior fornecedor de segurança e oferece produtos em quase todas as áreas funcionais, dominando a segurança de endpoints com uma participação de 31,5% e se estabelecendo como líder de mercado em segurança de mensagens. A Symantec atende a necessidade de unificar produtos para detecção de ameaças avançadas com menores custos operacionais e adota tecnologias emergentes como a nuvem, sem comprometer a segurança. Proteção contra ameaças, proteção de informações e dados analíticos de segurança são as três principais necessidades conduzindo a estratégia unificada de segurança da Symantec. A empresa está expandindo seu foco da prevenção à detecção e resposta, para resolver o problema de detecção de ameaças avançadas de uma forma diferenciada. O Symantec Advanced Threat Protection, que se enquadra na classificação de STAP da IDC, representa a mudança da Symantec para dados analíticos. Esta solução incorpora prevenção, detecção e resposta de ameaças em endpoints, e-mail e redes sob uma plataforma comum e se integra com o agente do Symantec Endpoint Protection e do Symantec Email Security.cloud. Isso permite que os clientes tenham um único console para gerenciamento, caça e análise forense da violação para responder mais rapidamente aos possíveis problemas, sem a necessidade de agentes de segurança de endpoint ou software adicionais, oferecendo aos clientes acesso imediato a recursos, conhecimentos e habilidades essenciais durante cenários de resposta a incidentes. Ter a capacidade de monitorar violações em vários pontos de controle permite respostas mais rápidas e mais informações sobre o que causou a violação. Segundo a empresa, apenas o Symantec Global Intelligence Network tem o volume e a variedade de análise de dados de ameaças para detectar ameaças avançadas, vulnerabilidades e comportamento malicioso. As organizações podem potencializar a análise da sua própria atividade de rede local com a inteligência de segurança da Global Intelligence Network para obter dados detalhados, relevantes e que permitem a tomada de ações, necessários para responder a eventos críticos de segurança de uma forma rápida e eficaz.
  • 5. ©2015 IDC 5 Os clientes que implantam o Symantec Advanced Threat Protection têm a opção de contratar a equipe da Symantec Services para garantir uma implantação bem-sucedida, e ajudar com a gestão do seu ambiente, a interpretação do impacto do incidente, e redução geral nos riscos e posição das ameaças. A equipe da empresa de profissionais de segurança experientes detém várias certificações do setor, incluindo a Certified Information Systems Security Professional (CISSP). O maior valor da Symantec para empresas estará na habilidade da empresa em combinar tecnologias separadas em uma solução de segurança coerente e consistente, eliminando transferências entre produtos diferentes e fazendo a segurança mais fácil de gerenciar. Apenas um pequeno grupo de fornecedores no mundo têm os recursos para cumprir um papel tão crítico para as empresas. Mais importante ainda, um conjunto abrangente de soluções permite que a Symantec aumente o seu ponto de entrada nos clientes em potencial do nível de gerenciamento de TI para o nível do CISO ou CIO - e tenha o conjunto correto de conversas de acompanhamento. Desafios O maior desafio para a Symantec nos próximos 6 a 12 meses - enquanto ela evolui para uma empresa de segurança independente - é a execução da estratégia. A Symantec está em uma posição melhor para fazer isso, à medida que se torna uma empresa de segurança independente e focada. A Symantec também precisa se adaptar às mudanças no modelo de negócio de licenciamento para serviços, assinaturas e SaaS. Embora não seja uma questão exclusiva de fornecedores independentes de software, é um outro desafio que a Symantec precisa lidar. Conclusão Em 2017, 75% das grandes empresas vão receber informações de inteligência de ameaças customizadas para sua indústria, empresa, marca e ambiente. A inteligência de ameaças será uma das ofertas integradas de dados como um serviço que crescerão mais rapidamente na 3ª Plataforma. A capacidade de integrar dados externos de ameaças, dados de logs de segurança internos, vulnerabilidades do sistema, e as atividades funcionais de TI irá exigir uma plataforma de software para total visibilidade e integração de dados. Vários produtos de segurança terão de ser configurados para compartilhar informações e serem capazes de responder automaticamente a esse conhecimento. O valor da adoção das abordagens emergentes de detecção e contenção foi amplamente provado para as empresas que já as utilizam. Ao longo dos próximos anos, as organizações comprarão produtos STAP não apenas porque querem reforçar os investimentos existentes em segurança, mas também porque são atraídas pelo benefício de criar um sistema de segurança coeso, capaz de se adaptar ao rápido ritmo de mudança associado com a 3ª Plataforma. Os líderes de mercado para a próxima geração de fornecedores de segurança terão de se concentrar em uma abordagem baseada na informação e orientada a plataformas, ao contrário dos mercados de software de segurança tradicionais que conhecemos e percebemos ao longo dos últimos 20 anos. Os CISOs constantemente se queixam sobre a solução de segurança fragmentada que eles precisam gerenciar, um problema que poderia ser resolvido com a abordagem de "segurança unificada" da Symantec. Assumindo que a Symantec consiga enfrentar os desafios descritos neste documento, a IDC acredita que a empresa está bem posicionada no desenvolvimento de tecnologia e coleta de informações a nível global para ter sucesso no atual ambiente de negócios.
  • 6. ©2015 IDC 6 S O B R E E S T A P U B L I C A Ç Ã O Esta publicação foi produzida pela IDC Custom Solutions. A opinião, análise e resultados de pesquisa aqui apresentados são extraídos de pesquisas e análises mais detalhadas, conduzidas independentemente e publicadas pela IDC, a menos que o patrocínio de um fornecedor específico seja especificado. IDC Custom Solutions disponibiliza o conteúdo da IDC em uma ampla gama de formatos para distribuição por diversas empresas. A licença para distribuir conteúdo da IDC não implica o endosso ou opinião acerca do licenciado. D I R E I T O S A U T O R A I S E R E S T R I Ç Õ E S Qualquer informação da IDC ou referência a IDC que seja usado em publicidade, comunicados de imprensa ou materiais promocionais requer aprovação prévia por escrito da IDC. Para solicitações de permissão, entre em contato com a IDC Custom Solutions information no telefone 508-988-7610 ou e-mail gms@idc.com. A tradução e/ou localização deste documento requer uma licença adicional da IDC. Para obter mais informações sobre a IDC, visite www.idc.com. Para obter mais informações sobre a IDC Custom Solutions, visite http://www.idc.com/prodserv/custom_solutions/index.jsp Sede Mundial: 5 Speen Street Framingham, MA 01701 USA P.508.872.8200 F.508.935.4015 www.idc.com