Com a escalada de hacks de malware e ransomware, todos no setor são sensíveis à implementação de recursos de segurança rígidos. A VMware está respondendo a essa chamada com o NSX-T 3.2, que inclui não apenas aprimoramentos de segurança, mas também implantação de rede e nuvem. Escrevemos sobre todos os novos recursos e aprimoramentos em um num post anterior.
Com a escalada de hacks de malware e ransomware, todos no setor são sensíveis à implementação de recursos de segurança rígidos. A VMware está respondendo a essa chamada com o NSX-T 3.2, que inclui não apenas aprimoramentos de segurança, mas também implantação de rede e nuvem. Escrevemos sobre todos os novos recursos e aprimoramentos em um num post anterior.
O NSX-T 3.2 apresenta novos recursos para identificar e responder a ataques de malware e ransomware na rede, aprimorar a identificação do usuário e os recursos de identificação de aplicativos L7 e, ao mesmo tempo, simplificar a implantação.
VMware NSX 3.2 Security – Prevenção avançada contra ameaças (ATP) distribuída
As técnicas para invadir dispositivos de rede continuaram a se tornar mais sofisticadas. Não satisfeitos com um único processo de ataque, esses invasores costumam usar várias técnicas para penetrar na rede, movendo-se lateralmente dentro da rede e roubando dados críticos. Os métodos anteriores para impedir esses hackers eram, na melhor das hipóteses, soluções de microssegmentação focadas apenas no controle de acesso, reduzindo a superfície de ataque, mas certamente não o suficiente para fornecer proteção contra as tecnologias usadas hoje.
O VMware NSX-T 3.2 apresenta vários novos recursos focados na detecção e prevenção de ataques dentro da rede. Ao mesmo tempo, esse tipo de segurança exigiria uma torneira de rede física, para cada segmento de rede. Esses taps de hardware causariam interrupções na rede e, se ocorresse uma falha, isso significaria um trabalho pesado para substituir o tap. Nada eficiente.
Prevenção de malware distribuído NSX-T
A tecnologia de malware dinâmico Lastline, adquirida pela VMware em 2020, é integrada ao NSX Distributed Firewall, oferecendo uma solução distribuída de prevenção de malware. Com o Lastline integrado ao kernel do hipervisor, o firewall integrado identifica tanto o malware “mal-intencionado conhecido” quanto o “dia zero”. Esta é uma grande melhoria em relação aos métodos anteriores de defesa contra novas versões de malware.
IDPS Comportamental Distribuída
Enquanto o Intrusion Detection and Prevention System (IDPS) fornecia principalmente detecção de invasões baseada em assinatura, o NSX 3.2 também apresenta recursos de detecção de invasões “comportamentais”. Esse recurso alerta os administradores quando uma carga de trabalho apresenta anomalias comportamentais, como encapsulamento ou beacon de DNS, por exemplo, que podem ser motivo de preocupação.
Análise de tráfego de rede (NTA)
Distribuído Análise de tráfego de rede (NTA) é introduzido no NSX-T 3.2. O NTA é usado para estabelecer linhas de base do comportamento em toda a rede e identificar comportamentos anômalos no nível da rede agregada. Anomalias em toda a rede, como movimento lateral, tráfego RDP suspeito e interações maliciosas com o servidor Active Directory, por exemplo, podem alertar as equipes de segurança sobre ataques em andamento e ajudá-los a tomar ações rápidas de correção.
Detecção e resposta de rede (NDR)
Por mais útil que o ML/AI seja na criação de novas técnicas de detecção e prevenção de segurança, os hackers estão usando a tecnologia para burlar as ferramentas de segurança existentes. Isso leva à sobrecarga de alerta e à fadiga resultante. Vamos analisar isso um pouco mais profundamente, já que AI/ML parece estar em toda parte.
IA vs ML
A inteligência artificial tenta replicar o comportamento inteligente, semelhante ao humano. Isso pode ser alcançado usando aprendizado de máquina. Um sistema de IA que não inclui aprendizado de máquina é considerado um sistema especialista, pois as habilidades são baseadas em uma série de regras capturadas.
Aprendizado de Máquina é um tipo específico de IA. Os sistemas de ML analisam grandes conjuntos de dados, categorizam os dados e criam regras sobre o que pertence a qual categoria. O ML pode ser usado para analisar dados de comportamento de rede e categorizá-los como normais ou anômalos com base em um conjunto definido de regras.
Machine Learning vem em dois sabores: supervisionado e não supervisionado. ML supervisionado envolve o mapeamento de variáveis de entrada para variáveis de saída, a fim de fazer previsões precisas sobre os dados que estão sendo analisados. Quando usados como detecção de ameaças, os algoritmos de ML podem usar comportamentos suspeitos e uma atribuição de categoria “maliciosa” para desenvolver um classificador de ameaças e, em seguida, usar esse classificador para analisar novas amostras.
In ML não supervisionado, o sistema agrupa grupos de dados, com base nos recursos desses dados. O resultado é a identificação de grupos com elementos semelhantes, permitindo que um analista trate um grande número de amostras semelhantes com base em uma única decisão.
E então há aprendizagem profunda: a tipo específico de aprendizado de máquina que usa redes neurais em vez de análise estatística para analisar dados. O aprendizado profundo é particularmente bom para encontrar classificações em grandes quantidades de dados. Mas o aprendizado profundo é prejudicado por seu poder explicativo reduzido sobre por que algo pertence a um agrupamento específico, como por que um executável é perigoso.
Assim como os fornecedores tentam criar sistemas seguros usando ferramentas AI/ML, o mesmo acontece com os hackers do mundo. Eles usam os dados que coletam até o momento e criam um comportamento malicioso. Isso é conhecido como aprendizado contraditório, e os desenvolvedores devem definir esses tipos de ataques e criar bloqueios para impedir que eles invadam o sistema.
Aproveitando técnicas avançadas de IA/ML, o NSX-T 3.2 Detecção e resposta de rede solução consolida IOCs de segurança de diferentes sistemas de detecção como IDS, NTA, detecção de malware. etc., para fornecer uma "visão de campanha" que ilustra ataques específicos em jogo naquele momento. A visualização MITRE ATT&CK ajuda os clientes a ver o estágio específico na cadeia de eliminação de ataques individuais, e a exibição de "sequência de tempo" ajuda a entender a sequência de eventos que contribuíram para o ataque à rede.
Principais aprimoramentos do firewall
Ao fornecer recursos avançados de prevenção contra ameaças no NSX-T 3.2, fornecer aprimoramentos significativos para os principais recursos de firewall é uma área de inovação igualmente crítica.
Antes do NSX-T 3.2, cargas de trabalho conectadas a portas de switch N-VDS baseadas em sobreposição e portas de switch baseadas em VLAN, os clientes precisavam mover as portas de switch VLAN de VDS para N-VDS antes que um firewall distribuído pudesse ser aplicado. Com o NSX-T 3.2, os VLAN DVPGs nativos são suportados como estão, sem a necessidade de mudar para o N-VDS. Efetivamente, a Segurança Distribuída pode ser alcançada de maneira totalmente integrada, sem a necessidade de modificar quaisquer construções de rede.
Com o NSX-T 3.2, as regras de firewall distribuído podem ser criadas e modificadas nativamente no vCenter. Para clientes VMware de pequeno a médio porte, esse recurso elimina a necessidade de usar uma interface separada do NSX Manager.
O NSX oferece suporte ao controle de acesso baseado em identidade do usuário em versões anteriores. A capacidade de se conectar diretamente ao Microsoft Active Directory com suporte ao mapeamento de identidade do usuário foi introduzida nesta nova versão. Para clientes que não usam a autenticação de usuário do Active Directory, o NSX oferece suporte ao VMware vRealize Log Insight como outro método para realizar o mapeamento de identidade do usuário. Esse aprimoramento de recurso é aplicável tanto para NSX Distributed Firewall quanto para Firewall do gateway NSX.
Identificação aprimorada de aplicativos L7 para firewalls distribuídos e de gateway
O conjunto de assinaturas agora é aprimorado para cerca de 750 aplicativos. Ao contrário dos fornecedores de firewall de perímetro, o foco do NSX está nos aplicativos internos hospedados por empresas, e não na identificação de aplicativos da Internet. Esse aprimoramento de recurso é aplicável tanto para NSX Distributed Firewall quanto para firewalls de gateway.
Inteligência NSX
Inteligência NSX oferece visibilidade para todo o tráfego de aplicativos dentro da rede. Os administradores criam políticas de microssegmentação para reduzir a superfície de ataque. O pipeline de processamento desduplica, agrega e correlaciona o tráfego leste-oeste para fornecer visibilidade detalhada.
Com o crescimento da infraestrutura de aplicativos, a plataforma de análise de segurança deve crescer com ela. Esta nova versão mudou o serviço de um dispositivo independente para uma arquitetura de microsserviço em contêiner desenvolvida pelo Kubernetes. Essa mudança arquitetônica prepara o data lake do NSX Intelligence para o futuro e, eventualmente, expandirá a solução para clusters Kubernetes de n nós. Essa atualização torna o NSX Intelligence adequado para grandes empresas, especialmente com o recurso de scale-out.
Firewall do gateway NSX
Enquanto o NSX Distributed Firewall se concentra nos controles leste-oeste dentro da rede, o NSX Gateway Firewall é usado para proteger o tráfego de entrada e saída de uma zona.
O NSX Gateway Firewall na versão 3.2 foi atualizado com recursos significativos de detecção avançada de ameaças. O Gateway Firewall agora pode identificar malwares conhecidos e de dia zero que entram ou saem da rede. Este novo recurso é baseado na integração do Gateway Firewall com o altamente reputado dinâmico caixa de areia de rede tecnologia.
Usuários e aplicativos internos que acessam sites mal-intencionados são um grande risco de segurança que deve ser tratado. Além disso, as empresas precisam limitar o acesso à Internet para cumprir as políticas corporativas de uso da Internet.
O NSX Gateway Firewall na versão 3.2 também pode restringir o acesso a sites da Internet, impedindo que usuários internos acessem sites maliciosos com base na categoria à qual o URL pertence ou na “reputação” do URL. O mapeamento de URL para categoria e reputação é constantemente atualizado pela VMware, portanto, mesmo após muitas alterações nos sites da Internet, a intenção do cliente é aplicada automaticamente.
Resumo
A versão 3.2 do NSX-T faz melhorias significativas na segurança existente do NSX-T. As atualizações do NSX Gateway Firewall abordam a ameaça contínua de hackers externos, mas também abordam a necessidade de policiar o acesso interno a sites externos. Uma das atualizações mais interessantes deste lançamento é sobre AI/ML e como ele está sendo utilizado para analisar o tráfego e executar funções inteligentes de IDPS, NTA e NDR. Isso fornece aos administradores as ferramentas para evitar a sempre presente ameaça de hacking.
Envolva-se com a StorageReview
Newsletter | YouTube | Podcast iTunes/Spotify | Instagram | Twitter | Facebook | TikTok | RSS feed
