Veja o modelo do relatório CTAP

Estatísticas Vitais
Este documento inclui as descobertas da análise recente da sua infraestrutura. O documento representa um resumo destas
descobertas e apresenta um conjunto de recomendações de como tratar os eventos detectados. As análises são baseadas nos
dados coletados utilizando as características abaixo:
Detalhes da Empresa
Nome da Empresa: ReportTest1
Localização: city, AU
Segmento: Education
Tamanho da Empresa: 100-249 employees
Detalhes do Teste
Data de Início do Teste: Mar 13, 2016
Duração do Teste: 4 Dia(s)
Modelo do FortiGate: FG-300D
Versão do FortiOS: FortiOS 5.2.5
Rede Analisada: Network Segment
Funções Habilitadas: Antivirus, App Control, IPS, Traffic, Web
Implementação e Metodologia
Sua rede foi monitorada com um FG-300D no modo One Arm Sniffer. Este é um modo não invasivo de interceptar o tráfego
conforme ele passa pela sua rede.
Durante a avaliação a atividade de rede foi monitorada enquanto passava pela sua infraestrutura. Enquanto os registros de
tráfego gravam várias informações das sessões que passam pela rede, o FortiGate também monitora de forma mais profunda
os registros de segurança tais como IPS, antivírus, controle web e de aplicações. Esta avaliação foi criada com base em todos
os tipos de registros criados, e provê uma visão geral da atividade na sua rede. Utilizado em conjunto com o FortiAnalyzer, o
FortiGate pode prover funções adicionais tais como gerência de eventos (por exemplo: alertas), análises pelo FortiView (por
exemplo: investigando atividades específicas do usuário) e relatórios.
Cyber Threat Assessment Report
page 1 of 16
Sumário Executivo
Ataques de IPS Detectados: 3,828
Aplicações de Alto Risco Utilizadas: 11
Sites Maliciosos Detectados: 123
No ano passado, mais de 2100 empresas foram invadidas como resultado de práticas e soluções de segurança insuficientes. O
custo médio de uma invasão de segurança numa corporação é estimado em U$3.5 milhões e está crescendo em 15%
anualmente. Invasões, malware/botnets e aplicações maliciosas em conjunto correspondem a um risco massivo para sua rede
corporativa. Estes mecanismos de ataque podem dar acesso aos invasores aos seus arquivos confidenciais e informações do
banco de dados. O centro de pesquisas FortiGuard minimiza estes riscos provendo conteúdo de segurança reconhecido e é
constantemente classificado entre os líderes da indústria por terceiros, tais como NSS Labs, VB 100 e AV Comparatives.
Aplicações Detectadas: 239
Principais Categorias de Aplicações:
Network.Service
Principais Websites: N/A
Principais Aplicações Utilizadas:
Google.Search_Image
Websites Visitados: 0
Principais Categorias Web: N/A
Uso de aplicações por usuários e hábitos de navegação podem não apenas indicar uso ineficiente dos recursos corporativos,
mas também indicar falta de execução de uma política de uso corporativo. Várias empresas reconhecem que o uso pessoal dos
recursos corporativos é aceito. Mas existem muitas lacunas nas quais as empresas devem manter um olhar mais atento,
incluindo: uso de aplicações de proxy anônimo e peer-to-peer, navegação web inapropriada, sites de phishing e atividade
potencialmente ilegal. O centro de pesquisas FortiGuard provê informações que o FortiOS utiliza para manter seu negócio
rodando de forma efetiva.
Banda Total: 11.62 GB
Principais Estações por Banda: 10.12.51.212
Estações com mais Sessões: 10.10.10.34
Eficiência na performance é normalmente um aspecto mal avaliado em dispositivos de segurança. Porém os firewalls devem
permanecer nas velocidades em que os switches atualmente operam. Um estudo recente feito pela Infonetics indica que 77%
dos tomadores de decisão em grandes organizações sentem que irão necessitar aumentar a performance dos dispositivos de
segurança de rede (capacidade agregada de 100Gbps ou mais) nos próximos anos. O FortiGate baseia-se nos FortiASICs para
Cyber Threat Assessment Report
page 2 of 16
acelerar funções de uso intensivo de CPU, tais como encaminhamento de pacotes e identificação de padrões. Esta aceleração
normalmente resulta entre 5-10X de aumento de desempenho quando comparado com outras soluções de mercado.
Cyber Threat Assessment Report
page 3 of 16
Comparativos dos Segmentos
Segmento: Education
Com o incremento do número de dispositivos trazidos ao campus pelos estudantes, professores e pessoal
administrativo as escolas necessitam escalar suas redes enquanto provêem segurança adicional para proteger
informações confidenciais. Assim como atender padrões de conformidade tais como CIPA, FERPA e COPPA. Os institutos
de educação necessitam das mais recentes tecnologias de acesso e segurança em redes; porém, orçamentos limitados
normalmente obrigam as áreas de TI a fazerem uma difícil escolha entre ambos.
Nos gráficos abaixo, o termo "empresa" se refere à sua organização. Esta atividade dá uma noção de onde você situa-se
relativamente à outras organizações do seu segmento. Utilizando organizações similares como base, algumas empresas
otimizam continuamente sua rede para atingir "índices médios" de práticas de segurança do segmento.
Ataques de IPS por Dia
# Entidade
Aplicações Evasivas por Dia
Total
1 Empresa
# Entidade
957
2 Segmento
12,688
3 Global
8,316
Principais Malwares (Empresa)
Uso HTTPS vs. HTTP
2 Segmento
3
3 Global
2
# Nome do Malware
Tipo
1 Zeroaccess.Botnet
Botnet C&C Zeroaccess.Botnet
2 Andromeda.Botnet
Botnet C&C Andromeda.Botnet
3 WM/Agent.FI!tr
Virus
SMTP
4 JS/Agent.F167!tr
Virus
HTTP.BROWSER_IE
5 Zeus
Virus
HTTP.BROWSER_Chrome
# Entidade
31.53%
Total
1 Empresa
34
27
2 Segmento
82%
2 Segmento
3 Global
61%
3 Global
Cyber Threat Assessment Report
Aplicação
Uso da Nuvem (Aplicações IaaS + SaaS)
Porcentagem
1 Empresa
8
Principais Malwares (Segmento)
No matching log data for this report
# Entidade
Total
1 Empresa
433
page 4 of 16
Ações Recomendadas
Ataques à Vulnerabilidades de Aplicações Detectadas ( 11 )
Vulnerabilidades de Aplicações (também conhecidas como ataques de IPS) agem como ponto de entrada para evitar
infraestruturas de segurança e permitir aos atacantes penetrarem na sua organização. Estas vulnerabilidades são normalmente
exploradas devido à falhas no processo de atualização. Identificar dispositivos não atualizados é a chave para proteger-se contra
ataques às vulnerabilidades das aplicações.
Malware Detectado (​ 1 )
Malwares podem ter várias formas: vírus, trojans, spyware/adware, etc. Quaisquer instâncias de malware detectadas movendose lateralmente na rede podem indicar um vetor de ataques partindo de dentro da organização, ainda que involuntariamente.
Através da combinação de assinaturas e análises comportamentais, malwares podem ser normalmente prevenidos de serem
executados e expor sua rede à atividades maliciosas. Incrementar sua rede com tecnologias como ATP/Sandbox (por exemplo
FortiSandbox) pode prevenir que malwares desconhecidos (ameaças de dia zero) se propaguem dentro da sua rede.
Infecções de Botnet ( 0 )
Botnets podem ser usadas para iniciar ataques de negação de serviço (DoS), distribuir spam, spyware e adware, propagar
códigos maliciosos e obter informações confidenciais que podem levar a sérias consequências financeiras e legais. Infecções por
Botnets requerem ações sérias e imediatas. Identifique os computadores infectados com botnets e limpe-os utilizando software
de antivírus. O FortiClient da Fortinet pode ser utilizado para escanear e remover botnets dos computadores infectados.
Sites Maliciosos Detectados (​ 123 )
Sites maliciosos são aqueles que contém software/malware desenvolvidos para secretamente coletar informações, danificar o
dispositivo ou manipular o alvo sem o consentimento do usuário. Geralmente visitar um site malicioso é o precursor de uma
infecção e representa os estágios iniciais de uma sequência mortal. Bloquear sites maliciosos e/ou instruir usuários a não
visitar/instalar programas de sites desconhecidos é a melhor forma de prevenção.
Sites de Phishing Detectados ( 1 ​)
De forma similar à sites maliciosos, sites de phishing simulam páginas de sites legítimos com o objetivo de coletar informações
pessoais ou privadas (logins, senhas, etc) de usuários. Sites de phishing estão normalmente associados com emails não
solicitados enviados aos funcionários. Uma abordagem cética para emails questionando dados pessoais e passando o mouse
sobre links antes de clicar podem prever tais ataques.
Aplicações de Proxy Detectadas ( 5 )
Tais aplicações são utilizadas (normalmente intencionalmente) para evitar medidas de segurança locais. Por exemplo, usuários
podem evitar o firewall disfarçando ou criptografando comunicações externas. Em vários casos, isto pode ser considerado ato
intencional e uma violação das políticas de uso corporativo.
Aplicações de Acesso Remoto Detectadas ( 3 )
Aplicações de acesso remoto são normalmente utilizadas para acessar dispositivos internos remotamente, portanto evitando
NAT e provendo um acesso secundário (backdoor) para equipamentos internos. No pior cenário, o acesso remoto pode ser
utilizado para extração de dados e atividade de espionagem industrial. Várias vezes o uso de acesso remoto é irrestrito e
mudanças no uso corporativo devem ser postas em prática.
Aplicações de P2P e Compartilhamento de Arquivos ( 2 )
Estas aplicações podem ser utilizadas para evitar controles e levar à transferência de dados não autorizada e violações da
política de dados. Devem ser implementadas políticas para o uso apropriado de tais aplicações.
Cyber Threat Assessment Report
page 5 of 16
Segurança e Prevenção de Ameaças
Aplicações de Alto Risco
A equipe de pesquisa do FortiGuard associa um risco de 1 à 5 para as aplicações baseado nas suas características
comportamentais. O nível de risco pode ajudar os administradores à identificar aplicações de alto risco rapidamente e tomar
melhores decisões nas políticas de controle das mesmas. As aplicações listadas a seguir foram associadas com nível de risco 4
ou superior.
Aplicações de Alto Risco
# Risco
Tecnologia
Usuário
Banda
Sessões
1
Nome da Aplicação
Proxy.HTTP
Categoria
Proxy
Network-Protocol
8
13.23 MB
829
2
Psiphon3
Proxy
Client-Server
2
643.50 KB
22
3
Onavo.Protect
Proxy
Client-Server
1
3.57 KB
18
4
Hotspot.Shield
Proxy
Client-Server
2
407.95 KB
14
5
Skyfire
Proxy
Client-Server
3
54.39 KB
6
6
BitTorrent
P2P
Peer-to-Peer
6
2.91 MB
9,530
7
RDP
Remote.Access
Client-Server
8
4.92 MB
57
8
FileGuri
P2P
Peer-to-Peer
1
31.22 KB
5
9
Cisco.VPN.Client
Proxy
Client-Server
1
400.25 KB
2
10
Teamviewer
Remote.Access
Client-Server
1
10.58 KB
2
Figura 1: Aplicações com risco mais alto ordenadas por risco e sessões
Explorações de Vulnerabilidades de Aplicações
Vulnerabilidades de Aplicações podem ser exploradas para comprometer a segurança da sua rede. A equipe de pesquisa da
FortiGuard analisa estas vulnerabilidades e desenvolve assinaturas para detectá-las. O FortiGuard atualmente possui uma base
de dados com mais de 5800 ameaças conhecidas à aplicações para detectar ataques de evasão à sistemas tradicionais de
firewalls. Para maiores informações sobre vulnerabilidades de aplicações, por favor acesse o website do FortiGuard em:
http://www.fortiguard.com/intrusion.
Principais Vulnerabilidades de Aplicações identificadas
# Severidade Nome da Ameaça
Tipo
Vítima Origem Total
1
Bash.Function.Definitions.Remote.Code.Execution
OS Command Injection
8
3
30
2
MS.GDIPlus.JPEG.Buffer.Overflow
Buffer Errors
3
2
20
3
MS.IE.MSXML.Object.Handling.Code.Execution
Buffer Errors
1
1
4
4
McAfee.Web.Reporter.EJBInvokerServlet.Object.Code.Execution
Code Injection
1
1
2
5
OpenSSL.ChangeCipherSpec.Injection
Information Disclosure
1
1
2
6
MS.Windows.ASN.1.Bitstring.Heap.Overflow
Buffer Errors
1
1
2
7
MS.Windows.ASN.1.Bitstring.Overflow
Buffer Errors
1
1
2
8
NBSS.ASN1.Bitstring.Heap.Overflow
Buffer Errors
1
1
2
9
MSSQL.Login.Brute.Force
Anomaly
1
5
790
10
MS.Windows.TCP.Timestamp.Remote.Code.Execution
Code Injection
2
2
6
Figura 2: Principais vulnerabilidades identificadas, ordenadas por severidade e total
Cyber Threat Assessment Report
page 6 of 16
Malware, Botnets e Spyware/Adware
Existem inúmeros canais que criminosos cibernéticos utilizam para distribuir malware. Os métodos mais comuns motivam
usuários à abrir arquivos infectados em um anexo de email, baixar um arquivo infectado, ou clicar em um link que leva à um site
malicioso. Durante a análise de segurança, a Fortinet identificou alguns eventos de malware ou botnets que indicavam download
de arquivos maliciosos ou conexões à sites de controle de botnets.
Principais Malwares, Botnets e Spyware/Adware Detectados
No matching log data for this report
Figura 3: Malware, Botnets, Spyware e Adware detectados
Dispositivos sob risco
Baseado nos tipos de atividades exibidos por um dispositivo, podemos estimar a confiabilidade de cada cliente individualmente.
Esta reputação do cliente é baseada em fatores chave tais como sites navegados, aplicações utilizadas e destinos de
entrada/saída acessados. Por fim, podemos criar uma classificação de ameaças através da análise das atividades agregadas de
cada dispositivo individualmente.
Dispositivos com maior risco
# Dispositivo
Pontuação
1
10.12.52.111
23,640
2
10.12.51.224
19,590
3
10.12.52.64
9,890
4
10.10.10.165
8,530
5
10.12.51.239
6,540
6
10.112.51.70
4,990
7
10.12.52.44
4,660
8
10.20.51.142
4,560
9
10.20.51.105
4,050
10
10.112.53.41
3,600
Figura 4: Estes dispositivos devem ser auditados em busca de possíveis malwares ou invasões
Cyber Threat Assessment Report
page 7 of 16
Tráfego Web Criptografado
Da perspectiva de segurança, é importante visualizar quanto
do tráfego web é criptografado. Tráfego criptografado
compreende um desafio para empresas que desejam garantir
que tais aplicações não estão sendo utilizadas para propósitos
maliciosos, incluindo expropriação de dados. Idealmente, seu
firewall deve conseguir inspecionar tráfego criptografado em
taxas de transferência altas - este é o motivo pelo qual
performance e hardware/ASIC de aceleração são essenciais
na avaliação de um firewall.
Relação de Tráfego HTTPS vs. HTTP
76.03% HTTP (7.86 GB)
23.97% HTTPS (2.48 GB)
Principais Países de Origem
Analisando o tráfego IP de origem podemos determinar o país de origem de determinadas requisições. Certas botnets, funções
de controle e comando, e inclusive acessos remotos podem gerar muitas sessões e ser indicadores de ataques direcionados ou
ameaças persistentes provindo de outros países. Este gráfico representa o tráfego por país - atividades de nações de origem
específicas podem ser anormais e requererem maior investigação.
Principais Países de Origem
# País
Banda
1
United States
403.34 MB
2
Anonymous Proxy
14.64 MB
3
United Kingdom
4.90 MB
4
Belgium
2.91 MB
5
Netherlands
1.18 MB
6
Ireland
778.64 KB
7
Russian Federation
56.73 KB
8
France
34.59 KB
9
China
8.15 KB
10
Botswana
804 B
Figura 5: Atividade originando destes países devem ser auditadas quanto à origens de tráfego previsto
Cyber Threat Assessment Report
page 8 of 16
Produtividade dos Usuários
Uso de Aplicações
A equipe de pesquisa do FortiGuard categoriza aplicações em
diferentes categorias baseada nos comportamentos das
mesmas, tecnologia que utiliza, e características de
transações efetuadas. As categorias permitem melhor
controle das aplicações. O FortiGuard mantém milhares de
sensores de aplicações e pode inclusive efetuar inspeção mais
profunda nas mesmas. Por exemplo, gestores de TI podem ter
visibilidade sem precedentes nos nomes dos arquivos
enviados para a nuvem ou títulos de vídeo sendo transmitidos.
Para detalhes das categorias de aplicações veja:
http://www.fortiguard.com/encyclopedia/application
Categorias de Aplicações
Web.Others
37.74%
Video/Audio
23.31%
Network.Service
16.62%
General.Interest
11.36%
Update
3.92%
Collaboration
3.38%
Social.Media
1.61%
Email
1.49%
Cloud.IT
0.15%
Storage.Backup
0.13%
Others
0.28%
App Categories
Com a proliferação de computação baseada na nuvem, as empresas estão cada vez mais dependentes de infraestrutura de
terceiros. Infelizmente para as empresas isto significa que suas informações estão apenas tão seguras quanto a segurança dos
seus provedores na nuvem. Além disso, isto pode inserir questões de redundância (se os serviços estão também disponíveis
internamente) e aumentar custos (caso não sejam monitorados corretamente).
Uso da Nuvem (SaaS)
52.71% iCloud (8.09 MB)
43.94% Dropbox (6.75 MB)
2.19% Onedrive (344.43 KB)
0.59% Photobucket (93.12 KB)
0.45% Acrobat.Cloud (70.73 KB)
0.04% Barracuda (6.35 KB)
0.07% Others (11.62 KB)
A adoção de plataformas de "Infraestutura como Serviço (IaaS)"
é popular e pode ser muito útil quando recursos computacionais
são limitados ou necessitam de requisitos especializados.
Sendo assim, a terceirização eficiente da sua infraestrutura
deve ser devidamente regulada para prevenir mal uso. A
auditoria frequente das aplicações IaaS pode ser um exercício
útil não apenas com propósitos de segurança, mas também
para minimizar custos organizacionais associados com modelos
pagos por utilização ou taxas de associação recorrentes.
Cyber Threat Assessment Report
Gestores de TI normalmente não sabem quantos serviços na
nuvem são utilizados na organização. Algumas vezes, tais
aplicações podem ser utilizadas para evitar ou até substituir a
infraestrutura corporativa existente sob pretexto de facilidade
de uso. Infelizmente, um efeito colateral disto é que
informações confidenciais da empresa podem ser transferidas
para a nuvem. Consequentemente, seus dados podem estar
expostos caso a infraestrutura de segurança do provedor na
nuvem seja violada.
Uso da Nuvem (IaaS)
68.35% Amazon.AWS (11.92 MB)
18.57% Godaddy (3.24 MB)
7.61% Meraki.Cloud.Controller (1.33 MB)
3.06% Fortiguard.Search (546.34 KB)
2.41% AT&T.Synaptic (430.85 KB)
page 9 of 16
Detalhamento das Categorias de Aplicações
Entender as subcategorias de aplicações podem dar dicas inestimáveis sobre o quão eficientemente a rede corporativa está
operando. Certas tipos de aplicações (tais como P2P ou jogos online) não são necessariamente condizentes com o ambiente
corporativo e podem ser bloqueadas ou limitadas. Outras aplicações podem ter propostas de uso diversas (tais como streaming
de áudio e vídeo, ou aplicações de mídia social) e podem ser liberadas conforme necessidade. Estes gráficos ilustram as
categorias ordenadas pelo total de banda utilizada durante o período da análise.
Aplicações de Acesso Remoto
99.79% RDP (4.92 MB)
0.21% Teamviewer (10.58 KB)
Principais Aplicações de Redes Sociais
54.19% Facebook (102.21 MB)
22.36% Snapchat (42.18 MB)
8.97% Google.Plus (16.92 MB)
6.81% Twitter (12.84 MB)
3.09% Instagram (5.84 MB)
1.39% Pinterest (2.62 MB)
3.18% Others (6.00 MB)
Principais Aplicações de Jogos
Aplicações de Proxy
92.43% Proxy.HTTP (13.23 MB)
4.39% Psiphon3 (643.50 KB)
2.78% Hotspot.Shield (407.95 KB)
0.37% Skyfire (54.39 KB)
0.02% Onavo.Protect (3.57 KB)
Principais Aplicações de Streaming de
Vídeo/Áudio
30.12% HTTP.Video (822.08 MB)
27.42% iTunes (748.42 MB)
22.17% YouTube (605.27 MB)
17.30% Plex.TV (472.34 MB)
0.79% Ooyala (21.45 MB)
0.59% Flowplayer (16.18 MB)
1.61% Others (44.00 MB)
Principais Aplicações Peer to Peer
50.73% Clash.Of.Clans (2.01 MB)
31.21% Apple.Game.Center (1.24 MB)
16.72% Armor.Games (678.56 KB)
1.13% Madden.NFL.Mobile (45.99 KB)
0.15% Minecraft (6.02 KB)
0.06% Yahoo.Mobile.Sportacular (2.24 KB)
Cyber Threat Assessment Report
98.96% BitTorrent (2.91 MB)
1.04% FileGuri (31.22 KB)
page 10 of 16
Uso de Web
Hábitos de navegação web podem não apenas indicar uso ineficiente de recursos corporativos, mas também indicar otimização
ineficiente das políticas de filtro de navegação web. Ele pode também dar dicas de hábitos de navegação web gerais dos
usuários e ajudar na definição das diretrizes de conformidade corporativas.
Principais Categorias Web
No matching log data for this report
Nos ambientes de rede atuais muitas aplicações baseiam-se no HTTP para comunicação - incluindo algumas que você
normalmente não espera. O benefício principal do HTTP é que a comunicação é ubíqua, universalmente aceita e (normalmente)
aberta na maioria dos firewalls. Para a maioria das aplicações liberadas e de negócio isto normalmente amplia a comunicação,
mas algumas aplicações não relacionadas ao negócio também utilizam HTTP de forma não produtiva ou potencialmente
perigosa.
Principais Aplicações Web
# Aplicação
Sessões
Banda
1 HTTP.BROWSER
200,401
4.28 GB
2 SSL
116,301
1.35 GB
3 HTTP.Audio
983
963.72 MB
4 HTTP.Video
582
821.07 MB
5 iTunes
340
748.42 MB
6 YouTube
7,244
566.39 MB
7 MS.Office.Live
2,094
360.77 MB
8 Apple.Software.Update
10
259.04 MB
9 MS.Windows.Update
1,208
149.96 MB
10 Google.Search
17,429
119.96 MB
Cyber Threat Assessment Report
page 11 of 16
Websites Frequentados
Sites navegados são fortes indicadores de como os funcionários utilizam os recursos corporativos e como aplicações se
comunicam com sites específicos. Analisando os domínios acessados podem levar à mudanças na infraestrutura corporativa tais
como bloqueio de sites, inspeção profunda de aplicações na nuvem e implementação de tecnologias de aceleração de tráfego
web.
Domínios Web mais visitados
No matching log data for this report
Tempos de navegação estimados para sites individualmente podem ser úteis para tentar obter uma noção dos sites populares.
Normalmente eles representam recursos web internos, como intranets, mas podem eventualmente indicar comportamento
abusivo. Tempos de navegação podem ser utilizados para justificar a implementação de tecnologias de web cache, ou ajudar a
ajustar políticas de uso corporativo.
Principais Websites por Tempo de Navegação
No matching log data for this report
Cyber Threat Assessment Report
page 12 of 16
Utilização de Rede
Banda
Através da análise do uso de banda quando distribuído em um dia normal, os administradores podem entender seus requisitos
de velocidade de conexão aos provedores de Internet. O uso de banda pode também ser otimizado com base nas aplicações
(limitando banda), determinados usuários podem ser priorizados em períodos de picos de tráfego, e atualizações podem ser
reprogramadas para ocorrer fora de horário de trabalho.
Média de Banda por Hora
6 GB
5 GB
4 GB
3 GB
2 GB
1 GB
0
:0
16
06
:0
0
0
Um dos métodos de análise de uso de banda é verificando origens e destinos que geram a maior parte do tráfego. Sites destino
comuns (por exemplo sites web externos), tais como de atualização de sistemas operacionais, podem ter a banda limitada para
permitir tráfegos críticos ao negócio serem priorizados. Internamente, dispositivos com alto tráfego podem ser otimizados
através de controle de banda ou políticas de uso corporativo.
Principais Origens/Destinos que Consomem Banda
No matching log data for this report
Cyber Threat Assessment Report
page 13 of 16
Informações de Dimensionamento
Assim como a taxa de geração de logs, o número médio de sessões geradas durante uma hora pode indicar requisitos de
performance (não apenas o FortiAnalyzer, mas também para a arquitetura final de solução com o FortiGate). Normalmente
existe uma correlação entre o total de tráfego, taxa de geração de logs e uso de sessões. Sessões é outro parâmetro que deve
ser utilizado não apenas para determinar como dimensionar a rede atual, mas também para prever crescimento de tráfego
futuro na rede.
Média de Uso de Sessões por Hora
120
90
60
30
Cyber Threat Assessment Report
0
:0
22
0
:0
20
0
:0
18
0
:0
16
0
:0
14
0
:0
12
0
:0
10
0
:0
08
0
:0
06
0
:0
04
0
:0
02
00
:0
0
0
page 14 of 16
Estatísticas de Firewall
O uso de CPU do FortiGate é normalmente utilizado para dimensionar uma solução adequada. Analisando as estatísticas de uso
de CPU horárias é fácil de estimar como os FortiGates irão operar na rede. Normalmente, com maior tráfego na rede, mais logs
serão gerados. Se mais do que 75% de utilização for mantida por longos períodos de tempo, tanto modelos de maior capacidade
como revisão de arquitetura devem ser considerados para implementação final.
30
20
Uso Percentual
Média de uso de CPU do FortiGate por Hora
10
0
:0
22
0
:0
20
0
:0
18
0
:0
16
0
14
:0
0
12
:0
0
:0
10
0
:0
08
0
:0
06
0
:0
04
0
:0
02
00
:0
0
0
De forma equivalente, o uso de memória ao longo do tempo é um indicador da sustentabilidade do FortiGate no ambiente de
rede analisado. O uso de memória pode permanecer alto mesmo quando o tráfego é relativamente baixo devido à geração de
registros de eventos (ou atividade de filas de registros) ao longo do tempo.
60
45
Uso Percentual
Média de uso de Memória do FortiGate por Hora
30
15
Cyber Threat Assessment Report
0
:0
22
0
:0
20
0
:0
18
0
:0
16
0
:0
14
0
:0
12
0
:0
10
0
:0
08
0
:0
06
0
:0
04
0
:0
02
00
:0
0
0
page 15 of 16
Serviços de Segurança FortiGuard
Conhecimento do panorama de ameaças combinado com a habilidade de responder prontamente em múltiplos níveis é a base
para prover uma segurança efetiva. Centenas de pesquisadores no laboratório FortiGuard varrem o cenário cibernético
diariamente para descobrir ameaças emergentes e desenvolver contramedidas eficientes para proteger organizações ao redor
do mundo. Eles são o motivo pelo qual o FortiGuard possui crédito sobre mais de 250 vulnerabilidades de dia zero descobertas, e
porque as soluções de segurança Fortinet possuem avaliações tão altas em efetividade de segurança no mundo real segundo
testes da NSS Labs, Virus Bulletin, AV Comparatives entre outros.
IPS e Controle de Aplicações Next Generation
Controle de Aplicações e Prevenção de Intrusão (IPS) são tecnologias de segurança fundamentais em um Next
Generation Firewall como o FortiGate. A eficácia do FortiGate executando Controle de Aplicações e IPS foram
avaliadas em testes comparativos pela NSS Labs e consistentemente recebendo avaliações de recomendação.
Filtro Web
A cada minuto o FortiGuard processa aproximadamente 43 milhões de requisições de categorização de URLs e
bloqueia 160 mil sites maliciosos. O serviço de filtro Web avalia mais de 250 milhões de websites e processa cerca de
1.5 milhões de categorizações de URLs semanalmente. O FortiGuard classifica os sites em mais de 80 categorias para
permitir um controle mais preciso.
Antivírus e Segurança de Dispositivos
A cada minuto o FortiGuard neutraliza aproximadamente 95.000 programas de malware com alvos tradicionais,
móveis ou plataformas IoT. A Fortinet consistentemente recebe resultados de eficácia superiores em testes efetuados
pelo Virus Bulletin e AV Comparatives.
AntiSpam
A cada minuto o FortiGuard bloqueia aproximadamente 21.000 emails spam e a cada semana o laboratório entrega
aproximadamente 46 milhões de regras novas e atualizadas de spam. Emails são o vetor número 1 para o início de
um ataque avançado em uma organização, portanto um antispam altamente eficaz é peça chave em uma estratégia
de segurança.
Proteção contra Ameaças Avançadas (FortiSandbox)
Milhares de organizações ao redor do mundo utilizam o FortiSandbox para identificar ameaças avançadas. O
FortiSandbox consistentemente recebe recomendação para sistemas de proteção de ameaças nos testes do NSS
Labs, e em 2015 atingiu mais de 97% de taxa de detecção nestes testes.
Reputação IP
A cada minuto o FortiGuard bloqueia aproximadamente 32.000 tentativas de comunicação de comando e controle
(C&C) utilizada por Botnets. O ponto chave deste ataque é quando a Botnet consegue estabelecer comunicação com o
servidor externo de comando e controle (C&C) - seja para fazer download de novas ameaças para sua rede ou para
extrair e enviar informações confidenciais. O controle de Reputação IP/domínio bloqueia este tipo de comunicação,
neutralizando as ameaças.
Cyber Threat Assessment Report
page 16 of 16