Veja o modelo do relatório CTAP
Transcrição
Veja o modelo do relatório CTAP
Estatísticas Vitais Este documento inclui as descobertas da análise recente da sua infraestrutura. O documento representa um resumo destas descobertas e apresenta um conjunto de recomendações de como tratar os eventos detectados. As análises são baseadas nos dados coletados utilizando as características abaixo: Detalhes da Empresa Nome da Empresa: ReportTest1 Localização: city, AU Segmento: Education Tamanho da Empresa: 100-249 employees Detalhes do Teste Data de Início do Teste: Mar 13, 2016 Duração do Teste: 4 Dia(s) Modelo do FortiGate: FG-300D Versão do FortiOS: FortiOS 5.2.5 Rede Analisada: Network Segment Funções Habilitadas: Antivirus, App Control, IPS, Traffic, Web Implementação e Metodologia Sua rede foi monitorada com um FG-300D no modo One Arm Sniffer. Este é um modo não invasivo de interceptar o tráfego conforme ele passa pela sua rede. Durante a avaliação a atividade de rede foi monitorada enquanto passava pela sua infraestrutura. Enquanto os registros de tráfego gravam várias informações das sessões que passam pela rede, o FortiGate também monitora de forma mais profunda os registros de segurança tais como IPS, antivírus, controle web e de aplicações. Esta avaliação foi criada com base em todos os tipos de registros criados, e provê uma visão geral da atividade na sua rede. Utilizado em conjunto com o FortiAnalyzer, o FortiGate pode prover funções adicionais tais como gerência de eventos (por exemplo: alertas), análises pelo FortiView (por exemplo: investigando atividades específicas do usuário) e relatórios. Cyber Threat Assessment Report page 1 of 16 Sumário Executivo Ataques de IPS Detectados: 3,828 Aplicações de Alto Risco Utilizadas: 11 Sites Maliciosos Detectados: 123 No ano passado, mais de 2100 empresas foram invadidas como resultado de práticas e soluções de segurança insuficientes. O custo médio de uma invasão de segurança numa corporação é estimado em U$3.5 milhões e está crescendo em 15% anualmente. Invasões, malware/botnets e aplicações maliciosas em conjunto correspondem a um risco massivo para sua rede corporativa. Estes mecanismos de ataque podem dar acesso aos invasores aos seus arquivos confidenciais e informações do banco de dados. O centro de pesquisas FortiGuard minimiza estes riscos provendo conteúdo de segurança reconhecido e é constantemente classificado entre os líderes da indústria por terceiros, tais como NSS Labs, VB 100 e AV Comparatives. Aplicações Detectadas: 239 Principais Categorias de Aplicações: Network.Service Principais Websites: N/A Principais Aplicações Utilizadas: Google.Search_Image Websites Visitados: 0 Principais Categorias Web: N/A Uso de aplicações por usuários e hábitos de navegação podem não apenas indicar uso ineficiente dos recursos corporativos, mas também indicar falta de execução de uma política de uso corporativo. Várias empresas reconhecem que o uso pessoal dos recursos corporativos é aceito. Mas existem muitas lacunas nas quais as empresas devem manter um olhar mais atento, incluindo: uso de aplicações de proxy anônimo e peer-to-peer, navegação web inapropriada, sites de phishing e atividade potencialmente ilegal. O centro de pesquisas FortiGuard provê informações que o FortiOS utiliza para manter seu negócio rodando de forma efetiva. Banda Total: 11.62 GB Principais Estações por Banda: 10.12.51.212 Estações com mais Sessões: 10.10.10.34 Eficiência na performance é normalmente um aspecto mal avaliado em dispositivos de segurança. Porém os firewalls devem permanecer nas velocidades em que os switches atualmente operam. Um estudo recente feito pela Infonetics indica que 77% dos tomadores de decisão em grandes organizações sentem que irão necessitar aumentar a performance dos dispositivos de segurança de rede (capacidade agregada de 100Gbps ou mais) nos próximos anos. O FortiGate baseia-se nos FortiASICs para Cyber Threat Assessment Report page 2 of 16 acelerar funções de uso intensivo de CPU, tais como encaminhamento de pacotes e identificação de padrões. Esta aceleração normalmente resulta entre 5-10X de aumento de desempenho quando comparado com outras soluções de mercado. Cyber Threat Assessment Report page 3 of 16 Comparativos dos Segmentos Segmento: Education Com o incremento do número de dispositivos trazidos ao campus pelos estudantes, professores e pessoal administrativo as escolas necessitam escalar suas redes enquanto provêem segurança adicional para proteger informações confidenciais. Assim como atender padrões de conformidade tais como CIPA, FERPA e COPPA. Os institutos de educação necessitam das mais recentes tecnologias de acesso e segurança em redes; porém, orçamentos limitados normalmente obrigam as áreas de TI a fazerem uma difícil escolha entre ambos. Nos gráficos abaixo, o termo "empresa" se refere à sua organização. Esta atividade dá uma noção de onde você situa-se relativamente à outras organizações do seu segmento. Utilizando organizações similares como base, algumas empresas otimizam continuamente sua rede para atingir "índices médios" de práticas de segurança do segmento. Ataques de IPS por Dia # Entidade Aplicações Evasivas por Dia Total 1 Empresa # Entidade 957 2 Segmento 12,688 3 Global 8,316 Principais Malwares (Empresa) Uso HTTPS vs. HTTP 2 Segmento 3 3 Global 2 # Nome do Malware Tipo 1 Zeroaccess.Botnet Botnet C&C Zeroaccess.Botnet 2 Andromeda.Botnet Botnet C&C Andromeda.Botnet 3 WM/Agent.FI!tr Virus SMTP 4 JS/Agent.F167!tr Virus HTTP.BROWSER_IE 5 Zeus Virus HTTP.BROWSER_Chrome # Entidade 31.53% Total 1 Empresa 34 27 2 Segmento 82% 2 Segmento 3 Global 61% 3 Global Cyber Threat Assessment Report Aplicação Uso da Nuvem (Aplicações IaaS + SaaS) Porcentagem 1 Empresa 8 Principais Malwares (Segmento) No matching log data for this report # Entidade Total 1 Empresa 433 page 4 of 16 Ações Recomendadas Ataques à Vulnerabilidades de Aplicações Detectadas ( 11 ) Vulnerabilidades de Aplicações (também conhecidas como ataques de IPS) agem como ponto de entrada para evitar infraestruturas de segurança e permitir aos atacantes penetrarem na sua organização. Estas vulnerabilidades são normalmente exploradas devido à falhas no processo de atualização. Identificar dispositivos não atualizados é a chave para proteger-se contra ataques às vulnerabilidades das aplicações. Malware Detectado ( 1 ) Malwares podem ter várias formas: vírus, trojans, spyware/adware, etc. Quaisquer instâncias de malware detectadas movendose lateralmente na rede podem indicar um vetor de ataques partindo de dentro da organização, ainda que involuntariamente. Através da combinação de assinaturas e análises comportamentais, malwares podem ser normalmente prevenidos de serem executados e expor sua rede à atividades maliciosas. Incrementar sua rede com tecnologias como ATP/Sandbox (por exemplo FortiSandbox) pode prevenir que malwares desconhecidos (ameaças de dia zero) se propaguem dentro da sua rede. Infecções de Botnet ( 0 ) Botnets podem ser usadas para iniciar ataques de negação de serviço (DoS), distribuir spam, spyware e adware, propagar códigos maliciosos e obter informações confidenciais que podem levar a sérias consequências financeiras e legais. Infecções por Botnets requerem ações sérias e imediatas. Identifique os computadores infectados com botnets e limpe-os utilizando software de antivírus. O FortiClient da Fortinet pode ser utilizado para escanear e remover botnets dos computadores infectados. Sites Maliciosos Detectados ( 123 ) Sites maliciosos são aqueles que contém software/malware desenvolvidos para secretamente coletar informações, danificar o dispositivo ou manipular o alvo sem o consentimento do usuário. Geralmente visitar um site malicioso é o precursor de uma infecção e representa os estágios iniciais de uma sequência mortal. Bloquear sites maliciosos e/ou instruir usuários a não visitar/instalar programas de sites desconhecidos é a melhor forma de prevenção. Sites de Phishing Detectados ( 1 ) De forma similar à sites maliciosos, sites de phishing simulam páginas de sites legítimos com o objetivo de coletar informações pessoais ou privadas (logins, senhas, etc) de usuários. Sites de phishing estão normalmente associados com emails não solicitados enviados aos funcionários. Uma abordagem cética para emails questionando dados pessoais e passando o mouse sobre links antes de clicar podem prever tais ataques. Aplicações de Proxy Detectadas ( 5 ) Tais aplicações são utilizadas (normalmente intencionalmente) para evitar medidas de segurança locais. Por exemplo, usuários podem evitar o firewall disfarçando ou criptografando comunicações externas. Em vários casos, isto pode ser considerado ato intencional e uma violação das políticas de uso corporativo. Aplicações de Acesso Remoto Detectadas ( 3 ) Aplicações de acesso remoto são normalmente utilizadas para acessar dispositivos internos remotamente, portanto evitando NAT e provendo um acesso secundário (backdoor) para equipamentos internos. No pior cenário, o acesso remoto pode ser utilizado para extração de dados e atividade de espionagem industrial. Várias vezes o uso de acesso remoto é irrestrito e mudanças no uso corporativo devem ser postas em prática. Aplicações de P2P e Compartilhamento de Arquivos ( 2 ) Estas aplicações podem ser utilizadas para evitar controles e levar à transferência de dados não autorizada e violações da política de dados. Devem ser implementadas políticas para o uso apropriado de tais aplicações. Cyber Threat Assessment Report page 5 of 16 Segurança e Prevenção de Ameaças Aplicações de Alto Risco A equipe de pesquisa do FortiGuard associa um risco de 1 à 5 para as aplicações baseado nas suas características comportamentais. O nível de risco pode ajudar os administradores à identificar aplicações de alto risco rapidamente e tomar melhores decisões nas políticas de controle das mesmas. As aplicações listadas a seguir foram associadas com nível de risco 4 ou superior. Aplicações de Alto Risco # Risco Tecnologia Usuário Banda Sessões 1 Nome da Aplicação Proxy.HTTP Categoria Proxy Network-Protocol 8 13.23 MB 829 2 Psiphon3 Proxy Client-Server 2 643.50 KB 22 3 Onavo.Protect Proxy Client-Server 1 3.57 KB 18 4 Hotspot.Shield Proxy Client-Server 2 407.95 KB 14 5 Skyfire Proxy Client-Server 3 54.39 KB 6 6 BitTorrent P2P Peer-to-Peer 6 2.91 MB 9,530 7 RDP Remote.Access Client-Server 8 4.92 MB 57 8 FileGuri P2P Peer-to-Peer 1 31.22 KB 5 9 Cisco.VPN.Client Proxy Client-Server 1 400.25 KB 2 10 Teamviewer Remote.Access Client-Server 1 10.58 KB 2 Figura 1: Aplicações com risco mais alto ordenadas por risco e sessões Explorações de Vulnerabilidades de Aplicações Vulnerabilidades de Aplicações podem ser exploradas para comprometer a segurança da sua rede. A equipe de pesquisa da FortiGuard analisa estas vulnerabilidades e desenvolve assinaturas para detectá-las. O FortiGuard atualmente possui uma base de dados com mais de 5800 ameaças conhecidas à aplicações para detectar ataques de evasão à sistemas tradicionais de firewalls. Para maiores informações sobre vulnerabilidades de aplicações, por favor acesse o website do FortiGuard em: http://www.fortiguard.com/intrusion. Principais Vulnerabilidades de Aplicações identificadas # Severidade Nome da Ameaça Tipo Vítima Origem Total 1 Bash.Function.Definitions.Remote.Code.Execution OS Command Injection 8 3 30 2 MS.GDIPlus.JPEG.Buffer.Overflow Buffer Errors 3 2 20 3 MS.IE.MSXML.Object.Handling.Code.Execution Buffer Errors 1 1 4 4 McAfee.Web.Reporter.EJBInvokerServlet.Object.Code.Execution Code Injection 1 1 2 5 OpenSSL.ChangeCipherSpec.Injection Information Disclosure 1 1 2 6 MS.Windows.ASN.1.Bitstring.Heap.Overflow Buffer Errors 1 1 2 7 MS.Windows.ASN.1.Bitstring.Overflow Buffer Errors 1 1 2 8 NBSS.ASN1.Bitstring.Heap.Overflow Buffer Errors 1 1 2 9 MSSQL.Login.Brute.Force Anomaly 1 5 790 10 MS.Windows.TCP.Timestamp.Remote.Code.Execution Code Injection 2 2 6 Figura 2: Principais vulnerabilidades identificadas, ordenadas por severidade e total Cyber Threat Assessment Report page 6 of 16 Malware, Botnets e Spyware/Adware Existem inúmeros canais que criminosos cibernéticos utilizam para distribuir malware. Os métodos mais comuns motivam usuários à abrir arquivos infectados em um anexo de email, baixar um arquivo infectado, ou clicar em um link que leva à um site malicioso. Durante a análise de segurança, a Fortinet identificou alguns eventos de malware ou botnets que indicavam download de arquivos maliciosos ou conexões à sites de controle de botnets. Principais Malwares, Botnets e Spyware/Adware Detectados No matching log data for this report Figura 3: Malware, Botnets, Spyware e Adware detectados Dispositivos sob risco Baseado nos tipos de atividades exibidos por um dispositivo, podemos estimar a confiabilidade de cada cliente individualmente. Esta reputação do cliente é baseada em fatores chave tais como sites navegados, aplicações utilizadas e destinos de entrada/saída acessados. Por fim, podemos criar uma classificação de ameaças através da análise das atividades agregadas de cada dispositivo individualmente. Dispositivos com maior risco # Dispositivo Pontuação 1 10.12.52.111 23,640 2 10.12.51.224 19,590 3 10.12.52.64 9,890 4 10.10.10.165 8,530 5 10.12.51.239 6,540 6 10.112.51.70 4,990 7 10.12.52.44 4,660 8 10.20.51.142 4,560 9 10.20.51.105 4,050 10 10.112.53.41 3,600 Figura 4: Estes dispositivos devem ser auditados em busca de possíveis malwares ou invasões Cyber Threat Assessment Report page 7 of 16 Tráfego Web Criptografado Da perspectiva de segurança, é importante visualizar quanto do tráfego web é criptografado. Tráfego criptografado compreende um desafio para empresas que desejam garantir que tais aplicações não estão sendo utilizadas para propósitos maliciosos, incluindo expropriação de dados. Idealmente, seu firewall deve conseguir inspecionar tráfego criptografado em taxas de transferência altas - este é o motivo pelo qual performance e hardware/ASIC de aceleração são essenciais na avaliação de um firewall. Relação de Tráfego HTTPS vs. HTTP 76.03% HTTP (7.86 GB) 23.97% HTTPS (2.48 GB) Principais Países de Origem Analisando o tráfego IP de origem podemos determinar o país de origem de determinadas requisições. Certas botnets, funções de controle e comando, e inclusive acessos remotos podem gerar muitas sessões e ser indicadores de ataques direcionados ou ameaças persistentes provindo de outros países. Este gráfico representa o tráfego por país - atividades de nações de origem específicas podem ser anormais e requererem maior investigação. Principais Países de Origem # País Banda 1 United States 403.34 MB 2 Anonymous Proxy 14.64 MB 3 United Kingdom 4.90 MB 4 Belgium 2.91 MB 5 Netherlands 1.18 MB 6 Ireland 778.64 KB 7 Russian Federation 56.73 KB 8 France 34.59 KB 9 China 8.15 KB 10 Botswana 804 B Figura 5: Atividade originando destes países devem ser auditadas quanto à origens de tráfego previsto Cyber Threat Assessment Report page 8 of 16 Produtividade dos Usuários Uso de Aplicações A equipe de pesquisa do FortiGuard categoriza aplicações em diferentes categorias baseada nos comportamentos das mesmas, tecnologia que utiliza, e características de transações efetuadas. As categorias permitem melhor controle das aplicações. O FortiGuard mantém milhares de sensores de aplicações e pode inclusive efetuar inspeção mais profunda nas mesmas. Por exemplo, gestores de TI podem ter visibilidade sem precedentes nos nomes dos arquivos enviados para a nuvem ou títulos de vídeo sendo transmitidos. Para detalhes das categorias de aplicações veja: http://www.fortiguard.com/encyclopedia/application Categorias de Aplicações Web.Others 37.74% Video/Audio 23.31% Network.Service 16.62% General.Interest 11.36% Update 3.92% Collaboration 3.38% Social.Media 1.61% Email 1.49% Cloud.IT 0.15% Storage.Backup 0.13% Others 0.28% App Categories Com a proliferação de computação baseada na nuvem, as empresas estão cada vez mais dependentes de infraestrutura de terceiros. Infelizmente para as empresas isto significa que suas informações estão apenas tão seguras quanto a segurança dos seus provedores na nuvem. Além disso, isto pode inserir questões de redundância (se os serviços estão também disponíveis internamente) e aumentar custos (caso não sejam monitorados corretamente). Uso da Nuvem (SaaS) 52.71% iCloud (8.09 MB) 43.94% Dropbox (6.75 MB) 2.19% Onedrive (344.43 KB) 0.59% Photobucket (93.12 KB) 0.45% Acrobat.Cloud (70.73 KB) 0.04% Barracuda (6.35 KB) 0.07% Others (11.62 KB) A adoção de plataformas de "Infraestutura como Serviço (IaaS)" é popular e pode ser muito útil quando recursos computacionais são limitados ou necessitam de requisitos especializados. Sendo assim, a terceirização eficiente da sua infraestrutura deve ser devidamente regulada para prevenir mal uso. A auditoria frequente das aplicações IaaS pode ser um exercício útil não apenas com propósitos de segurança, mas também para minimizar custos organizacionais associados com modelos pagos por utilização ou taxas de associação recorrentes. Cyber Threat Assessment Report Gestores de TI normalmente não sabem quantos serviços na nuvem são utilizados na organização. Algumas vezes, tais aplicações podem ser utilizadas para evitar ou até substituir a infraestrutura corporativa existente sob pretexto de facilidade de uso. Infelizmente, um efeito colateral disto é que informações confidenciais da empresa podem ser transferidas para a nuvem. Consequentemente, seus dados podem estar expostos caso a infraestrutura de segurança do provedor na nuvem seja violada. Uso da Nuvem (IaaS) 68.35% Amazon.AWS (11.92 MB) 18.57% Godaddy (3.24 MB) 7.61% Meraki.Cloud.Controller (1.33 MB) 3.06% Fortiguard.Search (546.34 KB) 2.41% AT&T.Synaptic (430.85 KB) page 9 of 16 Detalhamento das Categorias de Aplicações Entender as subcategorias de aplicações podem dar dicas inestimáveis sobre o quão eficientemente a rede corporativa está operando. Certas tipos de aplicações (tais como P2P ou jogos online) não são necessariamente condizentes com o ambiente corporativo e podem ser bloqueadas ou limitadas. Outras aplicações podem ter propostas de uso diversas (tais como streaming de áudio e vídeo, ou aplicações de mídia social) e podem ser liberadas conforme necessidade. Estes gráficos ilustram as categorias ordenadas pelo total de banda utilizada durante o período da análise. Aplicações de Acesso Remoto 99.79% RDP (4.92 MB) 0.21% Teamviewer (10.58 KB) Principais Aplicações de Redes Sociais 54.19% Facebook (102.21 MB) 22.36% Snapchat (42.18 MB) 8.97% Google.Plus (16.92 MB) 6.81% Twitter (12.84 MB) 3.09% Instagram (5.84 MB) 1.39% Pinterest (2.62 MB) 3.18% Others (6.00 MB) Principais Aplicações de Jogos Aplicações de Proxy 92.43% Proxy.HTTP (13.23 MB) 4.39% Psiphon3 (643.50 KB) 2.78% Hotspot.Shield (407.95 KB) 0.37% Skyfire (54.39 KB) 0.02% Onavo.Protect (3.57 KB) Principais Aplicações de Streaming de Vídeo/Áudio 30.12% HTTP.Video (822.08 MB) 27.42% iTunes (748.42 MB) 22.17% YouTube (605.27 MB) 17.30% Plex.TV (472.34 MB) 0.79% Ooyala (21.45 MB) 0.59% Flowplayer (16.18 MB) 1.61% Others (44.00 MB) Principais Aplicações Peer to Peer 50.73% Clash.Of.Clans (2.01 MB) 31.21% Apple.Game.Center (1.24 MB) 16.72% Armor.Games (678.56 KB) 1.13% Madden.NFL.Mobile (45.99 KB) 0.15% Minecraft (6.02 KB) 0.06% Yahoo.Mobile.Sportacular (2.24 KB) Cyber Threat Assessment Report 98.96% BitTorrent (2.91 MB) 1.04% FileGuri (31.22 KB) page 10 of 16 Uso de Web Hábitos de navegação web podem não apenas indicar uso ineficiente de recursos corporativos, mas também indicar otimização ineficiente das políticas de filtro de navegação web. Ele pode também dar dicas de hábitos de navegação web gerais dos usuários e ajudar na definição das diretrizes de conformidade corporativas. Principais Categorias Web No matching log data for this report Nos ambientes de rede atuais muitas aplicações baseiam-se no HTTP para comunicação - incluindo algumas que você normalmente não espera. O benefício principal do HTTP é que a comunicação é ubíqua, universalmente aceita e (normalmente) aberta na maioria dos firewalls. Para a maioria das aplicações liberadas e de negócio isto normalmente amplia a comunicação, mas algumas aplicações não relacionadas ao negócio também utilizam HTTP de forma não produtiva ou potencialmente perigosa. Principais Aplicações Web # Aplicação Sessões Banda 1 HTTP.BROWSER 200,401 4.28 GB 2 SSL 116,301 1.35 GB 3 HTTP.Audio 983 963.72 MB 4 HTTP.Video 582 821.07 MB 5 iTunes 340 748.42 MB 6 YouTube 7,244 566.39 MB 7 MS.Office.Live 2,094 360.77 MB 8 Apple.Software.Update 10 259.04 MB 9 MS.Windows.Update 1,208 149.96 MB 10 Google.Search 17,429 119.96 MB Cyber Threat Assessment Report page 11 of 16 Websites Frequentados Sites navegados são fortes indicadores de como os funcionários utilizam os recursos corporativos e como aplicações se comunicam com sites específicos. Analisando os domínios acessados podem levar à mudanças na infraestrutura corporativa tais como bloqueio de sites, inspeção profunda de aplicações na nuvem e implementação de tecnologias de aceleração de tráfego web. Domínios Web mais visitados No matching log data for this report Tempos de navegação estimados para sites individualmente podem ser úteis para tentar obter uma noção dos sites populares. Normalmente eles representam recursos web internos, como intranets, mas podem eventualmente indicar comportamento abusivo. Tempos de navegação podem ser utilizados para justificar a implementação de tecnologias de web cache, ou ajudar a ajustar políticas de uso corporativo. Principais Websites por Tempo de Navegação No matching log data for this report Cyber Threat Assessment Report page 12 of 16 Utilização de Rede Banda Através da análise do uso de banda quando distribuído em um dia normal, os administradores podem entender seus requisitos de velocidade de conexão aos provedores de Internet. O uso de banda pode também ser otimizado com base nas aplicações (limitando banda), determinados usuários podem ser priorizados em períodos de picos de tráfego, e atualizações podem ser reprogramadas para ocorrer fora de horário de trabalho. Média de Banda por Hora 6 GB 5 GB 4 GB 3 GB 2 GB 1 GB 0 :0 16 06 :0 0 0 Um dos métodos de análise de uso de banda é verificando origens e destinos que geram a maior parte do tráfego. Sites destino comuns (por exemplo sites web externos), tais como de atualização de sistemas operacionais, podem ter a banda limitada para permitir tráfegos críticos ao negócio serem priorizados. Internamente, dispositivos com alto tráfego podem ser otimizados através de controle de banda ou políticas de uso corporativo. Principais Origens/Destinos que Consomem Banda No matching log data for this report Cyber Threat Assessment Report page 13 of 16 Informações de Dimensionamento Assim como a taxa de geração de logs, o número médio de sessões geradas durante uma hora pode indicar requisitos de performance (não apenas o FortiAnalyzer, mas também para a arquitetura final de solução com o FortiGate). Normalmente existe uma correlação entre o total de tráfego, taxa de geração de logs e uso de sessões. Sessões é outro parâmetro que deve ser utilizado não apenas para determinar como dimensionar a rede atual, mas também para prever crescimento de tráfego futuro na rede. Média de Uso de Sessões por Hora 120 90 60 30 Cyber Threat Assessment Report 0 :0 22 0 :0 20 0 :0 18 0 :0 16 0 :0 14 0 :0 12 0 :0 10 0 :0 08 0 :0 06 0 :0 04 0 :0 02 00 :0 0 0 page 14 of 16 Estatísticas de Firewall O uso de CPU do FortiGate é normalmente utilizado para dimensionar uma solução adequada. Analisando as estatísticas de uso de CPU horárias é fácil de estimar como os FortiGates irão operar na rede. Normalmente, com maior tráfego na rede, mais logs serão gerados. Se mais do que 75% de utilização for mantida por longos períodos de tempo, tanto modelos de maior capacidade como revisão de arquitetura devem ser considerados para implementação final. 30 20 Uso Percentual Média de uso de CPU do FortiGate por Hora 10 0 :0 22 0 :0 20 0 :0 18 0 :0 16 0 14 :0 0 12 :0 0 :0 10 0 :0 08 0 :0 06 0 :0 04 0 :0 02 00 :0 0 0 De forma equivalente, o uso de memória ao longo do tempo é um indicador da sustentabilidade do FortiGate no ambiente de rede analisado. O uso de memória pode permanecer alto mesmo quando o tráfego é relativamente baixo devido à geração de registros de eventos (ou atividade de filas de registros) ao longo do tempo. 60 45 Uso Percentual Média de uso de Memória do FortiGate por Hora 30 15 Cyber Threat Assessment Report 0 :0 22 0 :0 20 0 :0 18 0 :0 16 0 :0 14 0 :0 12 0 :0 10 0 :0 08 0 :0 06 0 :0 04 0 :0 02 00 :0 0 0 page 15 of 16 Serviços de Segurança FortiGuard Conhecimento do panorama de ameaças combinado com a habilidade de responder prontamente em múltiplos níveis é a base para prover uma segurança efetiva. Centenas de pesquisadores no laboratório FortiGuard varrem o cenário cibernético diariamente para descobrir ameaças emergentes e desenvolver contramedidas eficientes para proteger organizações ao redor do mundo. Eles são o motivo pelo qual o FortiGuard possui crédito sobre mais de 250 vulnerabilidades de dia zero descobertas, e porque as soluções de segurança Fortinet possuem avaliações tão altas em efetividade de segurança no mundo real segundo testes da NSS Labs, Virus Bulletin, AV Comparatives entre outros. IPS e Controle de Aplicações Next Generation Controle de Aplicações e Prevenção de Intrusão (IPS) são tecnologias de segurança fundamentais em um Next Generation Firewall como o FortiGate. A eficácia do FortiGate executando Controle de Aplicações e IPS foram avaliadas em testes comparativos pela NSS Labs e consistentemente recebendo avaliações de recomendação. Filtro Web A cada minuto o FortiGuard processa aproximadamente 43 milhões de requisições de categorização de URLs e bloqueia 160 mil sites maliciosos. O serviço de filtro Web avalia mais de 250 milhões de websites e processa cerca de 1.5 milhões de categorizações de URLs semanalmente. O FortiGuard classifica os sites em mais de 80 categorias para permitir um controle mais preciso. Antivírus e Segurança de Dispositivos A cada minuto o FortiGuard neutraliza aproximadamente 95.000 programas de malware com alvos tradicionais, móveis ou plataformas IoT. A Fortinet consistentemente recebe resultados de eficácia superiores em testes efetuados pelo Virus Bulletin e AV Comparatives. AntiSpam A cada minuto o FortiGuard bloqueia aproximadamente 21.000 emails spam e a cada semana o laboratório entrega aproximadamente 46 milhões de regras novas e atualizadas de spam. Emails são o vetor número 1 para o início de um ataque avançado em uma organização, portanto um antispam altamente eficaz é peça chave em uma estratégia de segurança. Proteção contra Ameaças Avançadas (FortiSandbox) Milhares de organizações ao redor do mundo utilizam o FortiSandbox para identificar ameaças avançadas. O FortiSandbox consistentemente recebe recomendação para sistemas de proteção de ameaças nos testes do NSS Labs, e em 2015 atingiu mais de 97% de taxa de detecção nestes testes. Reputação IP A cada minuto o FortiGuard bloqueia aproximadamente 32.000 tentativas de comunicação de comando e controle (C&C) utilizada por Botnets. O ponto chave deste ataque é quando a Botnet consegue estabelecer comunicação com o servidor externo de comando e controle (C&C) - seja para fazer download de novas ameaças para sua rede ou para extrair e enviar informações confidenciais. O controle de Reputação IP/domínio bloqueia este tipo de comunicação, neutralizando as ameaças. Cyber Threat Assessment Report page 16 of 16