Janeiro de 2024: um terceiro não autorizado acedeu a dados pessoais sensíveis de cerca de 16,6 milhões de clientes da LoanDepot. Agosto de 2025: a Allianz Life foi alvo de um ciberataque que comprometeu os dados pessoais de mais de um milhão de clientes. Fevereiro de 2026: um ataque de ransomware à BridgePay Network Solutions tornou indisponível o portal de faturação online da cidade de Palm Bay, na Flórida.
É evidente que se está a delinear uma tendência, uma vez que as instituições financeiras se tornaram um alvo de grande valor para os atacantes.
Estas operações são frequentemente levadas a cabo por grupos organizados de cibercriminalidade ou por atores patrocinados pelo Estado que procuram obter ganhos financeiros significativos ou perturbar o mercado. Se trabalha na área financeira e pensa que está a salvo de riscos, não está a prestar atenção.
O ponto de entrada raramente é sofisticado. Em muitos casos, tudo começa com um e-mail de phishing. A partir daí, os atacantes movem-se lateralmente, navegando pelos sistemas internos, ampliando os seus privilégios de acesso e aproximando-se do seu objetivo inicial: infraestruturas de pagamento, plataformas de negociação e dados de clientes.
É aqui que muitas instituições financeiras perdem o controlo da situação: se a visibilidade da rede for limitada, esse movimento pode passar despercebido até ser tarde demais; o tempo médio de deteção pode chegar aos 181 dias.
Este foi o desafio de uma organização financeira líder, que procurava colmatar as lacunas de visibilidade e reforçar os seus sistemas de deteção e resposta. Para tal, recorreram ao OPSWAT MetaDefender NDR, implementando-o em segmentos críticos da sua infraestrutura para obter uma visão mais aprofundada do tráfego de rede e detetar ameaças mais cedo.
Esta é a história deles.
A fraca visibilidade da rede expôs os sistemas do cliente a movimentos laterais
O cliente dispunha de ferramentas de monitorização tradicionais, que se centravam principalmente em alertas de terminais e defesas de perímetro. Estas ferramentas funcionavam muito bem na deteção de malware conhecido ou de tentativas de início de sessão suspeitas, mas apresentavam lacunas no que diz respeito à visibilidade da rede.
Assim, a rede funcionava como uma zona cega, que era precisamente onde os sistemas de segurança eram mais vulneráveis e as equipas do SOC menos preparadas para lidar com incidentes. Esses pontos cegos levaram a:
Latência na deteção de movimentos laterais
Nos bancos e outras instituições financeiras, o movimento lateral é normalmente a fase em que os atacantes passam de uma estação de trabalho inicialmente comprometida (como o portátil de um caixa ou um computador do back-office) para sistemas de elevado valor. Estes sistemas podem incluir, entre outros, o processamento de pagamentos, a infraestrutura SWIFT ou as bases de dados bancárias centrais.
Para o nosso cliente, o atraso resultava da dependência de alertas ao nível do perímetro, que ou chegavam tarde ou nem sequer eram acionados. Com mais de 50 mil funcionários, havia muitas oportunidades para os atacantes violarem os sistemas. Um risco que o cliente não estava disposto a correr.
Fluxos de trabalho forenses lentos
Nas instituições financeiras, as investigações forenses pós-violação são frequentemente atrasadas pela fragmentação das fontes de dados, uma vez que as equipas do SOC podem ter de correlacionar registos de firewalls, alertas de terminais ou registos de autenticação. Mesmo com a pressão adicional para agir rapidamente, estas equipas podem continuar a ter dificuldade em identificar o que realmente aconteceu e qual a melhor abordagem para conter a violação.
Em termos simples: as equipas de SOC estavam com os olhos vendados, e os possíveis atacantes teriam tirado partido disso.
ComoMetaDefender NDR a deteção e a análise forense
A lacuna de visibilidade foi colmatada com MetaDefender NDR; concebido especificamente para a detecção proativa em rede, MetaDefender NDR as funcionalidades de visibilidade de rede e as ferramentas analíticas que faltavam no conjunto de soluções do nosso cliente.
MetaDefender NDR
MetaDefender NDR as organizaçõesNDR detetar, investigar e responder mais rapidamente às ameaças à rede, sem interromper as operações comerciais.
Ao analisar os dados de telemetria da rede para identificar padrões de tráfego anormais, o sistema deteta movimentos laterais entre sistemas e identifica comunicações associadas a ciberataques.
A plataforma tem como objetivo ampliar os conhecimentos especializados de um analista típico de SOC. Com os seus modelos de deteção assistidos por IA, analisa continuamente os comportamentos da rede para identificar anomalias subtis que possam indicar a atividade de um atacante numa fase mais precoce do ciclo de vida do ataque.
Para o nosso cliente, a plataforma resolveu os principais problemas que prejudicavam o desempenho do SOC.
Detecção de movimento lateral
Em vez de se basear em terminais para relatar a atividade, MetaDefender NDR continuamente o tráfego leste-oeste ao nível da rede, ao mesmo tempo que inspeciona os fluxos de tráfego entre os sistemas internos. Desta forma, consegue detetar padrões como tentativas repetidas de autenticação, ligações invulgares ou comunicações entre sistemas que normalmente nunca interagem entre si.
A latência é reduzida através da combinação da definição de padrões de referência comportamentais para a comunicação interna normal e da deteção de anomalias aplicada quase em tempo real.
Investigações forenses mais rápidas
MetaDefender NDR registaNDR os metadados do tráfego e permite a análise retroativa. Assim que um IOC (indicador de comprometimento) é detetado, o sistema pode recuar no tempo e verificar se algum sistema interno comunicou com ele no passado.
Agora, as equipas de SOC já não precisam de tentar reconstruir o tráfego do dia em que ocorreu um incidente nem de procurar registos anteriores; os analistas podem consultar diretamente os dados de telemetria de rede armazenados, o que é particularmente valioso no setor financeiro, onde um intervalo de tempo prolongado após um ataque pode levar a violações regulamentares.
Além disso, os fluxos de trabalho de investigação assistidos por IA ajudaram os analistas a correlacionar alertas, a dar prioridade a incidentes de alto risco e a reduzir o tempo de investigação manual, permitindo que a instituição passasse de uma deteção reativa para uma monitorização proativa da rede.
Impacto mensurável na visibilidade do SOC e na deteção de ameaças
MetaDefender NDR a visibilidade para a camada de rede e aplicou análises comportamentais ao tráfego interno, o que se revela especialmente eficaz em ambientes financeiros segmentados. Além disso, permitiu que os analistas dedicassem menos tempo à recolha de dados e mais tempo à tomada de decisões.
Eis como se apresentam os resultados em todas as áreas:
| Área de impacto | Resultado mensurável |
|---|---|
| Visibilidade da rede | Proporcionou uma visão aprofundada das comunicações no sistema financeiro interno. |
| Velocidade de deteção de ameaças | A análise assistida por IA permitiu a deteção precoce de atividades suspeitas e movimentos laterais. |
| Eficiência das investigações | Redução do tempo necessário para os analistas de SOC investigarem os alertas. |
| Proteção operacional | Maior capacidade de identificar ameaças avançadas que operam no interior da rede. |
| Resposta a incidentes | Resposta rápida a potenciais ataques antes que estes se agravem. |
| Preparação para o cumprimento das normas | São necessárias capacidades de monitorização reforçadas para cumprir os requisitos de supervisão regulamentar financeira. |
Se as ameaças passam despercebidas, a visibilidade torna-se fundamental
Já vimos isso em filmes de assaltos e já vimos isso na vida real. Para as instituições financeiras, a violação inicial não é, por si só, perigosa. Se for detetada a tempo, não causa grandes danos, além de revelar o ponto fraco da empresa.
No entanto, existe um perigo real quando os atacantes invadem um sistema, mas não se apressam a revelar a sua presença. Em vez disso, observam, movem-se furtivamente e acabam por chegar perto do que mais importa: pagamentos ou dados confidenciais dos clientes.
É por isso que a segurança não se pode limitar ao perímetro. Caso contrário, os IOCs passam despercebidos até ser tarde demais.
Com a implementação MetaDefender NDR, o nosso cliente passou de um nível de monitorização limitado para uma vigilância contínua da rede. As suas equipas do SOC podem agora detetar comportamentos suspeitos à medida que estes ocorrem, relacionar os sinais da rede para identificar padrões e agir antes que as anomalias se transformem em incidentes.
Se a sua organização está a repensar a forma como deteta e responde a ameaças fora do perímetro, talvez seja altura de ir além dos controlos tradicionais e considerar uma abordagem ao nível da rede. Entre em contacto connosco e descubra como MetaDefender NDR ajudá-lo.
