Os desafios de lidar com ataques direcionados – aqueles criados para invadir alvos específicos e, portanto, muito mais bem elaborados e perigosos –, e com as vulnerabilidades zero-day, totalmente desconhecidas pela indústria e pelos próprios fabricantes de software, são temas que devemos explorar ao máximo. Essas táticas de invasão são crescentes e estão se tornando um prato cheio para perpetrar os ataques.
A Symantec identificou 24 vulnerabilidades do tipo em 2014, sendo que as cinco principais levaram, em média, 59 dias para serem resolvidas. A questão que fica é: como proteger o ambiente, dado que há demora na descoberta e grande complexidade na correção desses furos?
O passo inicial é simples: é preciso conhecer o ambiente, ter um inventário detalhado de todos os dispositivos e soluções utilizados na empresa, e, idealmente, qual o estado de segurança de cada um deles. O foco desse levantamento é saber se o ambiente é conhecido, se as soluções estão bem configuradas (em comparação ao padrão da empresa ou melhor prática do mercado), seu o nível de atualização e o impacto individual de cada vulnerabilidade para o negócio. O desafio mora em responder ou mitigar os riscos identificados, o que envolve priorização e acompanhamento.
Não é incomum ver, principalmente em grandes empresas, forte exposição pela não atualização e configuração indicadas, resultado de uma combinação de indisciplina com falta de atenção, ou complexidade e restrição de mudanças no ambiente. A complexidade desse trabalho inicial, atividade que requer bastante tempo, e a falta de profissionais dedicados a ações preventivas ocasionam problemas gigantescos. Apenas como exemplo, vemos casos em que basta uma máquina não atualizada ou mal configurada receber um malware direcionado para que a porta se abra e muitos dos dispositivos da rede sejam atingidos, dando acesso amplo e invisível ao atacante. Presenciamos também casos de Ransomware (os que pedem "resgate"), no mesmo contexto.
Não adianta: essas melhorias devem ser priorizadas com um processo consistente, repetitivo e, de preferência, com recursos de automação.
Contudo, há aqueles equipamentos que são recebem mais patches, por terem sido descontinuados pelos seus fabricantes, e muitos outros que, apesar de atuais, têm restrições a mudanças e interrupções. Para o primeiro caso, temos dois exemplos ainda muito usados pelas empresas de todo o Brasil: o Windows Server 2003 e o Windows XP.
O Hardening pode ajudar muito, e uma ferramenta valiosa é o lockdown, ou blindagem, que monitora os processos da máquina e a "tranca", impedindo processos e conexões não previstas, além de alterações de configuração, mesmo que o invasor tenha acesso privilegiado. Outra tecnologia importante é o sandboxing, ou caixa de areia, que executa arquivos em um ambiente separado para identificar a existência de malwares ainda desconhecidos.
Sabendo que o foco do atacante é o usuário, é imprescindível adotar, caso não tenha, ou expandir, caso já exista, o uso de fatores de dupla autenticação e comportamento de usuários, inclusive nos ambientes de nuvem, fora de sua empresa. É possível combinar a autenticação forte com uma melhor experiência do usuário, por exemplo, incorporando single sign-on.
É preciso ter um time local de profissionais que esteja alerta ao que se passa no ambiente, além de contar com serviços de monitoramento global, como uma vigilância, que emitam avisos em tempo real e os oriente sobre como responder adequadamente.
O desafio é enorme, envolvem muitas tecnologias e serviços, mas as potenciais perdas por não encará-lo são ainda maiores. Qual a melhor opção?
Vladimir Amarante, diretor de Pré-Venda e Consultoria para a América Latina da Symantec.