Até bem pouco tempo atrás, o combate ao software malicioso (malware) se limitava ao controle de vírus, worms, além de alguns tipos de spywares que buscavam entender o comportamento de navegação dos usuários na internet. O principal desafio, até então, era entender a diferença entre vírus e worm, lembrando que o vírus normalmente está associado a uma ação do usuário e depende de um vetor externo de propagação (dentro de um arquivo executável, um arquivo DOC, etc). Já o worm possui a característica de se propagar sozinho pela rede, normalmente através da exploração de uma vulnerabilidade, seja no servidor ou em um equipamento de usuário.
Para que seja possível o bloqueio deste tipo de artefato malicioso é necessária existência de uma assinatura (em antivírus ou regras para os IPS de nova geração) que permita a identificação e bloqueio, de tal forma a impedir a contaminação de um servidor. Aliás, esta é uma das grandes mudanças de paradigma que enfrentamos hoje em dia, onde o servidor não é mais o alvo favorito destes tipos de praga virtual. O que acontece com frequência cada vez maior é a exploração da máquina do usuário, o que chamamos de “client side attacks”. Nesse tipo de ataque, o importante é explorar vulnerabilidades existentes no browser do usuário (Internet Explorer, Firefox, etc) ou em aplicações que são instaladas nestes equipamentos (especialmente Flash Player, Adobe Acrobat Reader).
As empresas normalmente se preocupam muito com a aplicação de patches de segurança nos servidores, além da utilização de ferramentas de proteção do perímetro, como Firewall, IPS, Filtro de Conteúdo, etc, porém muito pouco é feito para manter atualizados os equipamentos dos usuários. A utilização das ferramentas de segurança aliada a uma correta política de segurança, monitoração constante do ambiente, treinamento da equipe quanto às técnicas de ataque e defesa (sim, isso é fundamental), certamente ajuda muito no combate às diversas pragas virtuais.
É muito importante nunca esquecer os equipamentos que permitem mobilidade (laptops, celulares, tablets) e que, ao mesmo tempo, ampliam o conceito que temos sobre perímetro externo. Uma vez que esses dispositivos móveis estejam fora da rede corporativa, todas as defesas existentes na rede da empresa desaparecem e eles passam a vivenciar um risco bem maior. Exemplos não faltam: equipamentos utilizando redes wi-fi em locais como aeroportos, redes de hotéis, sem contar quando deixamos o filho instalar algum jogo ou baixar algo em redes de Torrent.
Como se já não bastasse a salada de siglas que somos obrigados a memorizar (vírus, worm, spyware, trojan, phishing, etc), agora, ainda temos o “tal” de APT (Advanced Persistent Threat). Um nome novo para técnicas antigas.
A grande diferença do APT em relação ao que já existia é que: ao invés de um email genérico sobre viagra – ou sobre aquele príncipe africano – que precisa da SUA ajuda para retirar a fortuna dele do país, no caso de um APT, temos a utilização de um Spear Phishing. Spear Phishing é um ataque direcionado para o funcionário/usuário que trabalha na empresa-alvo. Uma vez que esse funcionário execute o arquivo ou de alguma maneira contamine a máquina, esse equipamento e a rede da empresa passam a ser controlados remotamente.
Definitivamente, não é difícil elaborar um ataque direcionado. Basta uma procura no Google por @suaempresa.com.br para verificar a quantidade de e-mails que são enviados para grupos de discussão, etc. Alguns anos atrás, em um teste de invasão realizado em um determinado cliente, foi possível identificar um usuário da rede que participava de um grupo de discussão sobre Cristianismo. Não preciso nem dizer qual foi a efetividade de enviar para este usuário um link para fazer download de uma novíssima versão eletrônica da bíblia (devidamente preparado para controle remoto do equipamento da vítima, é claro). Ou seja, basta utilizarmos algum assunto que atraia o interesse deste usuário (funcionário). As chances são quase de 100% de que ele clique ou execute algo.
Para resumir, não existe uma fórmula mágica que permita evitar todos os ataques mencionados, mas certamente podemos elencar algumas recomendações básicas:
1. Monitore, monitore e monitore. Se possível, também monitore. Uma equipe bem treinada e que tenha o ferramental certo de coleta e correlação de logs, certamente poderá identificar anomalias de tráfego na rede, e que podem representar a existência de um APT;
2. Tenha as ferramentas certas: SIEM, IPS, Firewall, Filtro de Conteúdo e AntiSPAM, Antivírus (sim, são úteis e importantes também), AntiMalware (especialmente aquelas que entendem comportamento anômalo);
3. Tenha uma política rígida de gestão de vulnerabilidades. É fundamental manter o ambiente atualizado. Sim, sabemos que existem ataques que exploram as vulnerabilidades 0-day, mas é possível assegurar que representam um universo bem pequeno dos ataques. Ainda existem máquinas que são contaminadas na Internet por culpa do usuário ou da empresa que não aplicaram um simples patch;
4. Equipe treinada é equipe motivada. O assunto Segurança da Informação é bastante abrangente e estimulante. O outro lado é altamente motivado e troca informações o tempo todo. Se sua empresa não pode contar com uma equipe preparada para tal, contrate uma empresa que possa e mantenha um SLA rígido;
5. Nunca negligencie o Endpoint. Antivírus é importante mas não pode ser a única camada de defesa em um desktop/laptop/tablet. Cada vez mais os ataques se utilizam de técnicas que mascaram sua presença e ferramentas que são baseadas somente em assinaturas não podem identificá-las.
*Paulo Braga é engenheiro de segurança da Sourcefire e possui mais de 20 anos de experiência em tecnologia da informação, sendo 12 anos dedicados ao tema Segurança da Informação.