Segundo estudos recentes de mercado, 73% das empresas instaladas no Brasil tiveram problemas com segurança da informação nos últimos meses. Estes números só comprovam o aumento dos ataques nos últimos anos e como os criminosos cibernéticos vêm cada vez mais desenvolvendo novas técnicas de ataque ainda mais sofisticadas e eficazes.
Analisando o mercado de perto, tenho percebido que muitos desses novos ataques têm se baseado num conceito específico de invasão que consiste em atacar o ambiente corporativo através da detecção de vulnerabilidades existentes num alvo exclusivo, o que torna mais difícil detectar e controlar o ataque.
Em geral, este tipo de ataque é conhecido como APT (Advanced Persistent Threat), ou seja, uma Ameaça Persistente Avançada – termo que se tornou famoso depois que o New York Times publicou detalhes do ataque que sofreu por mais de um mês. No ATP utiliza-se uma variedade de técnicas de coleta de informações para acessar dados confidenciais em computadores específicos que contêm informações valiosas e sigilosas. Ou seja, este tipo de ataque se difere dos comuns que buscam contaminar o maior número de máquinas possíveis. Eles são elaborados visando atingir computadores específicos.
Os ataques dirigidos avançados utilizam táticas sofisticadas de malware não apenas para penetrar defesas, mas também para se disseminarem lateralmente através de compartilhamentos de arquivos e estabelecer uma presença de longo prazo na rede infectando sistemas, mesmo aqueles sem acesso à internet. Muitos centros de dados corporativos permanecem vulneráveis ao malware avançado devido à ineficácia de defesas tradicionais, como antivírus. Criminosos aproveitam-se dessa vulnerabilidade para disseminar malware em compartilhamentos de arquivos em rede, incorporar código malicioso nos amplos repositórios de dados e se tornar um vetor de ameaça persistente para infectar e reinfectar sistemas cruciais, mesmo após a equipe de TI corrigi-los.
Um malware pode estar presente em sites válidos e também em sites especificamente criados para infectar usuários. Por falta de conhecimento, os internautas acabam clicando em links que não imaginam ter conteúdo malicioso que pode infectar seus micros, gerando vazamento de informações. As ameaças avançadas e persistentes exploram vulnerabilidades que os controles atuais presentes na infraestrutura de TI não conseguem identificar ou prevenir, porque são novos e ainda não existem assinaturas ou vacinas que possam permitir aos IPS e antivírus, uma função de proteção e controle.
Diante a este cenário podemos concluir que as empresas estão sujeitas a encontrar malwares até mesmo em sites legítimos e ter seu ambiente explorado em uma vulnerabilidade ainda desconhecida. Então, como ter uma ação preventiva que mitigue o risco de ser infectado? Felizmente já existem soluções no mercado com a proposta de atuar neste sentido.
Essas ferramentas atuam como um complemento aos controles já existentes na rede como Firewall, IPS e Antivirus/Antispam. Elas analisam o tráfego depois de ele ter passado pelos controles iniciais e teoricamente mostrar-se livre de malware, para depois fazer uma análise especial que permite identificar qualquer comportamento anormal que tente afetar o usuário ou a máquina que está recebendo esse tráfego.
Para fazer esta análise, essa tecnologia conta com uma série de máquinas virtuais onde pode emular o impacto da execução do código que está sendo transferido, identificando qualquer mudança no ambiente ou tentativa de comunicação com a internet. Desta maneira, no momento em que um ataque é detectado, pode-se evitar que os usuários sejam contaminados. No caso de usuários que já possuem algum tipo de malware, a solução vai impedir a conexão com a internet eliminando o risco de vazamento de informações.
Com esta técnica de análise é possível identificar ameaças que em mais de 90% das vezes vêm em arquivos zipados. Pode-se também analisar compartilhamentos de arquivos em rede para detectar e colocar em quarentena o malware trazido por funcionários, parceiros e outros através de ferramentas de colaboração que contornam firewalls da próxima geração, sistemas de prevenção de intrusões, antivírus e gateways.
Por meio dessas soluções é possível ainda se proteger contra e-mails de spearphishing (e-mails que parecem ter sido enviados por um indivíduo ou empresa que você conhece) que ignoram as tecnologias de antispam e lidam com ataques combinados e avançados, que utilizam e-mail e URLs maliciosos.
Os vários recursos apresentados por essas soluções vão garantir a segurança do ambiente de TI mantendo-o livre de ameaças avançadas. Por isso, as empresas precisam correr atrás desse tipo de proteção, que já oferecem uma forma de prevenção segura e eficaz contra ATPs, antes que seu negócio seja prejudicado.
Ricardo Céspedes, diretor de pré-vendas e alianças da Etek NovaRed
