As faces de um malware têm mudado consideravelmente, especialmente dos últimos cinco aos dez anos. Mas, infelizmente, muitas empresas estão adotando muitas abordagens ultrapassadas, com várias décadas de vida. Esse artigo fala sobre as novas leis do anti-malware e como eles ditam o desenvolvimento e implementação de uma proteção avançada contra o malware, e como soluções velhas precisam evoluir para enfrentar as ameaças que empresas enfrentam nos dias de hoje.
A Evolução das Ameaças
O malware tem mudado consideravelmente desde o início dos primeiros vírus de PC introduzidos há mais de 25 anos. Hoje, isso evolui tão rapidamente que muitos clientes acham impossível permanecer à frente da mais recente ameaça. Especialistas em segurança estimam que mais de 280 milhões de vírus foram disparados somente no ano passado.
Como se não bastasse a explosão de variação de malwares, sofisticados ataques do lado do cliente (Client Side Attacks) e ameaças persistentes (Advanced Persistent Threats – APT) vítimas-alvo que evitam completamente medidas tradicionais de segurança. Pesquisas recentes mostram que 75% de um novo malware são vistas em um único usuário final e cerca de 40% dos novos malwares ainda não são detectados.
A questão não é se sua rede será atacada com um malware avançado. É uma questão de quando isso vai acontecer e como você vai responder. Malwares avançados estão mudando a maneira de como a segurança é gerenciada. Há cinco novas leis que você deve saber:
#1 – Segurança é agora um problema “Big Data”
Desde que a primeira tecnologia anti-malware foi introduzida há décadas atrás, fornecedores de segurança têm realizado, assiduamente, algum grau de coleta, processamento de amostra, geração de detecção, e publicação de detecção. Em suma, essa abordagem foi impulsionada por fornecedores que poderiam traduzir rapidamente uma inteligência de back-office voltada à proteção do cliente.
O que mudou foi o grande volume de dados os quais um típico fornecedor deve lidar nos dias de hoje. Há uma década, as centenas de empresas de ameaças lidavam com menos, em comparação com as centenas de milhares de ameaças que devem lidar diariamente nos dias de hoje. Especialistas em segurança estimam que mais de 280 milhões de vírus foram liberados somente no ano passado.
Ainda pior, as ameaças de hoje são altamente efêmeras. De fato, aproximadamente 75% das ameaças que vemos hoje têm uma vida inteira de zero, o que significa que a primeira vez que um usuário achá-la também será a última vez que ele irá vê-la. A quantidade de associados com ameaças está crescendo rapidamente sem sinais de diminuição num futuro previsível.
#2 – Colaboração é a chave
Tradicionalmente, novas ameaças têm sido associadas com as novas tecnologias. Infelizmente, elas geralmente não têm sido desenvolvidas para trabalhar de forma colaborativa. Considere fornecedores de anti-malware tradicionais que descrevem suas tecnologias de proteção como uma “pilha”. Essa terminologia faz referência para um número de tecnologias as quais são operadas independentemente das outras.
Tipicamente, a ameaça é bloqueada em um sistema uma vez que uma das tecnologias que está na pilha detectá-la como maliciosa. Operando sozinha, informações importantes contextualizadas são perdidas entre as diferentes tecnologias. A abordagem baseada em pilha foi o suficiente em um momento em que as ameaças foram mais simples. As ameaças avançadas dos dias de hoje exigem uma abordagem mais colaborativa. Em vez de operar de forma independente, as diferentes tecnologias devem formar um sistema totalmente integrado. Diferentes tecnologias de proteção devem integrar nativamente e trabalhar em conjunto para chegar a uma disposição final – sobre se um determinado arquivo ou aplicativo – representa uma ameaça.
#3 – Não pense usuário final, Pense usuários finais
Fornecedores de anti-malware tradicionais têm um foco singular no “usuário final”. A luta contra malware avançado requer uma abordagem mais holística. Uma vez que ameaças tipicamente se propagam entre as empresas, saber que um único usuário final foi exposto a uma ameaça não diz nada sobre como essa ameaça pode ter afetado o resto da empresa.
Professionais de segurança em TI precisam de uma perspectiva mais ampla para responder a perguntas críticas, incluindo: quantas ameaças serão alvo para a empresa como um todo?, como diferentes departamentos de uma empresa vão uns contras outros?, como a empresa se compara com a população mundial, em geral?. Saber respostas como essas e outras questões é importante para determinar como se irá combater malwares avançados.
#4 – Você sabe o seu melhor em um cenário de ameaças
Costumamos falar sobre o “cenário de ameaças” como se eles fossem um único objeto uniforme e monolítico. Embora isso seja conveniente para descrever as tendências gerais do mundo, a realidade é que o cenário de ameaças é diferente para cada empresa e, em muitos casos, até mesmo para os indivíduos dela.
Fatores que contribuem para que o cenário de ameaças de uma empresa inclui o seu tamanho, o valor das informações ativas, seu perfil ou reconhecimento como uma indústria, e a vulnerabilidade de seus sistemas. Por exemplo, uma pequena empresa que ofereça serviços de commodities tem preocupações diferentes em segurança da informação que uma multinacional que projeta tecnologias sensíveis para clientes do âmbito Governo.
Os responsáveis por garantir a organização estão frequentemente na melhor posição para entender a natureza única do cenário de ameaças. Na luta contra o malware avançado, essas mesmas pessoas deveriam ter autonomia para alavancar seus conhecimentos de domínio em vez de depender exclusivamente de seu fornecedor de anti-malware para desenvolver proteção para novos ataques.
#5 – Detecção não é mais suficiente
Infelizmente o resultado desse problema em rápido crescimento é que os profissionais de segurança geralmente não têm a visibilidade dos últimos ataques e lutam para manter o controle depois de uma quebra inevitável.
Apesar das nossas melhores intenções, jamais chegaremos a 100% de efetividade contra ataques. Ainda assim, devemos continuar a investir em novas tecnologias que fornecem detecção de ameaças mais recentes. É também cada vez mais claro que a detecção por si só não é suficiente. Hoje, a melhor solução também inclui tecnologias que podem ajudá-lo a responder rapidamente ao surto inevitável; tecnologias que podem ajudá-lo a responder questões críticas como: onde o ataque começou?, como ele se espalhou?, ele pode ser controlado?.
Além de responder a essas perguntas, uma solução deve ajudar a garantir que as empresas possam cumprir as suas missões apresentando o menor risco de perda de ativos, perda de produtividade e danos à reputação.
Raphael D’Avila é country manager Brasil da Sourcefire.