O ano de 2011 foi excelente para os hackers. Tivemos ameaças persistentes avançadas, falhas de dados e ataques contra a infraestrutura da Internet na forma de ciber-assaltos a autoridades certificadoras. Foi um ano em que as empresas de segurança enfrentaram novos desafios, e o começo de 2012 também apresentou os mesmos desafios.
Até agora, a comunidade de TI ouviu relatórios de ataques contra as indústrias de defesa e aeroespacial usando o cavalo de Tróia MSUpdater, além da revelação de que os hackers que atacaram a agora falida Nortel Networks em 2000, conseguiram manter acesso aos computadores da empresa durante quase uma década. Esse cenário perigoso oferece vários desafios que as empresas terão de enfrentar em 2012 principalmente: a prevalência de ameaças persistentes avançadas (APTs) e o crescente número de ataques cada vez mais inteligentes de engenharia social.
Os ataques baseados em engenharia social estão direcionados às pessoas com conhecimento implícito ou acesso às informações sensíveis. Hoje, os hackers utilizam diversas técnicas e redes sociais para coletar informações pessoais e profissionais sobre essas pessoas para encontrar o elo mais fraco de uma empresa.
Os desafios atuais de segurança são políticas, reforço e educação: os funcionários precisam ser informados das ameaças que rondam a empresa, e a companhia, por sua vez, deve manter políticas robustas e ser capaz de controlar o nível de acesso a aplicativos, dispositivos e sua rede para consolidar a segurança. A educação é a peça chave da segurança, mas geralmente é negligenciada. Uma pesquisa recente com profissionais de TI realizada pela Check Point Software Technologies e a Dimensional Research revelou que novos funcionários e fornecedores correm mais risco de sofrer ataques da engenharia social. Porém, apenas 26% dos 853 entrevistados falaram que oferecem treinamento contínuo sobre a segurança, e 34% disseram que nada foi feito para educar seus funcionários.
Veja essas estatísticas e lembre-se que uma das falhas mais divulgadas em 2011, da RSA, ocorreu devido a um e-mail de spear phishing disfarçado dentro de uma mensagem sobre o “Plano de Recrutamento 2011” da empresa. A capacidade de identificar ataques de engenharia social pode ser a diferença entre uma boa noite de sono e uma ligação de emergência do CISO durante a madrugada. A chave para o sucesso do spear phishing é, obviamente, a informação, e quando uma pessoa é considerada um alvo de alto valor, os hackers coletam o maior volume possível de dados sobre essa pessoa antes de atacar.
O hacker aproveita das redes sociais para coletar informações sobre funcionários ou empresas específicas, uma grande facilidade nessa era de ataques direcionados. Considerando o preço das vulnerabilidades dia zero no mercado negro, que podem variar de US$50.000 até US$100.000, é muito mais fácil e econômico tentar convencer um usuário final a instalar um malware do que aproveitar de uma vulnerabilidade desconhecida.
Os Botnets e APTs podem ser as exceções. A Stuxnet, por exemplo, usou quatro tentativas dia zero do Windows quando se espalhou pelo mundo. A marca registrada de um APT é que pode passar sem ser detectado e se instalar em toda a empresa. Os hackers que têm como alvo empresas específicas estão usando uma combinação de técnicas de ataque ocultas e sofisticadas, com bots para passear silenciosamente pela rede da empresa e coletar informações. Em geral, o objetivo é roubar dados sensíveis das redes corporativas sem levantar suspeitas, por exemplo, quando os hackers roubam informações esses dados são inseridos em arquivos mp3 enviados ao serviço SoundCloud.
O roubo de dados é o objetivo primário de vários cibercriminosos, mas cada hacker e hactivista tem sua agenda e motivação, desde ganhos financeiros até destruição de ativos corporativos. A Stuxnet, por exemplo, mudou como muitos profissionais de segurança pensam em segurança, percebendo como o malware pode ser usado como uma arma para prejudicar a infraestrutura inteira de uma empresa. Agora, mais do que nunca, precisamos de estratégias de defesa abrangentes para evitar APTs e outras ameaças ocultas.
Diversos profissionais de segurança afirmam que as empresas devem esperar um ataque em algum momento. Levando isso em conta, elas deveriam prestar atenção aos meios adotados pelos hackers para roubar dados, recriando e analisando os ataques que já aconteceram para descobrir onde estão as lacunas e quais meios de prevenção e proteção devem ser implementados. Isso pode incluir tecnologias para prevenir o vazamento de dados, a adoção de inspeção SSL no gateway de Internet da empresa, bloqueando a transferência de arquivos encriptados e reforçando treinamento de segurança para os usuários.
2011 foi um ano excelente para os hackers. Talvez este seja o ano da segurança.
Tomer Teller, evangelista e pesquisador de Segurança da Check Point Software Technologies