Os ataques baseados em técnicas de Ameaças Persistentes Avançadas (ou ATP – Advanced Persistent Threats) estão cada vez mais sofisticados, mais globais, e melhor abastecidos em termos de recursos do cibercrime. Seus alvos incluem desde segredos de Estado, propriedade intelectual, patentes e outras informações de alto valor comercial. E, como temos observado recentemente, têm incluído informações bastante comuns como aquelas de caráter pessoal e financeiro de clientes – registros médicos e dados de cartões de crédito, entre outros.
Tipicamente, um ataque ATP caracteriza-se por buscar sistemas que contenham informações valiosas. Mas, diferentemente dos ataques mais agressivos, este é um ataque de longa duração (daí o termo "persistente"). É um ataque que visa o levantamento de informações do alvo de forma discreta, lentamente, por meio da utilização de diferentes técnicas (daí o termo "avançada"). Esta sofisticação e dedicação garantem mais sucesso ao criminoso e potencializa seus lucros.
O início do ataque se dá muitas vezes por meio de uma contaminação de um equipamento interno, por meio de um ataque simples como Engenharia Social, e-mails com arquivos contaminados ou que induzem usuários a seguirem links que levam a arquivos contaminados (técnicas de Phishing). E então, uma vez que as linhas de defesa perimetral tenham sido burladas e o primeiro computador na rede corporativa esteja conquistado, o atacante utiliza outras técnicas como varredura de endereços IP, identificação de portas e serviços, bem como suas respectivas vulnerabilidades, para identificação de novos alvos. Pouco a pouco ele mapeia os sistemas, avalia o valor de cada alvo e identifica aqueles de maior interesse – como os dados sensíveis ao negócio citados anteriormente.
Para as organizações vitimadas, as consequências da invasão de uma ATP podem ser devastadoras. O vazamento de informações preciosas pode acarretar em processos legais, perda de confiança, perda de clientes, afetar a imagem da empresa e seu desempenho no mercado acionário. E muitas carreiras e currículos podem ser destruídos, dentre as equipes responsáveis por tecnologia e segurança.
Para proteger-se de ataques dessa natureza, recomenda-se a adoção de um modelo de Segurança em Profundidade – que tenha tantas camadas e controles quanto a sua Análise de Risco indicar, mas que não desconsidere ao menos as quatro camadas a seguir:
- Conscientização dos usuários: No mundo de ciber segurança, as pessoas são o elo mais fraco da corrente – além de ser o alvo mais vulnerável, é um dos recursos mais abundantes dentro das empresas. Os criminosos sabem disso e tradicionalmente contam com a "ajuda" de usuários bem-intencionados mas que não tenham o devido treinamento ou conscientização para burlar as primeiras barreiras. É sempre um desafio. Em uma empresa com 10.000 usuários da tecnologia (sejam funcionários ou terceiros), uma campanha com efetividade de 99% ainda deixará 100 pessoas vulneráveis – sem mencionar o desafio da rotatividade.
- Anti-malware: Outro mecanismo bastante conhecido, mas que vale ser ressaltado. Mais do que adotar uma solução entre as líderes de mercado, não menosprezar atividades de gestão do ambiente – assegurando que as políticas e atualizações sejam correta e frequentemente instaladas nos computadores. E assegurar que a solução adotada dê cobertura às diferentes fontes de ataques identificadas pela sua Análise de Riscos – sejam e-mails, web, mídia removível, entre outros.
- Monitoração Avançada: muitas empresas utilizam soluções de monitoração de eventos de segurança, e boa parte já adota solução de Gestão de Segurança e Eventos de Informação (SIEM – Security Information and Event Management) para agilizar a detecção de eventos de segurança, reduzindo falsos-positivos, e responder rapidamente aos seus efeitos. Mas vale destacar que requer-se estruturar processo de avaliação contínua das regras de correlação necessárias, bem como sua atualização permanente para refletir o nível de risco em que a organização incorre. Um sistema SIEM não pode ser estático. Pergunte-se quantas atualizações da base de regras de correlação foram realizadas no último trimestre vis-à-vis às necessidades decorrentes de novas ameaças e vulnerabilidades de seu ambiente. Será que está suficientemente ajustado? Esteja atento para não cair na armadilha de usar apenas regras-padrão como avaliar comunicação em horários ou regiões onde a empresa não atua, portas não usuais etc. São regras básicas (com certeza necessárias), mas não suficientes.
- Microssegmentação: as técnicas de microssegmentação caracterizam-se por limitar o escopo de confiança em uma rede corporativa ou Centro de Dados. A microssegmentação, idealmente, permite a configuração simples e eficaz de Redes Locais Virtuais e Seguras, definidas por software. Funciona de forma complementar e cooperativa em qualquer infraestrutura de rede e segurança já existente. Cria, ainda, um manto criptográfico que esconde os sistemas em cada microssegmento, de forma que os mesmos são visíveis e acessíveis apenas aos usuários autorizados. Assim, pode isolar os sistemas de acordo com seus diferentes níveis de segurança. Então, mesmo se um criminoso tiver sucesso em contaminar um computador de usuário, e tiver sucesso em lentamente realizar varreduras dentro da rede para identificação de seus alvos sem ser detectado, não terá visibilidade dos sistemas críticos localizados em outro microssegmento.
Diversos outros controles devem ser considerados, entre os quais estão ferramentas no nível de segurança perimetral ou processos tais como gestão de atualizações (patches) e resposta a incidentes. Importante é atentar-se ao fato de que os criminosos estão a cada dia mais sofisticados e executando ações mais avançadas. É imprescindível que as organizações adotem melhores práticas e controles adequados. Afinal, a resposta para um mundo de ameaças avançadas é um modelo de segurança igualmente avançado!
Leonardo Carissimi, lidera a Prática de Segurança da Unisys na América Latina.
Achei bacana o texto, só uma pequena correção, mas muito importante:
ATP: Advanced Threat Protection é diferente de APT: Advanced Persistent Threats.
No texto: "Os ataques baseados em técnicas de Ameaças Persistentes Avançadas (ou ATP – Advanced Persistent Threats)", está ATP e não APT.
Outra parte: "Tipicamente, um ataque ATP caracteriza-se…", um ataque APT é o correto.
Abraços!