O que torna o Flame interessante não é a tecnologia, mas a intenção que ele constrói. É improvável que o Flame seja mais fácil ou difícil de se defender do que qualquer outro malware avançado. As ferramentas à sua disposição para detectar e remover o malware são em grande parte ignorantes de intenções. Além disso, qualquer um que dirige uma empresa irá dizer que ele tem múltiplas camadas de segurança implantadas para pegar um malware.
A realidade é que as ameaças, independentemente de serem criadas por Estados ou não, encontram o caminho para as redes. A maioria das tecnologias que têm focado em deter as ameaças ainda nos dão poucos recursos e eles não conseguem fazer isso. Essa é a área que precisa da atenção quando falamos de ameaças como o Flame. A lacuna que se apresenta no “e se?” e “e agora?” é o melhor resumo da falta de visibilidade e de uma falta de controle.
Visibilidade significa responder sobre ameaças ou arquivos em seu ambiente que ajudam a compreender a sua exposição. Essa visibilidade nos mostra que é necessário responder a algumas perguntas, como:
• Há quanto tempo essa ameaça está aqui? > Isso é crítico para que você possa compreender a extensão da sua exposição potencial;
• Quem mais tem isso? > Se você descobrir a ameaça de um produto de rede (comunicações de saída, por exemplo), ou alguma outra forma que o seu antivírus, como você pode achar onde mais ele está em sua rede?;
• Como ele foi parar lá? > Isso é fundamental para entender, a menos que você queira reintroduzir o seu vetor de introdução. Seria mais sábio se você remetesse o malware ao alvo certo;
• O que a ameaça pode fazer? > Nem todas as ameaças são iguais e é importante entender exatamente o que sua exposição causou. Será que seus piores pesadelos foram realizados com dados sensíveis sendo roubados ou foi uma ameaça inerte?
Se pudermos chegar a respostas para as perguntas acima o próximo passo lógico é ser capaz de ter o controle do exercício. Isso significa que você deve ser capaz de remover o arquivo de cada ponto de extremidade sem estar dependente de terceiros, e isso significa que você será capaz de parar essa ameaça (ou ameaças como ela) de acessar os usuários finais, mesmo se o seu fornecedor de antivírus ainda não detectou a ameaça.
Ricardo Dias é engenheiro de segurança da Sourcefire e possui mais de 9 anos de experiência em tecnologia da informação, sendo 5 anos dedicados ao tema Segurança da Informação
