A recente publicação do Verizon Data Breach Report 2015 sobre violação de dados feita pela empresa americana de Telecom Verizon deu muito o que falar devido à ousada afirmação de que as ameaças de segurança a telefones celulares são, na maioria das vezes, "exageradas". O relatório destaca que o número total de vulnerabilidades de segurança utilizado nos exploits, independentemente da plataforma, é "insignificante". Em outras palavras: não importa o dispositivo que você use, é bem provável que não corra risco algum, desde que você use o bom senso.
Como era de se esperar, essa afirmação arregalou muitos olhos. E não é para menos, já que tanto a mídia quanto empresas de segurança aderiram à onda do suposto risco de segurança em torno dos dispositivos que carregamos em nossos bolsos todos os dias.
Falar sobre malware móvel e do risco de infecção dos nossos celulares se tornou comum, mas, apesar de alguns ataques sofisticados – que foram, na realidade, mais ataques de engenharia social do que hacks reais – nada de substancial ainda foi verificado no mundo da segurança digital.
De acordo com a Verizon em seu relatório, milhares de infecções causadas por malware desenhados para o sistema operacional Android foram detectadas, em sua maioria, categorizadas como um "importuno-malware". Entretanto, uma análise mais aprofundada revelou que semanalmente, em média, apenas 0,03% dos smartphones foram infectados com um código malicioso de "alto grau", entre os milhões de dispositivos móveis conectados à rede da Verizon.
É claro que se o seu telefone estiver entre os 0,03% ou se pertence ao Chefe Executivo de seu banco ou fornecedor, você deve estar preocupado.
A Verizon pode estar subestimando as ameaças digitais móveis, entretanto sou obrigado a concordar que, ao mesmo tempo que as técnicas de ataque digital estão cada vez mais sofisticadas, a maioria dos comprometimentos está relacionada a técnicas simples, como phishing, engenharia social e hacks simples para invasão de rede.
Como destacado no próprio Relatório Anual de Segurança 2015 da Cisco, a maioria das empresas ainda não está fazendo um bom trabalho em termos de aplicação de patch nos seus computadores, sites e servidores. Descobrimos, por exemplo, que apesar de toda a repercussão em torno do bug Heartbleed em 2014, 56% das empresas consultadas ainda utilizavam aplicativos com mais de quatro anos e, por isso, ainda eram vulneráveis ??à falha Heartbleed.
A verdade é que enquanto nos deixamos seduzir por possíveis novas ameaças que ganham a atenção da mídia, a maioria dos ataques digitais que acontece atualmente, em todo o mundo, utiliza técnicas geralmente bem conhecidas que exploram riscos e vulnerabilidades de maneira eficaz.
Não há dúvidas que alguns criminosos utilizam técnicas específicas para dispositivos móveis, mas seus esforços são minimizados pelo grande número de ataques mais "convencionais", que miram aplicações e redes não móveis.
Além do grande volume de ataques "convencionais", há uma preocupação maior relacionada a criminosos digitais muito bem financiados, e governos estrangeiros que investem milhões em pesquisa para identificar vulnerabilidades previamente 'desconhecidas' – as chamadas "dia zero" -, e que portanto criam e utilizam exploits altamente sofisticados, testados em tecnologias de segurança existentes, antes de serem utilizados para o ataque à sua vítima cuidadosamente selecionada. A intenção, nesse caso, é roubar a propriedade intelectual para ser vendida ou obter vantagem econômica.
Mas isso não significa que devamos ser complacentes com a nossa segurança móvel. Sabemos que os criminosos digitais estão atrás de dinheiro e quando uma porta se fecha, eles buscam outras opções. O mesmo pode ser dito sobre a área móvel. Enquanto as empresas continuam a adotar a mobilidade e os benefícios que a Internet das Coisas (IoT) traz, os criminosos irão, cada vez mais, focar nessas plataformas.
Portanto, agora é o momento de seguir as melhores práticas e implementar políticas de BYOD (Bring Your Own Device) ou "traga o seu próprio dispositivo", que definem claramente o uso adequado dos dispositivos de propriedade dos funcionários na empresa e reforçam a segurança principal das nossas políticas e redes.
Sabemos que para manter o controle da rede, é preciso:
- Em primeiro lugar, identificar as tecnologias que oferecem total visibilidade da rede: dispositivos, sistemas operacionais, aplicações, usuários, comportamentos de rede, arquivos, bem como ameaças e vulnerabilidades. Essa base de informações possibilita o controle do uso de dispositivos móveis e aplicativos e a identificação de potenciais violações da política de segurança.
- Em segundo lugar, as empresas devem alavancar as tecnologias para aplicação de inteligência de segurança aos dados, para analisar os riscos com precisão. Desse modo, é possível avaliar as aplicações móveis e determinar se são, de fato, um malware ou até mesmo identificar vulnerabilidades e ataques especialmente direcionados aos dispositivos móveis.
- Em terceiro lugar, identificar tecnologias ágeis que permitam que a empresa se adapte com rapidez e tome as medidas necessárias para proteção dos sistemas em ambientes móveis, que podem mudar rapidamente. As empresas devem criar e impor políticas que regulem quais tipos de dados podem ser transmitidos aos usuários BYOD, que trazem seus próprios dispositivos.
- Nos dispositivos de propriedade dos colaboradores, pode ser útil bloquear a rede da sua empresa ou os computadores (laptops, desktops, servidores) com recursos de controle de aplicativos, por exemplo. Considere aplicações aprovadas que podem ser usadas ??pelos funcionários para acesso remoto aos seus computadores no escritório através de seu tablet, durante viagens. Mesmo não podendo limitar a instalação de um aplicativo no dispositivo, isso pode impedir a execução dos mesmos em computadores de propriedade da empresa.
Enquanto isso, os profissionais de segurança digital devem manter atenção firme sobre as ameaças aos seus ambientes sem se deixar levar por tudo o que dizem sobre segurança. Ao mesmo tempo, devem estar preparados para mudanças drásticas que podem transformar essas preocupações em realidade.
Graham Welch, diretor de Vendas de Segurança da Cisco.
