No artigo do mês passado, falamos de alguns cenários nos quais vamos nos aprofundar nos próximos meses, com base no que os líderes de cibersegurança dentro das empresas – ou CISOs (Chief Information Security Officer), como são conhecidos – estão enfrentando a cada dia. Na minha opinião, tudo se resume a mapearmos os riscos, identificarmos os incidentes e darmos a resposta o mais rapidamente possível. É claro que, falando assim, parece ser tudo muito fácil e simples, mas sabemos que o dia a dia é totalmente diferente.
Muitas vezes, o próprio mercado também dificulta um pouco a vida dos CISOs com o surgimento constante de cada novos produtos e conceitos.
Nesse artigo, passarei um pouco da minha visão quanto ao que podemos fazer para olharmos o elo mais fraco da corrente de cibersegurança: o usuário final.
Mas o que podemos fazer para proteger nossos usuários? Acredito que, antes de tudo, é preciso entender as formas existentes de ataques e, de forma resumida, dividir as ações em duas principais frentes:
1. Aquilo que está nas mãos do usuário final e que depende dele para a exploração ocorrer;
2. Aquilo que não está nas mãos dele e vai ocorrer da mesma forma.
Se pegarmos a primeira frente, o vetor de início é sempre algumas das opções: e-mail/phishing, sites maliciosos, recebimento/envio de arquivos maliciosos sem conhecimento. Já na segunda frente, está aquilo que não é de conhecimento do usuário e que não tem como ele evitar sozinho, como exploração de máquinas desatualizadas, conexão em uma rede Wifi pública, roubo de dados trafegados etc.
Entendida essa primeira parte, o que podemos fazer para melhorar a vida e garantir a segurança dos nossos usuários? Em setembro do ano passado, eu participei de uma palestra do Eugene Kaspersky, considerado atualmente um dos principais especialistas em segurança da informação do mundo. Eu me lembro que o início da apresentação foi com um slide mostrando um gráfico sobre a quantidade de ataques recebidos em sistemas operacionais Windows, Linux, Android, iOS e Mac.
Mas o que mais me chamou a atenção foi uma discussão que surgiu quanto ao fim de via do antivírus. Afinal, sua forma de detecção de ameaças é baseada em assinaturas, ou seja, de forma resumida, alguém precisou ser infectado antes para os antivírus criarem a proteção contra esse malware.
Não acredito que o antivírus irá acabar (e nem podem) e, para suprir a necessidade dessas ameaças que funcionam com mais “inteligência” e não são reconhecidas por antivírus tradicionais, as empresas de segurança desenvolveram o conceito de ATP (Advanced Threat Protection) ou APT (Advanced Persistent Threat), que têm como objetivo monitorar e identificar essas ameaças avançadas.
Se me permitem compartilhar com vocês, no começo do mês eu estava no berço da segurança digital (e bélica) em Tel Aviv, Isarel. Lá, conheci duas empresas que possuem soluções para ameaças avançadas e uma empresa de Threat Intelligence (essa ficará para o próximo artigo).
Uma foi a Hexadite, que foi adquirida pela Microsoft e desenvolveu uma ferramenta de EDR – Endpoint Detection Response. A outra, foi a Ziften, que realiza as mesmas funções, só que para sistemas operacionais Linux (CentOs, Redhat, Debian, macOs e outros). A diferença de soluções de Antivírus + Advanced Threat Protection + EDR para soluções que possuem apenas AV + ATP é simples: a primeira detecta, notifica, corrige e responde à ameaça da forma que for necessário. A segunda detecta, notifica e corrige e, se for necessário, responde com a remoção de algum registro e realiza rollback do que a ameaça fez. Neste caso, é necessária a interação humana.
Vamos dar um exemplo? Imagine a seguinte situação: o usuário recebe um e-mail com um arquivo word com uma macro ou um link para ele acessar. Assim que acessa o link ou abre o arquivo, ambos são verificados pelo AV, que não detecta nada, até porque o arquivo é limpo e a macro interna do word, na verdade, faz o download de um arquivo powershell.
Após baixar o arquivo powershell, que novamente é validado pelo AV, não detecta nada de errado – porque realmente não há. Esse powershell baixa outro arquivo que pode ser um malware, só que esse malware só fez isso quando percebeu que o usuário estava com a máquina travada, sem atividades. Como é um malware novo, o AV não possui essa assinatura e deixa o arquivo passar, e o foco principal do vírus é criar outros usuários, alterar registro e utilizar a máquina como hospedeira de um outro malware, que tentará infectar e sequestrar outras máquinas da mesma rede… isso está parecendo familiar para você?
Lembrando que o programa utilizado pelo malware para sequestrar os dados não é detectado por nenhum antivírus como um arquivo malicioso porque ele, na verdade, é apenas um programa de criptografia válido.
Nesse caso que todos conhecemos, o antivírus não identifica essas atividades, enquanto uma ferramenta de ATP e EDR monitora exatamente esses comportamentos que fogem da normalidade e descobrem um ciclo de atividades “esquisitas”, fazendo o bloqueio e respondendo automaticamente.
Agora imagina dar essa resposta para um parque com mais de quinhentas, duas mil ou três mil máquinas? Impossível! Por isso, soluções de EDR são cada vez mais necessárias ao nosso dia a dia.
Lembrando que, além dessas duas empresas citadas, existem diversas outras no mercado, como Palo Alto, FireEye, Trend. Na hora da escolha, o que vale é ver os comparativos em sites como NSS Labs, que realizam testes reais de desempenho, e observar qual melhor se adapta ao seu ambiente.
Espero que tenha conseguido compartilhar um pouco desse mundo de endpoints. Nos vemos no próximo artigo!!