Prevenção é tarefa primordial em segurança da informação. Mas fala-se pouco a respeito do passo que vem antes desse movimento: a identificação de como e por quais meios a invasão pode ocorrer. Em uma guerra, por exemplo, as estratégias de segurança são complexas, já que não adianta colocar todos os seus soldados no Norte se o exército inimigo invade seu país pelo Sul. O fato de você desconhecer uma porta acessível por lá não significa que ela não será utilizada.

 

Invasores estão mais espertos e profissionalizados do que nunca, deixando para trás os ataques genéricos e aleatórios motivados mais por reconhecimento do que por recompensa. Os objetivos, agora, são altos ganhos financeiros ou políticos e há até hackers especializados em indústrias, que se valem de ameaças mais avançadas – chamadas de ataques direcionados – para aumentar a chance de sucesso em suas incursões.

 

O documento Internet Security Threat Report da Symantec (ISTR) 2015, por exemplo, revela que o mundo lidou com uma média diária de 73 spear-phishing, que, diferentemente dos phishings convencionais – enviados em lote para uma lista com milhares de diferentes contatos – são criados para alvos específicos. Um vendedor, por exemplo, provavelmente não achará estranho baixar uma apresentação institucional de um cliente em potencial e nem vai pensar que, ali, pode haver um malware.

O ISTR 2015 mostra que colaboradores individuais, estagiários, diretores e gerentes foram alvo de ao menos um ataque do tipo spear-phishing, durante o último ano. Por ramo de atividade e seguindo esta ordem: manufatura; serviços não tradicionais; finanças, seguros e imóveis; serviços profissionais; e varejo são as indústrias mais visadas pelos invasores.

Dados, tendências e relatórios podem conter muitas informações mas, ao mesmo tempo, não comunicar nada. Trazê-los para a prática depende da correlação de ocorrências de malwares ao redor do globo com o que se passa na segurança da informação da empresa – tudo isso com o mínimo possível de interferência humana.

Voltando ao exemplo do território em guerra, não se vai gastar uma companhia inteira de soldados, metralhadoras e todo tipo de artilharia para prevenir o ataque de um soldado que, sozinho, tem apenas um punhal como arma. É preciso dar atenção proporcional ao nível de risco que cada invasor promove – afinal, um pequeno ataque pode ser apenas uma distração estratégica para deixar que uma equipe inteira, cheia de armamentos pesados, entre por outro lado. Da mesma forma, não adianta dar uma superatenção a um vírus pequeno e que já tem sua vacina conhecida, testada e aprovada.

Esses dados já existem. Os logs, como são chamadas as informações a respeito dos ataques, uma vez correlacionados, conseguem pontuar a criticidade de potenciais invasões. Se os sistemas estiverem

bem calibrados, podem apontar o risco de cada um deles em cada etapa de invasão da rede, para que se priorize somente o que é, de fato, prioridade.

É preciso ser mais rápido e estrategista que o invasor. Porque, diferentemente de um território físico, no mundo da segurança da informação, as fronteiras simplesmente não existem. E os ataques vêm de todos os lados.