Para defender a infraestrutura, concentre-se em vulnerabilidades óbvias!

By 8 de Abril de 2019Sem categoria

Em 1966, Robert F. Kennedy proferiu um discurso que citava uma antiga maldição chinesa: “Que você viva em tempos interessantes”. Ele continuou: “Goste ou não, vivemos em tempos interessantes. São tempos de perigo e incerteza, mas também são os mais criativos de todos os tempos da história da humanidade”. Essa perspectiva medida, ao mesmo tempo em que vemos o copo meio vazio e meio cheio, é útil quando se considera as vulnerabilidades da infraestrutura em 2019.

Ampla gama de ameaças

Nunca houve uma variedade tão grande e assustadora de invasores de infra-estrutura, de estados-nações hostis a grupos terroristas ilegais, a criminosos variando de gangues altamente organizadas de especialistas em software a criminosos sem habilidades.

E isso é antes de você considerar os funcionários e prestadores de serviços descontentes ao seu redor.

Os possíveis pontos de entrada em seus sistemas são muitos, desde explorações de vulnerabilidades do sistema operacional não corrigidas até dispositivos USB infectados a cadeias de suprimentos de tecnologia comprometidas, como no sequestro recente do utilitário de atualização de software da Asus para entregar malware a dezenas de milhares de laptops.

O vetor de ataque mais popular, no entanto, continua sendo o mais simples: a engenharia social de funcionários incautos por meio de e-mails cuidadosamente elaborados com anexos envenenados ou links para sites de downloads drive-by de malware.

Quem precisa derrubar a ponte fortificada quando você consegue um cúmplice involuntário para deixá-lo entrar pelo portão dos fundos?

Os dois grandes: ransomware e cryptojacking

O trabalho de identificar as ameaças mais difundidas não é difícil: a maioria das equipes de pesquisa de segurança de fornecedores de tecnologia (como Verizon, Cisco e Symantec) manipularam ransomware e cryptojacking como os dois gigantes sabores de malware do momento, em grande parte porque ambos ainda são novo e eficaz o suficiente para continuar a lucrar com ladrões cibernéticos e estados-nação famintos. Alguns analistas de tecnologia previram o fim do ransomware, mas as recentes vítimas de ataques caros como Hexion e Momentive sugerem que os gângsteres cibernéticos estão simplesmente escolhendo alvos maiores que têm mais a perder com o tempo de inatividade e, portanto, são mais rápidos em pagar.

Enquanto isso, os números em cryptojacking continuam a subir. É um ataque furtivo do que roubar ou bloquear dados confidenciais. Ele apenas tenta sequestrar os recursos de processamento, memória, eletricidade e resfriamento do seu PC ou servidor, a fim de silenciosamente processar a criptomoeda e, em seguida, não compartilhar com você nenhum dos lucros resultantes. Muitas vítimas atribuem a queda resultante no desempenho do computador ao hardware obsoleto ou à atualização mais recente do sistema operacional, nem mesmo se preocupando em reportá-lo à TI, e os engenheiros de malware ficaram mais inteligentes ao definir limites de consumo em níveis menos detectáveis.

A presença de cryptojacking no seu sistema provavelmente também substitui a presença de outras ameaças como o ransomware ou um Trojan de roubo de credenciais; O malware multi-ogivas que ativa apenas a arma para a qual seu sistema possui as defesas mais fracas é cada vez mais comum.

A educação é uma chave para a defesa

Portanto, uma tática de alto ROI na luta contra essas ameaças de primeira linha é instruir os usuários a serem cautelosos com os e-mails de phishing. Lembretes regulares para pensar duas vezes antes de clicar em um link ou anexo de um usuário desconhecido são um acéfalo. Mas é inevitável que um de seus colegas se apaixone por um e-mail de aparência convincente de phisher, talvez decorado com detalhes extraídos das contas de mídia social da vítima.

Com o tempo, a perspectiva de uma violação bem-sucedida é uma inevitabilidade absoluta, portanto, suas defesas anti-malware devem ser complementadas com estratégias eficazes de proteção de dados e resposta a incidentes.

Preparando-se para o inevitável

Resumindo: defenda-se contra as ameaças de malware mais óbvias, generalizadas e lucrativas, mas suponha que, em algum momento, uma delas perfure sua armadura e esteja preparada para remediar adequadamente. Algumas perguntas úteis para perguntar: O que estamos fazendo para combater o ransomware e o cryptojacking? Derrube isso e você tirou as duas ameaças de malware mais difundidas da diretoria. As soluções antivírus convencionais vão pegar algumas tensões, mas os desenvolvedores de malware estão ficando cada vez mais espertos em derrotar as contramedidas baseadas em assinatura. Portanto, você também precisará implantar defesas comportamentais que identifiquem ransomware e cryptojackers por suas ações, não por sua aparência. A inteligência artificial e o aprendizado de máquina são duas tecnologias a serem observadas neste espaço, pois aprimoram a capacidade de um defensor de detectar novas variantes de camuflagem de malware.

Quão boa é nossa disciplina de atualização e atualização de software? A exploração da EternalBlue que espalhou o notório ataque de ransomware WannaCry a centenas de milhares de sistemas em todo o mundo só violou usuários que ainda executam uma versão antiga do SMB, a impressora local da Microsoft e o protocolo de compartilhamento de arquivos. Feche os backdoors óbvios, mantendo seus sistemas operacionais e aplicativos atualizados. Como é nossa higiene de proteção de dados? Estamos seguindo o básico como a regra 3-2-1 do backup? Esse é um princípio de proteção de dados simples, mas crucial: manter várias cópias de dados de produção em diversos tipos de mídia em diversos locais. Se os seus servidores estiverem sendo copiados localmente para os discos rígidos, faça também o backup deles para uma instalação externa (em HDD ou fita) e também para armazenamento em nuvem. Entre outros benefícios, isso frustra a tática comum de ransomware de procurar e criptografar backups locais para minar os esforços de restauração.

Conclusão

Como sempre, a corrida armamentista de segurança tecnológica é uma interminável troca de táticas, com os vilões sempre tendo uma vantagem inédita. Podemos viver em momentos interessantes (leia-se: assustadores), mas com um pouco de foco nas prioridades, atenção aos aspectos básicos de segurança e a implantação de armas tecnológicas emergentes como a AI, é possível manter o perigo e a incerteza dos ataques à infraestrutura interna em baía.