As defesas automatizadas frente ao malware
José Luis Laguna, diretor técnico da Fortinet Ibéria

A tendência para a adoção de infraestrutura na cloud tem um impacto direto na cibersegurança. De acordo com o relatório publicado recentemente pela Fortinet ‘Threat Landscape Report Q1 2017’, no primeiro trimestre do ano, o número de aplicações na cloud utilizadas por uma organização era de 62 (33 de software-as-a-service e 29 de infraestrutura como serviço), valores ligeiramente inferiores aos registados no trimestre anterior. As aplicações na cloud aumentam a superfície de ataque ao incorporar novos vetores de ameaça como shadow IT numa altura em que se generalizam os serviços para a cloud pessoal. A crescente dependência de serviços conectados para automatizar e executar tarefas diárias reduz a segurança e convida visitantes indesejados
Outra tendência da infraestrutura que causa preocupação é, paradoxalmente, a encriptação. O mesmo relatório indicou que a média do tráfego HTTPS em relação ao HTTP atingiu uma marca notável no primeiro trimestre de 2017. Embora este protocolo seguro seja útil para manter a nossa privacidade, esta tendência também representa um desafio para o controlo e a deteção de ameaças. As organizações, especialmente aquelas com o tráfego HTTPS mais seguro, não podem dar-se ao luxo de ignorar as ameaças que podem ocorrer nas comunicações encriptadas.
Por outro lado, uma grande parte da atividade de exploits é totalmente automatizada através de ferramentas que exploram a Internet para detetar potenciais falhas na segurança. As ferramentas disponíveis e a infraestrutura «crimeware-as-a-service» permitem que os cibercriminosos atuem à escala global com grande velocidade.
Desafios: Recursos, Tempo de resposta, Experiência
As equipas de segurança IT estão saturadas. Enfrentam uma avalanche de alertas de segurança e não têm os recursos ou a experiência para responder a esses alertas. Consequentemente, aumenta a sua dependência dos fornecedores de serviços de segurança gerida e dos seus fabricantes de segurança para gerir o problema.
O tempo de resposta é outra desvantagem. A capacidade de responder antes de se provocarem danos significativos está a ser reduzida. As equipas de TI muitas vezes não podem responder a todos, ou pelo menos à maioria, dos alertas no tempo adequado. As equipas de TI geralmente não sabem ou não conseguem priorizar eventos de ameaça, muito menos centralizá-los e correlacioná-los facilmente.
Os ataques, especialmente os automatizados, têm uma vida curta; os indicadores de compromisso têm traços ligados a ataques específicos, mas desaparecem rapidamente. A equipa de segurança de TI deve ser capaz de responder a um ataque quando este está visível, e não após a ocorrência. O problema é que o processo é complexo, se contar com soluções específicas e confiar exclusivamente em seres humanos para realizar a sua integração. Esta é a razão pela qual a automatização se torna um elemento chave.
Combater a automatização com automatização
Quando os controlos de tecnologia funcionam juntos e comunicam, a tecnologia é capaz de tomar algumas decisões de forma automatizada. Este é o primeiro passo para a criação de um sistema especializado – um sistema informático que imita o processo de tomada de decisão de um especialista. Esses controlos não podem eliminar a ameaça real, mas uma vez que é detetada, eles ajudarão a conter ou isolar a ameaça. Com isso, proporciona mais tempo à equipa de incidências para combater o ataque.
Para resumir, combinando estas cinco ferramentas, as empresas podem unificar o controlo de todos os vetores de ataque e deter os ataques automatizados:
- A gestão de patches é essencial. Mirai e Hajime, worms sigilosos e com capacidades de auto propagação muito avançadas, exemplificam os danos que podem ser causados quando as equipas de TI não conseguem corrigir as vulnerabilidades.
- Um sistema de prevenção de intrusão (IPS) é a primeira linha de defesa. Como os fabricantes dos dispositivos IoT não são responsáveis por protegê-los, a Internet está a ser contaminada. Existem bilhões de dispositivos, sem patches disponíveis, vulneráveis a ataques. Até que esses dispositivos estejam completamente protegidos é necessário ter um IPS que atue como um patch virtual para bloquear os ataques a dispositivos IoT.
- Os dados são importantes. A segmentação é uma necessidade porque os ataques do tipo ransomware vão atrás de dados valiosos. Houve casos de ransomware que penetram e infetam os dados e as suas cópias de segurança, o que é um desastre. É importante assegurar-se de que estão a realizar corretamente cópias de segurança e que estas estão em segmentos de rede protegidas.
- Concentre-se na visibilidade. Tentamos sempre construir uma fortaleza contra um inimigo invisível. Se construímos uma barreira e estamos a mostrá-la aos atacantes, o que farão? Vão atravessar a barreira e entrar na rede. Portanto, o primeiro passo é aproveitar as soluções que integram a inteligência das ameaças para entender quem são os nossos inimigos e os seus procedimentos e, em seguida, desenhar uma defesa inteligente de acordo com as informações obtidas. Também é essencial saber onde se encontram os nossos ativos críticos e priorizar a segurança em torno deles. Se um ativo é sequestrado, atacado por uma negação de serviço distribuído (DDoS) ou comprometido de alguma forma, qual será o custo para o nosso negócio?
- Finalmente, uma vez que o inimigo foi compreendido e as soluções adequadas foram providenciadas, é importante reforçar a proatividade. O mais recomendável são soluções proativas e interoperáveis. A maioria das organizações tem muitas soluções de diferentes fornecedores. Devemos reduzir essa complexidade integrando e consolidando os dispositivos de segurança existentes dentro de uma estrutura baseada na troca inteligente de informações sobre ameaças e uma arquitetura aberta.
Combater o fogo com fogo
Independentemente do nível de excelência das nossas equipas de segurança IT, o ser humano não pode acompanhar os atuais ataques automatizados. Essas incursões de rede devem ser detetadas e tratadas rapidamente, antes que elas possam causar danos e desaparecer sem rastro. Um sistema de soluções de segurança integradas e convenientemente orquestradas permite que as organizações combatam a automatização com automatização usando as próprias táticas dos cibercriminosos
Publicado em:
OpiniãoPartilhe nas Redes Sociais