Defenda a sua empresa em tempos de ameaças desconhecidas (Zero-day)

Defenda a sua empresa em tempos de ameaças desconhecidas (Zero-day)

No verão de 1943, Hitler planeava aquela que viria a ser a sua última ofensiva na frente russa. A sua intenção era lançar a maior força blindada da história, com os mais modernos veículos de combate, as suas forças de intervenção de choque mais aguerridas, e os seus generais mais veteranos, contra as defesas de Kursk. O objetivo era aniquilar uma parte importante das forças do seu adversário e colocar-se de novo às portas de Moscovo

A derrota de Estalinegrado tinha ido muito dura, e havia que voltar a recuperar a dianteira do conflito. No entanto, os russos conheciam o plano: tinham um espião suíço (“Lucy”) com fontes muito próximas do próprio Hitler, que o informava sempre acerca dos próximos passos do inimigo. Mas o problema era que não sabiam como parar esta tremenda investida.

Por isso, construíram a maior defesa em profundidade alguma vez criada até à data (175 kms), com até 8 linhas de defesa, trincheiras, bunkers, campos de minas e unidades blindadas, com o objetivo de deter os alemães. Foram bem-sucedidos nas duas frentes (Norte e Sul), ocasionando o maior choque de tanques blindados da história, e também a perda da iniciativa dos alemães até à sua derrota final em 1945. Assim, e graças a isto, as técnicas de defesa em profundidade utilizadas nessa altura são ainda hoje estudadas nas academias militares de todo o mundo. 


A história é boa conselheira e ajuda-nos a abordar problemas de solução incerta, mas de natureza similar: hoje enfrentamos nos nossos sistemas e redes grandes ciberameaças, ataques muito bem dirigidos, com componentes de phishing sofisticados e utilizando vulnerabilidades conhecidas e desconhecidas, num “cocktail” que torna muito complicada a vida dos responsáveis de TI e segurança nas organizações.


O paradigma atual da defesa

A única coisa que sabemos é que, a qualquer momento, seremos alvo de um ataque (segundo um estudo nosso anual às ameaças de 2018, qualquer empresa é atacada mais de 900 vezes com técnicas de phishing num ano), que passará mesmo por baixo dos “narizes” do nosso firewall (70% do tráfego mundial HTTP já está a fazer), utilizará o e-mail (78% das vezes) e terá uma componente de engenharia social nada desdenhável, convidando o utilizador a atuar de forma destrutiva, explorando a sua inocência. Como sabemos, o elo mais fraco (o utilizador), marca a resistência da cadeia. E é quase sempre o alvo. Como podemos preparar-nos para esta tempestade perfeita? 
A resposta óbvia e honesta é que não nos podemos proteger a 100%, mas sim preparar-nos com uma defesa em profundidade, em várias líneas, com tecnologias diferentes, que aprendem com o “inimigo”, antecipando muitos dos seus movimentos, e sempre prontos para a próxima ameaça desconhecida. 

A todo isto, há que acrescentar que as estratégias de defesa das empresas estão, de uma maneira geral, baseadas em paradigmas militares de séculos passados: castelos, muralhas, linhas de defesa, pontes levadiças, etc. mas o nosso ambiente assemelha-se mais ao de um aeroporto: pacotes de informação constantemente a entrar e a sair, com diferentes zonas e níveis segurança, e sempre aplicando medidas cautelares a 100% dos passageiros, porque sabemos que algum deles pode esconder um explosivo ou uma arma para perpetrar um sequestro ao embarcar num avião. 
Mais uma vez, a defesa em profundidade é a resposta a esta situação extremamente complexa: diferentes tecnologias, defesas, e uma inteligência comum que recolhe a informação e aprende para atuar melhor no golpe seguinte. Vejamos o que podemos fazer para mitigar riscos nas nossas organizações.


Como atuar perante o paradigma “aeroporto”

Como dizia, a defesa em profundidade é a resposta ao problema do aeroporto. Há que aplicar diferentes tecnologias e mecanismos de defesa para melhorar os existentes e estar sempre dispostos a aplicar novas técnicas. A primeira é, desde logo, atualizar a nossa firewall. É claro que este deve ser capaz de inspecionar o tráfego encriptado, e é aqui que entram em jogo tecnologias como DPI-SSL (Deep-Packet-inspection), que desencriptam e voltam a encriptar o tráfego legítimo, entregando-o no destino correto e descartando o potencialmente perigoso.

É uma medida que implica uma certa complexidade, mas imprescindível perante o atual panorama da encriptação de 7 em cada 10 pacotes (ou trolleys, no nosso modelo aeroportuário) de informação. 

Além disso, qualquer defesa em profundidade deve dispor de uma inteligência que a governe, que aprenda com os ataques, com as suas técnicas e mitigue os danos dos mais destrutivos. E todos os dispositivos de proteção devem comunicar com ela, para serem todos cada vez mais inteligentes. E esta plataforma deve conseguir proporcionar dados de gestão, para conhecer em tempo real o que se está a passar e poder atuar em consequência.

Não nos podemos esquecer que o nosso ambiente é híbrido: físico, virtual, on-premise e Cloud. Mas cada vez mais virtual: 90% das organizações já virtualizam servidores, e mais de 50% da capacidade de cálculo dos datacenters corre já sobre servidores virtuais. O SDDC (Software Defined DataCenter) é já uma realidade e está a ser rapidamente adotado como paradigma de infraestrutura. A utilização de firewalls virtuais é uma necessidade na nossa infraestrutura de segurança e, além disso, proporciona mais visibilidade sobre o tráfego de entrada/saída aos SDDC.
Outro fenómeno em alta é o de dezenas de aplicações web antigas, ou “legacy”, em que ninguém quer tocar nem atualizar porque foram instaladas na empresa há demasiado tempo. 

Assumem um papel demasiado importante e, em muitos casos, têm sérios problemas de segurança ao utilizar tecnologias já obsoletas de difícil atualização. Se a isto juntarmos a complexidade dos ataques DDoS (muitos operados por Botnets baseadas em IoT) ou a utilização de HTTPS como a montra de apresentação de qualquer aplicação, temos um sério problema contra o qual os dispositivos atuais pouco podem fazer. É por isso que apareceram, não há muito tempo, os WAF ou firewalls de aplicação, que revêm o comportamento de acesso às aplicações mencionadas, procurando ataques de diferentes tipos, Bots que pretendem colapsar a aplicação, etc.

Além disso, 78% dos problemas têm origem no email. Mais de 30% dos emails de “phishing” são abertos pelos destinatários, e 12% dos ficheiros anexos também. Por isso, é preciso adicionar tecnologias que limpem o e-mail, eliminando as mensagens que contêm ameaças e links a todo o tipo de malware.

Mas uma das últimas batalhas é o endpoint ou o cliente final. Os antivírus tradicionais, baseados em padrões, têm-nos protegido durante anos, mas já não chegam. O phishing avançado, o novo malware e os ataques zero-day ou de dia zero, como já são conhecidos, que utilizam vulnerabilidades desconhecidas ou um cocktail de várias delas (este ano a crescer a tendência de usar múltiplas vulnerabilidades), etc. constituem um enorme desafio que as empresas não podem esperar ultrapassar sem redesenhar o funcionamento da sua segurança. 

E a tudo o que foi dito ainda temos que acrescentar as ameaças crescentes baseadas em redes IoT zombie, a falta de segurança absoluta nos smartphones que todos trazemos no bolso (estamos totalmente dependentes do que os seus fabricantes decidam proteger ou não), as vulnerabilidades da Intel nos seus processadores, etc. Definitivamente, estamos perante a tempestade perfeita, equiparável aos Panzer que iniciaram o seu ataque às defesas russas em Kursk, no longínquo julho de 1943.

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 52 Novembro 2024

IT INSIGHT Nº 52 Novembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.