Proteger as organizações é uma tarefa que se torna cada vez mais árdua. As ameaças evoluem diariamente e os atacantes estão mais criativos. Do outro lado, muitas equipes de segurança da informação ainda não sabem lidar com o novo cenário de ameaças. Poucos ainda acreditam que a segurança de perímetro e os antivírus são suficientes para garantir uma noite de sono tranquila, ou mesmo descartar a hipótese de o celular tocar no meio da madrugada, informando que a organização foi invadida e que informações confidenciais estão na rede.
Já é de conhecimento dos bons analistas e gestores de segurança da informação que um atacante não realiza a invasão e roubo de dados necessariamente durante uma madrugada ou em um único dia. O golpista pode estar dentro da rede da empresa por um período, ou até mesmo, agir em algumas semanas. Este cenário é característico do que chamamos de Ameaça Persistente Avançada – APT, termo conhecido pelo mercado, e dor de cabeça para boa parte das empresas e equipes de segurança da informação.
Em um ataque persistente avançado, o criminoso realiza o reconhecimento do seu alvo com planejamento, estudando possíveis falhas ou até ambientes de terceiros que podem facilitar o acesso a uma rede corporativa, por exemplo. Ele também pode utilizar engenharia social e explorar ambientes com pouca ou nenhuma monitoração. Após obter o acesso à rede, o golpista procurará elevar os seus privilégios e aumentar o seu controle sobre os servidores e sistemas. Depois da invasão, irá explorar as falhas, de forma contínua, até obter as informações definidas como alvo. Se não for pego, ele possui tempo suficiente para extrair uma grande quantidade de dados e até mesmo selecioná-los.
Pesquisa realizada pelo Ponemon Institute mostra que 47% das causas de violação de dados nas empresas são decorrentes de ataques criminosos ou maliciosos e a estimativa é que isso custe aproximadamente 170 milhões de dólares às corporações em 2015.
Em uma APT, o atacante pode utilizar aplicativos que não são maliciosos, que possuem assinatura digital e que nenhuma solução de segurança seja capaz de detectar tal ação. A criatividade é o que mais tem impressionado. Na última edição do evento You sh0t the Sheriff, realizada em maio de 2015, o pesquisador de segurança da Kaspersky, Fábio Assolini, citou casos de Ransomware, em que o invasor criptografa os arquivos da vítima para pedir recompensa em dinheiro. Nesse exemplo, ele compacta os arquivos do alvo utilizando o WinRAR, rouba os dados e, então, os apaga utilizando o Sdelete. Esse software utiliza técnicas de ambientes militares, inviabilizando que o arquivo seja recuperado.
Outro cenário que exige atenção são os aplicativos e ferramentas que fazem parte dos whitelisted das soluções de segurança. Para Assolini, o atacante não precisa desenvolver nada, ele usa o que está presente no sistema alvo. Essas ferramentas e aplicativos são limpos, nativos dos sistemas e assinados digitalmente, porém não são detectados por anti-malwares ou antivírus, e se comportam como passagem livre para a exploração de vulnerabilidades.
Sejam APTs ou aplicativos e ferramentas dos whitelisted das soluções de segurança, o fato é que não há "bala de prata" para se proteger das ameaças persistentes avançadas e garantir a eficácia na proteção das informações críticas do seu negócio. Empresas que não investem em tecnologia de segurança e não monitoram seus ambientes correm riscos de terem os seus dados roubados, o que pode ocasionar em perdas financeiras e afetar a imagem da organização de forma permanente.
De acordo com o relatório "Advanced Persistent Threat Awareness Study Results", do ISACA (Information Systems Audit and Control Association), os ataques APTs ainda assustam e 35% dos entrevistados não se sentem confiantes para lidar com esse tipo de ameaça. Outros dados preocupantes: 66% acreditam que é apenas uma questão de tempo até serem atacados, e 75% consideram a prevenção às ameaças persistentes avançadas a sua maior lacuna.
Com a criatividade crescente dos golpistas, certamente fica cada vez mais difícil afirmar com convicção que a sua empresa não está, neste momento, sob um ataque APT. Para evitar que você seja pego de surpresa ou que algum invasor esteja agindo de forma silenciosa dentro da sua própria rede, o olhar atento das equipes de segurança combinado com diversas camadas de proteção ajudam a reduzir a probabilidade de violação. Monitorar e saber o que acontece com as informações, infraestrutura e pessoas que fazem parte do seu negócio é tarefa vital para manter a segurança e, consequentemente, a saúde do seu negócio. E você? Pode afirmar, com convicção, que não há nenhum invasor agindo de forma silenciosa dentro da sua rede?
*Vinicius Cardoso é analista de Produtos e Mercado da Arcon, empresa especializada em segurança de TI com foco em Serviços Gerenciados de Segurança