Vídeo: Como descobrimos as APTs (Ameaças Persistentes Avançadas) (Outubro 2024)
Ontem, a Fortinet divulgou um novo relatório sobre Ameaças Persistentes Avançadas - os grandes e assustadores ataques que assombram os sonhos dos profissionais de segurança. A boa notícia é que os APTs e suas táticas ainda são raras, mas a má notícia é que as organizações precisam fazer mais para se proteger.
"As empresas ainda não estão recebendo a mensagem sobre como se proteger ou atenuar os riscos do APT", disse o estrategista de segurança da Fortinet Richard Henderson ao SecurityWatch. "Eles não estão fazendo um trabalho suficientemente bom, mantendo sua infraestrutura atualizada e atualizada".
Os APTs são talvez os ataques mais metódicos por aí, às vezes em execução por meses ou anos. O relatório da Fortinet diz que "um APT geralmente é furtivo, contínuo e pretende roubar informações que o invasor considera importantes". Esses ataques de várias etapas, como o Flame e o Stuxnet, estão em nítido contraste com a abordagem de dispersão da maioria dos atacantes projetados para atingir o maior número possível de vítimas.
No entanto, a Fortinet relata que muitos APTs usam vulnerabilidades conhecidas, muitas das quais podem ter sido abordadas em atualizações de software. Apesar disso, Henderson explicou que as empresas e até organizações governamentais ainda estão se movendo muito lentamente para consertar seus sistemas, preocupadas com a possibilidade de quebrar uma parte da infraestrutura interna.
"Eles colocaram esses patches em procedimentos exaustivos de teste", disse Henderson. "Cinco ou dez anos atrás, isso não era grande coisa, mas estamos vendo criminosos de todos os tipos lançando-os em seus kits de exploração assim que puderem colocar os dados nas mãos".
Qual é a solução?
Se informações confidenciais forem adequadamente controladas e criptografadas, mesmo o escopo de um ataque do APT poderá ser bastante reduzido. "Bem, se você puder se concentrar apenas em uma coisa, fará um trabalho muito bom em mitigar a chance desses dados deixarem sua rede".
Dito isto, corrigir falhas de segurança conhecidas é vital. Henderson disse ao SecurityWatch que as organizações não devem apenas aplicar patches "à toa", mas investir na equipe e nos recursos para se manterem seguros. "Se o patch interferir em algo, esse tipo de tempo de inatividade pode ter um enorme impacto financeiro", reconheceu Henderson. "Mas qual é o custo de uma penetração? De limpar uma violação de dados ou um ataque de malware desenfreado?"
Henderson continuou: "sempre que houver um patch de segurança, eles realmente devem colocar tudo em jogo o mais rápido possível".
Os bandidos estão pegando
Fortinet diz que, pelo menos por enquanto, os estados-nação são os únicos grupos que podem se dar ao luxo de usar a abordagem metódica do APT. Fazer isso exige paciência, financiamento e uma equipe de especialistas em vários campos. Isso contrasta com a maioria dos ataques cibernéticos, que geralmente se concentram em sucessos rápidos e lucrativos em uma ampla faixa de vítimas.
"O hacker Joe Schmo não se apegou a essa idéia", disse Henderson. Dito isto, Joe Hacker está obtendo acesso a ferramentas mais avançadas o tempo todo, e as idéias dos APTs estão, sem dúvida, surgindo.
"Alguns desses caras se tornaram muito hábeis em seguir o que os outros grupos estão fazendo e tentar implementar essas estratégias em seus próprios mecanismos de entrega de malware", disse Henderson. "Eles ainda não estão lá, mas eu não ficaria surpreso ao ver um grupo particularmente inteligente tentando ganhar dinheiro fazendo o mesmo tipo de coisa".
Henderson apontou para kits de exploração cada vez mais complexos com interfaces simples de apontar e cortar. Também há muitas informações pessoais em sites como LinkedIn e Facebook, perfeitas para engenharia social. "A inteligência de código aberto pode ser um negócio maior do que a espionagem, então por que não começar a tirar proveito disso?" Henderson perguntou.
Embora Henderson parecesse amplamente otimista sobre o futuro da segurança online, mesmo quando os ataques se tornam mais complexos, sua sabedoria de despedida foi um pouco sombria. "Estamos no ponto em que visitar uma página da Web infectará uma máquina", disse ele. "Trate todos os emails da sua caixa de entrada como suspeitos - não importa o quê."
Imagem via usuário do Flickr youngthousands .
