http://www.arandanet.com.br/midiaonline/rti/2014/maio/index.html ***
Recentemente participei de um painel em um
evento de segurança no Rio de Janeiro com o sugestivo título de “Ameaças
persistentes e avançadas: quais os novos requisitos de segurança no cenário de
cloud computing”. Uma discussão imediatista iria dizer se a nuvem protege ou
não contra essas ameaças, os APTs, porém o mais interessante é que ambos – APTs
e cloud computing – não estão relacionados diretamente, e para relacioná-los é
essencial antes esmiuçar cada um deles separadamente.
Primeiro que elas não são novas e sim uma
evolução do que vemos já há 15 anos. Os bancos brasileiros por exemplo lidam
com APTs há pelo menos dez anos. Segundo, essas ameaças não estão substituindo
as “antigas” (aspas novamente propositais) pois elas continuam ativas e
causando estragos, e como foi demonstrado pela pesquisa da Verizon em 2013 os
ataques persistentes fazem uso de ataques simples (as “antigas” ameaças) para
então instalar código especialmente desenhado para o alvo – o que também não
quer dizer que seja mais avançado. Terceiro, em minha visão o maior problema da
segurança atual não são os APTs ou o malware, mas o fato de que as empresas
ainda gerenciam muito mal a sua segurança. Produtos de segurança costumam ser
muito mal administrados e configurados, muitas vezes de uma forma que não
servem para nada, o que nos leva à conclusão de que mudar os dispositivos para
versões mais novas não ajuda sempre a obter mais segurança.
Um APT é por definição um ataque direcionado. Em
cada evento os alvos são cuidadosamente selecionados e estudados, e disso
dependerá a metodologia do ataque. Aqui está o primeiro erro em generalizar
esse tipo de ameaça, pois não há ataques APT sem alvos previamente escolhidos.
Um bom exemplo são as fraudes em Internet banking, que de tão específicos podem
ser direcionados a apenas um banco, sem afetar clientes de outros. O que pode
trazer alguma confusão é que algumas situações o alvo por si só é amplo. Uma
ameaça que afete Internet banking de todos os bancos com certeza possui um
escopo amplo, o que não quer dizer que não haja um alvo. Também há situações em
que a metodologia do ataque pressupõe o uso de botnets, trazendo a necessidade
de uma ampla invasão, mas o escopo delimitado continua. Um exemplo é um ataque
direcionado a retirar do ar um determinado serviço, e que será executado via
DdoS a partir da rede bot. Além disso em outras vezes o programa simplesmente
vaza e se alastra como um worm, como parece ter sido o caso do Stuxnet. Também
em um APT nem tudo é avançado que não pode ser detectado. O código que realiza
o ataque é um bom exemplo de ameaça avançada, e já foi visto exemplos que efetivam
o ataque à um internet banking corrompendo a memória do computador. Mas isso
não significa que a invasão inicial também usará um ataque avançado, como os de vulnerabilidade dia zero. Vimos em
casos reais que técnicas como phishing para download involuntario e engenharia
social foram usados. Dizem que no caso do Stuxnet um pen drive foi o veiculo
usado para a primeira invasão. Mas isso vai depender do estudo realizado sobre
o alvo e se for o caso novos ataques serão sim usados. Finalmente, Se o APT é
direcionado e persistente, assim deve ser a proteção. A empresa deve conhecer a
fundo seus potenciais alvos internos e estudá-los a fundo, conhecendo formas de
ataque possíveis e desenvolvendo meios de proteção.
Muito se fala hoje do cloud computing e como
sempre há muitas opiniões divergentes. Aqui irei falar apenas das nuvens
públicas, pois as privadas, criadas dentro das mega corporações são nada mais do que um processo
de centralização de serviços de TI. Vejo a nuvem como um revolução para as
pequenas e médias empresas que podem usufruir de serviços, sistemas e
infraestrutura de grandes empresas arcando com uma fração dos custos. É a única
maneira de um que pequeno provedor de software as a service possuir redundancia
de datacenter, podendo fazê-lo até em paises diferentes. Ou de uma média
empresa tornar-se global com seus funcionários trabalhando integrados, não
importa o país onde estejam. Já para as grandes corporações, que já contam com
seus datacenters montados, os beneficios da computação em nuvem não são assim
tão grandes, e a maior parte das empresas com as quais conversei a usam muito
pouco e sempre para dados ou sistemas de menor importância. E nenhuma vez ouvi
alguém citar segurança como motivador para migrar sistemas para centros de
dados operados por terceiros. Pequenos e médios vão para alavancar suas
operações, grandes vão para economizar no que não é crítico.
Nenhum comentário:
Postar um comentário