Duzentos dias. Esse é o tempo médio que uma empresa leva para detectar uma invasão, de acordo com o relatório Midyear Security Report 2015 realizado pela Cisco – e isso não é o suficiente para se manter protegido. Isso porque, a indústria do cibercrime está evoluindo rapidamente e ainda há alguns buracos que a segurança deve fechar.
Para combater essas novas ameaças, companhias devem investir em uma abordagem integrada de soluções para garantir a segurança dos sistemas, de acordo com o gerente de engenharia de segurança da Cisco para América Latina, Marcelo Bezerra. “Organizações devem ter uma visão mais holística, mais integral. Tem de saber os buracos que possuem em seus sistemas e redes, as áreas que não estão sendo monitoradas, e procurar soluções especificas para preenchê-los”, afirma.
Essa estratégia engloba quatro pilares importantes: visibilidade da rede, para detectar o tráfego e saber quem tem acesso; contexto, que representa as informações usadas para tomadas de decisão; inteligência, que consiste no monitoramento da rede para detectar atividades incomuns e ataques; e controle.
Outro ponto que deve ser endereçado é uma mudança no pensamento. Para Paulo Breitenvieser, diretor regional de vendas e segurança da Cisco, a partir do momento em que aumenta o grau de conectividade, criando ligações entre todas as coisas (como na Internet of Everything, ou internet de todas as coisas), a segurança tem de ser vista como parte de todas as áreas da organização e não somente da equipe de TI.
Evolução do cibercrime
A internet das coisas (IoT, na sigla em inglês) trouxe um novo ecossistema com diversas portas que podem ser utilizadas por agentes maliciosos para invadir a rede. Essa evolução trouxe um mundo hiperconectado que foi – e continua sendo – desafiador para empresas e, nesse contexto, um dos erros mais comuns que ainda persiste na cabeça de usuários e da indústria é a subestimação do inimigo. “Ainda temos aquela ideia de hackers adolescentes atrás de um computador. Mas, na verdade, o cibercrime tornou-se uma indústria e muito lucrativa”, diz Bezerra.
Essa indústria vale em torno de US$ 450 bilhões e US$ 1 trilhão, segundo dados divulgados pela CNBC. E, portanto, ela precisa se manter constantemente atualizada se quiser quebrar a concorrência – no caso, empresas como a Cisco que combatem ameaças provenientes do mundo virtual.
Um exemplo de ameaça que reflete o grau de sofisticação e agilidade que a indústria do cibercrime alcançou nos últimos tempos é o kit de exploração Angler. De acordo com Bezerra, essa ferramenta é constantemente atualizada e, por conta disso, conseguiu se colocar em um patamar de eficiência nunca antes visto, conquistando uma taxa de penetração de 40% – duas vezes mais do que as ferramentas comuns. O principal método utilizado pelo kit para invadir o sistema é o download involuntário.
De acordo com Bezerra, essa é uma das ferramentas mais ativas atualmente e tem a capacidade de, no momento em que for executada, identificar a vulnerabilidade disponível para ser explorada e invadir o sistema.
Outro exemplo atualmente ativo de ameaça persistente avançada apontada pela Cisco é o Rombertik, malware que não apenas invade o sistema como também o destrói caso seja detectado por uma solução de segurança. Para burlar a sandbox, essa ameaça entope a rede com arquivos aleatórios (cerca de 960 milhões). O método de invasão da ferramenta é por meio de spam, phishing e engenharia social e o seu principal objetivo é roubar e coletar dados do usuário. Sofisticação também pode significar o uso de métodos tradicionais. “As pessoas se esquecem de antigos modos de ataque, então os crackers se aproveitam disso para criar vetores de ameaças”, diz Bezerra. Esse é o caso do script no Office, no qual a vítima recebe um arquivo word infectado com um script e executa um comando para baixar o malware da internet.
Para implementar ainda mais, campanhas passaram a ter data de validade: ou seja, no momento em que o antivírus é atualizado para bloquear um ataque (que pode ser dentro de horas ou dias), os cibercriminosos lançam novas campanhas. Desse modo, quando um ataque é bloqueado, outro é ativado.
Vulnerabilidades
Como vetores mais utilizados por agentes maliciosos em ataques, spams e phishing continuam no topo do ranking de artimanhas preferidas. De acordo com o relatório, o volume de spam global permanece consistente, mas com alguma alterações em regiões do mapa. O Brasil, por exemplo, registrou queda de 9% no volume entre dezembro de 2014 e março de 2015, alcançando a marca de 5,05 bilhões de mensagens maliciosas enviadas. Em primeiro lugar na lista permanece os Estados Unidos, com aumento de 14% no volume de spam no mesmo período, ou 40,97 bilhões de mensagens.
Apesar da retração em spam, o Brasil possui alta taxa de servidores vulneráveis, de acordo com o estudo, sendo o sexto colocado na lista de países com maiores taxas de bloqueio de atividades por conta de malware. Também pertencem ao ranking os Estados Unidos, Canadá e Rússia – a lista é encabeçada por Hong Kong.