APTs: Conheça as ameaças que mudaram as empresas de segurança
Nova 'linhagem' de ameaças foi uma das razões que fez Brian Dye, da Symantec, dizer que os antivírus morreram; empresas têm soluções para evitar problemas
Da Redação
Publicado em 30 de julho de 2014 às 17h48.
Em maio deste ano, Brian Dye, vice-presidente sênior da Symantec, soltou uma bomba: os antivírus estão mortos, disse ele em entrevista ao Wall Street Journal. O executivo conseguiu gerar polêmica, mas o que ele disse, de certa forma, foi exagerado. As tradicionais soluções de segurança desenvolvidas para proteger usuários e empresas não morreram mas tipos novos de ameaças mostraram que, definitivamente, elas sozinhas já não são mais suficientes.
Essa nova linhagem é chamada de Advanced Persistent Threat, ou Ameaça Persistente Avançada, em tradução para o português. A sigla é APT, de qualquer forma, e o conceito é um pouco diferente do usado para o malware tradicional. Uma APT é, na verdade, um ataque que busca uma informação privilegiada de uma empresa específica, para vender esses dados e fazer alguém ganhar muito dinheiro com isso, diz a INFO Nycholas Szucko, country manager brasileiro da FireEye, empresa especializada em proteção contra golpes do tipo.
À primeira vista, não é tão diferente de um malware tanto que a infecção se dá por phishing tradicional, até aproveitando brechas em programas conhecidos, como Word e leitores de PDF. Mas há um detalhe crucial aí: o foco em um só alvo. Antes das APTs, falávamos de um vírus que era enviado para todo mundo, e alguma empresa de segurança conseguia pegá-lo, criar uma assinatura para identifica-lo depois e bloqueá-lo, explica o executivo.
Mas quando o ataque é direcionado a um alvo em específico, as soluções não conseguiam bloquear simplesmente porque empresas não viam o que era feito ali. Ou seja, como uma ameaça do tipo não é algo global, amostras dela não são tão facilmente coletáveis, o que dificulta a criação das tais assinaturas que seriam usadas pelos antivírus. E o trabalho fica ainda mais complicado pelo fator persistência: se o invasor é bloqueado de alguma forma, ele tenta atacar de um jeito diferente.
Origem As tais APTs entraram em pauta apenas recentemente, mas assombram governos desde antes 2004, ano em que a FireEye foi criada. De 2009 ou 2010 para frente, no entanto, os ataques começaram a focar também em empresas, e exemplos recentes de vítimas são o eBay e a Target lá fora e o Ingresso.com e o Itamaraty no Brasil.
São todos ataques que foram bolados e pensados para buscar informações apenas de um lugar, explica Szucko. Os golpes exigem planejamento e investimento alto por parte dos atacantes, e, por isso mesmo, miram em alvo que podem render um bom retorno.
O executivo separa as frentes de ataques em três. A primeira é a que envolve governos e seus dados mais sensíveis, enquanto a segunda é a de empresas, em que cibercriminosos focam no roubo de projetos, informações de funcionários e espionagem. Por fim, a terceira e mais grave é a de terrorismo cibernético, onde fazem os ataques mirando no fornecimento de energia de cidades, em comportas de hidrelétricas e outros pontos que podem trazer consequências gravíssimas. No Brasil, essas partes de governo e de terrorismo não atingem tanto, segundo o especialista da FireEye.
Como funciona a proteção? As soluções de proteção são montadas em camadas, de certa forma. No caso da empresa de Szucko, o bloqueio a ataques funciona, de forma simplificada com a ajuda de um equipamento colocado no local em que está o cliente. Tudo que o usuário fizer ou acessar, nós fazemos também, explica o executivo. Esse hardware é composto de máquinas virtuais, e sempre que uma delas é infectada e um ataque é identificado, pela comunicação feita com servidores de fora , a companhia bloqueia a ameaça e a comunicação com o atacante, tentando evitar que informações vazem.
E a partir do momento em que descobrimos as características do ataque, já as compartilho com outras ferramentas o que aprendi, para que elas também sejam capazes de bloquear, finaliza. Assim, a solução serve como uma camada complementar de segurança para as que já existem, sejam antivírus, firewalls e antispams.
O funcionamento não é muito diferente do que é visto no conjunto de proteção criado pela tradicional RSA, por exemplo. Como explica aINFO Mike Brown, vice-presidente e gerente geral do setor público global da RSA, a estratégia da empresa tem como ponto principal o Centro Avançado de Operações de Segurança, construído em torno do produto chamado de Security Analytics. Esta primeira ferramenta analisa o tráfego de dados, apelando até para o conceito de big data, e segue o conceito que Brown chama de Intelligence Driven Security segurança movida à inteligência.
Acessando diferentes fontes de dados, ela entende os riscos e trabalha em conjunto com outra ferramenta, o Archer, uma engine de gerenciamento de risco. E as duas ainda têm o apoio de recursos como o Silvertail e o mais conhecido SecureID, por exemplo. É muito diferente das medidas tomadas no passado, baseada na ideia de se delimitar um perímetro, disse Brown.
Eram soluções que operavam sobre a velha ideia de que já tínhamos visto os impactos causados por uma infecção ou por uma atividade maliciosa. Assim, você só pré-programava essas ferramentas para reconhecer o que já aconteceu, usando as tais assinaturas para bloquear os vírus e ficando suscetíveis a uma ameaça tão específica.
No futuro Szucko e Brown têm uma opinião parecida em relação ao fato de as soluções atuais não serem mais suficientes para proteger empresas e governos, especialmente. É preciso ser capaz de reconhecer os autores das ameaças e bloquear o acesso deles a uma rede de informações cedo o suficiente para que atividades maliciosas sejam prevenidas, afirma o executivo da RSA. E o country manager da FireEye no Brasil complementa: Não adianta tentarmos consertar um problema novo com uma ferramenta antiga, é preciso uma nova abordagem.
A Symantec, de Brian Dye, percebeu essa evolução e começou a investir em um grupo dedicado a pensar no mundo pós-antivírus. Mas não só ela e as outras duas citadas: a Dell também tem seu SecureWorks, assim como a Cisco conta com o Sourcefire, a McAfee/Intel com o DeepSafe e outras empresas tradicionais oferecem as próprias soluções.
Mas o especialista da FireEye ressalta que, apesar da queda no rendimento, dizer que o antivírus morreu é até equivocado, de certa forma. As ferramentas que existem hoje são muito importantes e vão continuar existindo para bloquear o que já está em circulação, diz ele. Ou seja, as ameaças que atacam globalmente, já são conhecidas e tiveram amostras retiradas para a criação de uma assinatura ainda são de responsabilidade dos velhos programas.