Tecnologia

APTs: Conheça as ameaças que mudaram as empresas de segurança

Nova 'linhagem' de ameaças foi uma das razões que fez Brian Dye, da Symantec, dizer que os antivírus morreram; empresas têm soluções para evitar problemas

antivirus (Getty Images)

antivirus (Getty Images)

DR

Da Redação

Publicado em 30 de julho de 2014 às 17h48.

Em maio deste ano, Brian Dye, vice-presidente sênior da Symantec, soltou uma bomba: os antivírus “estão mortos”, disse ele em entrevista ao Wall Street Journal. O executivo conseguiu gerar polêmica, mas o que ele disse, de certa forma, foi exagerado. As tradicionais soluções de segurança desenvolvidas para proteger usuários e empresas não morreram – mas tipos novos de ameaças mostraram que, definitivamente, elas sozinhas já não são mais suficientes.

Essa nova “linhagem” é chamada de “Advanced Persistent Threat”, ou “Ameaça Persistente Avançada”, em tradução para o português. A sigla é APT, de qualquer forma, e o conceito é um pouco diferente do usado para o malware tradicional. “Uma APT é, na verdade, um ataque que busca uma informação privilegiada de uma empresa específica, para vender esses dados e fazer alguém ganhar muito dinheiro com isso”, diz a INFO Nycholas Szucko, country manager brasileiro da FireEye, empresa especializada em proteção contra golpes do tipo.

À primeira vista, não é tão diferente de um malware – tanto que a infecção se dá por phishing tradicional, até aproveitando brechas em programas conhecidos, como Word e leitores de PDF. Mas há um detalhe crucial aí: o foco em um só alvo. “Antes das APTs, falávamos de um vírus que era enviado para todo mundo, e alguma empresa de segurança conseguia pegá-lo, criar uma assinatura para identifica-lo depois e bloqueá-lo”, explica o executivo.

“Mas quando o ataque é direcionado a um alvo em específico, as soluções não conseguiam bloquear simplesmente porque empresas não viam o que era feito ali.” Ou seja, como uma ameaça do tipo não é algo global, amostras dela não são tão facilmente coletáveis, o que dificulta a criação das tais assinaturas que seriam usadas pelos antivírus. E o trabalho fica ainda mais complicado pelo fator “persistência”: se o invasor é bloqueado de alguma forma, ele tenta atacar de um jeito diferente.

Origem – As tais APTs entraram em pauta apenas recentemente, mas assombram governos desde antes 2004, ano em que a FireEye foi criada. De 2009 ou 2010 para frente, no entanto, os ataques começaram a focar também em empresas, e exemplos recentes de vítimas são o eBay e a Target lá fora e o Ingresso.com e o Itamaraty no Brasil.

“São todos ataques que foram bolados e pensados para buscar informações apenas de um lugar”, explica Szucko. Os golpes exigem planejamento e investimento alto por parte dos atacantes, e, por isso mesmo, miram em alvo que podem render um bom retorno.

O executivo separa as frentes de ataques em três. A primeira é a que envolve governos e seus dados mais sensíveis, enquanto a segunda é a de empresas, em que cibercriminosos focam no roubo de projetos, informações de funcionários e espionagem. Por fim, a terceira e mais grave é a de terrorismo cibernético, onde fazem os ataques mirando no fornecimento de energia de cidades, em comportas de hidrelétricas e outros pontos que podem trazer consequências gravíssimas. “No Brasil, essas partes de governo e de terrorismo não atingem tanto”, segundo o especialista da FireEye.

Como funciona a proteção? – As soluções de proteção são montadas em camadas, de certa forma. No caso da empresa de Szucko, o bloqueio a ataques funciona, de forma simplificada com a ajuda de um equipamento colocado no local em que está o cliente. “Tudo que o usuário fizer ou acessar, nós fazemos também”, explica o executivo. Esse hardware é composto de máquinas virtuais, e sempre que uma delas é infectada – e um ataque é identificado, pela comunicação feita com servidores de fora –, a companhia bloqueia a ameaça e a comunicação com o atacante, tentando evitar que informações vazem.

“E a partir do momento em que descobrimos as características do ataque, já as compartilho com outras ferramentas o que aprendi, para que elas também sejam capazes de bloquear”, finaliza. Assim, a solução serve como uma “camada complementar de segurança para as que já existem”, sejam antivírus, firewalls e antispams.

O funcionamento não é muito diferente do que é visto no conjunto de proteção criado pela tradicional RSA, por exemplo. Como explica a INFO Mike Brown, vice-presidente e gerente geral do setor público global da RSA, a estratégia da empresa tem como “ponto principal o Centro Avançado de Operações de Segurança, construído em torno do produto chamado de Security Analytics”. Esta primeira ferramenta analisa o tráfego de dados, apelando até para o conceito de big data, e segue o conceito que Brown chama de “Intelligence Driven Security” – “segurança movida à inteligência”.

Acessando diferentes fontes de dados, ela entende os riscos e trabalha em conjunto com outra ferramenta, o Archer, uma engine de gerenciamento de risco. E as duas ainda têm o apoio de recursos como o Silvertail e o mais conhecido SecureID, por exemplo. “É muito diferente das medidas tomadas no passado, baseada na ideia de se delimitar um perímetro”, disse Brown.

“Eram soluções que operavam sobre a velha ideia de que já tínhamos visto os impactos causados por uma infecção ou por uma atividade maliciosa.” Assim, “você só pré-programava essas ferramentas para reconhecer o que já aconteceu”, usando as tais assinaturas para bloquear os vírus – e ficando suscetíveis a uma ameaça tão específica.

No futuro – Szucko e Brown têm uma opinião parecida em relação ao fato de as soluções atuais não serem mais suficientes para proteger empresas e governos, especialmente. “É preciso ser capaz de reconhecer os autores das ameaças e bloquear o acesso deles a uma rede de informações cedo o suficiente para que atividades maliciosas sejam prevenidas”, afirma o executivo da RSA. E o country manager da FireEye no Brasil complementa: “Não adianta tentarmos consertar um problema novo com uma ferramenta antiga, é preciso uma nova abordagem”.

A Symantec, de Brian Dye, percebeu essa evolução e começou a investir em um grupo dedicado a pensar no mundo “pós-antivírus”. Mas não só ela e as outras duas citadas: a Dell também tem seu SecureWorks, assim como a Cisco conta com o Sourcefire, a McAfee/Intel com o DeepSafe e outras empresas tradicionais oferecem as próprias soluções.

Mas o especialista da FireEye ressalta que, apesar da queda no rendimento, dizer que o “antivírus morreu” é até equivocado, de certa forma. “As ferramentas que existem hoje são muito importantes e vão continuar existindo para bloquear o que já está em circulação”, diz ele. Ou seja, as ameaças que atacam globalmente, já são conhecidas e tiveram amostras retiradas para a criação de uma assinatura ainda são de responsabilidade dos velhos programas.

Acompanhe tudo sobre:EspionagemINFOMalwareseguranca-digital

Mais de Tecnologia

Como a greve da Amazon nos EUA pode atrasar entregas de Natal

Como o Google Maps ajudou a solucionar um crime

China avança em logística com o AR-500, helicóptero não tripulado

Apple promete investimento de US$ 1 bilhão para colocar fim à crise com Indonésia