Abordagem de ciclo fechado fecha o cerco a ameaças como a da Gangue dos Boletos

Por Colaborador externo | 23.07.2014 às 06:05

Arthur Capella*

Uma nova família de malwares invadiu no começo de julho o sistema de pagamento por boletos bancários - segunda forma de pagamento mais utilizada no Brasil, depois dos cartões de crédito. O esquema daquela que ficou conhecida como "Gangue dos Boletos" foi descoberto pela RSA e noticiado na imprensa nacional e internacional, tamanha a repercussão dos danos causados.

O escândalo trouxe à tona mais uma vez a importância de se ter ferramentas de detecção de ameaças e aplicações de segurança corretas para as redes corporativas. Afinal, os riscos estão por todos os lados, e para evitar que se transformem em prejuízo uma abordagem de ciclo fechado, que tem como alvo não o combate rápido a ameaças detectadas na rede, mas a detecção de potenciais cargas maliciosas antes mesmo que ataquem a estrutura, visando à adoção de ferramentas de proteção preventiva e reativa, desponta como modelo eficaz para garantir a proteção dos dados.

Mas como funciona esta abordagem? De início, parte da identificação de ameaças potenciais, indo além da detecção de cargas maliciosas quando já entraram em contato com a rede. Ainda que ocorra muito rapidamente, esta detecção está longe de ser suficiente para proteger uma empresa contra o alto volume de ataques a todas estão sujeitas diariamente.

Assim, a abordagem de ciclo fechado parte das chamadas "Sandboxes" que, baseadas em nuvem, testam arquivos suspeitos praticamente em tempo real antes que eles sejam abertos na rede. É o estado da arte para detecção de ameaças de dia zero.

Uma vez detectada a ameaça, é preciso ter os meios para bloqueá-la rapidamente e evitar que se espalhe pela infraestrutura corporativa. Então, ao identificar um risco potencial, a abordagem de ciclo fechado parte para análise da ameaça e criação das proteções necessárias para evita-la.

Após isso, o passo seguinte desta abordagem é distribuir as informações obtidas a partir da análise da potencial carga maliciosa a todos os pontos de controle de tráfego da rede, preparando-os para combatê-la, se necessário.

Automatizadas por soluções de segurança da informação desenvolvidas para atuar dentro desta abordagem, estas etapas evitam os atrasos do processo manual, diminuindo muito as chances de uma invasão.

Este, aliás, foi o erro cometido pela rede de varejo norte-americana "Target" em dezembro de 2013, quando pagamentos com cartão de crédito foram fraudados e informações de milhares de clientes foram expostas. A defesa falhou porque, mesmo depois de um alerta de que a violação havia ocorrido, nenhuma ação para corrigir o problema foi tomada.

Com a abordagem de ciclo fechado, as empresas ganham o poder de identificar e se proteger contra ameaças de dia zero semelhantes a essas promovidas pela "Gangue do Boleto", além de prevenir a infecção de quaisquer futuras variantes do malware. Há experiências bem sucedidas com famílias de malware, como Cryptolocker e Zeus, que têm assolado o setor financeiro desde 2011.

E como tecnologia, para cumprir seu papel com eficiência, requer estratégia e gerenciamento aliados, vão aqui algumas recomendações sobre práticas de segurança fundamentais para manter a rede corporativa livre de ameaças:

  1. Adote uma severa política de controle sobre a atualização de softwares de sua empresa e impeça que seus funcionários façam downloads de fontes não oficiais.
  2. Só permita a abertura de arquivos executáveis (.exe) pelos funcionários do departamento de TI.
  3. Use descriptografia de SSL para webmail para evitar ataques direcionados a endereços de e-mail pessoais. Sem visibilidade em comunicações SSL, basta um documento malicioso nos formatos PDF ou Office para derrubar uma rede corporativa inteira.
  4. Use assinaturas IPS para evitar que uma eventual vulnerabilidade seja explorada por ataques no lado do cliente.
  5. Use prevenção spyware de comando e controle para encontrar sistemas infectados que possam baixar variantes adicionais. Certifique-se que a detecção de DNS está ativada e no modo de bloqueio.
  6. Investigue e corrija TODAS as consultas DNS suspeitas. Estes são os sistemas mais susceptíveis a invasões.

São práticas básicas que evitam muitas dores de cabeça. E, apesar das recomendações, casos como os recentemente vividos com a "Gangue dos Boletos" e o vazamento de dados da rede "Target" continuam acontecendo, o que serve como alerta para reforçar a atenção à segurança das redes corporativas. E, se pudermos traduzir este reforço em uma única expressão, eu voltaria a dizer: abordagem de ciclo fechado. Pense nisso.

*Arthur Capella é gerente geral da Palo Alto Networks no Brasil