Malwares em tempo de cólera

Por Colaborador externo | 27 de Abril de 2013 às 14h00

Por Marcos Tabajara, Country Manager da Sourcefire Brasil

Há grandes chances de que você nunca tenha ouvido falar do Dr. John Snow. Entretanto, os métodos que ele utilizou há mais de 150 anos para resolver o mistério da cólera em Londres podem ser aplicados até hoje e, se fizermos uma analogia, a mesma técnica pode ajudar a encontrar o coração dos malwares em uma empresa.

Resumidamente, em 1854 um surto de cólera tomou conta de Londres. Nessa época, John Snow, um médico inglês, fez um mapa com os incidentes. Com essa análise, notou que os primeiros casos aconteceram perto da bomba de água e então solicitou às autoridades que removessem a bomba a fim de conter a epidemia que já havia matado aproximadamente 500 pessoas. Com isso, o surto logo foi contido. Dr. Snow não apenas salvou inúmeras vidas, identificando a raiz do problema, mas hoje também é reconhecido por ter identificado o método de transmissão e prevenção da cólera.

Em relação aos malwares, apesar de todos os esforços e a segurança feita em camadas, as infecções continuam acontecendo. Para verdadeiramente eliminá-los e evitar o risco de reinfecção, é necessário chegar à raiz da causa. O desafio é que a grande maioria das tecnologias foca somente em detecção e nos dá poucos recursos após a infecção.

Hoje, muitas vezes as organizações descobrem um ataque quando recebem uma ligação do helpdesk. Elas podem também ter conhecimento de um malware por meio de ferramentas de detecção, quando estas estão atualizadas. Entretanto, o alerta é, na verdade, um aviso de infecção. O malware já se instalou na rede e, provavelmente, danificou diversos dispositivos.

Independente de como uma empresa identifica um ataque, é crucial colocar em quarentena o dispositivo afetado a fim de minimizar o risco de contaminação de outros recursos na rede, e por fim, é necessário limpar o arquivo infectado. Mas isso não é realmente o suficiente para eliminar um malware. É o mesmo se o Dr. Snow tivesse focado seus esforços em somente identificar e tratar os pacientes com sintomas de cólera. Fazendo apenas isso, ele provavelmente enfrentaria um clico sem fim de pacientes com a doença e talvez nunca tivesse encontrado a raiz do problema.

Assim como Dr. Snow que utilizou todos os dados disponíveis, a fim de impedir a propagação de malwares, analisar todas as informações também é fundamental. Para isso, é necessário contar com uma tecnologia que use análise de big data para identificar o “paciente zero” (o primeiro a ser infectado), além da aplicação que permitiu a entrada do malware e os arquivos responsáveis pela proliferação do mesmo. Essa análise possibilita avaliar a infecção na raiz e evitar a reinfecção. Identificar a última pessoa infectada também é importante para medir o alcance da infecção, avaliar os riscos e entender o que será necessário para controlar o surto.

Além de “quem”, entender “como” o malware invadiu a rede é também crucial para reduzir os riscos de reinfecção. Identificar o uso de softwares não sancionados desempenha um papel importante na prevenção de meios comuns para propagação de malwares. Ao usar listas negras e brancas para controlar aplicações e identificar falsos softwares, é possível reduzir a superfície vulnerável a ataques. Manter os navegadores e as ferramentas atualizadas podem reduzir drasticamente o número de infecções. Além disso, como a segurança tornou-se uma gestão de risco, todo departamento de TI deve conduzir sua própria avaliação sobre os pacotes de softwares. Alguns deles apresentam risco alto e pode não fazer sentido implantá-los.

Por fim, a proteção avançada contra malwares exige uma abordagem retrospectiva, a habilidade de alertar retrospectivamente e proteger contra arquivos que foram classificados inicialmente como seguros, mas foram identificados como malwares. Isso porque os atuais malwares avançados podem se disfarçar como seguros, passar pelos sistemas de defesa despercebidos e depois apresentar um comportamento malicioso. Sendo assim, contar com um software que ofereça uma capacidade retrospectiva é muito importante para minimizar os danos de um ataque e ajudar na sua remediação.

Os malwares de hoje em dia causam mais danos e são mais difíceis de serem combatidos do que qualquer outra ameaça que enfrentamos no passado. É necessário estender a proteção além de detecção e bloqueio apenas e é preciso usar todo o poder de análise de big data, dos controles inteligentes e da segurança retrospectiva a fim de bloquear o malware na raiz e realmente eliminá-lo.

Siga o Canaltech no Twitter!

Não perca nenhuma novidade do mundo da tecnologia.