Rumo a um Novo Modelo de Cibersegurança

Tendências como mobilidade, Cloud, BYOD, Big Data e Internet of Everything ampliaram o campo de ação dos cibercriminosos, que agora dirigem os seus ataques a múltiplos vetores como dispositivos móveis, browsers e aplicações web, redes sociais, PCs, veículos e todo o tipo de objetos interligados.

A estas grandes frentes de ataque juntam-se a maior sofisticação das ameaças – os ataques são difíceis de detetar e permanecem nas redes durante muito tempo – e a grande complexidade e falta de integração das soluções de defesa. De acordo com o último Relatório Anual de Segurança da Cisco, durante 2014 os cibercriminosos melhoraram ainda mais a sua capacidade de tirar partido das falhas de segurança, burlar as defesas corporativas e ocultar a sua atividade maliciosa. O spam cresceu 250%, tal como o malvertising (inserção de malware em publicidade), ao mesmo tempo que os ciberdelinquentes mudaram o seu foco: desde o compromisso de servidores e sistemas operativos até ao aproveitamento de vulnerabilidades dos utilizadores em ambientes de browser e correio electrónico.

Assim, 100% de uma amostra de mais de 30 das maiores redes corporativas do mundo gerou tráfego em sítios web que albergam malware, o que prova que qualquer empresa está exposta a malware mesmo que não sofra ataques diretos. Além disso, segundo o estudo de segurança da Cisco, menos de metade dos colaboradores acredita que manter a salvo dados pessoais e corporativos é também da sua responsabilidade, ao passo apenas 39% das PME – maioria do tecido económico português – tem uma política de segurança em vigor.

Uma Mudança Necessária

Abordar os desafios que estas tendências apresentam exige o repensar da política de segurança, sendo necessário mudar os controlos baseados no perímetro e os antigos modelos de acesso e contenção para proteger este novo cenário empresarial, mais móvel, global e interligado. As tradicionais soluções antivírus e anti-malware não são suficientes para deter estes sofisticados ataques, já que constituem soluções que apenas detetam a ameaça no ponto de entrada. Na sua maioria, trata-se de malware avançado, ou seja, com objetivos concretos e capaz de se adaptar e ocultar para aumentar a sua eficácia.

Assim, deve adotar-se um novo modelo de segurança que:

• Proporcione uma maior visibilidade das ameaças e novos vetores de ataque;
• Cujo foco seja a análise contínua para proteger antes, durante e depois dos ataques;
• Seja capaz de aplicar inteligência global em tempo real e dar respostas automatizadas;
• Reduza a complexidade gerada pela adoção de múltiplas soluções pontuais;

Proteção Contínua

Ao implementar sistemas de proteção, é muito importante pensar também como gerir a segurança durante todo o ciclo da ameaça:

• Antes, onde implementamos e gerimos as medidas de controlo de acesso à rede (firewalls, VPN, NAC…)
• Durante, onde inspecionamos e analisamos todo o tráfego que passa até à empresa para identificar ameaças e malware (filtro de e-mail, proxies de navegação, Sistemas de Prevenção de Intrusões…)
• Depois, onde implementamos as medidas necessárias para responder com rapidez aos incidentes e evitar o possível roubo de dados corporativos, já que o malware avançado costuma permanecer nas empresas entre três a seis meses, ao passo que o tempo que necessitam os atacantes para roubar a informação desejada é de apenas umas horas.

Segurança Retrospetiva

Exige-se uma nova abordagem que permita mitigar o ataque quando a ameaça ultrapassa o perímetro de segurança e que combine inteligência com capacidade de análise para responder a perguntas como “qual foi o método e o ponto de entrada”, que sistemas foram afetados” ou “como evitamos esta situação no futuro?”.

Em vez de se apoiar em assinaturas de malware – técnica que pode demorar semanas ou meses a ser criada para cada nova ameaça – as últimas tecnologias utilizam uma combinação de reputação de arquivo (analisa conjuntos de arquivos assim que atravessam a rede), sandboxing ou ambiente seguro de execução isolado (analisa e compreende o verdadeiro comportamento de arquivos desconhecidos) e análise retrospetiva de arquivo (solucionando o problema de arquivos maliciosos que atravessaram os perímetros de defesa e que posteriormente são considerados uma ameaça). Estas tecnologias de nova geração – que a Cisco introduziu na sua oferta Advanced Malware Protection (AMP) – permitem identificar e deter as ameaças durante todas as etapas do ataque, proporcionando também a analítica necessária para suportar este novo modelo de segurança retrospetiva.

Três Pilares Chave

Na Cisco, acreditamos que a melhor forma de se proteger face a malware avançado e perante os ataques dos cibercriminosos é implementar uma proteção contínua e integrada que aplique inteligência em tempo real, análise dinâmica e segurança retrospetiva. Esta deve basear-se em:

• Visibilidade completa: ajuda as organizações a ver o que realmente ocorre no seu ambiente;
• Foco em ameaças: o malware avançado e os ataques Dia Zero exigem uma análise contínua e inteligência em tempo real, desde a Cloud.
• Gestão centralizada, unificada e simples: são requeridos sistemas integrados, ampliáveis e com gestão simples e centralizada, além de políticas unificadas.

Esta abordagem traduz-se num modelo de segurança integrado na rede com funções de detecção de ameaças e mitigação automática que, sem dúvida, vão melhorar a fiabilidade e segurança de rede como um todo, substituindo as arquiteturas tradicionais focadas na blindagem de dispositivos individuais.