Com sistemas complexos nas empresas, a segurança dos terminais tornou-se uma questão central. A maioria do software de segurança endpoint consegue combater ameaças conhecidas e desconhecidas com a utilização de diferentes tecnologias. Bloquear ameaças conhecidas é a missão tradicional do software de segurança, por exemplo através de um software antivírus. Por outro lado, as ameaças desconhecidas são detetadas mais frequentemente utilizando a tecnologia Machine Learning (ML), que permite reconhecê-las com base em grandes volumes de características (ex: tamanho do ficheiro, compressão, etc.) e assim determinar a probabilidade de uma ameaça ser benigna ou maligna.
Uma ferramenta eficaz, mas longe de ser suficiente
No entanto, apesar dos sistemas de segurança terminal aparentarem estar otimizados, continuam a ser vulneráveis. Para assumir o controlo destas tecnologias, os cibercriminosos utilizam o que denominamos de ofuscação ou utilização de rotas falsas, uma prática cujo objetivo é esconder, de um mecanismo de deteção, a natureza do ficheiro.
Este processo é possível através da encriptação ou da codificação do programa, capacitando alguns malwares para utilizarem diversas camadas de ofuscação e assim evitar as análises. As instruções erradas são utilizadas para confundir o sistema, fazendo-o pensar que está a lidar com um programa benigno, que é o que na verdade é, em vez de algo abertamente malicioso.
Esta técnica, já avançada, não é a única. Os criminosos vão, por exemplo, utilizar um ataque de phishing para obter identificadores e desativar com facilidade um sistema de segurança. É claro que existem algumas soluções para lidar com estes padrões, mas esta prática demonstra uma fragilidade nos sistemas endpoint.
Ciberatacantes indetetáveis?
No caso dos ciberataques, devido à falta de visibilidade, frequentemente o atacante esteve presente numa rede durante algum tempo, mais ou menos longo, antes de ser desmascarado.
Demasiadas vezes, o próprio sistema é deixado desprotegido. No entanto, sem a presença de um software de deteção instalado previamente, o invasor mantém-se invisível, estando presente na rede.
O conceito oposto, no entanto, é tão ou mais arriscado. A atividade intensa na rede pode levar à falta de deteção e perceção entre o que parece benigno e o que não é, e leva à filtração de dificuldades. Este fenómeno está ainda mais presente em grandes redes abertas onde qualquer coisa pode comunicar com qualquer outra coisa e em qualquer protocolo. Os atacantes mais experientes apoveitam este erro, utilizando o seu conhecimento do ambiente para circularem sem serem detetados. Eles vão utilizar as suas credenciais, as aplicações existentes e sistemas seguros para se infiltrar na sua rede e roubar os seus dados.
Prevenir, detetar e corrigir
Prevenir os ciberataques passa por reduzir a superfície do ataque, ou seja, reduzir o número de serviços expostos, sistemas e aplicações desprotegidos e sem patch, e ainda substituir um sistema fraco de autenticação pela autenticação multifator. De facto, são muitas as organizações que se encontram neste momento sob ataque por parte de grupos de ransomware porque não possuem uma (ou mais) das soluções apresentadas acima. Naturalmente, os grupos criminosos escolhem alvos vulneráveis; no entanto, se a tarefa lhes for dificultada, frequentemente decidem avançar para outro alvo.
Após a prevenção, vêm a deteção e a correção; ambas andam, naturalmente, de mãos dadas. Os produtos de Deteção e Resposta Endpoint (EDR), por exemplo, simplificam a procura por ameaças existentes e proporcionam conselhos sobre como eliminar ou corrigir a ameaça de forma proativa. Este tipo de soluções, no entanto, é utilizado em empresas que contam já com um determinado grau de maturidade de segurança: se a prevenção não tiver sido abordada anteriormente, o próprio EDR não será tão eficaz, e a sua gestão exigirá recursos internos ou um serviço externo.
Por fim, é importante assegurar que a rede está bem protegida. Se a proteção de rede for aliada à proteção endpoint, a empresa terá a capacidade para prevenir, detetar e corrigir ameaças, onde quer que estas ocorram.Desta forma, as empresas necessitam de implementar testes contínuos e ajustes nas suas defesas – tanto tecnológicos como baseados em segurança.
