Nas últimas semanas o mundo em geral e o Brasil em particular foram varridos, e continuam sendo, por uma onda de ataques ransomware, com os prejuízos e dores de cabeça de sempre. Sistemas inoperantes, redes desconectadas, trabalho perdido, e perdas financeiras mesmo que o resgate não seja pago. Em alguns ataques o resgate era o objetivo final, mas em outros apenas uma tática diversionista para roubo de dados. Em todos o ponto comum das vítimas estarem correndo contra o relógio, em clara desvantagem aos atacantes, algumas até com certa resignação.
Antes, porém, de ir à discussão de como prevenir ou reagir aos ataques, convido a todos a parar por um minuto, porque alguma coisa está errada em nossa estratégia. Não é possível que, com todo o arsenal tecnológico e de processos, estejamos tão vulneráveis a quadrilhas de criminosos cibernéticos. Precisamos refletir em alguns conceitos fora do tradicional em segurança da informação, mas relacionados ao conceito de risco, algo que precisamos reconhecer que é muito mais bem tratado em outras áreas que a segurança digital.
O primeiro é conhecido como cisne negro – o termo tornado famoso pelo ensaísta Nassim Taleb, em seu livro “A Lógica do Cisne Negro”: um evento raro, imprevisível e de alto impacto. O segundo, que já trouxe em outros artigos aqui no blog, a ideia do unknown unknowns, os “desconhecidos desconhecidos” de Donald Rumsfeld, ex-secretário de defesa dos Estados Unidos. Ou seja, coisas que nem sequer sabemos que não sabemos. Em segurança da informação lidamos diariamente com o desconhecido. Conhecemos uma quantidade enorme de vulnerabilidades e ameaças. Sabemos que não conhecemos todos os ataques, mas temos ideia de como eles são realizadas e por isso temos meios de preveni-los. Estamos também cientes de que há métodos de ataque que nem imaginamos, e que nem os hackers os imaginam antes de descobri-los. Também sabemos que há ataques diários em todo o mundo, e que de tempos em tempos somos sacudidos por um ataque global, de grandes proporções e que vem sem avisar.
Mas seguindo a linha de pensamento de Taleb e Rumsfeld, os ataques de ransomware seriam classificados não como cisnes negro ou “desconhecido desconhecidos”, mas como “conhecidos conhecidos”. Precisamos ser bem honestos conosco. Um ataque ransomware pode ser tudo, menos desconhecido ou inesperado. Ele acontece continuamente há anos, e, de vez em quando, como em 12 de maio de 2017, vem para as principais manchetes dos jornais. Naquela data o malware foi o wannacry. Então, se lidamos com a possibilidade de ataques diariamente, como ainda somos pegos com tal despreparo, não apenas pelo ataque em si, mas com tal despreparo em reagir a eles?
Se sabemos que um novo ataque pode ocorrer a qualquer momento, a primeira coisa que precisamos fazer é nos preparar. O primeiro passo é até fácil: proteger o que conhecemos. Conhecemos nossas redes, os dispositivos nela conectados, o comportamento dos usuários, os sistemas de email e web, etc. A partir dai pode-se mapear os vetores de ataque, e como se proteger deles. O exercício deve ser contínuo para incluir novas aplicações de negócio, novos ataques e novas tecnologias de TI. Não se pode esquecer a gestão das tecnologias e sua integração. Em segurança 1 + 1 sempre é maior que 2. E 1 e 1 é sempre menor. Mas as medidas de proteção podem, e devem, ir além do tradicional “produto para problema”.
Devemos também ser humildes para aceitar o fato de que mais cedo ou mais tarde algo irá passar. Há grupos criminosos com mais orçamento que muitas empresas, fruto de seus golpes. Assim há duas medidas que ajudam a conter um ataque e responder rapidamente, em complemento aos sistemas de proteção: micro-segmentação e monitoração de rede.
Micro-segmentação permite que a empresa implemente áreas estanques. É um conceito utilizado em submarinos. Caso haja algum vazamento em um compartimento, ele pode ser selado para que o barco seja salvo e não afunde. Nesse caso a micro-segmentação evitaria a comunicação lateral entre os departamentos da empresa. Não deixa de ser a mesma ideia da segmentação por vlans, porém é implementado logicamente, por software, o que faz com que seja muito mais flexível. A Cisco o implementa com o TrustSec, parte do Identity Services Engine.
Já monitoração de rede, que está sendo chamado agora de network analytics, todo o tráfego de rede é monitorado, e não apenas o tráfego que passa por equipamentos como firewalls. O método mais fácil e eficiente é através da análise dos fluxos de rede, o conhecido netflow. Por ele é possível a detecção de comportamento fora do padrão, por isso suspeito, ou de comportamento de tráfego normalmente associado a ataques. Os clientes Cisco o implementam via o Stealthwatch, agora chamado de Secure Network Analytics.
Depois temos o que sabemos que não conhecemos. Sabemos que há ataques novos, dia-zero, e, portanto, precisamos da capacidade de suspeitar que eles possam estar ocorrendo. Essa capacidade é obtida através da inteligência de segurança, visibilidade e análise de comportamento. Este último é implementado via Network Analytics. Inteligência é o conhecimento das vulnerabilidades, ameaças, técnicas e tudo mais que está ocorrendo na Internet. Mesmo serviços de empresas, como o Cisco Talos, podem ser acessados gratuitamente. Já visibilidade é a eliminação de áreas de sombra na rede e em computadores. Novamente, entra em cena o Cisco Secure Network Analytics, assim como o Umbrella DNS, provendo visibilidade sobre todo o acesso à Internet. Em computadores deve-se ir além dos antivírus básicos, com aplicativo de monitoração de executáveis e sandbox, via um EDR como o Cisco Secure Endpoint (AMP for Endpoints) e o Cisco Secure Malware Analytics (Threatgrid).
Finalmente chegamos ao que nem sabemos que desconhecemos. Se formos atingidos por um ataque desse provavelmente seremos invadidos. E nesse caso o único a fazer é reagir a ele. O principal obstáculo é que acreditamos, ou queremos acreditar, que nossas medidas de proteção irão evitar uma invasão. Elas vão, mas não em 100% dos casos. O primeiro e principal ponto é a criação de um plano de resposta a incidentes, abrangente o suficiente para incluir diferentes áreas da empresa – TI, negócios, marketing, legal. O plano deve incluir também procedimentos proativos como threat hunting. Outra tecnologia importante é a retrospecção, a capacidade de consultar transações ocorridas no passado, como tráfego e transferências de arquivos, a fim de identificar o “paciente zero” de uma invasão.
Chegar ao “paciente zero” não é trivial. Um ataque moderno pode vir de mais de um vetor, e propagar-se com diferentes métodos. Olhar apenas a console de um produto não permite ver todo o cenário do ataque e analisar por completo um indicador de comprometimento. É necessário combinar dados de rede, nuvem, acesso Internet, computadores, email, tráfego web, entre outros. Mas essa combinação vai muito além de consolidar e correlacionar logs. Precisa ser um processo de colaboração entre produtos, em que um observável possa ser consultado em diferentes produtos em tempo real, mesmo que logs não tenham sido previamente enviados. Que tipo de produto faz isso? Algo entre um SOAR e um xDR, tecnologias razoavelmente novas. A Cisco junto todas as funcionalidades necessárias no SecureX, que incorpora também ferramentas de automação e workflow.
Sabemos ser impossível proteção total, e por isso precisamos estar preparados para o que esperamos e não esperamos. Precisamos agir e não apenas reagir. Esperança não é uma estratégia.
Leia mais sobre Ransomware e como a Cisco pode te ajudar aqui
Caso prefira, pode me encaminhar um e-mail (marbezer@cisco.com) e terei o prazer de ajudá-lo a montar um plano de cibersegurança para a sua empresa
Authors