Ameaças bancárias físicas e virtuais – Entrevista com Fábio Assolini da Kaspersky

Durante o encontro de analistas de segurança feito pela Kaspersky semanas atrás em Los Cabos - México, um dos pontos que mais capturou minha atenção foi a apresentação de Fábio Assolini, Senior Security Researcher at Kaspersky Lab relacionada a ataques físicos a sistemas de caixas eletrônicos. Tive a oportunidade de conversar com ele na sequência sobre estes assuntos.

figura 01 – Fábio Assolini em sua apresentação no KLSEC 2016

Segundo Fábio este tipo de ataque tem crescido muito nos últimos anos. A audácia dos larápios é tanta que golpes são aplicados usando dispositivos que substituem os caixas eletrônicos bem como usando recursos de comunicação ou tecnologia para a consecução dos golpes.

A Kaspersky estudou a situação deste tipo de golpe na américa latina. A situação pode ser resumida da seguinte forma.

• Caixas eletrônicos velhos
• Rede mal instalada ou aberta
• Empregados corrompidos
• Roubo ou fuga de dados (manual ou via software)
• Grande desenvolvimento de malware para caixas eletrônicos.

Os dispositivos são antigos. Em sua grande parte são baseados em Windows XP, sistema operacional que já teve encerrado o seu ciclo de suporte encerrado e por isso não mais dispõe de correções de segurança. Também me chamou muita atenção “malware para caixas eletrônicos”. Ou seja, uma vez que o larápio consegue acesso à rede (será explicado depois), ele consegue plantar um software malicioso no caixa eletrônico que em função de seu nível de acesso, captura dados, rouba informações e em alguns casos consegue controlar o dispositivo para realizar o que se chama de “jackpotting”, a extração do numerário como se fosse o grande prêmio de um caça níqueis de Las Vegas!! Sem precisar de fortes instrumentos cortantes, maçarico ou explosivos!

  

figura 02 – malware transforma um caixa eletrônico em um “grande prêmio”

Esta plataforma desatualizada, não apenas o sistema operacional (XP), mas por exemplo, um Flash Player, pode conter mais de 9.000 (nove mil) vulnerabilidades conhecidas, prontas para serem exploradas! Os fabricantes tendem a achar que a máquina estará sempre no regime de operação normal, isolada dos usuários e por isso sem antivírus ou outras soluções de segurança. Ao contrário da área de depósitos e estoque de dinheiro, que são muito bem blindadas (cofre), a parte das máquinas que contém o PC está normalmente muito mais aberta e vulnerável!

Esta categoria de malware é muito especial porque não requer conexão com Internet (mas exige algum tipo de acesso físico à máquina). Ela pode ser acessada pela rede exposta, um pendrive ou dispositivo USB e às vezes até um teclado esquecido (ou levado pelo atacante). Na apresentação do Fábio vimos um vídeo no qual acesso aos bastidores do caixa eletrônico era conseguido por meio de um guarda-chuvas!! Isso fazia a máquina reiniciar e o malware presente no pendrive era introduzido. Vejam as fotos abaixo que ilustram o estado precário de alguns caixas eletrônicos na américa latina:
  

figura 03 – situações muito precárias

 

figura 04 – redes expostas (roteador/switch) “pedindo” para serem atacadas.

Existe um grupo conhecido de cyber criminosos chamado Carbanak que já realizou diversos ataques no mundo e entre outras coisas, vende tecnologia de ataque para outros indivíduos mal-intencionados. A técnica do Carbanak é essencialmente um APT (ameaça persistente avançada).

Os criminosos infectaram computadores de funcionários de bancos sucessivamente com o auxílio de e-mails de spear phishing (ataque direcionado – veja a definição no link). Incluuram arquivos executáveis maliciosos ou por meio de vulnerabilidades do navegador. Uma vez dentro da rede, usaram softwares legítimos para hackear outros PCs até que alcançaram os dispositivos que estavam procurando, aqueles com acesso às transações monetárias. Por exemplo, o alvo eram os computadores de operadores de call centers ou da equipe de suporte.

Como resultado, cada vez que um cibercriminoso sacava dinheiro do cartão de um banco comprometido no ATM de um outro banco, sistemas infectados automaticamente voltavam a transação. É por isso que o saldo nas contas se mantinha o mesmo, permitindo que os cibercriminosos sacassem dinheiro até o limite do caixa eletrônico. Os criminosos fizeram retiradas similares em diferentes terminais de autoatendimento.

Além de toda essa tecnologia nefasta, ainda há ataques do tipo “força bruta” aos caixas eletrônicos, como por exemplo, a explosão. Mas isso chama muita atenção. Por isso também foi criado outro tipo de ataque que consiste na captura de dados dos cartões e às vezes dos próprios cartões usando um caixa falso. Muitas vezes o criminoso está por perto, conectado à sua engenhoca, via Bluetooth ou WiFi recebendo todas as informações, pronto para aplicar os golpes. Veja a foto abaixo!!

figura 05 – caixa falso sendo desmontado

Há diversos tipos de ameaças às vezes um pouco diferentes dependendo do país, como a Ploutus no México, a GreenDispenser na Colômbia. Mas falando de Brasil a Kaspersky encontrou 2 novas famílias este ano. Existe desenvolvimento totalmente local de malware fortemente criptografados. Os criminosos têm conhecimento das funções de rede do banco. Também tentam usar um malware para bloquear a ação do software de proteção utilizada. Em um único ataque 107 caixas eletrônicos foram infectados!!

A conclusão é simples! Ainda se ataca usuários, visando desfalcar suas contas bancárias, mas o cyber criminoso está chegando à conclusão de que é melhor atacar o próprio banco. É mais difícil, mais trabalhoso, mas afinal é lá que o dinheiro graúdo está!

Depois de saber disso tudo tive a oportunidade de entrevistar o Fábio e aprofundar alguns destes assuntos e também falarmos de forma mais ampla sobre as ameaças que rondam em torno de nós. Também conversamos sobre o ataque de sequestro de dados (Ransomware).

figura 06 – conversa com Fábio Assolini

Flavio Xandó: Fábio eu gostaria de saber qual o caminho que estão tomando os ataques e quais as medidas de proteção necessárias? As coisas estão mudando muito rapidamente. Um ano e meio atrás Ransomware era exercício de ficção e hoje em dia é uma ameaça constante!!

Fábio Assolini: quando nós vemos ataques aos usuários um malware vai tentar tirar vantagem para alguém de alguma forma. Olhando o caso do Brasil, a vantagem que se tenta obter é financeira. O criminoso brasileiro é muito imediatista. Ele não tem muita paciência de ficar bolando um ataque que vai demorar muito tempo para executar...

Flavio Xandó: ele não desenvolve algo rebuscado?

Fábio Assolini: não, ele vai direto ao ponto. Por isso que o Brasil é no contexto global o país mais atacado por Phishing, pois este é um ataque muito imediato. Tem um prazo de duração curto, mas o criminoso vai direto aos seus alvos, vai roubar credenciais e assim roubar dinheiro das pessoas. E por conta disso o Brasil é o pais que está entre os que mais produz Trojans bancários do mundo. Que vai também fazer a mesma coisa que o Phishing, roubar as credenciais bancárias e limpar a conta da vítima. Já o Ransomware é uma nova área para os criminosos brasileiros que é muito “interessante”. No caso dos golpes bancários, de alguma forma, com maior ou menor trabalho, a polícia consegue fazer o “follow the Money” e acaba pegando o criminoso ou o “laranja”, estando muito próximo ao mentor do crime. Já o Ransomware afeta a vítima diretamente, criptografa os arquivos dela e o pagamento é via Bitcoin que é uma moeda não rastreável. Por isso tem crescido muito este ataque contra usuários.

Flavio Xandó: e em relação às empresas?

Fábio Assolini: as empresas hoje, dependendo do mercado que ela atua, têm áreas especializadas em segurança e por isso em princípio melhor protegidas. O ataque é diferente. Tem Ransomware? Sim, mas dependendo do perfil da vítima, um banco por exemplo, ataque de Ransomware é bem mais difícil. O criminoso tem que melhorar a arma dele. Se antes ele era bem-sucedido ao atacar usando uma “faca”, para atacar uma empresa como um banco, a faca já não serve mais. Ele precisa trocar a arma de ataque. Que arma é essa? APT (Advanced Persistent Threath). Então ele precisa usar ataques muito mais elaborados para atingir um banco ou um órgão do governo, por exemplo. Uma vez que ele tem êxito em penetrar dentro da empresa, ele vai fazer o maior esforço para permitir que ele fique lá dentro o maior tempo possível sem que percebam que há um invasor na rede. Ele vai roubar a maior quantidade possível de informações para chegar ao seu objetivo.

Flavio Xandó: e qual seria este objetivo?

Fábio Assolini:  quando o ataque é contra um governo, o objetivo é espionagem. Quando o ataque é contra um banco, qual é o interesse do criminoso? É estar lá dentro o maior tempo possível, aprender a usar e conhecer aquele ambiente do banco e a partir disso fazer o ataque. Qual ataque ele faz contra o banco hoje? Uma vez que usou o APT para adentrar ele vai fazer o ataque direto ao ataque do banco de duas formas. Ou da Rede SWIFT para fazer este dinheiro sair de lá e ir para outro lugar ou pelos caixas eletrônicos. Há grupos criminosos que fazem os dois. É o caso do Carbanak. Uma vez que ele tem acesso e infecta a rede interna do banco, ele tem acesso a toda rede de caixas eletrônicos e vai infectar todos estes caixas para fazer os roubos. Há criminoso que fazem o roubo pela Rede SWITF. Recentemente isso aconteceu no Equador e foram levados 12 milhões de dólares! São comuns transferências de grandes valores pela Rede SWIFT, um serviço global que interliga bancos no mundo todo. Os criminosos estão melhorando suas táticas para lhes permitir roubar mais nessas situações nas quais o alvo é o banco e não os usuários.
 

figura 07 – muitas formas para subtrair o recurso alheio

Flavio Xandó: chamou muita minha atenção o que você falou em sua apresentação, não tinha pensado nisso, o potencial de ganho ao atacar o banco é mesmo muito maior.

Fábio Assolini: é muito maior, dá mais trabalho, o ataque tem que ser mais sofisticado, bem planejado porque o banco tem camadas de segurança, tem equipe dedicada. Segurança faz parte de seu negócio. Mas uma vez dentro, o lucro que o criminoso vai ter é potencialmente muito maior do que atacar um simples usuário, ou mesmo uma empresa de outro porte e segmento. Todos os ataques que nós vimos relacionados a caixas eletrônicos são grandes, o valor roubado é grande porque o criminoso já está dentro.

Flavio Xandó: e como são estes ataques a caixas eletrônicos?

Fábio Assolini: são basicamente dois modus operandi. O primeiro é o ataque externo, que ocorre já há bastante tempo, não é novidade. O criminoso tem acesso físico ao caixa eletrônico e o infecta. Mas dessa forma, é como atacar usuários, ele tem que agir caixa por caixa. Mas se ele faz o ataque por dentro, ele tem acesso à rede do banco nas quais existem milhares de caixas. Assim ele pode programar estes caixas para roubar o dinheiro que têm dentro. Hoje o desenvolvimento de malware para caixa eletrônico seguem estes dois caminhos, interno e externo usando APT.

Flavio Xandó: você mostrou na sua apresentação casos de pessoas que têm acesso aos roteadores, que estão expostos, em cima do caixa eletrônico, uma barbaridade. Mas independentemente de nós sabermos que nestes caixas eletrônicos existem softwares antigos e vulneráveis como Windows XP, os bancos têm como prática a instalação nos caixas de algum tipo de software para proteção ou eles acham que a rede deles é segura e não precisam disso?

Fábio Assolini: existem os dois casos. Alguns bancos que têm consciência ou já sofreram ataque e por isso ele vai instalar softwares para cuidar da segurança do ATM para impedir uma infecção. Existem bancos que não foram vítimas e não tomam estes cuidados porque acreditam que o ATM está dentro da rede dele e basta ele controlar a rede que tudo estará seguro. Mas não é bem assim porque o ATM está vulnerável, exposto, o criminoso consegue ter acesso a uma unidade USB ou CD, beneficiando-se do fato que o software rodando ali é antigo, ele faz o ataque. É um jogo de gato e rato.

Flavio Xandó: você pode dar um exemplo?

Fábio Assolini: alguns bancos usam softwares que limitam a execução apenas de programas conhecidos. Como um criminoso vai atacar um ATM desses? Tem jeito? Tem! O criminoso vai usar o próprio software reconhecido pelo banco. Em um dos casos que nós investigamos, o criminoso não desenvolveu um malware. Ele usou o mesmo software do banco que ele teve uma cópia, mas ele modificou este software para trabalhar a favor dele.
 

figura 08 –Kaspesky descobre porque é fácil um hacker fazer um ATM obedecê-lo

Flavio Xandó: mas neste caso o programa não teria um hash diferente? (hash é um tipo de código de verificação digital como se fosse uma assinatura do arquivo)

Fábio Assolini: depende. Tem alguns bancos que usam soluções mais antigas de segurança baseadas em hash. Tem bancos que utilizam outras soluções baseadas em comportamento, em princípio mais seguras. Varia bastante. Mesmo as soluções baseadas em hash podem ser burladas. Quando analisamos os aspectos internos do Windows, códigos podem ser injetados diretamente na memória ou injetar código em outro processo que está ativo e já foi aprovado. Estas duas situações são possíveis. O criminoso vai usar destes expedientes para executar o malware que ele precisa para infectar o caixa eletrônico. Portanto é mesmo uma briga de gato e rato proteger um caixa eletrônico usando um sistema antigo.

Flavio Xandó: para ter acesso à rede interna do banco, na qual está a rede de ATMs, tirando este caso que o roteador está exposto, isso também passa por pessoas cooptadas dentro das empresas?

Fábio Assolini: em alguns casos que nós vimos, sim. Além de existir o problema da segurança física da infraestrutura da rede do banco, pode existir o problema de funcionários corruptos que se unem ao criminoso ou de ex-empregados que já trabalharam no banco e têm informação privilegiada acabam vendendo esta informação para criminosos. Hoje em dia é impressionante a quantidade de documentação que deveria ser apenas interna detalhando o funcionamento da rede ou dos softwares usados nos caixas eletrônicos, que estão disponíveis no “underground”.

Flavio Xandó: Sério?!!??

Fábio Assolini: sim, isso vazou de alguma forma, mas como? A maneira mais fácil deste documento vazar é por meio de gente de dentro. Quando um criminoso encontra um manual do fabricante de caixa eletrônico, que detalha todo o software, todo o funcionamento, essa informação vale ouro na mão dos criminosos. Eles compartilham esta informação entre eles. Com esta informação que ele vai poder se prepara para um ataque. Essa informação deveria ser apenas interna e quando vaza é porque alguém de dentro deixou vazar.

Flavio Xandó: diferentemente da legislação de outros países, que obriga as empresas a divulgar incidentes de segurança, como por exemplo, o caso da TARGET, ela foi obrigada a “dar a cara para bater” e contar o que aconteceu (ataque entrou pelo PDV), no Brasil não existe esta obrigatoriedade. A impressão que dá é que os bancos de acastelam em uma postura do tipo “eu sou inviolável, ninguém nunca me invadiu”, mas na verdade estão acontecendo um monte de coisas que nós não sabemos, não é?

Fábio Assolini: exato. É claro que acontecem vários incidentes de segurança que os bancos não tornam público. Isso é natural em um negócio no qual a segurança é muito importante. Você para ter o seu dinheiro no banco e movimentar a conta, confiança é um fator importantíssimo. Não é do interesse dos bancos tornar totalmente exposto incidentes de segurança que eles tenham passado ou estão acontecendo. Não é bom para o negócio deles e nós entendemos isso. Mas há casos que eles levam isso ao extremo, por exemplo, não compartilhar informações de ataques que eles estão sofrendo com outros bancos! Estes outros bancos ainda não sofreram aquele ataque poderiam tomar medidas para se proteger. Os bancos não compartilham. Isso é ruim para os usuários e para o sistema em si.

Flavio Xandó: isso poderia ser diferente! É uma característica de nosso mercado?

Fábio Assolini: O mercado brasileiro é muito desenvolvido na adoção de novas tecnologias de proteção. Nós somos “early adopters” de novas tecnologias. Por exemplo, o Brasil foi o primeiro país a adotar massivamente o cartão com chip. EUA estão adotando apenas agora. Vamos comparar agora o mercado bancário brasileiro com o mercado europeu. Os bancos europeus estão na vanguarda do compartilhamento de informações sobre ataques. Eles não veem problema em compartilhar informação entre eles ou com empresas de segurança e até força policial especializada. Na América Latina isso não ocorre. Eles são ainda muito reservados para compartilhar informações.

Flavio Xandó: os europeus não deixam o incidente vir a público para que não impacte o negócio, mas dentro da comunidade de segurança e entre eles, eles compartilham visando viabilizar soluções?

Fábio Assolini: exatamente, na Europa é assim, mas na América Latina isso é bem verde. Tem a ver com a maturidade dos mercados.

Flavio Xandó: em termos de soluções a Kaspersky tem presença a partir do consumidor final (doméstico), empresas pequenas e até soluções mais parrudas. São baseadas em software, eu acredito que não exista um appliance Kaspersky, talvez nem precise...

Fábio Assolini: nós temos uma solução especializada contra APT que chamada de KATA (Kaspersky Anti Targeted Attack) que tem um appliance para funcionar na rede do cliente monitorando os ataques de APT. Mas na nossa linha de produtos as soluções baseadas em software são mais presentes, suficientes na maioria dos casos. Por exemplo, nos caixas eletrônicos (software). Hoje você não precisa de um aparato técnico específico. O banco tem que cuidar da segurança física do caixa eletrônico, não deixar unidade de CD ou portas USB facilmente acessíveis. Deve ser blindado o caixa eletrônico e o restante da proteção é feita via software. Isso é possível. A proteção de software pode barrar o ataque de um criminoso.

figura 09 – Kaspersky Anti Targeted Attack – exemplo de dashboard (clique para ampliar)

Conversando sobre Ransomware

Flavio Xandó: falando de Brasil, tomemos um segmento de empresa (não banco), qual é o ataque mais recorrente e qual tem tido mais sucesso?

Fábio Assolini: hoje em dia, nas empresas brasileiras, o ataque mais bem-sucedido tem sido o Ransomware. Tem tido mais alcance dentro das empresas. Em empresas pequenas e médias e mesmo empresas grandes, nem todos os endpoints (estações de trabalho e outros dispositivos) não estão protegidos ou atualizados. Esta é a oportunidade que o criminoso está aproveitando para infectar os endpoints nas empresas e o Ransomware tem as afetado duramente. Os ataques menos comuns são os ataques do tipo APT porque são muito direcionados, que são voltados para grandes corporações e governos. São menos comuns em quantidade, mas eles ocorrem. O Brasil tem sido vítima de vários ataques de espionagem nos últimos anos usando APT. Mas hoje nas empresas, Ransomware tem sido expressivo o número de casos e de empresas impactadas.

Flavio Xandó: eu fui testemunha nos últimos meses de alguns eventos de Ransomware. Em caso eu cheguei tarde, o servidor e o HD de backup já estavam comprometidos. E em outro caso, não só eu estava presente quando os arquivos começaram a ser criptografados, como tive que estancar o ataque e descobrir o ponto de entrada. Uma zelosa funcionária tinha clicado em um link, em um e-mail que dizia “atualize a sua chave de segurança do Banco do Brasil”, que era o banco que ela usava. A solução de proteção (de outro fabricante) não foi capaz de interceder barrar o ataque. Faltou educação digital, na minha opinião complemento essencial para qualquer sistema de segurança. 30 mil arquivos dentre 900 mil foram perdidos. Mas o backup da madrugada estava em dia e não foi problema restaurar o servidor.

Fábio Assolini: seguramente, tudo faz parte de um estado consistente de segurança.

Flavio Xandó: mas sobre isso, eu li recentemente um White paper de uma empresa de segurança. Existe Ransomware que carrega a chave de criptografia com ele mesmo e outro tipo que na hora que ele vai começar a criptografar ele “liga para casa” e informa remotamente a chave que ele vai usar naquele caso. Se este tipo de ataque for interrompido, sem que ele tenha se comunicado com “sua casa”, nunca estes arquivos poderão ser restaurados pelo criminoso, mesmo que seja pago o resgate. É isso mesmo?

Fábio Assolini: não, não é bem assim. São três situações. O Ransomware que carrega a chave com ele, este tipo de Ransomware pode ser decifrado desde que você encontre o vetor, o que iniciou a infecção. Este tipo é mais “amador” e tem se tornado cada vez mais raro. O próprio criminoso sabe que é um Ransomware “meia boca”.
  

figura 10 – Ransomware – pagamento de resgate para obter a chave para recuperar os arquivos

Flavio Xandó: este é “consertável”!!

Fábio Assolini: exato! O segundo tipo, o que é mais comum hoje em dia. O Ransomware ao “desembarcar” se comunica com a CC, sua central de controle e comando, codifica todos os arquivos e no final ele manda a chave para a central. Esta chave que o criminoso vai usar para remover a codificação dos arquivos caso a vítima pague. Este tipo é o mais usado porque o CC está sobre controle do criminoso. O terceiro tipo é o Ransomware destrutivo. Ele tem alguma falha no processo de criptografar o arquivo. Eu já vi um Ransomware que codificava tudo, mas por um erro de implementação a chave usada era eliminada, mesmo pagando não é possível restaurar os arquivos.

Flavio Xandó: para concluir nossa conversa, esse tipo de Ransomware falho que não permite a recuperação dos arquivos, seja por erro de programação ou por fazer algo mais simples e propositalmente destrutivo, não estaria minando a “credibilidade” do negócio Ransomware? Isso faz sentido?

Fábio Assolini: faz sentido sim!! E tem Ransomware que cifra os arquivos de forma não recuperável, mesmo pagando. Isso ocorre. Não importa a situação, vá o criminoso devolver os arquivos ou não, nós recomendamos que a vítima não pague!  Ao pagar, no mínimo você vai estar incentivando o criminoso a continuar com estes ataques. E às vezes é possível recuperar o arquivo cifrado, seja usando uma vulnerabilidade do padrão criptográfico usado pelo criminoso, ou seja, porque em ações conjuntas com a polícia nós conseguimos recuperar as chaves. Já fizemos isso duas vezes com a polícia da Holanda. Bem recente, na semana passada a Kaspersky anunciou que uma família de Ransomware cifrava tudo e mandava para um servidor na Holanda. Ligamos para a polícia da Holanda e falamos “polícia tem um servidorzinho no país de vocês que está com as chaves de criptografia, vocês nos ajudam?”. A polícia foi lá, apreendeu o servidor, passou para nós e encontramos um monte de arquivos e chaves usada para cifrar os arquivos das vítimas. O que nós fizemos, pegamos e criamos uma ferramenta gratuita e distribuímos para que as vítimas pudessem decifrar os seus arquivos - pode ser obtida aqui. Então não se deve pagar para não estimular o criminoso e em alguns casos é possível recuperar o arquivo sem pagar!!
 

figura 11 – ferramenta Kaspersky gratuita para reverter alguns casos de Ransomware

Flavio Xandó: muito obrigado Fábio! Esclareceu muito acerca de vários tópicos sobre a sua apresentação, sobre segurança no meio bancário e também aprendi muito sobre as últimas novidades relacionadas a Ransomware!! Muito obrigado!!

Forcepoint – visão integrada de segurança/cyber behavior - entrevista

Desde janeiro de 2016 grandes membros do segmento de segurança, a Websense a Raytheon e Stonesoft, juntaram forças para formar a Forcepoint. A empresa foi criada para capacitar organizações a impulsionarem seus negócios, mediante a adoção segura de tecnologias transformadoras como nuvem, mobilidade, Internet das Coisas (IOT), etc. A proposta da empresa é realizar isso tudo por meio de uma plataforma unificada e centrada na nuvem que protege usuários, redes e dados, que também elimina as ineficiências envolvidas no gerenciamento de uma coleção de produtos de segurança em servidores, endpoints, etc.

Eu tive no passado a oportunidade de conhecer um pouco mais da Websense, pois conversara com um de seus executivos no Brasil, Cássio de Alcântara. Atualmente Cássio é gerente regional de vendas Brasil da Forcepoint e retomamos a conversa de tempos atrás, sabendo um pouco mais da nova empresa e também sobre sua visão sobre as necessidades de segurança, bem como o que mudou, nas ameaças e nas tecnologias de segurança desde  nosso último encontro (“Sutilezas da segurança – entrevista com Cássio Alcântara da Websense”)!

Cássio de Alcântara, gerente regional de vendas Brasil da Forcepoint

Esta entrevista está dividida em partes de tal forma que o leitor possa ler os tópicos que mais lhe interessam, ou todos. São os seguintes:

• ForcePoint - a nova empresa
• O perigo dos novos tipos de ameaças
• A importância e utilização do cyber behavior
• Análise de conteúdo e contexto como grande arma de defesa

ForcePoint - a nova empresa

Flavio: Cássio eu acho que nos falamos pela última vez há cerca de dois anos, não é? Passa rápido!! Eu queria começar a nossa conversa exatamente a partir do ponto da junção das empresas, como isso muda os negócios?

Cassio:  na verdade a Raytheon comprou a Websense com o intuito de entrar no mercado de cyber guerra porque eles atuam no mercado de armamentos, fabricam mísseis, fazem manutenção de bombardeiros, têm sistemas de radar, etc. Juntos começamos a montar uma configuração porque percebemos que o mercado está mudando muito. Quando você olhava para a segurança no passado, o que acontecia? Como implementava? A segurança era fundamentada basicamente em um dispositivo. Este dispositivo (firewall)  era eu que entregava para o usuário, sabia qual sistema operacional que ele usava, afinal era eu mesmo que instalava a solução. Os patches de segurança necessários ao ambiente eu que analisava, avaliava o impacto no cenário dele... Eu sabia a maturidade das aplicações que ele usava porque eu também que as liberava para seu uso. Como gestor de segurança eu controlava tudo que acontecia nas máquinas dele.

Flavio: mas isso mudou?

Cassio: muito! Quando inventaram o bring your own device duas coisas aconteceram. Primeiramente, eu não sei mais que dispositivo está na mão dele. O segundo aspecto é, eu não posso chegar para ele e falar, traga seus dispositivos para mim que eu vou um a um colocar a segurança aí dentro. Eu preciso prover segurança para ele de outra forma.

Flavio: por uma outra camada, não é?

Cassio: isso, outra camada. Os dados que antes eu conhecia, estavam naquele servidor, ali no fundo do CPD, que eu podia olhar para ele todos os dias, onde eles estão hoje? Não sei mais. Estão na nuvem, em algum outro lugar. Eu também preciso prover segurança para este tipo de acesso. Então o que acabou acontecendo? Toda aquela segurança baseada no contexto do device, não serve mais, vai deixar de existir. Toda aquela segurança que eu fazia em cima dos servidores da rede, vão deixar de existir. Qual é o único ponto no qual eu ainda tenho total controle? Ainda! Que o usuário ainda não controla? O tráfego! Então a partir do momento que o usuário entra na rede, eu olho para o que flui na rede e assim eu controlo este tráfego.

Flavio: então como podemos lidar com esta situação?

Cassio: a nossa visão foi, a Websense tem uma solução que controla o tráfego Web, a melhor que existe porque é a única que enxerga conteúdo dinâmico. A a primeira barreira de segurança é o conteúdo, temos uma solução que já enxerga segurança no acesso Web. Essa solução é integrada com nosso sistema de anti spam, ou seja, eu empresto esta inteligência de Web para o engine de anti spam para prover um nível superior de segurança para e-mail e eu tenho uma solução de DLP (Data Loss Prevention) integrada com tudo isso.

Flavio: isso cobre toda a necessidade?

Cassio: ainda sobram dois pontos do tráfego que eu não enxergava para fazer a segurança. Eu não enxergava o tráfego para dentro da rede e eu não enxergava o tráfego que batia no firewall porque estava ali no gateway de Web ou e-mail. Eu precisava olhar todo o tráfego, de dentro e de fora. Por isso nós compramos uma empresa de firewall, cujo exemplo de produto se encontra sob esta mesa, o Stonesoft. Foi a empresa que era country manager, antes de eu ir para a Websense, agora nós compramos eu estou de novo com o firewall na minha mão. Só que ele virou “next generation”, teve uma série de atualizações.

Flavio: como este firewall compõe uma solução maior? Qual a inovação importante que ele traz?

Cassio: a grande sacada deste firewall é que ele surgiu em um contexto de alta disponibilidade. Ele é um firewall que a partir de uma caixinha pequena, eu pego outra igual, associo as duas, uma em cima da outra, faço alta disponibilidade entre estas caixas e faço redundância de link. Isso me ajuda também a resistir a um ataque de negação de serviço (DOS) porque ele manobra os links de acordo com a disponibilidade e performance de cada um. Eu posso pegar esta solução e implantar em um branch office (filial ou escritório remoto), por exemplo, oferecendo alta disponibilidade e redundância de link. E para dentro da empresa a Raytheon tinha algumas soluções baseadas em “insider threat”, as ameaças internas. A partir do momento que nós juntamos isso tudo, o que acontece, eu entrei em uma nova situação na qual eu tenho 100% de visibilidade do tráfego e quase 100% de entendimento dele.

O perigo dos novos tipos de ameaças

Flavio: porque não dá para ter 100% de visibilidade?

Cassio: desde quando nós começamos a falar de Internet das Coisas, estão surgindo sensores, aplicações, o tempo todo, protocolos novos. Estão aparecendo coisas de tudo quanto é lado, tanto é que têm surgido empresas de segurança de mercado de nichos, por exemplo, já existe antivírus específico para gateways... porque isso? Porque o mundo todo mudou. E os ataques também mudaram. Hoje quando você fala de segurança, existem dois tipos. O ataque direto, quando o firewall é diretamente atingido e um ataque mais coordenado, que é voltado para uma estratégia direcionada. Ataque deste segundo tipo é muito mais difícil de você pegar porque é feita uma estratégia coordenada. Se as partes não se conversam, se não têm a inteligência para trocar as informações, para todos eles parecerá tráfego normal.

Flavio: existe um exemplo que ilustre isso?

Cassio: o Ransomware é isso... O ataque de Ransomware para todas as partes, separadamente, parece tráfego normal. Quando você começa a juntar as coisas e uma pergunta para a outra “está vindo isso daqui?”, “está acontecendo isso aí?”, “você recebeu um e-mail daqui?”, “este link aponta para lá?”... no contexto você fala, isso é um ataque de Ransomware e aí pode ser bloqueado. O grande problema de hoje das corporações, e exatamente por isso nós formamos a Forcepoint é que as soluções olham cada uma para a sua seara, cada uma para o seu canto e não conseguem enxergar o Ransomware como um ataque porque é uma estratégia totalmente coordenada e dividida em pedaços.

  

Flavio: mas na essência, o Ransomware não é um malware especializado? Esstou te perguntando isso porque no meu outro papel, de consultor de TI, tive que interromper um ataque de Ransomware em uma empresa. Resumindo muito a história, alguém recebeu um e-mail, cujo título era “atualize o seu software para acesso ao banco XYZ”, o usuário clicou, nada aparentemente aconteceu e a partir deste momento os arquivos e pastas da rede começaram a ser criptografados. A entrada foi trivial, um Phishing cujo e-mail remetia para um link malicioso... São coisas em princípio evitáveis, com certa educação!! Claro que existindo uma tecnologia que aplica uma couraça que ajude a se defender disso tudo, é mesmo ótimo! O grande problema do Ransomware me parece que é se esconder por trás de coisas bem singelas, mas causa um estrago danado!

Cassio: mas é exatamente por isso que precisa de uma estratégia coordenada. Imagine o seguinte, o e-mail chegou... como eu empresto a inteligência de Web para o meu e-mail? Eu pego o domínio do remetente e analiso, já aconteceu algo ruim ou errado a partir desde endereço (domínio)? E este link? Ele é ou está malicioso? Qual o conteúdo deste link neste momento? Por isso que eu te falo que o conteúdo é a primeira barreira: “ahhh este conteúdo aqui é adulto”. A funcionária A pode receber e-mail com conteúdo adulto? Não, não pode, então ele é bloqueado. Assim o tipo de conteúdo começa a direcionar os bloqueios. Digamos que o e-mail passe nesta primeira triagem. Mas dentro dele tem um link. A ferramenta de segurança de correio vai novamente pegar este e-mail e entregar para o módulo de segurança de Web e perguntar “qual é o conteúdo deste link?”. Assim a URL do link é analisada, o que é, para onde remete.

  

Flavio: feito na hora de recepção do e-mail?

Cassio: sim, mas não apenas. Ele é analisado na entrada (chegada). Mas tem aquele tipo de ataque que ele chega e nessa hora o link não é malicioso, manda no final de semana, passa pelo servidor SMTP, passa pelo AntiSpam e na segunda feira que o link vai ser infectado e estará a partir de então apontando para um arquivo de fato malicioso. Quando existe a ferramenta de Web trabalhando junto, quando chegar o e-mail e ele não for bloqueado porque na hora não havia ameaça, na segunda feira ao tentar usar aquele link a ferramenta da Web vai segurar, pois ela perceberá aquilo como um ataque.

Flavio: este tipo de ataque é muito engenhoso porque na chegada não tem problema, mas depois de algum tempo aquilo que era inocente se torna perigoso!! Existe outro exemplo assim com análise de conteúdo?

Cassio: sim, nós temos nossa ferramenta de DLP (Data Loss Prevention – prevenção contra perda/roubo de dado) funcionando em conjunto com a ferramenta da Web. Assim somos capazes de perceber algumas coisas como, por que está sendo baixado um arquivo com uma criptografia que não é padrão de mercado? O que eu faço com uma criptografia que não é padrão de mercado? Bloqueio! De onde está vindo? É tudo uma questão de contexto, uma análise integrada. A nossa solução tenta suprir a deficiência que o usuário tem, que é a curiosidade. Pois é isso que você contou há pouco, o usuário recebeu um e-mail, com um link...

Flavio: era a atualização da chave de segurança do Banco do Brasil, que coincidentemente era um dos bancos que a pessoa usava diariamente na empresa... ela foi iludida pelo e-mail!

  

  

A importância e utilização do cyber behavior

Cassio: por isso que eu costumo dizer que o conteúdo é o mais importante. Se você vai analisar as políticas de acesso nas empresas. Normalmente ela vai do presidente para os diretores, gerentes, coordenadores e usuários. O presidente vê tudo e cada um desses níveis vê um pouco menos. Porque eles fazem a política assim? Porque elas não têm ferramentas capazes de entregar para as pessoas exatamente aquilo que elas necessitam para utilização. Para que eu vou querer o presidente “no meu pé”? Deixemos ele ver tudo e lá no nível do usuário, eu bloqueio o acesso dele. Dessa forma não há condição hoje de olhar em profundidade o que eu chamo de cyber behavior. Uma vez montado a pessoa vai ter todo o ferramental que ela necessita para trabalhar para evitar a curiosidade. Assim eu dou um pouco de conforto para ela na rede para que ela não vá pegar coisas lá fora. Isso porque se ela pega estes arquivos lá fora, isso é normalmente vazamento de informação.

Flavio: o conceito de cyber behavior, desta forma que citou não era familiar para mim. Podemos explorar mais isso?

Cassio: quando se monta o cyber behavior, cria-se o primeiro acesso do usuário, baseado exatamente no que ele precisa utilizar mais um pouco de conforto. Assim já é criada a primeira barreira que é o conteúdo. Já se começa a trabalhar no sentido de conter estes ataques coordenados de uma forma mais inteligente porque a as pessoas passarão a receber apenas o conteúdo que ele tem que receber. E se um link recebido não estava infectado quando um e-mail chegou a ferramenta de Web vai bloquear na hora que a pessoa clicar.

Flavio: no material que eu li, chamou muito minha atenção um conceito de classificação de perfis de usuário. O que exatamente é isso?

Cassio: avaliando o que trafega na rede, nossa ferramenta de Insider Threat monta perfis dos usuários, atribuindo “notas” para eles. Por exemplo, o usuário A tem uma “nota” 8.5, em termos de risco. Dependendo desta “nota”, este usuário precisa ser mais vigiado, analisado com cuidado.

Flavio: é um tipo de análise comportamental? Como acontece esta análise?

Cassio: primeiramente ele é avaliado pelo acesso de Web propriamente dito. Avaliando todo o seu acesso conseguimos enxergar se ele passa o dia todo apenas tratando com conteúdo de negócios, negócios, negócios ou se ele tem desvios de comportamento durante o dia. Se desvios constantes ocorrem normalmente requer uma tratativa ou com RH, ou com departamento legal ou mesmo no aspecto técnico. Existem usuários que pelo tipo de acesso, ele fica mais exposto. Imagine um usuário do departamento legal que precisa pesquisar alguma coisa que a empresa está sendo processada ou publicar alguma coisa em um blog, ou em alguma página de Facebook que está infectada e ele precisa entrar lá para ver. 

Flavio: sabemos que existem áreas da empresa que por motivos legítimos precisam usar redes sociais e coisas do gênero.

Cassio: precisa sim. Será necessário criar um perfil para este usuário e dar uma certa tolerância no acesso para ele e mostrar para a área jurídica que o cyber behavior dele ficará um pouco exposto a este tipo de conteúdo. Mas quando ele entra em uma página de rede social podemos delimitar que ele pode entrar ali, mas não pode ver conteúdo adulto e no conteúdo que ele vir, não poderá “dar um like” (com o IP da Internet da empresa). Não quero que ele faça “chat”. Não quero que ele faça download ou upload de nada.

   

Flavio: essas ações todas podem ser definidas em uma política criada pela companhia que cerceie estes comportamentos...

Cassio: exatamente, posso fazer isso. O objetivo hoje é o seguinte, ao mesmo tempo que se vai liberando ou criando restrições, isso direciona a visibilidade. Assim, se eu consigo criar uma política na qual eu entrego exatamente o que ele precisa ver, eu já controlo bem melhor este acesso. Eu fiz um estudo e criei um termo chamado TIPP – Tráfego Invisível Potencialmente Perigoso. Todas as ferramentas que não têm este tipo de controle, baseiam-se lista de URL e não analisam o conteúdo em profundidade. Nossa solução avalia o conteúdo em tempo real. O que essas outras soluções fazem com o conteúdo dinâmico? Por não serem capazes de analisa-las elas o classificam como “não categorizada” e deixam aberto o tráfego para elas, caso contrário seriam impedidos acessos a todos os portais, ou alternativamente teriam que alocar um monte de gente para manualmente classificar os acessos. Isso acaba gerando um problema, já que ao não serem criadas categorias eu não consigo entregar para o usuário exatamente o que ele precisa para trabalhar. Imagine 5 anos atrás, quanto tempo o usuário passava na nuvem, na Internet? Quanto tempo ele passa hoje? Ele passa 100% do tempo dele! Se fica sem acesso à Internet... Já me aconteceu muitas vezes de ir em empresas e de repente estão todos do lado de fora de braços cruzados, fumando, conversando, aí você percebe que tem luz, tem água, tem telefone, mas caiu a Internet!! Eles não têm o que fazer, os sistemas estão todos na nuvem! Os nossos sistemas internos lá na Forcepoint estão todos na nuvem. Na nossa visão nós não devemos mais “bloquear” o usuário e sim entregar o conteúdo que é necessário para ele. É diferente.

Flavio: eu pensei agora em uma analogia, eu te pergunto se ela se aplica. Você tem uma trilha para subir uma montanha que é perigosa, tem penhasco, precipícios. Se houver um tropeço a queda será muito séria. Nesse contexto que você falou, vocês estão deixando o usuário percorrer esta trilha, mas colocando escoras, corrimão, apoios para dar segurança no trajeto...

Cassio: sim! O objetivo é, não vou atrapalhar o seu dia a dia de trabalho. Até algum tempo atrás a função do gerente ou diretor da empresa era ficar lá provendo melhoria operacional e redução de custo. Hoje a função deste profissional é alavancar negócios! Como? Ele precisa estar ombro a ombro com o profissional de negócios olhando como ele pode melhorar a aplicação dele, que tipo de device ele pode disponibilizar para melhorar o dia a dia de trabalho, como pode haver um backoffice melhor para aprimorar o nível de informação que estará na nuvem para que esteja disponível na frente do seu usuário no seu dispositivo móvel? Olhar tudo isso e entender como fazer tudo funcionar, chegando mais próximo da fábrica, quais são os sistemas usados, quais os sensores em uso, onde está tudo isso integrado... Esse tráfego todo tem que ser visibilizado e não bloqueado. Imagine se isso fosse bloqueado. Se não houver o “ombro a ombro” junto ao homem de negócios, seu dia a dia estaria sendo atrapalhado. Assim o diretor de TI que está apenas olhando melhoria operacional e redução de custos do data center, ele está pensando no século passado. Quando olhamos para as fábricas, a quantidade de sensores que interagem entre si, a fábrica que trabalha sozinha, da mesma forma que carros também estão indo nessa direção, casas automatizadas, e ao mesmo tempo pensamos, como prover segurança para isso tudo! Ninguém vai mais ficar tentando arrebentar o meu firewall! O ataque vai ser coordenado, vai ser em pedaços, vai chegar por vários lados, tentando penetrar de forma sutil e quando eu perceber meus dados estarão criptografados!

   

Flavio: inclusive por meio de arregimentar pessoas, o tal “ataque interno”...

Cassio: o ataque interno é também fruto da curiosidade das pessoas, algo que nunca controlaremos. Por mais que você faça conscientização. Os atacantes vão nas redes sociais, pesquisam os interesses das pessoas, descobrem algo que o usuário deveria receber e é enviado para ele e-mail com aquele assunto específico. Por isso o conteúdo é aberto, pois é algo que deveria ser recebido mesmo.

Flavio: foi o que aconteceu neste caso do Ransomware que eu comentei, e-mail vindo do banco X...

Cassio: e por mais que o banco coloque lá no site, que ele não pede password, não recolhe o cartão em casa, que não liga pedindo códigos de segurança, as pessoas no dia a dia acabam deixando passar estas coisas.

Flavio: neste caso de Ransomware que citei, a pessoa clicou e instantaneamente começou a criptografar arquivos da rede. A rede tinha mais de 900 mil arquivos, quando eu descobri a origem e interrompi o ataque, quase 30 mil já tinham sido codificados e o que salvou foi o backup da madrugada que estava totalmente em dia.

   

Cassio: e tem pessoas que estão descobrindo que seu backup, na hora da necessidade, não está funcionando!! Não voltam os dados como deveria. Por causa disso tudo que nossa estratégia é olhar 100% para o tráfego e entender quase 100%. Eu crio um bolsão de segurança onde os usuários estão em uma ponta e os sistemas na outra, o que passa aí no meio vai estar seguro.

   

Análise de conteúdo e contexto como grande arma de defesa  

Flavio: eu acho que isso sempre foi o objetivo das empresas de segurança, mas talvez não houvesse o binômio hardware mais software inteligente para fazer isso. E parece que pelo jeito vocês conseguiram resolver esta equação!

Cassio: na verdade nós fazemos a classificação de conteúdo desde que a empresa surgiu. Mas trouxemos toda a inteligência de Web para a frente da rede porque não fazia mais sentido ficar checando segurança, analisando endereço a endereço lá no nosso laboratório, porque o que aparece é diferente do que aparece lá. E a nossa solução não é uma caixinha, é o mundo inteiro que está conectado, analisando um monte de tráfego, buscando as anomalias dentro da rede... E nós não somos um “antivírus”. Nós temos também uma ferramenta de antivírus dentro da solução para checar o legado de ataque de vírus, mas nossa ferramenta analisa o comportamento da página. Temos cerca de 10 mil critérios que avaliam o comportamento de uma página e, de repente pode achar uma criptografia estranha, o que está baixando ali, que site é esse! O tempo todo isso é feito.

Flavio: chama muito a minha atenção este caráter de personalização da proteção, tudo relacionado com a análise de Web. Isso é muito forte.

Cassio: Imagine uma solução de DLP que não tem nossa inteligência de Web. Eu tenho um cartão de crédito corporativo que só posso usar para alimentação, estadia e deslocamento. Eu pego este cartão e começo a usar em um site. Uma ferramenta que não tem a inteligência de Web integrada igual à nossa vai analisar. Pela estrutura do número é um cartão de crédito. De quem é? Pelos dados vai associar ao Cássio. Ele pode usar cartão de credito na Internet? Pode, então segue em frente. Mas onde está sendo feito este gasto? Não se sabe. Na nossa solução, o que é isso? É um cartão de crédito. De quem? Do Cássio. O Cássio pode colocar o cartão de crédito dele? Qual a categoria deste site? É um site de compras, este ele não pode, só permitido para alimentação, estadia e deslocamento. É o site da CVC, então pode, pois está comprando passagem área. Mas, além disso, este site é ou está malicioso?

   

Flavio: isso se relaciona com aquela graduação, o cyber behavior, a tal nota do perfil do usuário?

Cassio: Eu consigo fazer o controle até este nível. Qual é o perfil de segurança do Cássio? Ele tem um perfil 8.5. É...dá para confiar. Autoriza o acesso. Estou cruzando o perfil de utilização deste usuário em relação aos incidentes que ele já teve dentro da rede com o que vem de fora. Estou checando de vários pontos diferentes como e-mails que ele recebeu, páginas Web que ele acessou, no DLP os arquivos que ele manipulou e disso tudo vai sair o cyber behavior que eu vou cruzar com o que veio de fora.

Flavio: muito bom este seu exemplo, mas eu quero dar uma complicada neste cenário. Imagine que o Cássio pegou o cartão de crédito e entrou no site de compra de passagem. Mas você não está dentro do seu escritório, está fora usando o seu notebook que tem a sua solução de segurança. Pelo que eu sei, a segurança integrada funciona fora do perímetro da companhia, via nuvem, certo? Mas naquele lugar que você se conectou, aconteceu um envenenamento de DNS e você se conectou a um site falso da CVC. E aí??

Cassio: a ferramenta de Web vai me dizer que aquele site é falso porque funciona pela nuvem! Nossa ferramenta tem como objetivo, não precisar saber onde o usuário está, não sei com que máquina ele está, eu sei que seu tráfego passa pela minha rede e assim vou prover a segurança para ele, sem agente nenhum dentro da máquina. Vou apontar os proxies. Mas e se ele é o administrador da máquina e ele consegue mexer nos proxies? Apenas neste caso eu vou ter um agente na máquina para fazer login e apontar a navegação por onde deve sair. Mas não existe “segurança” em si na máquina e sim no tráfego pela minha nuvem que será constantemente monitorado e assim garanto a segurança para ele.

  

Flavio: mas este desvio de navegação pelo proxy não introduz alguma latência que seja mais sensível?

Cassio: não porque nós temos um datacenter aqui no Brasil. São 14 ou 15 datacenters espalhados pelo mundo. Não tenho certeza porque toda hora estamos abrindo novos.

Flavio: de toda forma, a Internet foi feita dessa forma. Um gateway entrega para outro, que entrega para outro e outro. Um a mais no meio do caminho não faz diferença, desde que ele seja próximo!

Cassio: isso, desde que que você não precise sair por um site dos EUA para retornar e acessar um site aqui no Brasil. Mas retomando, a ideia é exatamente esta. Montarmos os perfis, e fazer os acessos controlados pela inteligência que a Internet oferece e todas as ferramentas conversarem entre si. O nosso firewall, este hardware, vai se integrar com a nossa ferramenta de filtro. Será um next generation firewall que vai ter também análise de conteúdo. Hoje quando você pega um next generation firewall você vê em seu módulo de administração barras que mostram quanto cada aplicação usou de tráfego. Em breve essas informações irão aparecer com cores que indicarão não só as aplicações, mas o tipo de tráfego associado a cada tipo de conteúdo. A análise de conteúdo é a grande fortaleza para você conseguir resistir a estes ataques coordenados.

Flavio: e é uma análise feita de uma forma autônoma. Porque se depender de alguém ficar analisando tudo isso, seria necessário um batalhão de pessoas olhando caminhões de dados.

Cassio: claro, é autônomo. São milhares de analíticos (critérios) que a página é analisada, também pelo contexto, termos, etc. que permite categorizar cada página e nós vamos melhorando dia após dia. Hoje temos 99.99999%, cinco noves após a vírgula de taxa de páginas classificadas. É muito boa a análise. Nós já fazíamos isso antes no laboratório. Faz 20 anos que fazemos isso. Nós nunca fomos uma simples lista de URLs. E também nunca compramos listas de URLs de ninguém.

Flavio: que foi lá no passado um começo legítimo, até uma boa solução. Mas ficou obsoleto, pelo gigantismo da Web.

Cassio: o conteúdo dinâmico que tornou a tecnologia de listas de URLs obsoleta. Porque mesmo lá no começo da análise das URLs, a categoria “outros” ou “não categorizada” sempre existiu porque nunca foi possível colocar a Internet toda em uma lista de URLs. É inviável. No começo o que nós fazíamos era, ao analisar uma página, este site tem representatividade, muita gente o acessa? Então ele se tornava não categorizado porque ninguém se interessa por ele. Ele só ia para a lista de URLs quando ele passava a ter muita visibilidade. Mas quando a Internet foi se popularizando por vários meios de acesso e principalmente com o surgimento de conteúdo dinâmico, existem redes hoje em dia cujo tráfego é de 80% de conteúdo dinâmico, tudo isso acabava virando “não categorizado”, apenas 20% podia ser categorizada. E dentro destes 80% é que as pessoas acabavam acessando o que bem entendiam. Este é o pior cenário porque a empresa tinha uma ferramenta para organizar a política de acesso, mas estava sendo bastante ineficiente. Dessa forma há exposição ao risco, ocorrem problemas de segurança e surgem outros problemas.

   

Flavio: é nesse caso que a análise comportamental da página é importante. Mas qual a extensão dessa análise? Apenas texto? Imagens também?

Cassio: são avaliadas todas as palavras e os links para os quais a página aponta. Nos e-mails temos uma ferramenta que analisa além do texto e links, também as imagens para determinar se é pornô ou não. As imagens apenas detectamos pornografia, mas no texto conseguimos enquadrar em mais de cem categorias. Vou dar um exemplo. Na época da copa do mundo a FIFA divulgava dois vídeos. Um com o perfil da seleção e outro com os resumo dos jogos. Estes eram os vídeos oficiais. Estes vídeos dentro do Youtube classificávamos como “Special Event. Hoje se você pegar estes mesmos vídeos da FIFA eles estão categorizados como entretenimento, porque o evento especial acabou. Então nós chegamos à sofisticação de criar uma categoria apenas para registrar algo que naquele momento está chamando muita atenção. Isso porque tem muita gente querendo acessar aquilo, preciso arrumar uma forma de meu usuário controlar este acesso e fazer de forma ordenada para que não pare a rede dele. Imagine uma empresa com 6 mil usuários e todos querendo ver os gols de um jogo. Então isso pode ser organizado, por exemplo, certos usuários podem ver vídeos do tipo “Special Event” das 12:00 às 13:00, com uma cota de 30 minutos (horários diferentes ou cotas diferentes para grupos de usuários), ordenando assim quem vai ver e em qual horário, seja no pré almoço ou pós almoço de cada um. Nossa solução também entra na página do Youtube, lê tudo que tem em volta, para todos os links que ele aponta e assim posso classificar os vídeos. As outras ferramentas olham e atestam “isso é Youtube”, apenas isso, abre tudo ou fecha tudo.  

Flavio: no ano passado, lendo o que falavam várias empresas de segurança, já havia uma previsão sobre a explosão do Ransonware neste ano. De fato, cresceu muito, mas eu li comentários recentes prevendo o declínio deste tipo de ataque porque os atacantes estão deixando de ser “éticos”!! Tem havido episódios de Ransomware sem que acesso aos dados sejam devolvidos, mesmo após o pagamento de resgate, até por causa de causa de malware mal feito.

Cassio: alguns tipos de Ransomware já arrecadaram mais de 325 milhões de dólares. Ética (ou a falta dela) existe em todo lugar. Eu conheço alguns casos de empresas que pagaram e ficaram na mão. Por isso tem muita gente que ao perceber que os arquivos foram criptografados, apagam tudo e fazem o backup voltar. Mas existe uma grande necessidade de verificar se os backups estão sendo feitos de fato e se são utilizáveis. Porque a grande desgraça do Ransomware não é ele criptografar seus arquivos e sim ele fazer isso e você não ter backup utilizável.   

  

Flavio: este caso que eu comentei com você dos 900 mil arquivos, 30 mil que foram criptografados até que eu interrompesse o processo, aconteceu às 11:00 da manhã, perto das 12:00 apagamos todos os arquivos inválidos. Demorou perto de duas horas para recuperar apenas aqueles 30 mil arquivos a partir de um backup daquela madrugada e o único prejuízo foi se algum daqueles 30 mil arquivos fora alterado entre 08:00 e 12:00. No final tudo foi resolvido perfeitamente.

Cassio: a chave é ter estes processos definidos para que em situação assim a perda de dados seja mínima ou quase nula. Mas quem foi pego e se viu em má situação foram aqueles que descobriram na pior hora que seus backups estavam semanas atrasados ou que não funcionavam. E o alarde foi grande a ponto de aquecer o mercado de Storage e produtos de backup!! Ransomware não foi o primeiro tipo de ataque coordenado, não será o último. Digo isso porque o maior problema que existe hoje é o roubo da informação. Criptografar o dado é muito incômodo, mas quando informação é roubada, é muito difícil de controlar. Há aspectos de propriedade intelectual envolvidos, segredos de empresa, projetos, bancos de dados de clientes, etc. que pode trazer muito mais risco. Exatamente por tudo isso que a solução totalmente integrada de segurança deve estar em uso pela empresa visando evitar estas e todas as outras ameaças, conhecidas e desconhecidas que podem ocorrer.


Flavio: Cássio, como da outra vez, foi uma conversa muito estimulante, informativa na qual eu aprendi muito. Espero que os leitores apreciem e possam também capturar as lições que você nos passou hoje. E também que não fiquemos tanto tempo sem conversar!! Muito obrigado!!