terça-feira, 10 de novembro de 2015

Intel Security FOCUS 15 – segurança máxima para os novos tempos

Houve um tempo que vírus era o mal a ser combatido. Faz tempo. Hoje nosso mundo é tremendamente mais complexo e as ameaças são de muitos tipos diferentes vindas de muitos lugares (até internas). Mas a primeira lembrança que tenho de software de segurança para empresas é do antivírus McAfee para PC. No começo dos anos 90 era capaz de identificar e lidar com incríveis 57 tipos diferentes de vírus!!! Se não me engano hoje já são dezenas de milhões de vírus catalogados. Lembro que vírus é hoje uma das ameaças menos graves.

Sistemas de defesa contra invasões, medidas contra roubo de dados, defesa contra negação de serviço, ambiente corporativo, ambiente de mobilidade... são tantas as áreas de contato com o mundo exterior que se proteger ficou algo, se não complicado, ao menos mais complexo. Some a isso tudo a expansão do uso de sistemas e recursos em nuvem, que entremeiam o universo externo com a própria empresa. Venho olhando com muita atenção isso tudo faz um bom tempo. Na última semana de Outubro passado pude participar do congresso FOCUS 2015, organizado pela Intel Security e muita informação  acerca de segurança pude reciclar e absorver.
     

A expertise da McAfee, exatamente aquela empresa , fundada em 1987, que no começo dos anos 90 era a minha referência em termos de segurança foi adquirida pela Intel em 2011 e veio de lá para cá sendo aprimorada. Eu conheço as duas empresas há muito tempo e esta fusão é fantástica para ambos os lados. Após estes poucos anos desde a aquisição já percebo claramente a integração.

Mas o que importa é o FOCUS 2015, suas novidades. Afinal mesmo eu que procuro me manter informado, fui surpreendido com uma série de anúncios e informações, as quais quero dividir com os leitores. Este texto está dividido em 2 partes diferentes. A primeira contém minhas impressões sobre o congresso FOCUS 15. A segunda parte, que será publicada em alguns dias, contém duas entrevistas que fiz com executivos da Intel Security, Vicent Weafer  (Sr. Vice President - Head of McAfee Labs) e  Lisa Matherly (VP, WW Partner Programs, Marketing & Operations). Estas ótimas entrevistas, informativas e até reveladoras estarão na parte 2 desta matéria em alguns dias. Já está feito o convite...


Direto do FOCUS 2015 – novidades – foco na segurança!!

Ocorreu uma mudança do paradigma de sistemas de segurança. Antes as pessoas e empresas se sentiam protegidas usando diversas camadas de defesa como em um castelo medieval. Havia o fosso que era um primeiro obstáculo. Depois as grandes muralhas. As torres de observação, uma segunda muralha. Sentinelas prontos para atacar e repelir invasores. Os bens mais valiosos trancados em um cofre no alto de uma torre com guardas na porta...  Essencialmente um sistema de firewall, antivírus, IPS, etc. têm essa característica, blindar o meio interno das ameaças que vem de fora.


figura 01 – castelo medieval – segurança plena só no passado

Porém hoje em dia este modelo está totalmente obsoleto, não funciona mais. Com a consumerização dos recursos de TI os equipamentos pessoais estão dentro das empresas que dificulta TI de ter total controle das fronteiras no uso dos recursos. Os dados estão em todos os lugares, no servidor, na nuvem, nos dispositivos móveis, bem como os acessos feitos dentro e fora das fronteiras da corporação. Como lidar com esta situação? Faz-se necessário implantar um novo e mais abrangente modelo de segurança que se caracteriza por gerenciar o acesso aos dados não importando de onde são acessados nem onde estão hospedadas as informações.

Isso é comparável ao modelo de segurança que existe em um grande aeroporto. Tente imaginar a quantidade de pontos de checagem, portas de acesso, integridade de dados, quem vem da cidade, quem chega pelo ar, o tráfego nas vias próximas, o tráfego aéreo na região... Isso impõe necessidades que vão além. É um desafio dentre outros muitos desafios!!
     

figura 02 – ambiente complexo com multiplicidade de pontos de acesso
       

Além disso tudo a inventividade dos invasores tem crescido sobremaneira. A título de exemplo, foi descoberta uma ameaça que é implantada por meio de um srcript (PowerShell) que usa recursos legítimos e necessários do um sistema de monitoração do Windows Server (WMI – Windows Management Strumentation) e que não deixa um rastro sequer que pudesse ser identificado por uma “assinatura”. Vejam só!!!

Outra preocupação, há algum tempo se intensificaram os ataques personalizados e persistentes. São iniciativas direcionadas a obter uma informação específica que pode ser desde dados pessoais para alguém se beneficiar com a identidade de outrem como acesso a e-mails visando espionagem industrial/gerencial, projetos, orçamentos, planos estratégicos... Estes ataques personalizados e persistentes podem durar dias, semanas, meses... até que o invasor logre êxito em seu objetivo. Por muitas vezes são utilizados mecanismos extremamente sutis e discretos. É algo com que realmente se deve preocupar.


figura 03 – nova realidade – ameaças personalizadas

Acionando os sistemas de defesa

A Intel Security desenvolveu um conjunto de soluções integradas que visam endereçar este tipo de situação. O desafio é obter extrema agilidade no processo por meio de um ciclo infinito que consiste em PROTEGER, DETECTAR e CORRIGIR, de forma contínua, incansável e o mais automática possível.

Um anúncio importante que aconteceu no FOCUS 15 foi a chegada do novo produto de segurança de endpoints, ou seja, as estações de trabalho e dispositivos móveis da empresa. O ENDPOINT é a evolução dos antigos antivírus, porém mais sofisticado, mais amplos e são gerenciados, ou seja, todo evento de segurança em cada dispositivo é acompanhado e ações podem ser tomadas partindo do administrador (ou por meio de resposta automática definida). Foi anunciada a versão 10.x que entre outras características apresenta:
       
  • Uso de CPU 89% melhor (menor consumo)
  • Tempo de boot 18% mais rápido
  • Arquivos DAT, assinatura das ameaça (rastro “genético”) 60% menor
  • AV-TEST índice 17.5 em 18 – veja mais aqui
  • Instalação entre 3 e 4 vezes mais rápida
  • Varredura inicial (em busca de ameaças) 30% mais rápida
  • Interface simplificada para usuário final e minuciosa para administrador



figura 04 – interface do administrador e do usuário final (clique para ampliar)

AV-TEST é uma entidade de pesquisa de segurança que avalia de forma independente sistemas de antivírus e antimalware. Em seu último teste submeteu o Endpoint 10 a 167 ameaças do tipo “zero-day” (criadas naquele dia – novas) e ele detectou e corrigiu 100% da amostra (0% de falha) sendo que segundo a AV-TEST a média de mercado é ter 2% de falha. Mais detalhes aqui.
      

figura 05 – apresentação do Endpoint 10.x

Este resultado, zero falhas para ameaças do tipo “zero-day” é extremamente importante. Por um simples motivo. Quando no começo dos anos 90 havia em certo momento 57 vírus conhecidos, em 2005 (há dez anos) eram criadas 25 ameaças por dia!! Acha que isso é muito? Em 2015 são geradas 496 mil ameaças POR DIA!! Parece inacreditável, por isso replico a tela abaixo!! Atualmente o submundo do crime digital utiliza meios quase que industriais para criar novos malwares e com algumas pequenas variações cria-se um novo elemento maléfico a partir do anterior.
      

figura 06 – apresentação do Endpoint 10.x e o crescimento das ameaças

Como lidar com esta quantidade insana de ameaças novas por dia? A Intel Security desenvolveu uma tecnologia chamada “McAfeeActive Response” que endereça essa necessidade . Veja mais detalhes no link anterior e aqui. Em resumo, trata-se de um processo que continuamente inspeciona possíveis ataques, dispara gatilhos de ações no caso da descoberta de um comportamento indesejado, adapta-se às diferentes condições. Automaticamente isola a possível ameaça e envia os dados para análise pelo laboratório da Intel Security, alerta o administrador do sistema de segurança na empresa e aparta o arquivo, link, documento, etc. para que ninguém mais na organização tenha acesso.

A propósito, em uma das demonstrações o Endpoint foi capaz de analisar, detectar e isolar um documento do tipo PDF que estava infectado com um malware. Você sabia que o tão usado arquivo PDF pode conter ameaças? Achou que estava imune? Os arquivos do Office com textos do Word ou planilhas do Excel tiveram seus dias de ameaças (vírus de macro). Este tipo de ameaça praticamente não existe mais. Mas nada impede que haja uma nova leva até mais sofisticada desse tipo de malware.


figura 07 – Endpoint descobrindo malware em PDF

Como o Endpoint trabalha com gerenciamento centralizado, a empresa pode optar por bloquear ou liberar recursos como HDs externos, pendrives, etc. de forma seletiva (somente alguns dispositivos previamente autorizados), bem como liberar ou proibir acesso a sistemas de disco virtual em nuvem como Dropbox, Google Drive, OneDrive, iDrive, etc. Isto é muito importante uma vez que este tipo de acesso é um canal que torna muito fácil a fuga de informações de dentro para fora da empresa. A tecnologia que endereça este tipo de problema se chama DLP (Data Loss Prevention).

Além disso, mesmo que autorizado, por exemplo o Dropbox, pode não estar de acordo com normas rígidas de segurança aplicadas na empresa no aspecto criptografia. Pude ver uma demonstração na qual o compartilhamento de arquivo via Dropbox fora bloqueado, mas o serviço BOX SYNC fora autorizado (por estar aderente a padrões mais rígidos de segurança).

O Endpoint consegue interceptar a ação de gravar no disco virtual da nuvem, autorizar ou não baseado em perfil de acesso e ainda obriga o usuário documentar o propósito daquela cópia, que certamente ficará associado com seu nome, data, hora e motivo. Ou seja, não sai dado da empresa sem que tenha sido autorizado e fica tudo documentado. Veja isso na tela abaixo.


figura 08 – Endpoint registrando e documentando o uso do disco virtual na nuvem
      
   
E se tudo isso não bastasse, uma grande revelação para mim foi a transformação de um mito em realidade! Eu ouvia com ceticismo e confesso que até com escárnio quando pessoas me perguntavam sobre vírus que atacaria impressora, roteadores e até computadores, mesmo sem carregar o sistema operacional. Isso era risível!! Mas não é mais. Para começar existe um dispositivo idêntico a um pendrive que ao ser inserido no computador acumula carga elétrica em um capacitor por algum tempo. Depois devolve de uma vez só esta carga queimando a porta USB e muitas vezes também a placa mãe do computador!!!!! Mas isso depende de um hardware feito especialmente para isso. É mais uma piada sem graça do que um ataque anônimo.

Mas foi descoberto um novo tipo de ameaça que, sem ser técnico para não aborrecer os leitores, explora por exemplo, uma vulnerabilidade chamada RowHammer e que permite que um malware se aloje no firmware, BIOS ou mesmo no Hypervisor de um sistema de virtualização de computadores. Estes locais são normalmente isolados do sistema operacional e, portanto, praticamente não detectáveis! A raiz para resolver este problema é realizar uma atualização da BIOS ou firmware do equipamento para eliminar esta vulnerabilidade.


figura 09 – hardware agora também pode ser vítima de malware!!


Uma cola poderosa unindo as camadas de segurança, o DXL

Está bastante claro que não apenas a quantidade de ameaças cresceu incrivelmente como os tipos e variedades dos ataques. Ainda mais claro que vivemos hoje em um mundo no qual o conceito do “castelo medieval” não é mais eficiente para se proteger contra todos os tipos de incidentes, invasões, perda de dados, espionagem, roubo de identidade, escravização de computadores, vírus, ataque de negação de serviço, sequestro de informações com cobrança de resgate (denominado de Ramsomware), ataque contra BIOS e firmware, etc. Mas a defesa contra todos estes tipos conhecidos de ameaças e principalmente contra as desconhecidas necessita de uma arquitetura mais robusta e com alto nível de integração.

O DXL oferece uma camada padronizada de integração e comunicação para uso por todos os produtos, seja qual for a arquitetura proprietária subjacente. Ele simplifica drasticamente as integrações, exigindo que se realize a configuração apenas uma vez, ao mesmo tempo que incentiva a participação aberta dos fornecedores. Com esse aumento de velocidade, agilidade e expansibilidade, é fortalecida a base da detecção e da resposta a ameaças no cenário de TI.
       

figura 10 – Integração de componentes de segurança por meio do DXL

Permite criar um ecossistema integrado de segurança que opera com várias soluções. Baseado em plataforma aberta, conecta produtos e soluções de segurança de vários fornecedores para oferecer compartilhamento bidirecional de informações de segurança. Une tecnologias de defesa diferentes em um único sistema coordenado reduzindo custos operacionais. Agiliza a proteção, a resposta e evita que recursos preciosos da equipe de segurança sejam desperdiçados em tarefas manuais e treinamentos para emergências. Também os componentes conectados pelo McAfee DXL compartilham informações de contexto instantaneamente ao mesmo tempo que oferecem proteção imediata contra ameaças.
     

figura 11 – Integração de componentes de segurança por meio do DXL incluindo soluções de terceiros

Vi com meus próprios olhos várias soluções de parceiros da Intel Security que já oferecem produtos que usam a camada DXL para integrar vários módulos e componentes, bem como se integrar com soluções da Intel Security. É um conceito muito forte e que ao meu ver poderá ampliar enormemente a capacidade de integração de soluções bem como as áreas de Inteligência para resposta a ataques e incidentes.


Previsões da evolução das ameaças para 2016

Uma pesquisa feita pela Intel Security, visando prever o comportamento deste cenário aponta que o ataque do tipo Ramsomware tende a crescer bastante em 2016. Também se prevê ataques aos dispositivos “vestíveis” (os wearables) como relógios inteligentes. Tendem a ser alvo dos ciber-criminosos uma vez que estes contêm muitos dados pessoais de seus proprietários e são relativamente inseguros podendo ser porta de ataque para os smartphones com os quais eles se conectam. Automóveis estão cada dia mais conectados e por isso também poderão ser alvo invasão com consequência extremamente danosas.


figura 12 – crescimento dos ataques do tipo Ramsomware – sequestro de informações


figura 13 – automóveis também na mira das ameaças

Já tendo sido objeto de ataque no passado, também se pode prever que infraestruturas críticas como sistemas de geração de energia e outros serviços públicos possam ser alvo dos ciber-ativistas digitais mal-intencionados. A guerra agora não se luta apenas nas trincheiras, no ar ou no mar, mas também fortemente nesta área, que pode comprometer muito um país e quem desferiu o ataque estar a milhares de quilômetros de distância

Outro aspecto a ser considerado é o grande crescimento dos dispositivos conectados em 2016, ainda mais intenso nos próximos 5 anos. Estamos engatinhando na tecnologia da Internet das Coisas (IoT), já começando a das os primeiros passos. Mas em 2020 são esperados mais de 200 bilhões de elementos conectados em todos os lugares. Isso tudo aumenta muito a superfície teórica de ataque se não houver medidas defensivas adequadas.
     

figura 14 – previsão do crescimento dos dispositivos

A íntegra dessa pesquisa pode ser lida no documento McAfeeLabs - Report - 2016 Threats Predictions. É um documento fascinante, muito interessante, que só foi liberado em 10 de novembro de 2015 (dia que estou finalizando a redação deste texto).

Conclusão

Temas e subtemas relacionados à segurança crescem da mesma forma exponencial que observamos o aumento das ameaças e quase que na mesma proporção das “coisas” conectadas até 2020. Foi um longo caminho desde aquela remota época na qual o perigo vinha apenas em disquetes de origem não comprovada e eram apenas algumas dezenas de vírus conhecidos. Mesmo assim naquela época o que se pretendia era chamar a atenção, causar algum pequeno dano ou espanto (como agiam os vírus da época). Hoje em dia tudo mudou. Mudou muito!!

Não é mais possível colocar mais e mais “trancas” na porta, bem como construir muros de proteção encastelando-se e ficar de fato seguro. Situações extremas exigem medidas extremas. E é assim que toda a indústria de segurança vem reagindo. No congresso FOCUS 15 eu percebi claramente que tive contato com uma diminuta parte desse imenso cenário. Mas também ficou claro para mim que a muito competente McAfee, de tantos anos na vanguarda e entre os líderes do segmento, ao ser incorporada pela Intel também já vem sofrendo suas transformações. A Intel tradicionalmente prevê o futuro e sempre acerta. Vide a “Lei de Moore”. Isso porque com uma pujança incrível ela faz acontecer aquilo que ela previu.

Senti este mesmo dinamismo na Intel Security que aprimorou a McAfee e com toda a capacidade e inteligência combinadas de ambas as empresas, traz para o mercado uma consistente e muito bem arquitetada plataforma e família de sistemas de segurança. UFA!! Ainda bem, pois os próximos anos não serão fáceis, ameaças crescentes, cuidados devem ser multiplicados. A indústria de segurança é forte, competente com seus vários players, reforçada ainda mais por tudo isso que vi no FOCUS 15 mostrado pela McAfee, ou melhor, Intel Security!!
  



Nenhum comentário:

Postar um comentário