Ameaças persistentes
avançadas: elas não
são os malwares
comuns
Talvez sua empresa não seja o alvo, mas você ainda está em risco.
kaspersky.com/beready
1.0
AMEAÇAS PERSISTENTES
AVANÇADAS E ATAQUES DE “DIA
ZERO” SÃO PREDOMINANTES
E IMPLACÁVEIS, E ESTÃO
FORÇANDO AS ORGANIZAÇÕES
DE MÉDIO PORTE A QUESTIONAR
O ATUAL PARADIGMA DE
SEGURANÇA.
Introdução
Um ponto óbvio da segurança de informações é que cada usuário e cada
dispositivo enfrentam as mesmas ameaças de malware. Ao longo dos
anos, o malware evoluiu de perturbações que atrapalhavam a operação
e destruíam dados para ferramentas de roubo, espionagem corporativa e
campanhas patrocinadas por estados.
O problema só piora conforme os dispositivos de endpoints se tornam cada
vez mais móveis e operam fora do controle da segurança corporativa. Esse
risco é da maior importância, como observado na classe de malware em
desenvolvimento usada associada com as APTs (ameaças persistentes
avançadas), que se infiltram nas redes de modo invisível, em muitos casos,
acompanhando os endpoints e as mídias portáteis.
Um bom exemplo dessas ameaças emergentes é o Flame, o worm usado como
arma para atacar o setor energético do Irã e que agora está se disseminando
por todo o Oriente Médio. Descoberto pela Kaspersky Lab, o Flame1 é
considerado ‘uma das ameaças mais complexas já descobertas’. Direcionado
para as atividades nucleares no Irã, o Flame preocupa os especialistas em
segurança com a possibilidade do vírus se disseminar além de seu alvo
pretendido e infectar sistemas corporativos ao redor do mundo.
Antes do Flame, havia o Stuxnet, que foi criado especificamente para infectar e
interromper os sistemas SCADA (controle supervisor e aquisição de dados) que
controlam as centrífugas de enriquecimento de urânio do Irã. O malware teve
êxito extremo ao fazer o maquinário operar de forma incontrolável e dirigir-se
para a autodestruição. Infelizmente, o Stuxnet migrou para além dos alvos
iranianos e começou a infectar sistemas SCADA na Alemanha e, por fim, em
outras partes do mundo.
O Flame e o Stuxnet são APTs, armas da nova geração de guerra patrocinada
por governos, terroristas e associações de crime virtual bem estabelecidas.
Equipados com diversas funcionalidades invisíveis, eles são programados
para direcionar-se à propriedade intelectual, projetos militares e outros ativos
corporativos valiosos. Entretanto, as baixas dessa guerra provavelmente serão
de pequenas e médias empresas, que serão abatidas no fogo cruzado caso
não desenvolvam uma infraestrutura de segurança abrangente para guardar
seus endpoints.
Foram-se os dias em que empresas de médio e grande porte podiam desfrutar
de um status relativamente anônimo ou economizar em sua atitude em relação
à segurança. APTs e ataques de “dia zero” são predominantes e implacáveis, e
estão forçando as organizações de médio porte a questionar o atual paradigma
de segurança e mudar sua abordagem em relação às defesas da rede e dos
dados. A segurança de rede é importante, mas não se pode subestimar os
endpoints.
As empresas têm uma profusão de opções de segurança, como toda a
variedade de soluções de segurança antivírus e para endpoints da Kaspersky
Lab, que pode prepará-las de maneira abrangente para enfrentar as ameaças
mais maliciosas de hoje, além dos crescentes e cada vez mais perigosos
ataques de um futuro incerto.
1 Securelist, maio de 2012
2
Neste whitepaper, analisaremos o número crescente de APTs e ameaças de
“dia zero” voltadas para os endpoints; as opções de segurança disponíveis
para usuários corporativos e de empresas de médio porte e como o Kaspersky
Endpoint Security 8 oferece proteção superior contra ameaças de malware
comuns e avançadas.
2.0
OS CRIMINOSOS VIRTUAIS UTILIZAM
MALWARE VISANDO INDIVÍDUOS, PARA
CAÇAR E PESCAR INFORMAÇÕES ALTAMENTE
PERSONALIZADAS, QUE SÃO USADAS EM UM
SEGUNDO ESTÁGIO DE ATAQUE.
APTs: elas não são os
malwares comuns
Antigamente, as ameaças de segurança eram entregues em massa,
normalmente por e-mail. A vítima seria incitada com uma mensagem de
phishing dizendo ser de um financiador estrangeiro ou um parente perdido.
Embora possivelmente nocivas, essas ameaças eram indevidas, fáceis
de detectar e podiam ser evitadas com uma infraestrutura de segurança
básica.
Esses tipos de ataques ainda são predominantes, mas ultimamente as
ameaças foram elevadas ao status de APTs e ataques de “dia zero”, que
agora são termos usados para criar medo, emoção e drama.
Nos últimos anos, a lista dos ataques de APT mais notáveis desafiou até
mesmo a imaginação dos roteiristas mais criativos:
Operação Aurora do Google: em 2009, esse ataque, rastreado na
China, explorou vulnerabilidades do Internet Explorer do Windows para
obter código fonte e outras propriedades intelectuais do Google e de
aproximadamente 30 outras corporações globais.
►► RSA: em 2011, esse ataque, que comprometeu os tokens SecurlD mais
importantes da empresa de segurança, permitiu que criminosos virtuais
se infiltrassem nos fornecedores militares dos EUA, Lockheed Martin,
Northrop Grumman e L3 Communications.
►► Oakridge National Laboratories: o laboratório do Departamento de
Energia foi forçado a ficar offline quando os administradores descobriram
que dados sigilosos estavam sendo sugados de um servidor por meio de
um ataque de phishing.
►► GhostNet: essa rede de espionagem virtual de 1.295 hosts infectados
em 103 países visava uma lista de apoiadores do Tibete e outros alvos
de grande valor, inclusive ministérios locais, comissões de negócios
internacionais, embaixadas, organizações internacionais e organizações
não governamentais (ONGs).
►► ShadyRat: essa famosa campanha de invasões incluiu governos,
organizações sem fins lucrativos e corporações globais, com 70 vítimas
em 14 países.
►►
Atualmente, APTs e explorações de “dia zero” convivem pacificamente e têm
uma presença fértil na mídia. Todavia, o que elas são exatamente e como
diferem de qualquer outro cavalo de Troia ou worm comum?
Pode-se dizer com segurança que não se tratam dos ataques de ‘hackers
adolescentes’ comuns. Como seu nome sugere, as APTs recorrem a tecnologias
avançadas, além de vários métodos e vetores para atingir organizações
específicas, de forma a obter informações confidenciais ou sigilosas.
Diferentemente dos ‘script-kiddies’ que lançavam ataques de injeção SQL
ou dos criadores de malware médio, que alugava botnets pela oferta mais
alta, os mentores da APT geralmente são associações bastante organizadas
com equipes de especialistas e diversas técnicas de coleta de informações
à disposição. Com funcionalidades de invisibilidade de um método de
ataques ‘baixo e lento’ para ficar fora do alcance dos radares, as APTs se
tornam a ferramenta preferida dos espiões cibernéticos, governos inimigos,
terroristas e associações de crime virtual que visam lucro.
3
Normalmente, tudo acontece assim:
DEPOIS DE ENTRAR, A APT EMPREGA
QUALQUER NÚMERO DE CAVALOS DE TROIA,
WORMS E OUTROS MALWARES SOFISTICADOS
PARA INFECTAR A REDE.
4
Com uma APT, os criminosos virtuais visam indivíduos, utilizando malware
para caçar e pescar informações altamente personalizadas, que são
então usadas como parte de um segundo estágio de ataque. A partir de
então, a APT vale-se de técnicas de engenharia social individualizadas
de engenharia social para infiltrar-se em uma organização através de seu
‘calcanhar de Aquiles’: o usuário final.
Durante essa fase de ataque, a APT aponta para vários indivíduos
importantes com acesso conhecido às contas visadas, confundindo-os com
e-mails convincentes que parecem vir do RH ou de uma fonte confiável.
Com um clique descuidado, os criminosos virtuais têm livre acesso às
informações mais preciosas de uma organização sem ninguém saber.
Depois de entrar, a APT emprega qualquer número de cavalos de Troia,
worms e outros malwares sofisticados para infectar a rede e estabelecer
vários backdoors em sistemas que provavelmente permanecerão nos
desktops e servidores indefinidamente. Durante esse tempo, a ameaça
se move sem ser detectada de um host para outro com invisibilidade
prolongada, que permite que ela busque seu alvo atribuído.
3.0
O ano de 2011 TERMINOU COM NÃO MENOS
DE 535 VIOLAÇÕES DE DADOS, ENVOLVENDO
A PERDA DE 30,4 MILHÕES DE REGISTROS.
Alvo de ataques: explorações
de “dia zero”
As ‘ferramentas preferenciais’ das APTs são sempre as explorações de “dia
zero”. Essas ameaças, denominadas apropriadamente, tiram proveito das
vulnerabilidades de segurança no software antes que o fornecedor tenha
tempo de enfrentá-las ou mesmo perceber que elas existem, indicando um
período de zero dias entre o primeiro ataque e a correção. O resultado é
equivalente a uma disputa de crime virtual. Sem medo de represálias, os
criminosos virtuais desfrutam dos benefícios de realizar um ataque para o
qual não há uma medida saneadora.
O malware que visa vulnerabilidades de “dia zero” pode destruir
silenciosamente uma organização, mirando suas informações exclusivas,
como código fonte, propriedade intelectual, projetos militares, dados
de defesa e outros segredos governamentais usados em atividades de
espionagem. Conforme o ataque se desenrola, as consequências não são
nada menos que um pesadelo de TP que custa às organizações milhões
em danos diversos, da retificação da infraestrutura de segurança aos
custos litigiosos e desgastes com clientes, sem mencionar os custos não
declarados necessários para reconstruir a reputação e obter novamente a
confiança do consumidor.
As APTs e explorações de “dia zero” não são novas e foram executadas
pela primeira vez anos atrás, muito antes desses termos se tornarem parte
do dicionário da segurança. Muitas organizações ainda não se dão conta
de que foram atingidas por um ataque de APT de “dia zero” por meses ou
anos; de acordo com um relatório de violações de dados da Verizon 2, 44%
das violações de dados que envolvem propriedade intelectual levam anos
para serem descobertas.
Caso de interesse: um relatório da Christian Science Monitor3 detalhou que
três empresas petrolíferas, ExxonMobil, Marathon Oil e ConocoPhilips, foram
vítimas de ataques virtuais direcionados de APTs originados em 2008.
Durante os ataques, que se pensaram ter origem na China, os criminosos
virtuais canalizaram informações decisivas da indústria sobre quantidades,
valores e locais de descobertas de petróleo em todo o mundo para um
servidor remoto. Porém, essas empresas descobriram os ataques somente
quando o FBI as informou de que informações de sua propriedade tinham
sido roubadas.
Até 2011, as APTs tinham ocupado seu lugar como a grande nova ameaça
na cadeia alimentar da segurança. As APTs foram responsáveis por alguns
dos maiores prejuízos desse ano, incluindo ataques conhecidos na Sony,
Epsilon, HBGary e DigiNotar, além da perda da RSA de aproximadamente
40 milhões de arquivos semente de tokens de senha única (OTP). Incluindo
tudo, estima-se que a violação da RSA4 tenha custado à empresa US$ 66
milhões, e a perda de 100 milhões de registros da Sony5 em sua primeira
violação tenha custado US$ 170 milhões.
2. Verizon 2012 Data Breach Investigations Report , março
de 2012
3. U.S Oil Industry Hit By Attacks—Was China Involved? Mark Clayton, Christian Science Monitor, 25 de janeiro
de 2012
4. RSA SecureID Breach Cost $66 Million - Matthew J.
Schwartz, InformationWeek, 28 de Julho de 2011
5. Sony Network Breach to Cost Company $170 million Adam Rosenberg, Digital Trends, 23 de maio de 2011
6. Data Breaches: A Year in Review - Privacy Rights Clearinghouse
5
O ano de 2011 terminou com não menos de 535 violações de dados
envolvendo, a perda de 30,4 milhões de registros, muitas das quais
resultantes de alguns dos ataques mais sensacionais do ano, de acordo
com a Privacy Rights Clearinghouse6. Essas são apenas uma fração das
violações conhecidas, pois, todos os anos, ocorrem milhares de violações
de segurança que não são relatadas ou descobertas.
4.0
OS USUÁRIOS FINAIS DEVEM FICAR LONGE
DA ÚNICA LINHA DE DEFESA, O QUE TORNA A
IMPLEMENTAÇÃO DE UMA INFRAESTRUTURA
DE SEGURANÇA DE INFORMAÇÕES ROBUSTA
VITAL PARA A SEGURANÇA DOS DADOS DA
ORGANIZAÇÃO.
Armando a empresa contra as
APTs
Mas, será que 2012 poderia ser ainda pior? Pesquisas sugerem que sim.
Com o forte precedente estabelecido pelas violações épicas do ano
passado, as gerações futuras devem se preparar para ondas de ameaças
cada vez mais maliciosas perpetradas por agências estrangeiras, governos
inimigos, “hacktivistas” políticos e empresas inescrupulosas para roubar
segredos ilicitamente. Eventos globais, como as Olimpíadas, a agitação
contínua no Oriente Médio e a instabilidade econômica na Europa,
poderiam armar o cenário para esses ataques.
Dependendo da pessoa à qual você pergunta, o crescimento das invasões
patrocinadas por estados é considerado uma ameaça iminente ou um
terrível problema. De acordo com o Asia Times7, a USCC (Comissão
de Revisão Econômica e de Segurança dos Estados Unidos-China do
Congresso) compartilhou recentemente preocupações semelhantes,
quando o diretório do Conselho da Iniciativa de Política Cibernética do
Atlântico declarou que a ameaça chinesa era tão grande que nossas
defesas virtuais militares a chamaram de “a maior transferência de bens
por meio de roubo e pirataria na história da humanidade”.
Considerando sua traiçoeira presença global em contínua expansão, as
APTs obviamente indicam problemas. Conforme fornecedores militares e
empresas conhecidas continuam se conscientizando e fortificando suas
defesas, as pequenas e médias empresas se tornam a próxima etapa lógica
dos ataques direcionados. Frequentemente, esses setores de mercado têm
uma combinação mortal: todas as informações confidenciais de grandes
corporações e agências do governo com as defesas de segurança de uma
empresa de pequeno ou médio porte.
Entretanto, elas são diferentes, pois têm um orçamento de TI relativamente
reduzido e não contam com uma equipe de segurança de TI exclusiva, que
possa protegê-las nesse cenário de segurança cada vez mais traiçoeiro.
Somando-se a isso a falta de consciência em relação à segurança
decorrente de uma percepção equivocada de seu anonimato, as médias
empresas se tornam o principal alvo das APTs. Considerando que os
hackers puderam penetrar profundamente na rede da Lockheed Martin
antes de serem descobertos, a ameaça contra as empresas de médio porte
e empresas relativamente menores é da maior importância.
Defrontando-se com a intimidante – para não dizer de forma pura e
simples assustadora – ameaça das APTs no horizonte, pode parecer que
os segmentos de médio porte e pequenas empresas têm poucas armas em
seu arsenal. Isso está longe de ser verdade.
Muitos ataques voltados a empresas médias podem ser atenuados ou
suspensos com educação e treinamento regular dos usuários. Práticas
recomendadas de segurança, como evitar clicar em anexos e PDFs de
origens desconhecidas ou não solicitadas, conferir duplamente e-mails
suspeitos e alterar senhas periodicamente, devem ser aplicadas com frequência.
7. Washington Sweats At China’s Cyber Threat - Benjamin
Shobert, Asia Times, 29 de Março de 2012
6
E o melhor, o custo da prevenção inicial corresponde a uma fração do que
as organizações gastariam se o back-end precisasse realizar neutralizações
e controle de danos após um ataque. Um retorno de investimento atraente
para as empresas de médio porte que precisam considerar seu orçamento.
Assim, os usuários finais devem ficar longe da única linha de defesa, o que
torna a implementação de uma infraestrutura de segurança de informações
robusta vital para a segurança dos dados da organização.
O especialista em segurança Bruce Schneier expressou isso melhor:
em ataques de malware convencionais: “A segurança contra este tipo de
invasor é relativa; se você estiver mais seguro que quase todas as outras
pessoas, os invasores irão atrás dos outros, não de você. Uma APT é
diferente; é um invasor que, por algum motivo qualquer, deseja atacar você.
Contra esse tipo de invasor, o nível absoluto de sua segurança é o que
importa. Não interessa o quanto você está protegido em comparação com
seus colegas; a questão é se você está seguro o suficiente para mantê-lo fora”8.
8. Advanced Persistent Threats - Schneier On Security,
Bruce Schneier 9 de novembro de 2011
7
5.0
PARA AQUELES QUE ACHAM QUE O E-mail
É UM VETOR ANTIQUADO: PENSEM
NOVAMENTE. A MAIORIA DAS APTS ENVOLVE
ENGENHARIA SOCIAL ENTREGUE POR E-mail
OU MENSAGENS INSTANTÂNEAS (IM).
Primeira e melhor etapa:
proteger o endpoint
O mercado de médias empresas deve aprimorar suas defesas para atenuar a
crescente e perigosa ameaça das APTs. Os firewalls padrão e
tecnologias de ID não são suficientes para bloquear ataques direcionados
desonestos e sofisticados.
Para complicar, muitas dessas tecnologias não são monitoradas ou
atualizadas adequadamente, tranquilizando as organizações dos usuários
finais com uma falsa sensação de segurança e dando um passe livre para
os operadores de APTs. No mínimo, as empresas de médio porte precisam
ter um agente de segurança de endpoints forte, que incorpore antivírus,
controle de aplicativos, controle de dispositivos e controle da Web.
A maioria das APTs depende da entrada de vulnerabilidades de “dia zero”,
pouco conhecidas ou desconhecidas. As grandes empresas precisam
de uma solução de segurança de endpoints que incorpore tecnologia
baseada em reputação para triar comportamentos suspeitos, e descobrir e
eliminar as ameaças que ainda não podem ser detectadas. Esses filtros de
reputação também alertarão os usuários quando eles estiverem navegando
de modo comprometedor e em sites suspeitos que possam contaminá-los
com malware.
O Kaspersky Endpoint Security 8 combina todos esses recursos necessários
para bloquear APTs em todas as ocasiões. A solução combina proteção
antimalware de vanguarda com controles centrados nos dados, como as
tecnologias Controle de Aplicativos, Controle de Dispositivos e Filtragem
da Web, juntamente com funcionalidades de listas brancas e negras
personalizáveis para limitar aplicativos. As tecnologias heurísticas alertam
o usuário sobre ameaças desconhecidas e, se necessário, podem
tomar medidas imediatas para erradicar o ataque e restaurar os dados
danificados.
Por enquanto, para aqueles que acham que o e-mail é um vetor antiquado:
pensem novamente. A maioria das APTs envolve engenharia social entregue
por e-mail ou mensagens instantâneas (IM). O essencial no Kaspersky
Endpoint Security 8 é seu recurso eletrônico seguro, compatível com os
programas de e-mail mais comuns, que verifica arquivos e links enviados
por sistemas de mensagens instantâneas. Além disso, a solução contém
tecnologias antiphishing, que incluem uma lista de URLs de phishing
atualizada em tempo real pela Kaspersky Security Network (KSN).
Para fortalecer adicionalmente o gateway de e-mail, temos o Kaspersky
Anti-Virus Security for Mail Servers, que protege servidores de groupware
e todos os servidores de e-mail conhecidos, incluindo Microsoft Exchange,
Lotus Notes/Domino, Sendmail, Qmail, Postfix e Exim, contra programas
maliciosos e spam. A solução verifica todas as mensagens e anexos
enviados e recebidos, filtra as mensagens por tipo de anexo e as vasculha
com um antivírus no Exchange, ajudando o usuário final a repelir ataques
de phishing.
Mas poucas APTs ou nenhuma para no endpoint; e a solução antimalware
da organização também não deve fazer isso. O antimalware deve se
estender a todos os componentes da rede, incluindo servidores de arquivos,
estações de trabalho e plataformas móveis.
Para proteger ainda melhor as empresas de médio porte, temos o
Kaspersky Security for File Servers, que fornece verificação ao acessar,
programada e por demanda de todos os principais componentes do
sistema, detectando, removendo e bloqueando software malicioso e
objetos infectados.
8
O KASPERSKY ENDPOINT SECURITY
8 FORNECE FUNCIONALIDADE,
GERENCIABILIDADE E SEGURANÇA QUE
ATENDEM ÀS NECESSIDADES EMPRESARIAIS
DE PROTEÇÃO E ORÇAMENTO.
Como as APTs podem entrar por meio de qualquer estação de trabalho,
o Kaspersky Anti-Virus for Workstations oferece proteção contra todos os
tipos de ameaças virtuais, incluindo vírus, spyware e ataques de hackers,
em todas as estações de trabalho remotas e de área de trabalho. Por trás
da solução, há um verificador de vulnerabilidades e ameaças que monitora
continuamente todos os fluxos de arquivos e dados enviados e recebidos
(incluindo e-mail, tráfego da Internet e comunicação de rede) quanto à
presença de conteúdo malicioso, com verificações: em tempo real, ao
acessar e aprofundadas.
Alguns anos atrás, as APTs não precisavam ir além da plataforma Windows
para atingir seus objetivos, mas esses dias se foram. O recente surto de
malware voltado à plataforma Mac OS X derrubou os usuários de Macs e os
tornou progressivamente suscetíveis aos mesmos tipos de ataques de APTs
que os usuários do Windows. Anteriormente neste ano, o cavalo de Troia
Flashback circulou entre usuários de Macs, infectando mais de 748.000
computadores até o final de abril de 2012.9
O Kaspersky Endpoint Security for Mac oferece todas as proteções contra
ameaças como o Flashback e diversos malwares para Mac que devem
aumentar em breve com um poderoso mecanismo antivírus, uma tecnologia
de verificação heurística e uso otimizado da CPU, juntamente com
implementação remota, gerenciamento de detecção e funcionalidades de
quarentena e armazenamento de backup. Ao mesmo tempo, o mecanismo
antivírus por trás do Kaspersky Anti-Virus for Workstations consegue
detectar, colocar em quarentena e remover malware na maioria dos
sistemas operacionais Linux.
A visibilidade é a chave. As tecnologias que fornecem visibilidade completa
e recursos de relatórios, além de dar aos administradores a capacidade
de avaliar todo o ambiente de TI e a postura de segurança, os dados de
histórico e os eventos de segurança da organização, serão decisivas na
linha de defesa. Essa janela holística deve se estender além do endpoint ou
da estação de trabalho, abrangendo servidores, virtualização e plataformas
móveis.
O Kaspersky Security Center 9 reúne tudo isso, fornecendo um pacote
abrangente de ferramentas de administração que permitem: gerenciar uma
matriz de aplicativos de proteção contra ameaças, configurar e programar
políticas, integra-se às soluções Cisco NAC e Microsoft NAP, e administrar
dispositivos móveis. Nada garante uma proteção absoluta contra infecções
por malware, especialmente com as APTs, que se tornam mais poderosas e
predominantes. A meta de qualquer programa de segurança deve ser atenuar
as ameaças de segurança com a maior facilidade e o menor custo possível.
Pacotes de segurança como o Kaspersky Endpoint Security 8 e seus
produtos complementares oferecem funcionalidade, gerenciabilidade e
segurança que atendem às necessidades empresariais de proteção e
orçamento.
9 The Anatomy Of Flashflake, Part II, Securelist, Sergey
Golovanov, 24 de maio de 2012
9
Sobre a Kaspersky Lab
Com o crescimento dos malwares sofisticados, do uso de aplicativos possivelmente maliciosos e os
funcionários levando seus próprios dispositivos para o trabalho, é cada vez mais difícil gerenciar todas
as possíveis ameaças de segurança de TI em sua empresa.
Com o Kaspersky Endpoint Security 8, você define as regras, controla o uso de aplicativos, da Web e
de dispositivos.
Se algo acontecer, o Kaspersky pode ajudá-lo a ver, gerenciar e proteger seus negócios.
Você está no controle. O volante está em suas mãos.
Be ready for what’s next
kaspersky.com/beready
10