Home / Artigos / Trend Micro: WannaCry expõe desafios atuais da segurança cibernética

Trend Micro: WannaCry expõe desafios atuais da segurança cibernética

Organizações demoram 100 dias ou mais para aplicar uma correção em seus sistemas.

WannaCry
São Paulo, maio de 2017 – No dia 12 de maio, o ransomware WannaCry, por meio de um ataque Zero Day;

Infectou os sistemas de grandes empresas e se aproveitou de desafios de segurança enfrentados pelas organizações atualmente.

A Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – detectou as variantes utilizadas neste ataque como RANSOM_WANA.A e RANSOM_WCRY.I.
Começando com um phish básico, esta variante utilizou uma vulnerabilidade recente (CVE-2017-0144/MS17-010);

Para se espalhar de forma despercebida pelas redes internas mais desprotegidas, causando grandes estragos.
A reação inicial dos observadores externos que acompanhavam o cenário do ataque foi:

“Por que as empresas não aplicaram as correções em seus sistemas?”
De acordo com a Trend Micro – como a maioria dos problemas no mundo digital-isso não pode ser tão facilmente respondido.

Embora seja fácil culpar as vítimas, a campanha de ransomware WannaCry destaca os desafios fundamentais enfrentados pelos gestores de TI.
Esse não é o zero-day mais recente – dias antes do ataque, uma correção estava disponível para o MS17-010 59.

Por isso, um dos maiores desafios que a comunidade de segurança enfrenta atualmente é a comunicação efetiva da cibersegurança dentro do contexto de negócio.
Patch: Extremamente necessário
Um ponto bastante enfatizado na comunidade da Segurança de Informação é: a correção é a primeira linha de defesa.

Apesar disso, não é incomum que as organizações demorem 100 dias ou mais para que apliquem uma correção.
E porquê?

Vários fatores podem responder esse questionamento.

Mas basicamente deve-se ao fato de que o setor de TI é crítico para qualquer negócio.

Interrupções podem ser dispendiosas e prejudiciais à produtividade da companhia.
Outro desafio no momento são os aplicativos personalizados e de terceiros que não seguem as práticas de codificação recomendadas.

Esses aplicativos podem depender de recursos não documentados, comportamentos exclusivos ou atalhos que não são oficialmente suportados.

As correções podem alterar a configuração, impossibilitando o uso dos aplicativos empresariais críticos até que eles também possam ser corrigidos.
Esse ciclo é o motivo pelo qual a maioria das empresas adere às práticas tradicionais de testar correções, o que atrasa significativamente sua implantação.

O investimento em testes automatizados é caro e de difícil justificativa, dada a longa lista de áreas que precisam de atenção dentro da infraestrutura de TI.
Tempo de inatividade vs: Custo de um ataque
Embora a ameaça Zero Day seja real, ciclos longos de patches são muito mais comumente aproveitados para serem atacados.

A campanha WannaCry usou uma vulnerabilidade que era conhecida publicamente há 59 dias.

Infelizmente, é possível que essa vulnerabilidade seja explorada por semanas ou até mesmo, meses.
Segundo a Trend Micro, o cenário pode tornar-se ainda mais crítico:

O MS17-010 foi corrigido apenas em plataformas suportadas.

Uma situação que a Microsoft, desde então, alterou ao emitir a correção para todas as plataformas afetadas.

Embora seja lógico apenas fornecer correções para plataformas suportadas, a verdade é que o número “suportado” é muito diferente do número “implantado”.
O Windows XP, Windows Server 2003 e Windows 8 continuam instalados em alguns computadores;

Alguns relatórios contábeis relatam 11,6% dos computadores Windows e 17,9% dos servidores Windows.

Ou seja, muitos sistemas vulneráveis a serem protegidos.
Soluções de “virtual patch” como o Deep Security da Trend Micro, podem aplicar a correção em sistemas ultrapassados.

À medida que os sistemas se tornam desatualizados, simultaneamente representam um risco maior para a organização.

Assim como a variante do WannaCry, diversos malware, se aproveitam deste fato para maximizar o sucesso em seus ataques.
Até o momento, 637 vulnerabilidades foram contabilizadas, somente em 2017, um ritmo mais rápido do que as;

1.057 relatadas em 2016 (esses números são apenas para vulnerabilidades exploráveis remotamente). Obviamente uma organização não será afetada por todas estas vulnerabilidades, mas é razoável dizer que;

Ao menos uma vez por mês, as companhias terão que enfrentar uma decisão sobre alguma vulnerabilidade crítica.
Para tomar a decisão de interromper o negócio, as empresas devem avaliar esse impacto. E é aí que elas costumam ficar na dúvida.
Em teoria, o cálculo a ser feito deveria ser o custo do tempo de inatividade (ao implantar a correção) e compará-lo com o custo de uma violação.

E, na grande maioria das vezes, o custo de violação é muito maior do que o custo com tempo de inatividade.
Mitigação
O WannaCry é um exemplo de uma nova variante que causou danos significativos antes que a verificação tradicional anti-malware pudesse ser implementada.

É neste ponto que os modelos de machine-learning e a análise comportamental que são executados no endpoint se tornam críticos.
Essas técnicas proporcionam proteção contínua e imediata para novas ameaças.

No caso do WannaCry, os sistemas com este tipo de proteção não foram impactados.

Após uma análise mais profunda da comunidade de segurança, os controles tradicionais foram capazes de detectar e impedir que a última variante do WannaCry fizesse algum estrago.
Quando implantados, controles fortes de rede (como a prevenção de intrusão) conseguiram impedir a propagação indiscriminada do WannaCry em redes corporativas.

Este é outro argumento válido para a micro segmentação na rede.
Os e-mails de phishing continuam a ser o método mais eficaz de distribuição de malware.

79% de todos os ataques de ransomware em 2016 começaram via phishing.

A análise agressiva de e-mails para detectar ameaças e a implementação de gateways fortes são imprescindíveis.
O WannaCry é uma ameaça em rápido movimento que tem tido um impacto significativo no mundo real. Durante o ataque, expôs desafios fundamentais da segurança cibernética no mundo real.
A aplicação de correções é um problema crítico que precisa da colaboração entre a equipe de TI ;

E todos os demais setores de uma empresa para que seja eficaz. Ano após ano, a maioria dos ataques se aproveita de vulnerabilidades com correções. Isso significa que a maioria dos ataques cibernéticos atualmente são evitáveis.
A rápida correção combinada com controles de segurança razoáveis para mitigar ameaças novas e existentes são golpes duplos que toda organização precisa para reduzir o risco de atuar no mundo digital.
Sobre a Trend Micro
A Trend Micro Incorporated, líder global em soluções de segurança cibernética, ajuda a proporcionar um mundo seguro para a troca de informação digital.

Nossas soluções inovadoras para os consumidores, empresas e governos fornecem segurança em camadas para datacenters, ambientes em nuvem, redes e terminais.
Otimizadas para os principais ambientes, incluindo a Amazon Web Services, Microsoft®, VMware® e outros mais, nossas soluções permitem que as organizações automatizem a proteção de informações valiosas contra as ameaças atuais.
Todos os nossos produtos trabalham em conjunto para facilitar o compartilhamento de inteligência de ameaças e fornecimento de uma defesa contra ameaças conectada com visibilidade e controle centralizados, permitindo uma melhor proteção melhor e mais rápida.
Dentre os clientes Trend Micro, estão 45 dos 50 principais da lista top 50 Fortune ® Global 500 companies e 100% das 10 maiores empresas globais dos setores automotivo, bancário de telecomunicações e petróleo.
Com mais de 5.000 funcionários em mais de 50 países e a mais avançada inteligência de ameaças globais do mundo, a Trend Micro permite que as organizações garantam a sua jornada para a nuvem. Para mais informações, visite www.trendmicro.com.

300x250

About Paulo Fernandes Maciel

Leave a Reply

Your email address will not be published. Required fields are marked *

*