Autor: Carlos Rodrigues (Country Manager da Varonis)

O combate ao malware ocupa um tempo razoável da área de Segurança da Informação. Infelizmente, essa batalha do dia a dia acaba ofuscando uma ameaça ainda maior: as violações de dados direcionadas, ou seja, aquelas que foram criadas para roubar dados de uma empresa específica e que usam um conjunto de ferramentas diferente.

Não é sempre que um ataque direcionado utiliza malwares. Quando isso acontece, invariavelmente seu uso é opcional. Os criminosos vão entrar na rede de qualquer maneira, com ou sem malware, e uma vez dentro, vão utilizar os próprios sistemas internos para seguir com a violação de dados.

Infelizmente, essa situação levando o gestor de Segurança da Informação a dois erros fatais: o foco excesso no combate ao malware, e o foco no processo de remediação e remoção do malware. Vamos examinar as duas situações mais de perto.

Situação 1: manter o foco na detecção de violações ou de malwares. Uma violação de dados direcionada bem sucedida é um processo interativo em que o invasor dribla todas as barreiras de prevenção da empresa. Assim, por definição, também são dribladas as ferramentas de segurança que lidam com malwares, mesmo que um malware tenha sido usado. A maior parte da atividade envolve reconhecimento para entender a rede e movimentos laterais para se aproximar de ativos importantes.

Uma maneira de evitar esse erro é direcionar a atenção para a detecção de atividades de violação que indicam o comportamento humano –ou seja, que mostram claramente que há alguém operando aquele ativamente- e que não sejam apenas ações desempenhadas por um script. Para detectar violações ativas, conduza análises de comportamento em vez de usar técnicas como sandboxing, que simplesmente detecta malwares.

Além disso, se um malware ou uma ferramenta maliciosa forem detectados, não pare a investigação. Muitos ataques segmentados usam ferramentas relativamente simples de acesso remoto e variantes de malwares como Zeus. Faça as perguntas certas sobre o que há de especial em um computador e seu dono. Onde mais esse malware, ferramenta ou utilitário pode ser usado?

Situação 2: Direcionar esforço no processo de remoção do malware. Em muitos casos, quando uma violação é descoberta, é difícil entender sua extensão total. Geralmente, organizações se apressam em remover o malware ou formatar a máquina o mais rápido possível. Se, de fato, se tratar de um ataque direcionado, remover o malware ou formatar a máquina não vai mudar o fato de que um hacker tem o controle da sua rede. Um invasor geralmente tem vários pontos de apoio. Remover um deles apenas vai informar que você está ciente dele.

Em vez de focar na remoção do malware, dedique-se à significância do ponto de extremidade, seu dono e o comportamento detectado. Registre seus dados antes de remover a ameaça e siga rastreando sua presença (usuário, máquina e ativos relacionados).

A remediação deve começar com uma triagem e uma investigação do comportamento suspeito, que deve ser baseada no contexto da rede e do ponto de extremidade. Isso deve fornecer uma visibilidade mais ampla e completa.

Fonte: COMPUTERWORLD