APTs: Conheça as ameaças que mudaram as empresas de segurança

Nova 'linhagem' de ameaças foi uma das razões que fez Brian Dye, da Symantec, dizer que os antivírus morreram; empresas têm soluções para evitar problemas

Em maio deste ano, Brian Dye, vice-presidente sênior da Symantec, soltou uma bomba: os antivírus “estão mortos”, disse ele em entrevista ao Wall Street Journal. O executivo conseguiu gerar polêmica, mas o que ele disse, de certa forma, foi exagerado. As tradicionais soluções de segurança desenvolvidas para proteger usuários e empresas não morreram – mas tipos novos de ameaças mostraram que, definitivamente, elas sozinhas já não são mais suficientes.

Essa nova “linhagem” é chamada de “Advanced Persistent Threat”, ou “Ameaça Persistente Avançada”, em tradução para o português. A sigla é APT, de qualquer forma, e o conceito é um pouco diferente do usado para o malware tradicional. “Uma APT é, na verdade, um ataque que busca uma informação privilegiada de uma empresa específica, para vender esses dados e fazer alguém ganhar muito dinheiro com isso”, diz a INFO Nycholas Szucko, country manager brasileiro da FireEye, empresa especializada em proteção contra golpes do tipo.

À primeira vista, não é tão diferente de um malware – tanto que a infecção se dá por phishing tradicional, até aproveitando brechas em programas conhecidos, como Word e leitores de PDF. Mas há um detalhe crucial aí: o foco em um só alvo. “Antes das APTs, falávamos de um vírus que era enviado para todo mundo, e alguma empresa de segurança conseguia pegá-lo, criar uma assinatura para identifica-lo depois e bloqueá-lo”, explica o executivo.

“Mas quando o ataque é direcionado a um alvo em específico, as soluções não conseguiam bloquear simplesmente porque empresas não viam o que era feito ali.” Ou seja, como uma ameaça do tipo não é algo global, amostras dela não são tão facilmente coletáveis, o que dificulta a criação das tais assinaturas que seriam usadas pelos antivírus. E o trabalho fica ainda mais complicado pelo fator “persistência”: se o invasor é bloqueado de alguma forma, ele tenta atacar de um jeito diferente.

Origem – As tais APTs entraram em pauta apenas recentemente, mas assombram governos desde antes 2004, ano em que a FireEye foi criada. De 2009 ou 2010 para frente, no entanto, os ataques começaram a focar também em empresas, e exemplos recentes de vítimas são o eBay e a Target lá fora e o Ingresso.com e o Itamaraty no Brasil.

“São todos ataques que foram bolados e pensados para buscar informações apenas de um lugar”, explica Szucko. Os golpes exigem planejamento e investimento alto por parte dos atacantes, e, por isso mesmo, miram em alvo que podem render um bom retorno.

O executivo separa as frentes de ataques em três. A primeira é a que envolve governos e seus dados mais sensíveis, enquanto a segunda é a de empresas, em que cibercriminosos focam no roubo de projetos, informações de funcionários e espionagem. Por fim, a terceira e mais grave é a de terrorismo cibernético, onde fazem os ataques mirando no fornecimento de energia de cidades, em comportas de hidrelétricas e outros pontos que podem trazer consequências gravíssimas. “No Brasil, essas partes de governo e de terrorismo não atingem tanto”, segundo o especialista da FireEye.

Como funciona a proteção? – As soluções de proteção são montadas em camadas, de certa forma. No caso da empresa de Szucko, o bloqueio a ataques funciona, de forma simplificada com a ajuda de um equipamento colocado no local em que está o cliente. “Tudo que o usuário fizer ou acessar, nós fazemos também”, explica o executivo. Esse hardware é composto de máquinas virtuais, e sempre que uma delas é infectada – e um ataque é identificado, pela comunicação feita com servidores de fora –, a companhia bloqueia a ameaça e a comunicação com o atacante, tentando evitar que informações vazem.

“E a partir do momento em que descobrimos as características do ataque, já as compartilho com outras ferramentas o que aprendi, para que elas também sejam capazes de bloquear”, finaliza. Assim, a solução serve como uma “camada complementar de segurança para as que já existem”, sejam antivírus, firewalls e antispams.

O funcionamento não é muito diferente do que é visto no conjunto de proteção criado pela tradicional RSA, por exemplo. Como explica a INFO Mike Brown, vice-presidente e gerente geral do setor público global da RSA, a estratégia da empresa tem como “ponto principal o Centro Avançado de Operações de Segurança, construído em torno do produto chamado de Security Analytics”. Esta primeira ferramenta analisa o tráfego de dados, apelando até para o conceito de big data, e segue o conceito que Brown chama de “Intelligence Driven Security” – “segurança movida à inteligência”.

Acessando diferentes fontes de dados, ela entende os riscos e trabalha em conjunto com outra ferramenta, o Archer, uma engine de gerenciamento de risco. E as duas ainda têm o apoio de recursos como o Silvertail e o mais conhecido SecureID, por exemplo. “É muito diferente das medidas tomadas no passado, baseada na ideia de se delimitar um perímetro”, disse Brown.

“Eram soluções que operavam sobre a velha ideia de que já tínhamos visto os impactos causados por uma infecção ou por uma atividade maliciosa.” Assim, “você só pré-programava essas ferramentas para reconhecer o que já aconteceu”, usando as tais assinaturas para bloquear os vírus – e ficando suscetíveis a uma ameaça tão específica.

No futuro – Szucko e Brown têm uma opinião parecida em relação ao fato de as soluções atuais não serem mais suficientes para proteger empresas e governos, especialmente. “É preciso ser capaz de reconhecer os autores das ameaças e bloquear o acesso deles a uma rede de informações cedo o suficiente para que atividades maliciosas sejam prevenidas”, afirma o executivo da RSA. E o country manager da FireEye no Brasil complementa: “Não adianta tentarmos consertar um problema novo com uma ferramenta antiga, é preciso uma nova abordagem”.

A Symantec, de Brian Dye, percebeu essa evolução e começou a investir em um grupo dedicado a pensar no mundo “pós-antivírus”. Mas não só ela e as outras duas citadas: a Dell também tem seu SecureWorks, assim como a Cisco conta com o Sourcefire, a McAfee/Intel com o DeepSafe e outras empresas tradicionais oferecem as próprias soluções.

Mas o especialista da FireEye ressalta que, apesar da queda no rendimento, dizer que o “antivírus morreu” é até equivocado, de certa forma. “As ferramentas que existem hoje são muito importantes e vão continuar existindo para bloquear o que já está em circulação”, diz ele. Ou seja, as ameaças que atacam globalmente, já são conhecidas e tiveram amostras retiradas para a criação de uma assinatura ainda são de responsabilidade dos velhos programas.