Para encerrar a série de posts a respeito das novas formas de ataques dos cibercriminosos, passo a discorrer sobre os três pilares principais necessários a uma solução completa de segurança ao ambiente web:
- Filtragem baseada em reputação
- Filtros de predição de ameaças em tempo real
- Filtragem baseada em conteúdo
Filtragem baseada em reputação
Este é o primeiro componente crítico na luta contra as ameaças baseadas na web. Estes filtros previnem o acesso a sites conhecidos por hospedarem malware ou outros conteúdos indesejáveis, através da filtragem das URL’s baseado em suas reputações (”boa” ou “má”) e são uma ferramenta estabelecida e testada para proteger de maneira satisfatória contra as ameaças já conhecidas e localizadas. Ao proverem esta forma básica de proteção preventiva, eles auxiliam também na otimização da performance da rede e na produtividade de seus usuários, bloqueando o acesso a conteúdos inapropriados, ilegais ou não relacionados ao negócio da organização.
Embora estes filtros geralmente se conectem à grandes e freqüentemente atualizadas bases de dados de sites conhecidos pela hospedagem de malware ou conteúdo suspeito, eles possuem uma falha significativa: eles não oferecem proteção contra malware hospedado em sites previamente classificados como seguros, a sites que se tornaram “sequestrados” ou a recém criados websites. O tráfego destes sites não é bloqueado e o malware, seja recém desenvolvido ou não, infecta a rede da organização.
Filtros de predição de ameaças em tempo real Os filtros de predição de ameaças em tempo real atuam como uma forma de preencher as brechas de segurança deixadas pelos filtros baseados em reputação. Todo o tráfego web passa através de um scanner desenvolvido para identificar ambos malware’s conhecidos ou recém criados. O engine do malware é otimizado para um escaneamento de baixa latência e sempre que qualquer usuário acessa um website, desconsiderando-se sua reputação ou categoria, seu tráfego é escaneado utilizando-se uma combinação de tecnologias baseadas em assinaturas e análise de comportamento. Um valor agregado a este tipo de filtro é que a filtragem é realizada, por definição, bi-direcionalmente – tanto a requisição do usuário quanto a informação retornada pelo servidor web são escaneadas. Em adição à detecção de malware’s conhecidos à medida que movem-se entre sites legítimos, esta filtragem bi-direcional pode também provê proteção contra novas ameaças independentemente de seus locais de hospedagem.
A utilização de filtros de predição de ameaças em tempo real ainda não é comum entre as soluções de segurança web no mercado hoje. A maioria delas conta somente com filtros baseados em assinatura.
Filtragem baseada em conteúdo
Esta técnica analisa todo o tráfego web na rede para determinar o verdadeiro tipo de arquivo do conteúdo originado de qualquer website e pode permitir ou bloquear este tráfego baseado em políticas corporativas. Os filtros de conteúdo escaneam o conteúdo de um arquivo em vez de simplesmente verificarem suas extensões ou o MIME-Type reportado pelo servidor web e assim podem identificar e bloquear arquivos que tentam mascarar seus conteúdos. Um arquivo pode, por exemplo, apresentar uma extensão TXT mas de fato ser um arquivo executável. Ao definir somente a execução de conteúdo relacionado ao negócio, este pilar de proteção possibilita às organizações criarem políticas a respeito de uma grande variedade de tipos de arquivos que podem ser utilizados para distribuírem malware, reduzindo os riscos de infecção.
Filtros baseados em conteúdo também ampliam a otimização da banda de rede através do bloqueio de conteúdos de tamanho elevado ou consumidores de recursos. como vídeo streaming.
À despeito de toda a tecnologia envolvida em ambos os lados desta batalha, a educação dos usuários ainda é aspecto fundamental, relegado muitas vezes pelos gestores de segurança de nossas organizações. Sem uma conscientização e treinamento constantes e maciços, sempre haverão brechas a serem exploradas. Equilibrar a proteção necessária aos recursos às necessidades e expectativas de nossos usuários sem dúvida é o maior desafio dos responsáveis pela segurança da informação nas mais diversas organizações.
Explorar erros de digitação por parte dos usuários
Ao criarem websites utilizando nomes de domínios similares àqueles utilizados por sites confiáveis (por exemplo “Goggle” em vez de “Google” ou utilizando uma extensão de domínio diferente – “.org” em vez de “.com”) os hackers podem se utilizar desses erros comum de usuários para disseminarem seus códigos maliciosos em páginas web. Por causa de suas aparências bastantes similares aos sites visitados pelos usuários, os hackers podem facilmente enganá-los e obrigá-los a baixar conteúdos aparentemente seguros.
Guiar o usuário ao malware através de ataques em “fast-flux spam”
Em vez de encaminhar seus códigos maliciosos através de arquivos anexados aos e-mails, os cibercriminosos passaram a enviar em seus spams apenas os links para páginas infectadas Atrás destes links existe um exército de computadores infectados, conhecidos como “Botnets” atuando como web hosts. O criador do malware percorre todos estes equipamentos com seu código provendo uma mudança constante da página infectada. Este processo de mudança rápida de endereço IP do computador que hospeda o código malicioso é conhecido como “fast flux – fluxo rápido” e aumenta as dificuldades de busca e bloqueio dos ataques spam associados por parte dos filtros de segurança.
Ultrapassar as defesas de segurança através de alterações rápidas
Contrastando totalmente com o método “atire e esqueça” dos vírus e worms orientados a e-mailI, as ameaças atuais da web estão constantemente sendo adaptadas e modificadas afim de ultrapassar qualquer tipo de defesa. Através do reempacotamento de ameaças diversas vezes, os cibercriminosos podem criar numerosas pequenas variações de seus códigos, muitos dos quais podem passar despercebidos pelas soluções de segurança. Este processo pode até ser automatizados permitindo aos criminosos gerar múltiplas variantes de seu malware em um único dia. Esta modificação constante de código não somente permite aos hackers comprometerem mais computadores, mas também significa que uma vez infectado, estes permanecem infectados por mais tempo do que antes. Ao alterar as características de seus códigos continuamente, os hackers podem enganar as ferramentas de detecção de malware baseadas em assinaturas (ou aquelas com capacidade de escaneamento relativamente pobre) e instalar mais códigos maliciosos como spywares ou adwares ao computador. Alternativamente, estes computadores podem ser utilizados para lançar repetidas campanhas de spams ou proferir ataques de negação de serviços (DOS – Denial-of-service).