Na época em que ciberameaças possuíam como alvo apenas departamentos específicos de uma empresa, medidas preventivas e senso comum poderiam funcionar. Entretanto, a notória transformação digital mudou radicalmente o processo do negócio, por meio da introdução de tecnologias da informação quase em todos os lugares. Como resultado, mais e mais sistemas se conectam a redes; aumentando o número de pessoas que os utilizam; além de novos serviços, plataformas e ferramentas que são incluídos. Tudo isso requer uma nova abordagem para garantir a segurança da informação.
Uma solução puramente protetiva simplesmente não é mais o suficiente. Claro, isso não significa que os mecanismos de proteção são inúteis. Eles podem perfeitamente capazes de lidar com a grande maioria das ameaças. Entretanto, quanto maior a empresa, mais interessante ela será aos olhos de cibercriminosos, tornando mais atraente a articulação de ataques complexos e avançados. Contra esse tipo de ação, técnicas usuais nem sempre são efetivas.
Onde está a complexidade dos ataques direcionados?
A principal diferença entre ataques direcionados e em massa está no nível de detalhe da abordagem. Antes de agir, os cibercriminosos tendem a investir bastante tempo na coleta e análise de informações de infraestrutura. São pacientes. Podem passar meses até estarem pronto para tentar implementar algo em sua rede – e esse objeto malicioso nem sempre pode ser identificado como peça de um ataque, afinal, não se trata necessariamente de um malware. Por vezes, não passa de um módulo de comunicação oculto que utiliza protocolos comuns. Nesse caso, o sistema de monitoramento será incapaz de distingui-lo de uma aplicação de usuário legítima.
Tais módulos se tornam ativos no último momento, quando autores de ameaças precisam de acesso a rede, cometer transações maliciosas ou processo de sabotagem. Caso você possua proteção confiável, ela provavelmente responderá a anomalia e evitará o incidente. Mesmo nesse caso, isso será apenas a ponta do iceberg. O principal do trabalho dos criminosos permanecerá invisível (especialmente se tiverem pensado como esconderão os rastros). E essa situação é fundamentalmente errada.
Por que você precisa saber como agem os criminosos
Alguém há de se perguntar qual o benefício prático de saber como intrusos infiltram-se em sua infraestrutura – especialmente se o incidente foi evitado. Entretanto, existem muitas vantagens e toda invasão deve ser analisada cuidadosamente.
Primeiro, conhecer a raiz do problema irá permitir que você não cometa ou corrija a brecha de segurança. Caso não faça nenhuma correção e deposite sua confiança nas medidas protetivas, hackers inevitavelmente repetirão o cenário de ataque -entretanto, melhorarão seus métodos.
Em segunda instância, saber como os intrusos entraram permite que você responda de maneira cuidadosa e imediatamente. O vazamento pode não ser resultado de vulnerabilidades em software e hardware. Atacantes podem obter acesso a infraestrutura por meio de um colaborador, de maneira consciente ou não. Outra possibilidade se situa em uma ameaça advinda de provedores de serviço que possuem acesso aos seus sistemas por razões corporativas.
Além disso, deve ser cogitado que os criminosos possam ter implantado outros itens em sua rede e o incidente pode ser apenas uma parte do plano, uma manobra para distrair.
O que pode ser feito?
Para proteger sua infraestrutura de ataques direcionados e avançados, é necessário fortalecer seu mecanismo de segurança de forma que viabilize o aprendizado com erros anteriores. Cibercriminosos podem deletar informações e mascarar rastros o quanto quiserem. Entretanto, se sua empresa possuir um sistema de detecção e resposta de terminais (da sigla em inglês EDR), especialistas podem facilmente chegar a raiz do incidente. E isso pode ser feito sem interromper a continuidade de seu negócio.
Para esse cenário, desenvolvemos uma solução: a plataforma de Threat Management and Defense, uma versão que agrega as inovadoras tecnologias anti-ataques direcionados (Kaspersky Anti Targeted Attack) e de detecção e resposta para endpoints com serviços especializados (Kaspersky Endpoint Detection and Response). Permite a implementação de uma abordagem estratégica para a gestão de ciberameaças.
O Kaspersky Anti Targeted Attack utiliza tecnologias testadas e efetivas em aprendizado de máquina que permitem encontrar anomalias no tráfego de rede, isolar processos suspeitos e buscar correlações entre eventos. O Kaspersky Endpoint Detection and Response serve para agregar e visualizar os dados coletados. Além disso, sua empresa pode receber ajuda a qualquer momento em incidentes particularmente difíceis, treinar seus colaboradores que agirão no monitoramento, ou promover capacitações no quadro de funcionários de forma geral.
Para saber mais sobre a plataforma Threat Management and Defense, visite sua página específica.