O que torna o Flame – um novo worm parecido com o Stuxnet, que vem causando uma série de problemas nas usinas nucleares do Oriente Médio – interessante não é a tecnologia, mas a intenção que ele constrói.
É improvável que o Flame é mais fácil ou difícil de defender do que qualquer outro malware avançado. As ferramentas à sua disposição para detectar e remover o malware são em grande parte ignorantes de intenções. Além disso, qualquer um que dirige uma empresa irá dizer que eles têm múltiplas camadas de segurança implantadas para pegar um malware e eles ainda experimentam algumas ameaças avançadas com sucesso enraizando em seus usuários finais.
A realidade é: as ameaças, independentemente de serem criadas por Estados ou não, encontram o caminho para as redes. A maioria das tecnologias que têm focado em deter as ameaças ainda nos dão poucos recursos e eles não conseguem fazer isso. Essa é a área que precisa da atenção quando falamos de riscos como o Flame. A lacuna que se apresenta no “e se?” e “e agora?” é o melhor resumo da falta de visibilidade e de uma falta de controle.
Visibilidade significa responder sobre ameaças ou arquivos em seu ambiente que ajudam a compreender a sua exposição. Essa visibilidade nos mostra que é necessário responder a algumas perguntas, como:
• Há quanto tempo essa ameaça está aqui? Isso é crítico para que você possa compreender a extensão da sua exposição potencial;
• Quem mais tem isso? Se você não descobrir a ameaça de um produto de rede (comunicações de saída, por exemplo), ou alguma outra forma que o seu antivírus ignorou, como você pode achar onde mais ele está em sua rede?;
• Como ele foi parar lá? Isso é fundamental para entender, a menos que você queira reintroduzir o seu vetor de introdução. Seria mais sábio se você remetesse o malware ao alvo certo;
• O que a ameaça pode fazer? Nem todas as ameaças são iguais e é importante entender exatamente o que sua exposição causou. Será que seus piores pesadelos foram realizados com dados sensíveis sendo roubados ou foi uma ameaça inerte?
Se pudermos chegar às respostas para as perguntas acima o próximo passo lógico é ser capaz de ter o controle do exercício. Isso significa que você deve ser capaz de remover o arquivo de cada ponto de extremidade sem estar dependente de terceiros e isso significa que você será capaz de parar essa ameaça (ou ameaças como ela) de acessar os usuários finais, mesmo se o seu fornecedor de antivírus ainda não detectou o problema. [Webinsider]
…………………………
Acompanhe o Webinsider no Twitter e no Facebook.
Assine nossa newsletter e não perca nenhum conteúdo.
Ricardo Dias
Ricardo Dias é engenheiro de segurança da Sourcefire e possui mais de 9 anos de experiência em TI, sendo 5 anos dedicados ao tema Segurança da Informação.