brasil
 sites mundiais
produtos
compras symantec
serviço e suporte
security response
downloads
sobre a symantec
pesquisa
comentarios


© 1995-2005 Symantec Corporation.
Todos os direitos reservados.
Notas Legais
Política de Privacidade
soluções corporativas

Entendendo o Cenário de Ameaças Atual

Por Arthur Wong
Vice-Presidente do
Symantec Security Response

ID do Artigo: 4464
15 de outubro de 2004
Introdução
Tudo está relacionado com as pessoas
Análise básica de riscos
Conclusão
Links relacionados

A maneira como falamos e pensamos a respeito dos códigos maliciosos mudou significativamente nos últimos anos. As ameaças de códigos maliciosos são, hoje em dia, sinônimos de vulnerabilidades de software e vice-versa. Uma análise do cenário de ameaças atual mostrará as evidências disso.

Nos últimos quatro a cinco anos, temos percebido um aumento consistente no número de novas vulnerabilidades relatadas, mudando de uma média de 10 por semana em 1999 para uma média de 51 por semana em 2003. O número não está simplesmente aumentando porque estamos vendo, cada vez mais, produtos repletos de bugs. Na verdade, isso pode ser atribuído a duas causas principais:

  • Um aumento na atitude de divulgação completa;
  • Um aumento da conscientização das vulnerabilidades e um esforço maior para encontrá-las.

O que temos aqui é uma faca de dois gumes. Ao mesmo tempo em que temos mais informações disponíveis para proteger nossas redes, os agressores também têm mais informações disponíveis para iniciar seus ataques.

Tendências das vulnerabilidades
Vamos analisar mais profundamente essas vulnerabilidades. Aproximadamente 80% das vulnerabilidades divulgadas em 2003 foram classificadas como possíveis de serem exploradas de modo remoto (praticamente sem alteração em relação aos 81% em 2002). Isso é importante uma vez que essas vulnerabilidades classificadas como possíveis de serem exploradas de modo remoto são sempre classificadas pelo menos como de médio risco. Por quê? Porque o componente vulnerável pode ser acessado por um número maior de agressores, tornando a vulnerabilidade uma ameaça.

Os pesquisadores de segurança procuram cada vez mais por vulnerabilidades exploráveis de modo remoto devido a um número maior de alvos que podem ser acessados pelas redes interconectadas. Além do mais, os aplicativos são cada vez mais capacitados para o uso em rede e, conseqüentemente, isso aumenta o número de vulnerabilidades que podem ser exploradas de modo remoto.

Muitas vulnerabilidades também afetam os aplicativos da web, indicando a tendência de aumento de vulnerabilidades de alto risco. Por exemplo:

  • Havia 54 vulnerabilidades do Internet Explorer em 2003
  • Até agora, já foram documentadas 43 vulnerabilidades do Internet Explorer em 2004
  • A maioria dessas vulnerabilidades continua sem correções por longos períodos.

Tendências de códigos maliciosos
UEm relação aos códigos maliciosos, a Symantec observou que o número de vírus e worms em Win32 no primeiro semestre de 2004 foi quatro vezes e meia maior do que no mesmo período de 2003 (para estabelecer uma perspectiva, houve duas vezes e meia a mais o número de vírus e worms em Win32 no segundo semestre de 2003 do que no mesmo período de 2002).

As ameaças com base em Win32 usam a API do Windows 32, uma interface de programação que simplifica muitas funções exigidas pelos aplicativos modernos. Assim como os desenvolvedores legítimos que usam essa API para criar aplicativos, os autores de código malicioso cada vez mais tiram proveito dessa interface para escrever códigos maliciosos mais eficientes. Exemplos de tal código incluem a enumeração de outros computadores na rede local e a tentativa de propagação por compartilhamentos de arquivos locais.

Outras tendências significativas observadas pela Symantec:

  • Ameaças combinadas recentes como o Blaster e o Sasser estão explorando componentes principais do Windows;
  • O intervalo entre a divulgação da vulnerabilidade e o lançamento do código de exploração está diminuindo;
  • O desenvolvimento de código de exploração está aumentando;
  • Hoje, existem pesquisadores e desenvolvedores de exploração mais qualificados;
  • O compartilhamento de código entre os agressores está aumentando;
  • Os agressores e as ameaças combinadas estão, cada vez mais, visando porta dos fundos de outras ameaças;
  • A popularidade – e a segurança limitada – dos programas de Mensagens Instantâneas e rede P2P tornam estes software atrativos para os criadores de códigos maliciosos.

Uma corrida contra o tempo
Agora vamos analisar algumas estatísticas que mostram como aumentou a taxa de disseminação de worms em computadores. A ameaça combinada Code Red, lançada em meados de 2001, duplicava sua taxa de infecção a cada 37 minutos. Menos de dois anos depois, o worm Slammer, lançado em janeiro de 2003, duplicava sua taxa de infecção a cada 8,5 segundos. Com essa taxa, o Slammer era capaz de infectar 90% dos servidores não protegidos na Internet em apenas 10 minutos.

A maioria das ameaças com disseminação veloz conhecia vulnerabilidades ou “buracos” no sistema operacional anunciados publicamente. O tempo entre o anúncio de uma vulnerabilidade conhecida e o lançamento de uma ameaça direcionada a ela está diminuindo. Em meados de 2003, a ameaça Blaster foi lançada apenas 27 dias depois de a vulnerabilidade associada ter sido anunciada. Em maio deste ano, o Sasser veio à tona apenas 18 dias depois da divulgação da vulnerabilidade Microsoft LSASS. À medida que esse período diminuir no futuro, a capacidade de resposta das empresas será cada vez mais difícil.

Finalmente, considere o recente worm MyDoom (ou seja, a primeira variante), que infectou sistemas de e-mail no mundo inteiro. Em seu auge, um em cada 12 e-mails na Internet carregava o MyDoom.

Obviamente, as ameaças mais recentes estão se espalhando tão rapidamente que é praticamente impossível que algum mecanismo de segurança baseado em assinaturas possa contê-las. Além disso, as ameaças futuras poderiam até fazer com que achássemos que o Slammer fosse mais lento por comparação. Não seria nenhuma surpresa, portanto, se eu dissesse que precisamos encontrar fundamentalmente novas maneiras de “ganhar na corrida contra o tempo”.

É necessário mudar a estratégia
Se queremos vencer essa batalha, temos que mudar nossa estratégia. Precisamos desenvolver novas técnicas que possam controlar esses worms de disseminação ultra-rápida. Não que as tecnologias tradicionais baseadas em assinaturas não sejam úteis, pelo contrário, elas ainda são indispensáveis! No entanto, uma vez que os worms mais rápidos podem fazer o que chamamos de “contágio total” (infecção total de hosts suscetíveis) muito mais rápido do que os seres humanos e os sistemas automáticos conseguem gerar e desenvolver uma assinatura, temos que explorar outras formas.

A Symantec acredita que proteger o ciberespaço requer uma estratégia de segurança completa que inclua quatro elementos cruciais. Em primeiro lugar, um sistema de aviso que permita alertar sobre ameaças novas e iminentes. Em segundo lugar, as tecnologias corretas devem ser implementadas em todos os níveis para proteger dispositivos e dados de aplicativos cruciais. Em terceiro lugar, um plano deve ser criado para responder no momento da ocorrência de um ataque inevitável. E, por último, um sistema abrangente deve ser estabelecido para gerenciar o processo contínuo de proteção à infra-estrutura.

Tal estratégia visa à segurança a partir de uma perspectiva empresarial abrangente em vez de apenas uma visão tecnológica (ou “produto isolado”). É por isso que é tão necessário integrar as pessoas e os processos associados com alertas, proteção, resposta e gerenciamento. Vamos analisar mais profundamente esses quatro elementos.

  • Alerta. A melhor maneira de proteger uma rede de qualquer ameaça é conhecer a mesma e a vulnerabilidade que ela explora antes de um ataque ser lançado. Um sistema de alerta cibernético deveria fornecer um aviso antecipado sobre ataques recém-lançados. Também deveria fornecer informações práticas sobre como proteger o ambiente do ataque iminente;
  • Proteção. As organizações tradicionalmente garantem a proteção através da implementação de uma série de produtos isolados que funcionam de forma independente. Contudo, com essa abordagem, cada produto também deve ser instalado e atualizado individualmente, criando um sistema de gerenciamento extremamente complexo. Embora nenhuma tecnologia isolada possa proteger adequadamente contra os sofisticados ataques de hoje, uma abordagem integrada da segurança pode ajudar a eliminar os desafios dos produtos isolados e oferecer uma solução mais abrangente. Tal abordagem dá menos enfoque às tecnologias de proteção individual e mais aos níveis da arquitetura dos sistemas. Isso significa que o foco muda para os níveis de cliente, servidor de aplicativos e gateway, em vez de escolher um firewall ou um detector de intrusões. Com isso, cria-se uma solução de “defesa total” que permite gerenciar todo o ambiente, não apenas os aplicativos de segurança individuais;
  • Resposta. Um plano de resposta eficiente começa com o conhecimento do ataque, bem como com medidas para abordá-lo e com os detalhes sobre como eliminar qualquer dano. Também é essencial um suporte ininterrupto, 24 horas por dia, 7 dias por semana, para produtos de segurança cruciais, incluindo atualizações automáticas a regras de firewall, definições de vírus e assinaturas de detecção de intrusões;
  • Gerenciamento. Isso significa correlacionar rapidamente informações geradas pelas soluções de segurança, simplificando-as e dando prioridade a qualquer ação necessária. O gerenciamento pode ser especialmente desafiador em ambientes que hospedam produtos diferentes de vários fornecedores, em que cada dispositivo gera seu próprio excesso de dados.

Conclusão
Com a ameaça de ataques de dia zero, as empresas não podem esperar que sejam desenvolvidas assinaturas para seus sistemas de detecção de intrusões. Atualmente, as ameaças são rapidamente disseminadas e o tempo hábil para corrigir as vulnerabilidades de segurança está cada vez mais curto. No ano passado, o worm Blaster provou isso.

Os sistemas de detecção de intrusões não conseguem encontrar todos os ataques, independentemente do tipo de sistema implementado. Se apenas IDSs de assinatura forem implementados em toda a rede, eles não encontrarão ataques desconhecidos nem de dia zero. É por isso que as empresas atuais devem explorar tecnologias iminentes como prevenção de intrusões com base em host, bloqueio de exploração genérica e proteção de anomalias em protocolos, que prometem proteção pró-ativa contra essas novas ameaças.

Os sistemas de proteção contra ameaças de dia zero e desconhecidas exigem sistemas de aviso e alerta avançados. Não seja surpreendido ao ser atingido por um ataque de dia zero. Esteja preparado para detectar, proteger, responder e controlar.

Sobre o autor
Como vice-presidente do Symantec Security Response, Arthur Wong direciona a visão, estratégia e execução do Symantec Security Response e da divisão Managed Security Services. Wong é um dos mais notáveis especialistas mundiais em gerenciamento de ameaças a computadores do mundo. Em 1999, ele co-fundou a SecurityFocus, uma empresa líder de gerenciamento de ameaças à segurança de Internet e trabalhou como CEO até a empresa ser adquirida pela Symantec em 2002. Em 1996, ele co-fundou a empresa de desenvolvimento de software de segurança de Internet Secure Networks, Inc., que foi adquirida pela Network Associates em 1998.

Wong é uma autoridade reconhecida no mercado e um orador freqüente em eventos de segurança, no qual ele compartilha sua experiência em ameaças, ataques e manifestações globais, e identifica ameaças futuras. Suas participações mais recentes incluem CSI NetSec, ITAA e RSA Conference.

Wong é bacharel em sistemas de gerenciamento de informações pela Universidade de Calgary.

Links Relacionados:

assine
Outros Artigos de Segurança
Centro de Imprensa
 
 
Licencias Parcerias da Symantec Channel Partners Home