Sistemas de Alertas Preventivos: Inteligência Oportuna
|
 |
 |
|
Em um ambiente onde ataques vêm se tornando cada dia mais freqüentes e mais sofisticados, quais as medidas que as empresas podem tomar para garantir a continuidade de seus negócios? Cada vez mais, essas empresas estão considerando o uso de sistemas de alertas preventivos.
Introdução
Os desafios de segurança que as redes corporativas enfrentam hoje vêm se intensificando, tanto em freqüência como em volume. Considere os recentes acontecimentos:
- O worm Blaster apareceu 26 dias depois que a Microsoft descobriu uma falha no RPC DCOM do Windows e lançou um patch para sistemas vulneráveis. O worm tirou proveito do que alguns especialistas em segurança classificaram como a maior falha do Windows já existente. Durante algum tempo, o Blaster infectou até 2500 computadores por hora.
- Os administradores de sistemas que atenderam à conferência DefCon sobre hackers em agosto, disseram que os vândalos on-line estavam utilizando um programa para comprometer os servidores do Windows e controlá-los remotamente através de redes de IRC (Internet Relay Chat). Vários programas, inclusive um que explorava a vulnerabilidade RPC DCOM do Windows, foram rapidamente agrupados para criar uma ferramenta de ataque remoto. A ferramenta aceita comandos de um agressor através de redes IRC, verificando e comprometendo computadores vulneráveis à falha do Windows.
- Um estudo que correlacionou quase um milhão e meio de verificações durante um ano e meio descobriu que 50% de todos os sistemas vulneráveis ainda estavam sem correção, 30 dias após o lançamento dos patches de segurança para software. O estudo, conduzido pela Qualys e publicado em julho, descobriu que 80% das explorações foram lançadas 60 dias após o anúncio da vulnerabilidade.
- O CERT Coordination Center da Carnegie Mellon University relatou que o número de incidentes de segurança de TI cresceu de 52.658 em 2001 para 82.094 em 2002. Só no primeiro trimestre de 2003, 42.586 incidentes foram relatados.
- De acordo com o mais recente Relatório de ameaças à segurança da Internet da Symantec, as ameaças combinadas representaram 60% dos códigos maliciosos enviados à Symantec no primeiro semestre de 2003, e o número de ameaças combinadas aumentou em 20%.
Os eventos acima tornam um ponto inegavelmente claro: O tempo já não está mais do nosso lado. Os especialistas em segurança freqüentemente falam sobre a "janela de ameaças a vulnerabilidades" ou o tempo entre a descoberta de uma vulnerabilidade e uma exploração dessa vulnerabilidade por uma ameaça específica. Como uma indicação das mudanças nos ambientes, considere que os worms Nimda e Slammer possuíam janelas de ameaças a vulnerabilidades durante vários meses, o que permitia que os fornecedores de software vulneráveis pudessem criar um patch e alertar o público, reduzindo o potencial de danos das ameaças. O Blaster, como vimos, surgiu apenas algumas semanas depois que a Microsoft anunciou a vulnerabilidade RPC DCOM, deixando pouco tempo para que os administradores protegessem suas redes.
Rob Clyde, Vice-presidente e Gerente Geral de Tecnologias da Symantec, observou que os ataques de hoje não só estão se tornando mais freqüentes, mas também mais complexos, incluindo vírus polimorfos, mensagens em alta escala, negação de serviços (DoS) e ameaças combinadas. Além disso, à medida que as empresas continuam a adotar novas tecnologias (como redes sem fio e de ponto a ponto, mensagens instantâneas, banda larga e outras) e conduzir importantes funções comerciais on-line, elas se tornam ainda mais alvos de agressores.
Nesse ambiente, onde ataques vêm se tornando cada dia mais freqüentes e mais sofisticados, quais as medidas que as empresas podem tomar para garantir a continuidade de seus negócios? Cada vez mais, essas empresas estão considerando a implementação de sistemas de alertas preventivos.
Verificação global
Um sistema de alertas preventivos permite às empresas se protegerem contra ameaças iminentes, antes que elas possam afetar as operações. Em casos onde os ataques já estiverem a caminho, um sistema de alertas preventivos pode fornecer uma estratégia de redução de riscos.
No nível físico, um sistema de alertas preventivos conta com uma rede global de sistemas de firewall e detecção de intrusões, mantida por milhares de parceiros de dados, para agregar e correlacionar os dados do ataque.
Um sistema de alertas preventivos pode também avaliar os eventos, de acordo com uma indústria vertical específica. Essas informações ajudam as indústrias mais visadas a se prepararem melhor e se prevenirem contra possíveis ataques.
- Antes de um ataque. Um serviço de alertas preventivos fornece notificações de vulnerabilidades e explorações à medida que são identificadas, fornecendo informações para ajudar os usuários a reduzir uma vulnerabilidade antes que seja explorada. Os analistas do sistema monitoram as ameaças em potencial em milhares de produtos e utilizam informações provenientes de uma série de fontes autorizadas. Os analistas fornecem informações não só relativas à vulnerabilidade, mas também às melhores medidas corretivas para manter os sistemas protegidos. Uma análise detalhada de cada alerta e atualização é fornecida, descrevendo sua gravidade e impacto potencial, sua formação técnica, os sistemas que poderão ser afetados, patches ou alternativas disponíveis e abrangentes estratégias de redução de risco.
- Durante um ataque. Um sistema de alertas preventivos fornece também alertas de ataques iminentes. Com acionadores de notificação personalizados e análises de especialistas, o sistema permite que as empresas priorizem os recursos de TI para proteger melhor as informações cruciais contra ataques. Usando informações estatisticamente confiáveis sobre ataques, um sistema de alertas preventivos deve fornecer notificações priorizadas e automatizadas. Patches, medidas corretivas, alternativas e referências adicionais são também fornecidos.
Conclusão: um sistema de alertas preventivos é vital diante das crescentes e sofisticadas ameaças atuais, que demandam recursos superiores de respostas.
Espalhando informações sobre o Blaster e Slammer
Eventos recentes reforçaram a importância da resposta dos sistemas de alertas preventivos a ataques cibernéticos. Por exemplo, foi um sistema de alertas preventivos que, em julho, alertou os clientes sobre a vulnerabilidade RPC DCOM do Windows e sobre o patch da Microsoft. Mantendo a monitoração das atividades de ataques globais, os sistemas de alertas preventivos puderam emitir alertas adicionais à medida que os níveis de atividades aumentaram. (Por exemplo, uma assinatura de detecção de intrusões que protegia contra esse tipo de ataque foi lançada.) A vulnerabilidade eventualmente resultou no worm Blaster, que o começou a espalhar legitimamente no dia 11 de agosto. Entre o anúncio da vulnerabilidade e o worm, a ameaça aumentou diariamente, pois as novas ferramentas para a exploração da vulnerabilidade foram reveladas publicamente, conforme descrevemos acima.
Foi um sistema de alertas preventivos que, em janeiro, primeiro detectou o worm Slammer de rápida propagação, o que dobrou sua taxa de infecção a cada 8,5 segundos em sua fase inicial, causando um prejuízo de estimadamente 1 bilhão de dólares em perda de produtividade. A análise automática dos dados gerados por sensores identificaram o Slammer como uma ameaça global. Os clientes foram notificados sobre a ameaça e avisados para bloquear o tráfego na porta alvo. Alertas adicionais foram emitidos quando análises mais detalhadas identificaram a ameaça como um worm, quando a vulnerabilidade escolhida pelo Slammer foi identificada e quando os patches que eliminavam a vulnerabilidade se tornaram disponíveis.
Um caso federal
O setor privado não está sozinho ao considerar o uso dos sistemas de alertas preventivos. O governo federal também tem sido ativo nessa área.
Por exemplo, o U.S. Department of Defense's Computer Emergency Response Team (DOD-CERT, Equipe de Resposta Emergencial de Computadores do Departamento de Defesa dos E.U.A.) hoje utiliza o sistema de alertas preventivos da Symantec, para fornecer relatórios de informações em tempo real sobre vulnerabilidades e ameaças, que complementam sua capacidade interna de alertas preventivos e fornecem uma visão das atividades globais das vulnerabilidades e ameaças de segurança. A agência recebe atualizações personalizadas do sistema, o que agrega dados de ataques de 20.000 parceiros, incluindo produtos de firewall e de detecção de intrusões de vários fornecedores, em mais de 180 países. O sistema fornece ao DOD-CERT notificações de alertas preventivos provenientes do maior banco de dados de vulnerabilidades do setor, rastreando mais de 18.000 versões de produtos de mais de 2.200 fornecedores. O DOD-CERT recebe alertas com ações a serem tomadas sobre vulnerabilidades e ameaças, via e-mail.
Enquanto isso, o U.S. Department of Homeland Security (Departamento de Segurança Interna dos EUA) está configurando um sistema de alertas preventivos para alertas de segurança na Internet. O Global Early Warning Information System (GEWIS, Sistema de Informações de Alertas Preventivos Globais) tem a intenção de agir como um tipo de hub central que monitora áreas sensíveis da Internet e alerta os funcionários do Department of Homeland Security sobre as atividades suspeitas. Por exemplo, os funcionários afirmaram que esse sistema poderia ser usado para ajudar o departamento a monitorar volumes pouco comuns de consultas de nomes de domínio e solicitações de autenticação de certificados digitais, como possíveis precursores de um ataque eletrônico.
Conclusão
Conforme observado por Rob Clyde, da Symantec, a defesa contra as numerosas e rapidamente propagáveis ameaças de segurança atuais e futuras requer tecnologias novas e dinâmicas. A manutenção do status quo atual já não é mais uma opção. Fornecendo alertas preventivos a ataques cibernéticos e medidas corretivas para a prevenção contra ataques antes que eles ocorram, os sistemas de alertas preventivos garantem que as empresas e o governo se mantenham um passo à frente dessas ameaças.
Links relacionados
|
|
|
