Protegendo
os Funcionários Remotos
|
 |
| |
Era apenas questão de tempo.
Não tardou para que surgissem ameaças
em forma de worm aos cada vez mais presentes telefones
celulares.
Conforme divulgado no Symantec Security Response,
o worm EPOC.Cabir, um “proof-of-concept” ("comprovação
de conceito"), usa o recurso Bluetooth, sem fio
e de curto alcance, dos "telefones inteligentes" para
executar o sistema operacional Symbian a fim de detectar
outros telefones Symbian. O worm envia a si mesmo continuamente
até encontrar dispositivos ativados por Bluetooth.
Embora não realize uma atividade maligna, o
worm consome a vida útil da bateria do telefone
ao tentar continuamente detectar dispositivos ativados
por Bluetooth.
Até o momento, os fornecedores
de antivírus
não encontraram evidências de que o programa
esteja infectando telefones inteligentes fora dos laboratórios
de pesquisa. Entretanto, não é difícil
imaginar as conseqüências de um ataque desse
tipo para o número crescente de funcionários
remotos. E o tempo não pára.
Ameaças
aos funcionários remotos
As notícias sobre o EPOC.Cabir chegaram em meio
a avisos constantes sobre as falhas de segurança
dos dispositivos de computação móvel
da atual geração. De acordo com a Gartner
Dataquest, mais de 20 milhões de computadores
do tipo handheld foram vendidos nos últimos
cinco anos. Os especialistas do mercado acreditam que
apenas 1% desses dispositivos oferece proteção
antivírus; ou seja, os outros 99% estão
desprotegidos.
Como se isso não bastasse, os
ataques atuais contra as empresas estão em constante
evolução,
cada vez mais complexos e perigosos. Considere o seguinte:
em apenas alguns anos, os vírus simples de ataques
a websites e de negação de serviço
em computadores individuais tornaram-se ameaças
combinadas complexas, ataques em etapas, ataques de
negação de serviço originados
por worms, roubos de informações em nível
nacional e ataques de hackers aos serviços de
infra-estrutura.
É
importante compreender que esses novos ataques não
se comportam como os vírus e worms até então
conhecidos. Ameaças combinadas, como o Blaster
de longo alcance do ano passado, encontram meios inteligentes
de ignorar as medidas de segurança. Por exemplo, é comum
uma ameaça combinada infectar um computador
externo a um firewall – como um laptop que acessa
a Internet em um escritório doméstico
por meio de uma conexão com o provedor local.
Quando esse computador infectado estabelece uma conexão
VPN com a rede da empresa, o sistema de perímetro
de segurança é completamente ignorado.
Infra-estrutura
integrada necessária
O que é preciso para desenvolver uma abordagem
eficaz de modo a proteger os computadores móveis
que passam a maior parte do tempo fora do perímetro
de defesa da empresa?
Para facilitar o gerenciamento
dessa tarefa, vamos dividir a segurança desses
dispositivos (laptops, PDAs, smart phones) nas seguintes
etapas:
- Em primeiro lugar, as empresas necessitam de um sistema
capaz de alertar rapidamente sobre essas novas ameaças,
antes que os computadores móveis sejam infectados
e prejudiquem os negócios
- O próximo passo é proteger os computadores
móveis contra essas ameaças
- Em seguida, as empresas têm de estar aptas a
reagir às ameaças rapidamente
- Por fim, as empresas precisam de uma maneira eficaz
de gerenciar todos esses computadores.
Vamos analisar
detalhadamente cada uma das etapas:
Alertas
Por que é necessário alertar rapidamente
os usuários remotos sobre as novas ameaças?
Porque essas ameaças têm se espalhado
pela rede mais rápido do que nunca, dificultando
o trabalho de proteger os computadores contra elas.
Conforme mostrado na edição mais recente
do Relatório de Ameaças à Segurança
da Internet da Symantec, o período entre o anúncio
de uma vulnerabilidade e a sua exploração
está cada vez mais curto. Estamos cada vez mais
perto da ameaça de "dia zero". Uma
ameaça combinada (ou seja, que utiliza diversos
métodos e técnicas para se propagar)
de “dia zero” poderia explorar uma vulnerabilidade
antes mesmo que ela fosse anunciada ou que uma correção
fosse lançada para resolvê-la. Por essa
razão, as empresas deveriam ter um sistema eficaz
de alerta preventivo.
Um sistema de alerta preventivo
permite que as empresas protejam-se contra ameaças
iminentes, antes que elas possam afetar as operações.
Em casos de ataques que já estejam em execução,
um sistema de alerta preventivo poderia fornecer uma
estratégia de redução de riscos.
No
nível físico, um sistema de alerta
preventivo conta com uma rede global de sistemas de
firewall e detecção de intrusões,
mantida por milhares de parceiros de dados, que permite
coletar e associar os dados do ataque.
Um sistema de alerta
preventivo pode também
avaliar os eventos relacionados a uma indústria
vertical específica. Essas informações
ajudam as indústrias mais visadas a se preparar
melhor e se prevenir contra possíveis ataques.
Proteção
Quando se trata da proteção de computadores
móveis, não basta confiar unicamente
no software antivírus, pois ele verifica somente
os arquivos no nível do sistema e não
inclui um firewall ou um “semáforo” de
prevenção de intrusões para monitorar
o tráfego de entrada e saída. Isso significa
que o software antivírus oferece uma proteção
parcial contra ameaças combinadas, como o Blaster,
que utilizam diversos métodos de propagação.
Para impedir essas ameaças combinadas, é necessário
um conjunto de recursos de antivírus, firewall
e prevenção de intrusões.
Reação
Para reagir rapidamente a ameaças, os administradores
devem estar aptos a enviar definições
de vírus, assinaturas IDS e regras de firewall
de forma automática e preventiva para todos
os computadores móveis – o quanto antes,
24 horas por dia, sete dias por semana. Isso elimina
a necessidade de encarregar ou contratar técnicos
para visitarem os locais onde essas tarefas devem ser
realizadas.
Gerenciamento
Tentar gerenciar produtos separados antivírus,
de firewall e de detecção de intrusões
em todas as estações de trabalho pode
ser um empreendimento difícil e caro. As empresas
precisam de uma maneira eficiente de gerenciar todos
os recursos de segurança do cliente.
Um dos desenvolvimentos mais importantes nessa área
são as iniciativas de conformidade por parte
dos usuários, que são projetadas para
promover a adoção das políticas
de segurança pelos clientes remotos e móveis.
Essas iniciativas reconhecem que os diversos métodos
usados por funcionários para acessar as redes
representam um novo risco à segurança
corporativa. Desse modo, as iniciativas de conformidade
permitem que administradores de TI verifiquem se os
usuários estão realmente protegidos antes
que possam se conectar à rede.
Mais especificamente,
os administradores devem ser capazes de definir políticas
de controle de admissão que avaliem a segurança
dos computadores clientes que tentarem se conectar à rede.
Dessa forma, computadores que não estiverem
em conformidade – devido à ausência
de correções necessárias ao sistema
operacional ou ao estado do antivírus – não
poderão acessar a rede e poderão ser
colocados em quarentena ou encaminhados a um local
de correção de problemas. Por outro lado,
o acesso será concedido aos computadores em
conformidade com as políticas definidas pela
empresa.
Conclusão
O grande aumento na produtividade proporcionado pela
computação móvel a empresas em
todo o mundo é impressionante, e as novas oportunidades
criadas pela Internet continuam a dar frutos. Entretanto,
as “empresas em tempo real” devem se conscientizar
de que, para poderem se desenvolver ao máximo,
devem tomar as medidas necessárias à sua
proteção no atual cenário de ameaças – e
isso abrange o número crescente de funcionários
remotos.
Links Relacionados:
|
