Há algumas semanas participei do podcast RedZone, apresentado por Bill Murphy, onde falei sobre (entre outros assuntos) a diferença entre ataques direcionados e o que nossos concorrentes chamaram de Ameaças Avançadas Persistentes (APTs). É um assunto sobre o qual falei várias vezes no passado e também me perguntaram muito em várias conferências e reuniões. Deixe-me explicar.
O termo “APT” é algo que veio dos militares dos EUA há quase uma década. Sempre teve uma definição razoavelmente precisa: abrange ataques realizados por estados nação. Claro, esses ataques não anunciam exatamente quem os realizou. O código não diz qual agência de inteligência ou país foi o responsável. É difícil atribuir um ataque a um país específico: afinal, o agressor pode estar usando proxies e escondendo sua origem verdadeira.
Mais frequentemente do que não, quando examinamos o código por trás de uma APT, o que geralmente descobrimos é que o código é bem projetado: isto é, não foi criado por um pequeno grupo de indivíduos, mas por um grupo de desenvolvedores. Também nenhum projeto do código é encontrado no submundo do cibercrime: quem quer que tenha criado esse código o fez por conta própria.
Nada disso é barato. Considere os recursos que você precisa para pagar esses desenvolvedores. O Hacking Team vendia seus produtos por centenas de milhares de dólares para vários países em todo o mundo. Imagine quanto mais custaria para os países que mantêm seus próprios “hacking teams” internos.
Porém, a maioria das pessoas não tem que se preocupar com APTs. A menos que você esteja administrando sistemas de TI de uma agência governamental ou de um contratado de defesa, você provavelmente não tem que se preocupar com APTs. Ao invés disso, você tem que se preocupar com violações de dados e ataques direcionados.
Ataques direcionados são muito diferentes de APTs. Não são realizados por países; ao contrário, são realizados por agressores de todos os cantos do mundo. Os objetivos variam: eles podem roubar suas informações, realizar fraude com cartão de crédito ou talvez apenas criar problemas dentro de sua empresa. As ferramentas usadas podem ser encontradas em qualquer mercado do submundo pelo preço certo. A “sofisticação” real desses ataques está na engenharia social por trás deles.
A maioria das empresas precisa se preocupar com os ataques direcionados, não com APTs de estado nação. Não é difícil encontrar a informação necessária para visar alguém para engenharia social: apenas verifique suas contas na mídia social, como LinkedIn e Facebook. A partir daí, é bastante fácil imaginar qual atração fará as vítimas clicarem. Daí, um agressor pode implementar várias ferramentas, tais como ferramentas de acesso remoto (RATs) que podem comprometer uma organização de dentro, completamente.
É assim que as principais violações de dados e outros incidentes de segurança acontecem. Infelizmente, muitas empresas têm uma mentalidade do tipo “isso não pode acontecer comigo” e como resultado simplesmente não estão preparadas para lidar com ataques direcionados. Ainda dependem de soluções de segurança tradicionais, que não são eficazes contra muitas das ferramentas vistas atualmente no mundo real. Elas precisam adotar novas soluções de fornecedores (como a Trend Micro) para ajudá-las a lidar com as ameaças de hoje.
O problema de confundir ataques direcionados e APTs é que isso incentiva um tipo de atitude cínica e derrotista por parte dos defensores. Afinal, se você está se defendendo contra uma agência de inteligência, por que tentar defender sua rede? Por que não desistir?
Algumas empresas gostam de falar sobre APTs porque é bom para a imprensa. Mas, a maioria das pessoas e empresas não estão enfrentando esse tipo de ameaça bem financiada e super especializada. Estão enfrentando um tipo diferente de ameaça. Não é uma ameaça fácil de se enfrentar, de jeito nenhum – mas essa não é uma desculpa para simplesmente desistir. É uma ameaça da qual você pode se defender, tendo qualquer dano reduzido e tratado. Não é fácil, mas a verdade é que nada em relação à segurança é fácil.
A diferença entre APTs e ataques direcionados não é o único assunto tratado no podcast. Falei também sobre dia-zero, divulgação de vulnerabilidades, como trabalhamos com a imposição da lei e outros assuntos com Bill Murphy. O podcast completo pode ser encontrado no site RedZone.
Publicado originalmente por Raimund Genes (Chief Technology Officer) em TrendLabs.