Ataques direcionados: O inimigo está na porta?

Como acontece em todas as viagens internacionais, durante uma recente viagem de negócios a Tóquio, fui testemunha de um ataque nem tão furtivo de ninguém menos do que Godzilla. Como você pode concluir pela imagem acima, na hora da foto, parte de Tóquio foi poupada da ira do grande monstro verde graças a um perímetro forte. Será? Me chamou a atenção, como é o caso da maioria dos assuntos dos meus blogs e apresentações, que a foto que tirei com meu iPhone, antes de escapar por pouco, foi semelhante ao grande equívoco que há por trás dos ataques cibernéticos direcionados e ameaças avançadas.

A linha de pensamento continuou assim: Durante milhares de anos, a defesa no perímetro foi o princípio básico da boa prática de segurança. Dos conceitos medievais de fossos, muralhas e torres de vigia até a cerca eletrificada e os modernos firewalls de segurança de TI, gateways, IPS, e assim por diante, a lógica é detectar e impedir que qualquer forma de ameaça alcance o que o perímetro foi feito para proteger. Como também foi o caso durante milhares de anos, medidas prudentes de segurança exigem uma abordagem de defesa em profundidade. A premissa básica é a aceitação de condições aceitáveis e inaceitáveis sob as quais uma medida defensiva pode ser derrotada ou inutilizada. Então o que isso tem a ver com o Godzilla?

Diferente da tradição da defesa no perímetro, a ameaça ou ataques direcionados e ameaças avançadas podem vir de dentro do ponto de vulnerabilidade que suas defesas de perímetro foram feitas para defender. Pense no seguinte para testar essa premissa:

Conectividade com Redes Externas: Você provavelmente tem dispositivos de funcionários, clientes, fornecedores, contratados, e outros, conectados à rede, que estão sendo levados para qualquer um dos locais físicos que pertencem a sua empresa. Antes de entrarem pela porta de sua empresa e conectado às suas redes, também é bastante provável que os locais e a utilização desses dispositivos conectados estejam além de seu controle ou influência e, portanto, tenham um possível calcanhar de Aquiles para ser explorado por um adversário.

“Island Hopping”: Você provavelmente tem conexões com fornecedores, clientes, funcionários, ou outros pontos fora da rede para comunicação, compartilhamento de dados, processos de transação e muitas outras funções. Porém, também é provável que você não tenha controle, nem capacidade, de determinar se qualquer uma das redes de onde esse tráfego vem esteja sendo conduzido com objetivos de negócios legítimos, ou se está sendo conduzido por um adversário para fins de exploração.

“Poison the Well”: Além disso, aproveitando-se de quaisquer pontos de ataque acima, é mais do que possível que um agressor explore aplicações, sistemas e processos internos que estão atrás de suas defesas de perímetro, sem que seu firewall, gateway, IPS ou qualquer outro dispositivo acione um alarme.

Conclusão: É bem possível que um adversário evite suas defesas de segurança de perímetro de TI simplesmente passando uma carga maliciosa por sua porta, através de um “island hopping” entrando por uma conexão de confiança e explorando aplicações e processos internos.

Dando uma segunda olhada na foto do Godzilla: a perspectiva que todos temos que considerar é o fato de que o Godzilla não foi impedido pelo perímetro, mas de fato já estava dentro e atrás dele.

Para saber mais sobre como o Trend Micro Deep Discovery Inspector pode ajudá-lo a detectar e responder a ataques direcionados no perímetro, atrás e dentro do perímetro, baixe nosso relatório sobre como a Trend Micro pode fornecer a sua empresa uma visualização 360 graus dos ataques direcionados.

Artigo por Bob Corson, publicado originalmente no blog Trend Micro Simply Security.