Ataques direcionados: As empresas estão confiantes demais?
Artigo escrito por David Harley, membro do (ISC)2, organização internacional focada em certificações de Segurança da Informação. Clique para ler artigo original.
Existem duas principais lições a aprender a partir do Flame. Uma delas é que quando um malware de dimensão política que parece acionar o botão “guerra cibernética” é descoberto, algumas empresas de segurança começam a atrair a atenção da mídia com especulação, usando-o como uma ferramenta para melhorar seus próprios perfis e destacar a relevância seus softwares, mesmo quando há informações pouco concretas. Mas isso não é uma coisa nova.
A outra lição é mais sutil: Será que as organizações estão demasiadamente confiantes de que são resistentes aos ataques direcionados?
Um relatório recente da BAE Systems Detica surgiu com a estatística interessante de que 89% dos entrevistados – empresas do setor privado do Reino Unido, com volume de negócios de mais de 350 milhões de libras – foram “bastante confiantes” em dizer que estão bem equipados para prevenir ataques direcionados. Enquanto 61% pensam que seria necessário um ataque à sua empresa ou concorrente antes que seu conselho levasse o risco de ataques cibernéticos a sério.
Acho difícil imaginar que todos eles estejam implantando programas educacionais para que seu pessoal se torne mais resistente à engenharia social característica dos ataques direcionados. Se eu estiver certo, isso provavelmente significa que eles estão contando apenas com soluções técnicas para reduzir o impacto de ataques tipo Zero Day. Ou pior, eles estão confiando na habilidade das empresas responsáveis pela vulnerabilidade dos softwares não somente para correção, mas para assegurar a implantação das correções pelas potenciais vítimas.
Não é uma questão do tipo de ataque para o qual as empresas devem estar preparadas: é uma questão de persuadi-las de que é preciso esperar o inesperado. O Irã (assumindo que o país tenha sido mesmo o alvo principal do Flame, o que não foi comprovado), por exemplo, propício à aplicação de embargo comercial, em teoria, não permitiria acesso a softwares convencionais (incluindo sistemas operacionais e softwares de segurança) de empresas sediadas nos Estados Unidos.
No entanto, embora a datação exata dos módulos do Flame tenha sido encoberta pelos autores do malware, há evidências de que ele ficou à espreita por anos, despercebido.
Não me surpreende que muitos pensem que o comando de suas empresas não agiria até que houvesse um ataque próximo. Essa tem sido a realidade da implantação de segurança desde o período Jurássico. O problema é que há uma percepção de que os ataques direcionados são voltados apenas para grandes nomes ou para departamentos governamentais. E isso já é significativamente menos verdadeiro do que era um ano atrás.
Leia mais sobre como o Flame entrou no Irã