O vírus WannaCry evidenciou um sério problema que a maioria das empresas sofrem: O tempo necessário para aplicação de patches de correção é muito grande!
A pergunta que sempre se ouve de área de controles e auditoria é por que leva-se tanto tempo para aplicar um patch de segurança, deixando a empresa vulnerável. A resposta possa parecer simples, mas não é.
A maioria das aplicações e sistemas desenvolvidos, principalmente as mais velhas, pelas empresas são “system dependant“, isto significa que muitas funcionalidades dependem de recursos de sistemas operacionais disponíveis, por isto as características de nível de atualização e versão são tão importantes. A cada versão ou atualização o sistema operacional oferece “chamada” de códigos novos ou diferentes, aperfeiçoando e disponibilizando novas funcionalidades, desta forma uma simples atualização de patch pode introduzir mudanças que farão com que os programas deixem de funcionar corretamente. Atualmente os programadores e os programas de codificação já procuram ser mais independentes e imunes a estas atualizações, mas ainda assim devem ser tomados alguns cuidados, por isto a equipe de tecnologia deve realizar uma extensiva carga de teste para validar que as atualizações não impactaram as aplicações existentes, provocando assim um atraso na liberação da instalação das correções. Além disto, a quantidade de equipamentos existentes também impactam diretamente no tempo de “patching” do ambiente.
Então como se proteger neste Gap de tempo ?
Parece evidente que não podemos ficar dependentes do tempo de “patching” do ambiente, por isto devemos desenvolver algumas ações paralelas e implementar controles que impeçam o vírus, ou código malicioso, de explorar as vulnerabilidades ainda não solucionadas. Medidas como proteção e controle de portas de comunicação de firewalls são importantes pois os vírus costumam se comunicar por portas específicas (no caso do WannaCry uma das portas utilizadas foi a 445), mas ainda não é suficiente porque vários códigos maliciosos utilizam portas que não podem ser fechadas como a 80 e 443 utilizadas para navegação na internet, desta forma relacionamos abaixo 3 soluções que podem ser adotadas:
- Controle de Aplicações – embora polêmico pelo medo as empresas em limitar demais o usuário, o controle de aplicações autorizadas evita que um código desconhecido rode no equipamento. Um bom controle de aplicações pode minimizar este impacto implementando controle baseados em “assinatura” do desenvolvedor , por exemplo softwares assinados pela Microsoft ou pela Adobe estariam livres para serem instalados e rodarem na máquina enquanto um vírus não.
- Antivírus baseado em comportamento anômalo – o antivírus tradicional verifica a assinatura de vírus conhecidos para bloquearem um código malicioso, por isto enquanto não houver uma vacina em nada será eficiente. A boa notícia é que existe no mercado sistemas de proteção avançada que podem detectar atividades e comportamentos anômalos e bloquear instantaneamente o código malicioso.
- Proteção de email gateway – as proteções de email gateway são tradicionais no combate a spam e phishing, mas se agregadas à antivírus e sistemas avançados de proteção contra “target attack”, a proteção de email gateway será uma arma poderosa para barrar a entrada do vírus e códigos maliciosos que explorem vulnerabilidades não resolvidas.
Estas medidas são eficientes, reduzem significativamente o risco de infecção durante o período de “patching” e não combatem apenas a códigos como do WannaCry, mas também a vários outros problemas de evasão, quebra de sigilo e vazamento de informação confidenciais, assim o investimento se paga através da resolução de diversos fatores de risco existentes na empresa.
No mercado, existem algumas solução que combinam estas e outras funcionalidades de proteção e que irão deixar o ambiente mais seguro e protegido, entre elas cita-se as reconhecidas soluções da Proofpoint, HSC, F-Secure e Drivelock que podem ser instaladas isoladamente ou combinadas.
Consulte o consultor MindSec e saiba mais sobre estas soluções e como proteger o seu ambiente das ameaças ransomware !
contato@mindsec.com.br
Deixe sua opinião!