Intel Security FOCUS 15 – segurança máxima para os novos tempos

Sistemas de defesa contra invasões, medidas contra roubo de dados, defesa
contra negação de serviço, ambiente corporativo, ambiente de mobilidade… são tantas
as áreas de contato com o mundo exterior que se proteger ficou algo, se não
complicado, ao menos mais complexo. Some a isso tudo a expansão do uso de
sistemas e recursos em nuvem, que entremeiam o universo externo com a própria
empresa. Venho olhando com muita atenção isso tudo faz um bom tempo. Na última
semana de Outubro passado pude participar do congresso FOCUS 2015, organizado
pela Intel Security e muita informação 
acerca de segurança pude reciclar e absorver.
     

A expertise da McAfee, exatamente aquela empresa , fundada em 1987, que no
começo dos anos 90 era a minha referência em termos de segurança foi adquirida
pela Intel em 2011 e veio de lá para cá sendo aprimorada. Eu conheço as duas
empresas há muito tempo e esta fusão é fantástica para ambos os lados. Após
estes poucos anos desde a aquisição já percebo claramente a integração.

Mas o que importa é o FOCUS 2015, suas novidades. Afinal mesmo eu que procuro me
manter informado, fui surpreendido com uma série de anúncios e informações, as
quais quero dividir com os leitores. Este texto está dividido em 2 partes
diferentes. A primeira contém minhas impressões sobre o congresso FOCUS 15. A segunda
parte, que será publicada em alguns dias, contém duas entrevistas que fiz com
executivos da Intel Security, Vicent Weafer 
(Sr. Vice President – Head of McAfee Labs) e  Lisa Matherly (VP, WW Partner Programs,
Marketing & Operations). Estas ótimas entrevistas, informativas e até
reveladoras estarão na parte 2 desta matéria em alguns dias. Já está feito o
convite…

Direto do FOCUS 2015 – novidades – foco
na segurança!!

Ocorreu uma mudança do paradigma de sistemas de segurança. Antes as pessoas e
empresas se sentiam protegidas usando diversas camadas de defesa como em um
castelo medieval. Havia o fosso que era um primeiro obstáculo. Depois as grandes
muralhas. As torres de observação, uma segunda muralha. Sentinelas prontos para
atacar e repelir invasores. Os bens mais valiosos trancados em um cofre no alto
de uma torre com guardas na porta…  Essencialmente
um sistema de firewall, antivírus, IPS, etc. têm essa característica, blindar o
meio interno das ameaças que vem de fora.

figura 01 –
castelo medieval – segurança plena só no passado

Porém hoje em dia este modelo está totalmente obsoleto, não funciona mais. Com
a consumerização dos recursos de TI os equipamentos pessoais estão dentro das
empresas que dificulta TI de ter total controle das fronteiras no uso dos
recursos. Os dados estão em todos os lugares, no servidor, na nuvem, nos
dispositivos móveis, bem como os acessos feitos dentro e fora das fronteiras da
corporação. Como lidar com esta situação? Faz-se necessário implantar um novo e
mais abrangente modelo de segurança que se caracteriza por gerenciar o acesso
aos dados não importando de onde são acessados nem onde estão hospedadas as
informações.

Isso é comparável ao modelo de segurança que existe em um grande aeroporto.
Tente imaginar a quantidade de pontos de checagem, portas de acesso,
integridade de dados, quem vem da cidade, quem chega pelo ar, o tráfego nas vias
próximas, o tráfego aéreo na região… Isso impõe necessidades que vão além. É
um desafio dentre outros muitos desafios!!
     

figura 02 – ambiente
complexo com multiplicidade de pontos de acesso
       

Além disso tudo a inventividade dos invasores tem crescido
sobremaneira. A título de exemplo, foi descoberta uma ameaça que é implantada
por meio de um srcript (PowerShell) que usa recursos legítimos e necessários do
um sistema de monitoração do Windows Server (WMI – Windows Management
Strumentation) e que não deixa um rastro sequer que pudesse ser identificado
por uma “assinatura”. Vejam só!!!

Outra preocupação, há algum tempo se intensificaram os ataques personalizados e
persistentes. São iniciativas direcionadas a obter uma informação específica
que pode ser desde dados pessoais para alguém se beneficiar com a identidade de
outrem como acesso a e-mails visando espionagem industrial/gerencial, projetos,
orçamentos, planos estratégicos… Estes ataques personalizados e persistentes
podem durar dias, semanas, meses… até que o invasor logre êxito em seu
objetivo. Por muitas vezes são utilizados mecanismos extremamente sutis e
discretos. É algo com que realmente se deve preocupar.

figura 03 – nova
realidade – ameaças personalizadas

Acionando os sistemas de defesa

A Intel Security desenvolveu um conjunto de soluções integradas que visam
endereçar este tipo de situação. O desafio é obter extrema agilidade no
processo por meio de um ciclo infinito que consiste em PROTEGER, DETECTAR e
CORRIGIR, de forma contínua, incansável e o mais automática possível.

Um anúncio importante que aconteceu no FOCUS 15 foi a chegada do novo produto
de segurança de endpoints, ou seja, as estações de trabalho e dispositivos
móveis da empresa. O ENDPOINT é a evolução dos antigos antivírus, porém mais
sofisticado, mais amplos e são gerenciados, ou seja, todo evento de segurança
em cada dispositivo é acompanhado e ações podem ser tomadas partindo do
administrador (ou por meio de resposta automática definida). Foi anunciada a
versão 10.x que entre outras características apresenta:
       

figura 04 –
interface do administrador e do usuário final (clique para ampliar)

AV-TEST é uma entidade de pesquisa de segurança que avalia de forma
independente sistemas de antivírus e antimalware. Em seu último teste submeteu
o Endpoint 10 a 167 ameaças do tipo “zero-day” (criadas naquele dia – novas) e
ele detectou e corrigiu 100% da amostra (0% de falha) sendo que segundo a
AV-TEST a média de mercado é ter 2% de falha. Mais detalhes aqui.
      

figura 05 – apresentação
do Endpoint 10.x

Este resultado, zero falhas para ameaças do tipo “zero-day” é extremamente
importante. Por um simples motivo. Quando no começo dos anos 90 havia em certo
momento 57 vírus conhecidos, em 2005 (há dez anos) eram criadas 25 ameaças por
dia!! Acha que isso é muito? Em 2015 são geradas 496 mil ameaças POR DIA!!
Parece inacreditável, por isso replico a tela abaixo!! Atualmente o submundo do
crime digital utiliza meios quase que industriais para criar novos malwares e
com algumas pequenas variações cria-se um novo elemento maléfico a partir do
anterior.
      

figura 06 – apresentação
do Endpoint 10.x e o crescimento das ameaças

Como lidar com esta quantidade insana de ameaças novas por dia? A Intel Security
desenvolveu uma tecnologia chamada “McAfeeActive Response” que endereça essa necessidade . Veja mais detalhes no link
anterior e aqui.
Em resumo, trata-se de um processo que continuamente inspeciona possíveis
ataques, dispara gatilhos de ações no caso da descoberta de um comportamento
indesejado, adapta-se às diferentes condições. Automaticamente isola a possível
ameaça e envia os dados para análise pelo laboratório da Intel Security, alerta
o administrador do sistema de segurança na empresa e aparta o arquivo, link,
documento, etc. para que ninguém mais na organização tenha acesso.

A propósito, em uma das demonstrações o Endpoint foi capaz de analisar,
detectar e isolar um documento do tipo PDF que estava infectado com um malware.
Você sabia que o tão usado arquivo PDF pode conter ameaças? Achou que estava
imune? Os arquivos do Office com textos do Word ou planilhas do Excel tiveram
seus dias de ameaças (vírus de macro). Este tipo de ameaça praticamente não
existe mais. Mas nada impede que haja uma nova leva até mais sofisticada desse
tipo de malware.

figura 07 – Endpoint descobrindo malware em PDF

Como o Endpoint trabalha com gerenciamento centralizado, a empresa pode optar
por bloquear ou liberar recursos como HDs externos, pendrives, etc. de forma
seletiva (somente alguns dispositivos previamente autorizados), bem como
liberar ou proibir acesso a sistemas de disco virtual em nuvem como Dropbox,
Google Drive, OneDrive, iDrive, etc. Isto é muito importante uma vez que este
tipo de acesso é um canal que torna muito fácil a fuga de informações de dentro
para fora da empresa. A tecnologia que endereça este tipo de problema se chama
DLP (Data Loss Prevention).

Além disso, mesmo que autorizado, por exemplo o Dropbox, pode não estar de
acordo com normas rígidas de segurança aplicadas na empresa no aspecto
criptografia. Pude ver uma demonstração na qual o compartilhamento de arquivo
via Dropbox fora bloqueado, mas o serviço BOX SYNC fora autorizado (por estar
aderente a padrões mais rígidos de segurança).

O Endpoint consegue interceptar a ação de gravar no disco virtual da nuvem,
autorizar ou não baseado em perfil de acesso e ainda obriga o usuário
documentar o propósito daquela cópia, que certamente ficará associado com seu
nome, data, hora e motivo. Ou seja, não sai dado da empresa sem que tenha sido
autorizado e fica tudo documentado. Veja isso na tela abaixo.

figura 08 –
Endpoint registrando e documentando o uso do disco virtual na nuvem
      

   

E se tudo isso não bastasse, uma grande revelação para mim
foi a transformação de um mito em realidade! Eu ouvia com ceticismo e confesso
que até com escárnio quando pessoas me perguntavam sobre vírus que atacaria
impressora, roteadores e até computadores, mesmo sem carregar o sistema
operacional. Isso era risível!! Mas não é mais. Para começar existe um
dispositivo idêntico a um pendrive que ao ser inserido no computador acumula
carga elétrica em um capacitor por algum tempo. Depois devolve de uma vez só
esta carga queimando a porta USB e muitas vezes também a placa mãe do
computador!!!!! Mas isso depende de um hardware feito especialmente para isso. É
mais uma piada sem graça do que um ataque anônimo.

Mas foi descoberto um novo tipo de ameaça que, sem ser técnico para não
aborrecer os leitores, explora por exemplo, uma vulnerabilidade chamada
RowHammer e que permite que um malware se aloje no firmware, BIOS ou mesmo no
Hypervisor de um sistema de virtualização de computadores. Estes locais são
normalmente isolados do sistema operacional e, portanto, praticamente não
detectáveis! A raiz para resolver este problema é realizar uma atualização da
BIOS ou firmware do equipamento para eliminar esta vulnerabilidade.

figura 09 –
hardware agora também pode ser vítima de malware!!

Uma cola poderosa unindo as camadas de segurança, o DXL

Está bastante claro que não apenas a quantidade de ameaças cresceu
incrivelmente como os tipos e variedades dos ataques. Ainda mais claro que
vivemos hoje em um mundo no qual o conceito do “castelo medieval” não é mais
eficiente para se proteger contra todos os tipos de incidentes, invasões, perda
de dados, espionagem, roubo de identidade, escravização de computadores, vírus,
ataque de negação de serviço, sequestro de informações com cobrança de resgate
(denominado de Ramsomware),
ataque contra BIOS e firmware, etc. Mas a defesa contra todos estes tipos
conhecidos de ameaças e principalmente contra as desconhecidas necessita de uma
arquitetura mais robusta e com alto nível de integração.

O DXL oferece uma camada padronizada de integração e comunicação para uso por
todos os produtos, seja qual for a arquitetura proprietária subjacente. Ele
simplifica drasticamente as integrações, exigindo que se realize a configuração
apenas uma vez, ao mesmo tempo que incentiva a participação aberta dos
fornecedores. Com esse aumento de velocidade, agilidade e expansibilidade, é
fortalecida a base da detecção e da resposta a ameaças no cenário de TI.
       

figura 10 –
Integração de componentes de segurança por meio do DXL

Permite criar um ecossistema integrado de segurança que opera com várias
soluções. Baseado em plataforma aberta, conecta produtos e soluções de
segurança de vários fornecedores para oferecer compartilhamento bidirecional de
informações de segurança. Une tecnologias de defesa diferentes em um único
sistema coordenado reduzindo custos operacionais. Agiliza a proteção, a
resposta e evita que recursos preciosos da equipe de segurança sejam
desperdiçados em tarefas manuais e treinamentos para emergências. Também os
componentes conectados pelo McAfee DXL compartilham informações de contexto
instantaneamente ao mesmo tempo que oferecem proteção imediata contra ameaças.
     

figura 11 –
Integração de componentes de segurança por meio do DXL incluindo soluções de
terceiros

Vi com meus próprios olhos várias soluções de parceiros da
Intel Security que já oferecem produtos que usam a camada DXL para integrar
vários módulos e componentes, bem como se integrar com soluções da Intel
Security. É um conceito muito forte e que ao meu ver poderá ampliar enormemente
a capacidade de integração de soluções bem como as áreas de Inteligência para
resposta a ataques e incidentes.

Previsões da evolução das ameaças para 2016

Uma pesquisa feita pela Intel Security, visando prever o comportamento deste
cenário aponta que o ataque do tipo Ramsomware tende a crescer
bastante em 2016. Também se prevê ataques aos dispositivos “vestíveis” (os
wearables) como relógios inteligentes. Tendem a ser alvo dos ciber-criminosos
uma vez que estes contêm muitos dados pessoais de seus proprietários e são
relativamente inseguros podendo ser porta de ataque para os smartphones com os
quais eles se conectam. Automóveis estão cada dia mais conectados e por isso
também poderão ser alvo invasão com consequência extremamente danosas.

figura 12 –
crescimento dos ataques do tipo Ramsomware – sequestro de informações

figura 13 – automóveis
também na mira das ameaças

Já tendo sido objeto de ataque no passado, também se pode
prever que infraestruturas críticas como sistemas de geração de energia e
outros serviços públicos possam ser alvo dos ciber-ativistas digitais mal-intencionados.
A guerra agora não se luta apenas nas trincheiras, no ar ou no mar, mas também
fortemente nesta área, que pode comprometer muito um país e quem desferiu o
ataque estar a milhares de quilômetros de distância

Outro aspecto a ser considerado é o grande crescimento dos dispositivos
conectados em 2016, ainda mais intenso nos próximos 5 anos. Estamos
engatinhando na tecnologia da Internet das Coisas (IoT), já começando a das os
primeiros passos. Mas em 2020 são esperados mais de 200 bilhões de elementos
conectados em todos os lugares. Isso tudo aumenta muito a superfície teórica de
ataque se não houver medidas defensivas adequadas.
     

figura 14 – previsão
do crescimento dos dispositivos

A íntegra dessa pesquisa pode ser lida no documento McAfeeLabs – Report – 2016 Threats Predictions. É um documento fascinante, muito
interessante, que só foi liberado em 10 de novembro de 2015 (dia que estou
finalizando a redação deste texto).

Conclusão

Temas e subtemas relacionados à segurança crescem da mesma forma
exponencial que observamos o aumento das ameaças e quase que na mesma proporção
das “coisas” conectadas até 2020. Foi um longo caminho desde aquela remota época
na qual o perigo vinha apenas em disquetes de origem não comprovada e eram
apenas algumas dezenas de vírus conhecidos. Mesmo assim naquela época o que se
pretendia era chamar a atenção, causar algum pequeno dano ou espanto (como
agiam os vírus da época). Hoje em dia tudo mudou. Mudou muito!!

Não é mais possível colocar mais e mais “trancas” na porta, bem como construir
muros de proteção encastelando-se e ficar de fato seguro. Situações extremas
exigem medidas extremas. E é assim que toda a indústria de segurança vem
reagindo. No congresso FOCUS 15 eu percebi claramente que tive contato com uma
diminuta parte desse imenso cenário. Mas também ficou claro para mim que a
muito competente McAfee, de tantos anos na vanguarda e entre os líderes do
segmento, ao ser incorporada pela Intel também já vem sofrendo suas
transformações. A Intel tradicionalmente prevê o futuro e sempre acerta. Vide a
“Lei de Moore”. Isso porque com uma pujança incrível ela faz acontecer aquilo
que ela previu.

Senti este mesmo dinamismo na Intel Security que aprimorou a McAfee e com toda
a capacidade e inteligência combinadas de ambas as empresas, traz para o
mercado uma consistente e muito bem arquitetada plataforma e família de
sistemas de segurança. UFA!! Ainda bem, pois os próximos anos não serão fáceis,
ameaças crescentes, cuidados devem ser multiplicados. A indústria de segurança
é forte, competente com seus vários players, reforçada ainda mais por tudo isso
que vi no FOCUS 15 mostrado pela McAfee, ou melhor, Intel Security!!