Sua rede te protege contra malwares?

Quase todos os ambientes de TI utilizam sistemas de segurança para detectar e bloquear malwares. Eles incluem firewalls que podem ser configurados com várias regras, central unificada de gerenciamento de ameaças (UTMs, na sigla em inglês) com filtro de conteúdo, softwares antivírus para o gateway, inspeções de pacotes e sistemas de prevenção de invasão.

Infelizmente, na maior parte das companhias, testar medidas de segurança é, no mínimo, negligenciado e no máximo ignorado. De acordo com um relatório da PandaLabs, mais de 74 mil novos malwares são criados todos os dias. Com esse volume de novas ameaças, companhias podem se colocar em risco com apenas um configuração errada na porta do firewall.

Apesar de todas as ferramentas para encontrar e prevenir malwares que os departamentos de TI têm à disposição, as ameaças continuam encontrando um jeito de infectar diversos sistemas. Parar essas ameaças requer testes regulares para assegurar que os computadores e servidores consigam se defender no mundo real.

Desafios chave

Políticas de BYOD introduzem um novo nível de complexidade para a prevenção de malwares. Grupos de TI precisam considerar que os dispositivos dos usuários podem não ter o software de segurança necessário, ou estar desatualizado. Companhias que permitem o uso de aparelhos pessoais para trabalho precisam encontrar o equilíbrio certo entre implementar medidas de segurança e entender que eles não tem o controle completo.

Um estudo recente do Grupo de Estratégia de Empresas sobre proteção e detecção avançada contra malwares entrevistou 315 profissionais de segurança de empresas norte-americanas, que viram um aumento de ameaças mais sofisticadas nos últimos dois anos. Os criminosos continuam a inventar novas formas de esconder e amplificar a habilidade dos malwares de evitar serem detectados e eliminados. Muitos deles estão criando programas para roubar dinheiro de usuários através de celulares. Por exemplo, eles podem usar códigos de compra pelo SMS (geralmente usados em campanhas de doação) para encorajar fraudes e a apropriação de dados pessoais.

Encontrando o equilíbrio

Companhias que implementam políticas agressivas contra malwares precisam se equilibrar entre a segurança da rede e performance organizacional. “Controles não podem ser tão restritivos a ponto de impedir o sistema de ser eficiente e os funcionários fazerem seu trabalho. Testar com as ferramentas certas podem ajudar as empresas a identificar e fortalecer pontos fracos, o que pode ajudar a evitar a adoção de políticas de segurança muito duras.

Qual é a melhor metodologia para teste? Um já provado é o PDSE – Performance, Disponibilidade, Segurança e Escalabilidade. Esse método é baseado no princípio fundamental de TI de que sempre haverá algum conflito entre as variáveis. Prevenção de ameaças também segue essa dinâmica, na qual os requisitos de proteção não podem ser tão restritos ao ponto de impedir acessos ao próprio sistema.

Testes PDSE satisfatórios devem cobrir o seguinte: o teste de performance pode ajudar a entender as métricas, como o tempo de resposta da infraestrutura durante um ataque. O de disponibilidade pode checar se seu sistema falha durante os eventos chave. No teste de segurança, pode-se incluir a checagem do seu banco de dados de malware para descobrir possíveis buracos devido a atualizações lentas. Finalmente, o de escalabilidade informa quantos usuários o sistema aguenta antes, durante e depois de um ataque.

Melhores práticas para realizar testes

Companhas devem rever a resposta dos dispositivos de segurança como gateways, firewalls e IDS em um ataque real. O teste deve ser conduzido enquanto o tráfego real passa pela rede para ver a resposta dos sistemas sob stress.

Sistemas como DPI olham mais de perto em qualquer tráfego que passa através da rede para aplicar as políticas impulsionadas pelas políticas de segurança. Por exemplo, um organização de TI pode querer entender que clientes ou funcionários informem dados se estão usando Skype para mensagens, ligações ou transferência de arquivos. O DPI não será totalmente testado a não ser que ele seja colocado sob cargas reais de malwares. É essencial para a ferramenta de teste emular o tráfego de sistemas infectados no perímetro de defesa e ser capaz de fazer isso seguindo uma escala. Por exemplo, o teste deve ser feito com tráfego seguro e não-seguro, e os serviços devem também ter uma biblioteca de ameaças atualizada.

A metodologia DPSE pode responder a diversas questões sobre a prontidão dos malwares, incluindo: Qual o impacto na qualidade de serviço do usuário, em termos de latência? Quando os dispositivos entram estado de falha, os serviços relacionados também caem? Quantas ameaças os sistemas conseguem detectar? Quantos usuários são suportados durante um ataque?

O melhor teste dos sistemas de segurança requer que você envie, através de ataques de malware, durante períodos de simulação do tráfego de rede. Companhias que são proativas em escolher o melhor equipamento de teste e os fazem agressivamente serão capazes de gerenciar os efeitos de ataques complexos.