WannaCry e Petya: O circo do NGFW chegou à cidade

A segurança exige muito mais do que um firewall com capacidade de bloquear jogos do Facebook. A proteção precisa fornecer uma abordagem holística e integrada de segurança que cubra toda a sua rede

Vamos parar e pensar por um minuto ou dois. Como foi que os recentes ataques de ransomware aconteceram? As empresas estão focadas em ameaças válidas, corrigindo os problemas certos ou desenvolvendo os processos corretos? As tecnologias transformadoras mudaram o nosso pensamento? Não sejamos táticos. Em vez disso, precisamos pensar no seguinte: “Qual é a nossa melhor estratégia?”

Desde que o circo todo do NGFW (firewall de próxima geração) chegou à cidade, parece mais interessante ficar do lado de fora, nas barraquinhas, e perder o evento principal lá dentro. Por exemplo, ver como um firewall pode manipular os detalhes dos hábitos de um usuário é uma atividade que parece atraente. Eu já vi vários fornecedores tentando ganhar a confiança dos clientes mostrando como um firewall corporativo pode bloquear um jogo no Facebook, enquanto permite o acesso a outros jogos. Por isso, as capacidades de firewall começaram a ser medidas e avaliadas com base no número de assinaturas de aplicativos que o firewall contém, concluindo que quanto mais assinaturas de aplicativos, melhor o firewall corporativo.

Embora esta e outras tendências similares tenham dominado a conversa sobre o firewall corporativo, os recentes ataques dos vírus WannaCry e Petya deveriam fazer com que os fornecedores de firewall corporativo e seus clientes pensassem duas vezes. A questão aqui é: eles realmente estão se concentrando no problema que precisa ser resolvido? Ou ainda estão do lado de fora nas barraquinhas brincando com ursinhos de pelúcia?

Depois de analisar este problema com atenção, eu cheguei a essa conclusão: tanto os fornecedores de NGFW quanto seus clientes estão focados no problema errado. O principal risco de negócio – e como uma equipe de pesquisa de segurança vimos e comprovamos isso a todo momento – continua sendo ransomware e malware adquiridos por links em e-mails.

Vamos analisar um típico ataque de ransomware e como uma empresa é atingida.

Começamos com nosso velho amigo e companheiro de todas as horas, o e-mail. As pessoas estão acostumadas a receber mensagens de spam. Os tipos mais idiotas ainda circulam (por ex., você ganhou um milhão de dólares na loteria, ou um descendente monarca estrangeiro quer compartilhar sua riqueza com você). As tentativas mais inteligentes se apresentam como uma mensagem do seu banco, informando sobre algum problema inexistente com a sua conta, o governo tentando receber ou devolver dinheiro de impostos, ou informações sobre uma encomenda importante esperando por você. Outros e-mails de spam são mais assustadores, como uma mensagem urgente do seu chefe exigindo uma informação ou um pagamento relacionado a um projeto supersecreto no qual ele está trabalhando.

Chamamos estas últimas tentativas direcionadas de spear phishing (este setor está sempre criando novos nomes). O e-mail de spear phishing contém todos os nomes certos e todos os detalhes corretos para torná-los convincentes. Os profissionais de TI podem facilmente detectar os erros nesses e-mails, como erros de ortografia, gramática ruim ou logotipo desatualizado, e acabam rindo dessas tentativas. Mas uma empresa não é composta exclusivamente por profissionais de TI. Na verdade, mesmo uma empresa de TI profissional precisa de ajuda para viabilizar seus negócios. Nas empresas em geral, se você contratar centenas, milhares ou dezenas de milhares de funcionários, há sempre uma pessoa, seja um terceirizado, um estagiário, um amigo sobrecarregado na mesa ao lado da sua, um executivo que você nunca esperaria cair nesse tipo de golpe, ou às vezes você mesmo, que clicará nesse link ou anexo infectado.

Assim que clicar nesse link, o efeito não poderá ser revertido. E então começa o pesadelo.

O malware lançado imediatamente começa a busca por dados valiosos e vulneráveis. Ele também vai fundo no seu sistema de arquivos procurando por computadores conectados na mesma rede que pode infectar. Logo depois, começa a criptografia de dados e unidades, e então iniciam as chantagens. Para ter seus dados de volta, o departamento de finanças da empresa terá que comprar bitcoins (depois de pesquisar o que são bitcoins e como comprá-los) para ver se os dados mantidos como refém serão liberados. Mas isso raramente para por aí. Outras situações acontecerão que amarrarão sua empresa aos criminosos por dias, semanas ou meses. Então, surge a manchete do jornal, e todos sabem o que acontece depois porque lemos sobre isso todos os dias.

Este processo, ou algo parecido com isso, acontece todos os dias há anos, apesar dos bilhões de dólares gastos com equipamentos NGFW. Por quê?

Firewall

Bem, uma razão pode ser que o pessoal interno é responsável por 60% de todos os ataques. Destes, três quartos são intencionalmente maliciosos e o restante não é malicioso. Mas o ponto é que todos acontecem no lado errado do firewall.

É por isso que sistemas de defesa efetivos precisam de uma abordagem baseada em fabric que contenha os seguintes elementos:

  1. Um sistema eficaz de filtro de malware em spam recebido por e-mail (como o FortiMail ou FML na nuvem)
  2. Treinamento de conscientização do usuário
  3. Criação de uma rede interna segmentada
  4. Um bom backup de dados
  5. Saber o que, com quem e por que está compartilhando tais dados
  6. Compreender o seu sistema host e suas vulnerabilidades
  7. Criação de um SOC (centro de operações de segurança) coordenado
  8. Estabelecer um bom comando e sistema de controle

A segurança exige muito mais do que um firewall com capacidade de bloquear jogos do Facebook. A proteção precisa fornecer uma abordagem holística e integrada de segurança que cubra toda a sua rede. Não me interprete mal. Um dispositivo NGFW tem um papel importante na estratégia de segurança, mas não é o suficiente. É por isso que fornecemos muito mais que equipamentos e plataformas de NGFW. E como fornecemos o serviço completo com segurança de classe corporativa, reconhecemos facilmente quando um circo chega à cidade.

(*) Michael Xie é fundador, presidente e CTO da Fortinet