No dia 12 de maio, o ransomware WannaCry, por meio de um ataque Zero Day, infectou os sistemas de grandes empresas e se aproveitou de desafios de segurança enfrentados pelas organizações atualmente. A Trend Micro detectou as variantes utilizadas neste ataque como RANSOM_WANA.A e RANSOM_WCRY.I.
Começando com um phish básico, esta variante usa uma vulnerabilidade recente (CVE-2017-0144/MS17-010) para se espalhar de forma despercebida pelas redes internas mais desprotegidas, causando grandes estragos.
A reação inicial dos observadores externos que acompanhavam o cenário do ataque foi: “Por que as empresas não aplicaram as correções em seus sistemas?” De acordo com a Trend Micro, isso não pode ser tão facilmente respondido. Embora seja fácil culpar as vítimas, a campanha de ransomware WannaCry destaca os desafios fundamentais enfrentados pelos gestores de TI.
Esse não é o zero-day mais recente – dias antes do ataque, uma correção estava disponível para o MS17-010 59. Por isso, um dos maiores desafios que a comunidade de segurança enfrenta atualmente é a comunicação efetiva da cibersegurança dentro do contexto de negócio.
Patch: extremamente necessário
Um ponto bastante enfatizado na comunidade da Segurança de Informação é: a correção é a primeira linha de defesa. Apesar disso, não é incomum que as organizações demorem 100 dias ou mais para que apliquem uma correção.
E porquê? Vários fatores podem responder esse questionamento. Mas basicamente deve-se ao fato de que o setor de TI é crítico para qualquer negócio. Interrupções podem ser dispendiosas e prejudiciais à produtividade da companhia.
Outro desafio no momento são os aplicativos personalizados e de terceiros que não seguem as práticas de codificação recomendadas. Esses aplicativos podem depender de recursos não documentados, comportamentos exclusivos ou atalhos que não são oficialmente suportados. As correções podem alterar a configuração, impossibilitando o uso dos aplicativos empresariais críticos até que eles também possam ser corrigidos.
Esse ciclo é o motivo pelo qual a maioria das empresas adere às práticas tradicionais de testar correções, o que atrasa significativamente sua implantação. O investimento em testes automatizados é caro e de difícil justificativa, dada a longa lista de áreas que precisam de atenção dentro da infraestrutura de TI.
Tempo de inatividade x Custo de um ataque
Embora a ameaça Zero Day seja real, ciclos longos de patches são muito mais comumente aproveitados para serem atacados. A campanha WannaCry usou uma vulnerabilidade que era conhecida publicamente há 59 dias. Infelizmente, é possível que essa vulnerabilidade seja explorada por semanas ou até mesmo, meses.
Segundo a Trend Micro, o cenário pode tornar-se ainda mais crítico: o MS17-010 foi corrigido apenas em plataformas suportadas. Uma situação que a Microsoft, desde então, alterou ao emitir a correção para todas as plataformas afetadas. Embora seja lógico apenas fornecer correções para plataformas suportadas, a verdade é que o número “suportado” é muito diferente do número “implantado”.
O Windows XP, Windows Server 2003 e Windows 8 continuam instalados em alguns computadores – alguns relatórios contábeis relatam 11,6% dos computadores Windows e 17,9% dos servidores Windows. Ou seja, muitos sistemas vulneráveis a serem protegidos.
Soluções de “virtual patch” podem aplicar a correção em sistemas ultrapassados. À medida que os sistemas se tornam desatualizados, simultaneamente representam um risco maior para a organização. Assim como a variante do WannaCry, diversos malware, se aproveitam deste fato para maximizar o sucesso em seus ataques.
Até o momento, 637 vulnerabilidades foram contabilizadas, somente em 2017, um ritmo mais rápido do que as 1.057 relatadas em 2016 (esses números são apenas para vulnerabilidades exploráveis remotamente). Obviamente uma organização não será afetada por todas estas vulnerabilidades, mas é razoável dizer que, ao menos uma vez por mês, as companhias terão que enfrentar uma decisão sobre alguma vulnerabilidade crítica.
Para tomar a decisão de interromper o negócio, as empresas devem avaliar esse impacto. E é aí que as organizações costumam ficar na dúvida.
Em teoria, o cálculo a ser feito deveria ser o custo do tempo de inatividade (ao implantar a correção) e compará-lo com o custo de uma violação. E, na grande maioria das vezes, o custo de violação é muito maior do que o custo com tempo de inatividade.
Mitigação
O WannaCry é um exemplo de uma nova variante que causou danos significativos antes que a verificação tradicional antimalware pudesse ser implementada. É neste ponto que os modelos de machine-learning e a análise comportamental que são executados no endpoint se tornam críticos.
Essas técnicas proporcionam proteção contínua e imediata para novas ameaças. No caso do WannaCry, os sistemas com este tipo de proteção não foram impactados. Após uma análise mais profunda da comunidade de segurança, os controles tradicionais foram capazes de detectar e impedir que a última variante do WannaCry fizesse algum estrago.
Quando implantados, controles fortes de rede (como a prevenção de intrusão) conseguiram impedir a propagação indiscriminada do WannaCry em redes corporativas. Este é outro argumento válido para a micro segmentação na rede.
Os e-mails de phishing continuam a ser o método mais eficaz de distribuição de malware. 79% de todos os ataques de ransomware em 2016 começaram via phishing. A análise agressiva de e-mails para detectar ameaças e a implementação de gateways fortes são imprescindíveis.
O WannaCry é uma ameaça em rápido movimento que tem tido um impacto significativo no mundo real. Durante o ataque, expôs desafios fundamentais da segurança cibernética no mundo real.
A aplicação de correções é um problema crítico que precisa da colaboração entre a equipe de TI e todos os demais setores de uma empresa para que seja eficaz. Ano após ano, a maioria dos ataques se aproveita de vulnerabilidades com correções. Isso significa que a maioria dos ataques cibernéticos atualmente são evitáveis.
A rápida correção combinada com controles de segurança razoáveis para mitigar ameaças novas e existentes são golpes duplos que toda organização precisa para reduzir o risco de atuar no mundo digital.
