Recentemente ataques cibernéticos sem precedentes nos colocaram em alerta e mudaram a forma como devemos lidar com a segurança da informação. Os vazamentos de vulnerabilidades que forneceram as informações para que os ataques WannaCry e Petya fossem realizados, ainda serão bastante usados pelos cibercriminosos. Mais variantes do mesmo vazamento já foram detectadas e, considerando que mais de 30 vulnerabilidades foram publicadas, podemos esperar que ameaças nunca antes vistas sejam criadas a partir dessas informações.
O cibercrime avança rápido demais e já é impossível tentar combatê-lo apenas com a criação de mais e mais produtos de segurança. Ainda precisamos muito das ferramentas, mas sozinhas elas não podem resolver o problema. Além do que, é inviável para a maioria das empresas atualizar seu ambiente de segurança a cada novo produto promissor lançado, tanto pelo custo como pela demanda de esforços para gerenciar cada vez mais soluções.
O que fazer então para lidar com esse volume gigantesco de novas ameaças que surgem todos os dias? A resposta é incluir mais inteligência na estratégia de segurança e criar um plano de respostas a incidentes que corresponda às vulnerabilidades específicas de cada empresa.
Existem diversas ações que a equipe de segurança pode realizar que são bastante eficientes para combater as ameaças e que não dependem da implantação de uma solução específica, ações como desligar algo no sistema operacional que impeça a propagação do malware, alterar configurações no sistema, habilitar alguma assinatura de proteção de rede ou bloquear alguma porta de comunicação.
No caso do WannaCry, por exemplo, foi usada exploração para protocolo SMB. Algumas empresas não precisam deste protocolo em todas suas operações e bastaria desabilitá-lo para bloquear a propagação do malware. Já as empresas que realmente precisam deste ou de outro protocolo, poderiam optar por soluções que realmente atuem prevenindo a exploração de vulnerabilidades, como virtual patching ou whitelist.
As equipes de segurança precisam receber mais informações do que oferta de produtos. O que vemos atualmente são equipes sobrecarregadas com o gerenciamento de muitas soluções e que muitas vezes nem sabem se tais soluções são essenciais para a defesa do ambiente. Cabe agora aos fornecedores de segurança compartilhar informações, informar o cliente sobre as tendências de ataques para cada tipo de mercado, novos malwares detectados, quais tipos de exploração estão acontecendo, e como mitigar, seja em rede, sistema ou aplicação.
Com a elaboração de um plano de respostas a incidentes mais inteligente e direcionado, as empresas conseguem de alguma maneira responder ao incidente; evitar que o ataque aconteça e, caso aconteça, que o impacto seja o menor possível, ainda que a ameaça não seja conhecida e que as soluções de segurança não consigam identificá-la no primeiro momento.
* Jeferson Propheta é diretor de serviços de segurança da McAfee para a América Latina
