A dificuldade de gerenciar e proteger as infraestruturas cada vez mais complexas de TI contra ciberataques como WannaCry ou ExPetr é brutal.

O ataque global mais recente de ransomware, que afetou milhares de vítimas em todo o mundo, traz uma forte sensação de déjà vu. O malware é diferente do usado por WannaCry em maio, e o grupo criminoso responsável é diferente, mas o conselho para lidar com o surto de infecção permanece o mesmo: corrigir sistemas vulneráveis, não pagar o resgate e restaurar a partir de backups.

O novo ransomware – que o Kaspersky Lab chamou de ExPetr depois de determinar que não era uma variante do malware Petya – envolveu vários vetores, incluindo os exploits EternalBlue e EternalRomance, ostensivamente desenvolvidos pela Agência de Segurança Nacional dos Estados Unidos (NSA), sendo que o EternalBlue, um recurso SMBv1 baseado no Windows, também foi usado no WannaCry em maio.

Diferente do WannaCry, o ExPetr parece se espalhar por redes locais e não pela Internet, mas o ExPetr criptografa o Master Boot Record, que é muito mais prejudicial do que apenas criptografar arquivos individuais.

O ExPetr pode ser um novo ataque, mas não há nada de novo em termos do que ele faz. Ele explora várias vulnerabilidades conhecidas, se espalha através de um protocolo que não deve ser exposto à Internet e abusa de um utilitário existente no sistema operacional (PsExec).

No meio disso tudo apareceram a tradicional busca por culpados, os dedos apontados na direção das equipes de segurança, e os argumentos propagados por especialistas que tomaram blogs, redes sociais e sites de notícias para criticar:

– Este ataque foi mais um exemplo de organizações que não levaram a segurança tão a sério quanto deveriam.
– Esses ataques poderiam ter sido facilmente evitados se as empresas tivessem corrigido corretamente seus sistemas e implementado uma defesa em profundidade para proteger suas redes;
– WannaCry deveria ter sido o despertador, mas o fato de que o novo ransomware se espalhou pelo mundo tão rapidamente mostrou que ainda há muitas organizações e usuários que ainda não aplicaram o patch MS17-010 lançado pela Microsoft em março. – o SMBv1 é antigo, não nenhuma razão para a porta estar aberta à Internet. Desconsiderar a segurança – em termos de investimento, tempo ou prioridade – é irresponsável.

 

Não assuma negligência.

A TI e as operações estão plenamente conscientes de que os fundamentos de segurança como gerenciamento de patches, backups regulares, recuperação de desastres e continuidade de negócios, e resposta a incidentes, são fundamentais para proteger suas redes e usuários de ataques prejudiciais.

Considerar que eles são irresponsáveis ou incompetentes por estar atrasados na aplicação dos patches é inútil e ignora os desafios que eles e seus colegas de segurança enfrentam. É uma realidade incontestável que os sistemas vulneráveis estão executando um software que está fora de suporte, desatualizado ou simplesmente desprogramado. Isso não é uma surpresa para ninguém – ou não deve ser – em segurança.

“O que sempre parece surpreender, porém, é que, não importa o quanto falamos sobre o patch como a solução, isso não ocorre em muitos casos”, disse Wendy Nather, principal estrategista de segurança da Duo Security. “Falar sobre o problema e aumentar a conscientização não é suficiente para realmente resolvê-lo”.

 

Compreenda os desafios.

Depois da crise, é fácil dizer que todos os sistemas devem ser corrigidos regularmente. Mas assumir isso é negligenciar um problema-chave: a TI nem sempre tem acesso aos sistemas em suas redes, e se o sistema não estiver sob seu controle, você não pode atualizá-lo.

Quando os arquivos de correção podem, por exemplo, anular os termos da garantia ou da licença de um produto, permanecer em cima das atualizações para esses sistemas não é uma opção.

Considere também o que acontece nas fábricas, onde PCs conectados ao chão de fábrica podem ser considerados parte da maquinaria e não estão sob controle de TI. Os gerentes das lojas não querem a TI mexendo com os equipamentos dos caixas, mas a TI continua tendo que pensar um jeito de garantir a segurança e a compatibilidade contínua com outros sistemas.

“A questão é generalizada, especialmente entre as organizações abaixo da linha de pobreza de segurança, mas aplica-se tanto aos terminais financeiros e bancos de negociação financeira quanto à rede administrada por um sistema centralizado em uma instituição de ensino superior”,
diz Nather.

 

Reconheça as restrições organizacionais.

Este é um grande problema no setor público, onde as regras legislativas e os cortes de gastos destinados a controlar despesas do governo interferem com os gastos com segurança de TI. “Os contribuintes não vão pagar para atualizar hardware e software que estão funcionando bem”, diz
Nather.

Fora do setor público, pode haver outros constrangimentos na organização. Uma organização sem fins lucrativos tem regras rígidas sobre o que pode fazer e onde pode gastar dinheiro, por exemplo.

Quando a tecnologia custa milhões de dólares (digamos, uma máquina de ressonância magnética), você espera que dure anos. Necessitar de janelas regulares de manutenção para atualizar o software parece ser a antítese dessa promessa. Nos cuidados de saúde, a segurança do paciente é crítica, o que significa que o equipamento deve ser reanalisado e recertificado como sendo seguro a cada vez que o software é alterado.

Qualquer sistema com dependências externas altamente enredadas demorará mais para atualizar. As organizações em média demoram 120 dias para corrigir seus sistemas. Isso inclui testes contra diferentes configurações do sistema, garantindo que não haja conflitos de aplicativos e verificando que a funcionalidade atual não se perca.

A complexa rede de dependências significa que uma atualização pode inadvertidamente quebrar algo importante. Considere o Windows XP – um sistema operacional antigo que continua a viver em quiosques e equipamentos, e não pode ser facilmente eliminado, apesar do fato de que a versão desktop não é mais suportada. “Precisamos abordar décadas de sistemas legados e restrições organizacionais, bem como o simples fato de que ninguém sabe hoje quanto a
segurança efetiva deve custar a uma determinada empresa. Nós nem sabemos se é acessível “, diz Nather.

Seja realista e pragmático

As organizações têm sistemas legados e muitos fizeram investimentos maciços ao longo dos anos em sistemas e equipamentos inigualáveis. As migrações nem sempre são a resposta, e o setor de segurança precisa ser mais criativo em encontrar maneiras de trabalhar com as empresas na atualização de sistemas obsoletos ou na implementação de salvaguardas para proteger o que está em vigor. Existem restrições sobre o que a organização pode fazer com seus fundos, o que requer outro conjunto de ideias criativas sobre fazer milagres com recursos limitados.

Se a organização possui sistemas com software ainda não corrigido, atualizar o software é um bom primeiro passo. Mas quando isso não é uma opção, como é frequentemente o caso, procure soluções alternativas. As precauções incluem limitar e proteger o uso do PsExec, restringindo as permissões dos usuários, desativando o SMBv1 e bloqueando as portas 445 (SMB) e 139 (compartilhamento de arquivos e impressoras) de usuários fora da organização. No caso do
ExPetr, parece que bloquear c: \ Windows \ perfc.dat de escrever ou executar pode parar a infecção. A criação proativa de um arquivo chamado perfc sem extensão em % windir% também impedirá o ransomware de ser executado.

“Não devemos nos surpreender se virmos outro ataque no estilo WannaCry mostrar sua cara feia e, francamente, precisamos admitir que não será esta a última vez. E provavelmente vai piorar antes que ele melhore “, diz Nather.

Dica do Analistati: Use Linux!

 

Fonte: Computerworld

Créditos da imagem: pixabay