Especialista explica que WannaCry e seus derivados poderiam ter alcançado monetizações maiores, o que indica que hackers podem estar apostando em outros tipos de ataque.
E se o WannaCry, o Petya e outros derivados não foram as únicas ameaças que se aproveitaram da vulnerabilidade do Windows? A dúvida foi lançada por Ghassan Dreibi, diretor de Cibersegurança para a América Latina da Cisco, ao apresentar o Relatório Anual de Cibersegurança 2018 da empresa.
Mesmo após ataques massivos, estratégia das empresas não evolui, avalia especialista
Ele explica que a intenção dos hackers não está tão clara. “O WannaCry poderia ter monetizado bem mais devido ao seu alcance e complexidade”, afirma. A principal hipótese é que malwares parecidos estão realizando roubo de informações ou espionagem, entre empresas ou até mesmo países, a partir da brecha no Windows Defender.
O alerta se faz importante visto que o volume de ameaças complexas aumenta cada vez mais e impedir o ataque já não é mais efetivo. “Todas as redes estão infectadas. O segredo é saber como sobreviver em um cenário onde as empresas e pessoas se tornaram dependentes do uso da tecnologia”, diz Dreibi.
De acordo com dados do relatório, que está em sua 11ª edição e entrevistou 3,6 mil diretores de cibersegurança de 26 países, o custo financeiro dos ataques não é mais um número hipotético. Mais da metade de todos os ataques resultaram em danos financeiros superiores a US$ 500 mil, incluindo perda de receita, clientes, oportunidades de negócio e custos diretos.
“As empresas agora olham para o uso de inteligência artificial (AI) e machine learning para se defender”, explica o especialista. A pesquisa aponta que elas gastaram mais nessas tecnologias, apostando no “aprendizado” para detectar automaticamente padrões incomuns nos ambientes de tráfego da web, nuvem e Internet das Coisas (IoT), seja criptografado ou não.
O desafio é, segundo alguns dos entrevistados, o número de falso positivo que esses sistemas geram e que tem frustrado os diretores. A expectativa é que as tecnologias de AI amadureceram e aprendam o que é uma “atividade normal” nos ambientes de rede que estão monitorando.
Do outro lado, os hackers também têm apostado na sofisticação de malwares, utilizando a criptografia para evitar a detecção. Os pesquisadores de ameaça da Cisco observaram um aumento de mais de três vezes na comunicação de rede criptografada, usada por amostras de malware inspecionadas ao longo de um período de 12 meses.
“A criptografia não permite que o malware seja lido por programas de proteção, mas ele pode ser executado para infectar”, explica Dreibi. A sofisticação do ataque consegue passar até mesmo por algumas versões de sandbox se aproveitando de vulnerabilidades. “Ou o próprio malware controla o sandbox ou uma série de ataques anteriores lota o servidor do sistema para deixar o vírus principal passar.” A solução, segundo o especialista, é analisar o comportamento do tráfego.
Veja outros destaques do estudo:
o Em 2017, 25% dos profissionais de segurança disseram que usaram produtos de 11 a 20 fornecedores, em comparação com 18% dos profissionais de segurança em 2016.
o Os profissionais de segurança disseram que 32% das violações afetaram mais da metade de seus sistemas, em comparação com 15% em 2016.
o 92% dos profissionais de segurança disseram que as ferramentas de análise de comportamento funcionam bem.
o 27% dos profissionais de segurança disseram que estão usando nuvens privadas off-premises, em comparação com 20% em 2016. Entre eles, 57% disseram que hospedam redes na nuvem pelo motivo de uma segurança de dados melhor; 48%, devido à escalabilidade; e 46%, por causa da facilidade de uso.
o O TTD médio da Cisco foi de cerca de 4,6 horas para o período de novembro de 2016 a outubro de 2017 – bem abaixo do TTD médio de 39 horas relatado em novembro de 2015 e a média de 14 horas divulgada no Relatório Anual de Cibersegurança de 2017 da Cisco, para o período de novembro de 2015 a outubro de 2016.