.
Recurso patrocinado A sexta-feira, 10 de dezembro de 2021, está gravada na memória de muitos profissionais de TI, mas não por motivos que eles recordarão com carinho. Aquele foi o dia, no momento em que a maioria dos trabalhadores americanos estava de folga para um fim de semana prolongado, quando uma vulnerabilidade crítica em um código de software obscuro, mas essencial, chamou a atenção de todos.
Log4j é uma biblioteca de registro de código aberto, incorporada em aplicativos e serviços na Internet. Sua função é registrar todas as atividades que ocorrem nos bastidores em uma variedade de sistemas de computador. O Log4Shell, um componente da biblioteca, revelou-se sem aviso prévio como uma possível porta dos fundos que, se não corrigida, poderia ser usada por invasores para invadir sistemas, roubar senhas e logins, extrair dados e infectar redes com software malicioso.
Em suma, para levantar o inferno. Cue cancelou licenças em departamentos de TI em todo o mundo, pois buscavam desesperadamente maneiras de corrigir a falha. As ramificações ainda estão sendo sentidas 18 meses depois, enquanto os bandidos continuam procurando maneiras de entrar no coração de sistemas críticos através desse buraco de fechadura.
Alerta sobre a interdependência de software
Como diabos isso pode ter acontecido e o que pode ser feito para evitar que isso aconteça novamente? Para responder a essas perguntas, primeiro é importante confrontar algumas das realidades em torno da implantação de software moderno, argumenta Toby Lewis, chefe global de análise de ameaças da empresa de segurança cibernética Darktrace.
“Log4j foi um alerta para muitas pessoas sobre como a tecnologia é estruturada e como ela é usada”, explica ele. “Existe um equívoco generalizado de que todo código de software é escrito do zero, independentemente de todos os outros códigos. A realidade, que o Log4j demonstra, é um nível de interdependência entre todos os desenvolvedores. A maneira como o software é desenvolvido e compartilhado cria um suprimento risco do tipo cadeia em que as pessoas dependem de seus fornecedores para manter as coisas seguras.”
Esse método de implantação de software faz sentido para os negócios. Afinal, os fabricantes de automóveis não criam um novo sistema de injeção de combustível toda vez que projetam um modelo. Mas também pode levar ao chamado ‘dia zero’, uma lacuna desconhecida e desprotegida nas defesas que os invasores podem aproveitar. Depois de detectar uma vulnerabilidade de dia zero, os invasores precisam descobrir a melhor forma de maximizar seus retornos, com a certeza de que não há defesa entre eles e seus objetivos maliciosos.
É apenas uma questão de tempo. Foi uma coincidência que a vulnerabilidade do Log4j tenha se tornado aparente pouco antes de um feriado, pegando as pessoas desprevenidas no pior momento possível? Ou era parte de um plano do submundo do crime cibernético que havia entendido o potencial de problemas há algum tempo e esperou seu tempo? Lewis suspeita do último: “Com um grande dia zero que ninguém conhece, os invasores podem causar um impacto realmente grande”, explica ele. “Portanto, segmentá-lo em torno de um feriado faz sentido.”
Enquanto os atacantes se concentraram em uma oportunidade de esmagar e aproveitar para serem explorados em grande escala, os defensores foram pegos cochilando: “Com o Log4j, por um curto período não houve correção, nenhum patch”, lembra Lewis. “Todos estavam bloqueando os sistemas da melhor maneira possível. Mas mesmo com um patch, você tem o problema de como consertar uma biblioteca de software sobre a qual não tem controle. Como uma organização de usuário final, você realmente sabe o que compõe os componentes de software nos quais você confia todos os dias? Log4j foi um exemplo de um pequeno pedaço de código que as pessoas usam sem pensar, tanto que ninguém realmente sabia onde ele ficava em seu ambiente. Não havia uma maneira fácil de descobrir onde foi instalado.”
Devemos viver com vulnerabilidade inerente?
Isso tudo levanta a questão de saber se é possível obter familiaridade com cada pedaço de código de terceiros em uma organização. Dado o tamanho da tarefa, não devemos simplesmente aceitar algum nível de risco? Viver com uma vulnerabilidade inerente que pode nunca ser totalmente resolvida?
A realidade comercial exige que projetemos nossas pilhas de tecnologia e construamos nossas redes de uma forma que aceite algum nível de risco e compromisso, diz Lewis. Mas isso não significa ceder aos bandidos. “Estamos começando a ouvir sobre ambientes Zero Trust e segmentação de rede que tenta separar os sistemas para que você possa colocar em quarentena uma parte infectada”, observa ele. “Então tudo se resume às suas operações de segurança em serviço. Como você detecta atividades maliciosas em primeiro lugar?”
O método clássico de inteligência de ameaças, regras e assinaturas representa uma abordagem. Mas a Darktrace segue a linha de que você precisa de tecnologias complementares em jogo, incluindo IA e aprendizado de máquina. “É claro que em um cenário de dia zero você não está procurando por algo que aconteceu antes, mas algo inerentemente estranho”, diz Lewis. “Você precisa ser capaz de identificar coisas que ainda não são conhecidas.”
A filosofia Darktrace se concentra na ideia de que um invasor nunca pode imitar totalmente os usuários reais. Sempre haverá uma diferença inerente entre como um usuário se comporta e como um invasor se comporta. Isso significa que a defesa é mais do que apenas uma lista de endereços IP ruins que podem ser bloqueados.
“Ao observar o comportamento do usuário, você pode começar a identificar uma gama mais ampla de atividades”, explica Lewis. “Nossa abordagem gira em torno da IA de autoaprendizagem. Ela concentra a atenção em aprender sobre os defensores, o que é mais fácil do que aprender sobre os atacantes.”
Depois que o software Darktrace descobre como usuários legítimos estão usando uma rede, ele tem a oportunidade de detectar quando alguém está na rede e não deveria estar lá. Seja Log4j ou alguma outra vulnerabilidade como ransomware ou um ataque de ‘estado-nação’, tudo se resume a detectar anomalias sutis em quando e onde alguém está fazendo logon em um sistema e seu comportamento subsequente.
Por que os hackers precisam do comportamento legítimo do usuário para copiar
Mesmo quando os invasores estão armados com algum tipo de IA adversária, talvez baseada no ChatGPT, eles ainda precisam de um grau de visibilidade de um usuário legítimo para saber qual comportamento copiar. Isso exige que já tenha havido algum tipo de falha de segurança, para dar à IA maliciosa algo para se alimentar.
É sempre desejável, portanto, fortalecer as defesas antes de um ataque. Darktrace PREVENT ajuda aqui, desempenhando o papel de um invasor que procura pontos fracos em um sistema. É uma ferramenta poderosa que dá aos defensores uma compreensão muito melhor de como eles estão expostos a possíveis irregularidades, diz Lewis. “É mais do que uma simples varredura de vulnerabilidade”, explica ele. “No final das contas, você tem que aceitar que não existe uma configuração ideal. Sempre há riscos. Mas é importante entender esse risco e gerenciá-lo.”
No entanto, é absolutamente vital para as organizações perceber como um usuário comprometido pode levar ao comprometimento de outras partes da propriedade: “Os invasores procurarão pular de uma plataforma para outra, identificando caminhos críticos através de ambientes que lhes ofereçam a menor resistência possível, ” ele adiciona. “Acerte o ponto ideal e eles terão um caminho para as Joias da Coroa. Na Darktrace, nosso objetivo é fornecer ao CISO o máximo de informações possível para que eles possam tomar decisões informadas, em vez de aceitar riscos cegamente, como muitos fazem atualmente.”
Crises como Log4j, juntamente com manchetes intermináveis sobre ransomware, pelo menos elevaram o perfil da segurança cibernética e deixaram claro que é um problema para todos em uma organização, não apenas para o CISO: “A segurança por muito tempo foi um ponto de discussão para o departamento de TI”, afirma Lewis. “Eventos recentes mudaram isso e o tornaram um problema para todo o negócio.”
A administração também está percebendo que é preciso haver um certo grau de compromisso entre a segurança e a administração dos negócios. O Log4j e o ransomware mostraram a todos que existem alguns riscos que você não controla, mas que, no entanto, você não pode ignorar. Como resultado, podemos estar vendo uma abordagem mais pragmática para gerenciar o risco de segurança entre as organizações que deixaram de vê-lo como uma linha em um orçamento e uma caixa regulatória a ser marcada.
Lewis conclui: “Na Darktrace, queremos garantir a menor interrupção possível para garantir que todos mantenham seus empregos.”
Patrocinado pela Darktrace.
.
