Ryan Francis, da CSO/EUA
Publicada em 18 de abril de 2017 no site CIO.
O mês de fevereiro marcou o aniversário de dois anos do ataque memorável de ransomware ao Condado de Livingston, um dos 88 condados do estado americano de Michigan. Município mais próspero do estado, Livingston tinha três anos de informações tributárias, que ficaram à mercê dos cibercriminosos.
O CIO do condado, Rich C. Malewicz, disse que a administração local de Livingston — equivalente às prefeituras no Brasil — têm sido alvo constante de ataques de ransomware, mas o que amenizou a situação foi o fato de ter os backups prontos. Ele conta que o ataque de ransomware foi resultado de um malvertising (tipo de anúncio publiciário online que geralmente é usado para espalhar malware) sobre uma campanha de abastecimento de água que infectou usuários que visitaram um site de notícias locais.
"O ataque foi muito engenhoso, em que tudo o que a pessoa tinha que fazer para ser infectada era visitar o site. Não tinha nem que clicar na página. Assim que o usuário acessava o site de notícias locais, ele era imediatamente redirecionado para um site que hospedava o código do exploit [pedaço de código de software que explora uma vulnerabilidade] e uma página infame apareceria exigindo um resgate com instruções", conta Malewicz.
Os hackers incorporaram código malicioso no iframe que redirecionava os usuários para a página inicial do exploit. O ransomware se espalhou para vários PCs e servidores, antes de que fosse contido. "Tivemos a sorte de ter backup dos dados e recuperamos tudo pouco depois. Se não tivéssemos o backup, poderia ter sido um desastre", disse o CIO.
Além da perda de informações cadastrais dos 188 mil cidadãos do condado, o governo local teria que arcar com o custo de mão de obra para replicar os documentos, isso sem falar nos danos à sua reputação. A rede de Livingston também é compartilhada com órgãos de segurança pública, bem como instituições de ensino.
"Está bastante claro que os governos locais são alvos primários de ataques de ransomware, principalmente porque os municípios não acompanham até agora o setor privado em matéria de proteção a crimes cibernéticos e muitos não têm soluções de backup e tendem a pagar o resgate", diz Malewicz.
Notícias recentes mostram que as agências de segurança e os governos locais têm pagado resgates de ransomware, por isso têm sido um alvo preferencial — hackers migram para a indústria que tende a pagar o resgate e aquelas que têm uma postura inadequada segurança cibernética. Esse foi o caso da polícia de Tewksbury, em Massachusetts, que pagou resgate depois de tentar por quatro ou cinco dias, sem sucesso, quebrar a encriptação do ransomware.
Aposta na Análise Preditiva
Após o ataque, o Condado de Livingston adotou uma ferramenta de análise preditiva para barrar ataques de ransomware da Unitrends, que inclui também o backup de dados. "Ataques de ransomware se tornaram comuns hoje em dia. Todo mundo conhece alguém ou alguma organização que já foi infectada. No futuro surgirão variantes de ransomware mais ameaçadoras, que causarão estragos em nossas casas e locais de trabalho", prevê Malewicz.
Acredita-se que a análise preditiva traz a tecnologia para a categoria de salvadora, já que ela tem capacidade de detectar alterações nos dados, o que aponta para o surto de ransomware, e permite que o administrador de TI recorra ao último ponto de backup legítimo.
Análise preditiva é uma necessidade porque o malware do futuro é desconhecido e certamente irá evoluir. Quando a tecnologia tradicional de defesa cibernética é ineficaz, a ferramenta analítica preditiva se torna a última linha de defesa para uma organização. A maioria das defesas em uma empresa é construída em torno de modelos baseados em assinaturas de malware "conhecidos", enquanto a análise preditiva é construída em torno do "desconhecido", estabelecendo um padrão dentro da organização e protegendo-a contra malware e outras atividades anormais.
O CEO da Unitrends, Paul Brady, diz que com a incorporação da análise preditiva e soluções de continuidade de negócios, a empresa permite que os clientes detectem ransomware como a última linha de defesa. "Através de análise preditiva e recursos de aprendizado de máquina contra padrões de dados de backup, organizações de qualquer setor podem não só detectar ransomware antes que cause estragos, mas também reverter para o último ponto de backup legítimo para diminuir o tempo ocioso", afirma.
Brady explica que, como os backups se sucedem, o software processa dados regularmente. "Mesmo sem saber o conteúdo detalhado de seus arquivos, métricas são coletadas, analisadas e armazenadas para futura tomada de decisões. Essas métricas incluem inserir padrões, alterar taxas, taxas de crescimento e muito mais. O sistema de backup é capaz de usar a aprendizagem de máquina ao longo do tempo para reconhecer que certas anomalias de dados são indicativas de um ataque de ransomware. Quando ocorrem as condições ideais, o administrador é alertado imediatamente."
Ransomware no topo da lista
Robert Huber, chefe de segurança e estratégia da Eastwind Networks, diz que ransomware está no topo da lista de prioridades de muitos CISOs e CIOs. "Levando em conta o custo de uma infecção e perda de dados, ou o custo para recuperar os dados, faz sentido."
"Um ótimo método para auxiliar na detecção e, sobretudo, prevenção, é o uso de análise preditiva, ou aprendizado de máquina. Infelizmente, a computação para realizar a aprendizagem de máquina em escala tem sido historicamente lenta e cara. Isso é agravado pela dificuldade de implantar e gerenciar esse tipo de solução", diz ele.
Mas Huber observa que o custo e a capacidade de implantar a tecnologia de aprendizado de máquina — e, por sua vez, a análise preditiva — tem diminuído. Por isso, avalia que muitas fornecedoras de ferramentas de segurança passaram a adicioná-la às suas soluções e aplicá-la no combate a ransomware.
Muitas vezes a classificação de "next-gen" concedida a novos produtos de segurança se resumem aplicar o conceito de aprendizado de máquina a soluções já existentes, diz Huber. "A disponibilidade de plataformas como Google Cloud Machine Learning Engine e Amazon Machine Learning reduziram o custo e a complexidade. Além do fato de a comunidade ter melhorado o estado das melhores práticas para aqueles que escolhem construí-las por conta própria."
"Menos complexo, caro e mais rápido [o aprendizado de máquina] permite que às empresas aplicá-lo na segurança cibernética quase em tempo real para prever/evitar, em vez de reagir. Claro, isso pressupõe que as empresas sejam capazes de construir modelos [de aprendizagem de máquina] que possam identificar essa atividade enquanto é ainda incipiente. É onde você precisa de cientistas dados para extrair as características relevantes para a construção dos modelos", ressalta Huber.
Nenhum comentário:
Postar um comentário