Escapando da bolha de segurança empresarial
A grande maioria dos esforços da indústria de segurança e milhares de milhões investidos em I&D concentram-se em impedir que atacantes entrem no perímetro de segurança das empresas. Por exemplo, gateways de email, firewalls, firewalls de aplicações e agentes de endpoint têm como objetivo bloquear emails, pacotes, pedidos e ficheiros maliciosos de entrarem na rede empresarial e evitar que roubem dados sensíveis ou manipulem os colaboradores da organização.
Esta corrida armamentista de gato e rato tem vindo a acontecer há décadas. Por exemplo, no email, temos observado uma evolução de phishing em grande volume para spear phishing muito mais direcionado, para business email compromise que manipula especificamente executivos de nível C, para account takeover ataques em que uma conta de email empresarial existente é utilizada para enganar outras contas na rede.
Embora este jogo de gato e rato seja obviamente importante e continue nas próximas décadas, gostaria de destacar a ameaça crescente de ataques que simplesmente contornam a "bolha" de segurança empresarial, ignorando todas as defesas sofisticadas construídas em torno da infraestrutura empresarial.
Novos ataques que contornam a bolha
Tenho a certeza de que todos vocês receberam (e eu também) mensagens de texto ou WhatsApp como esta:
Esse tipo de ataques está a aumentar. Embora não haja nada de novo nas táticas (assemelham-se a milhões de e-mails de phishing que a Barracuda vê todos os dias), o vetor de ataque é novo: os atacantes estão agora a visar os utilizadores nos seus telefones pessoais.
Uma versão muito mais sofisticada deste vetor de ataque funciona da seguinte forma: Um funcionário recebe um e-mail de phishing que, em vez de um link contém um código QR:
Por que razão o atacante se daria ao trabalho de codificar o link como um código QR, poderá perguntar? Bem, em primeiro lugar, é menos provável que um sistema de segurança de e-mail se dê ao trabalho de decodificar o código QR e inspecionar o link. Mas, em segundo lugar, e muito mais importante, o código QR será digitalizado, e o link será aberto pelo telefone pessoal do utilizador, em vez de no seu portátil.
Porque estão os atacantes a visar telemóveis pessoais?
Pode perguntar, por que os atacantes estão tão determinados a atacar telemóveis pessoais? Bem, é provável que não exista um sistema de segurança empresarial sofisticado (ou sequer básico) a monitorizar as mensagens recebidas num telemóvel. Se clicar num link numa dessas mensagens, há uma grande probabilidade de não haver sistema que bloqueie o site de phishing, porque o seu telemóvel provavelmente não faz parte da rede empresarial. Finalmente, se Malware for instalado no seu telemóvel, a grande maioria de vocês não tem proteção de endpoint empresarial que proteja o seu dispositivo pessoal.
Este problema, claro, não é novo. Os leitores de certa idade recordarão que há cerca de uma década houve uma grande tendência na indústria de segurança de proteger "BYOD" (traga o seu próprio dispositivo), que era uma abreviatura para telemóveis, portáteis e tablets que acedem a dados empresariais. E naquela altura havia uma série de empresas que ofereciam proteção para estes dispositivos, denominada MDM (gestão de dispositivos móveis). Algumas dessas ofertas ainda existem.
Claro, muitas empresas ainda mantêm e protegem determinados endpoints, em particular portáteis. Mas para os telemóveis, para a grande maioria das organizações, esse barco já partiu. É uma tarefa muito exigente para as organizações de TI e segurança localizarem e protegerem todos os telemóveis dos funcionários. Mesmo com um agente a funcionar no telemóvel, seria uma tarefa hercúlea monitorizar qualquer mensagem recebida que possa ser enviada via texto, iMessage, WhatsApp, Messenger, Instagram, etc. para potencial phishing.
Assim, chegámos ao ponto atual em que os smartphones estão mais ou menos completamente fora da bolha de segurança empresarial, e os atacantes estão cada vez mais a visar os utilizadores empresariais nos seus dispositivos pessoais completamente desprotegidos. Uma vez que conseguem aceder aos dispositivos pessoais, podem então utilizá-los para atacar esses mesmos sistemas empresariais valiosos (por exemplo, email, sistema de ficheiros, aplicações SaaS) a partir do próprio dispositivo.
O que fazemos em relação a isto?
Isto levanta a questão: o que podemos fazer coletivamente em relação a estes ataques? Este é um grande desafio aberto que a comunidade de segurança enfrenta. Não penso que trazer de volta o MDM vá funcionar, porque perseguir todos esses dispositivos móveis dos funcionários é muito dispendioso. Algumas empresas têm os recursos para o fazer, mas a maioria não.
Uma solução que está disponível hoje e que todas as organizações devem ser capazes de implementar é, claro, formação de sensibilização sobre segurança. Um programa abrangente de formação de sensibilização sobre segurança não deve apenas abranger o vetor de ataque "clássico" do e-mail empresarial, mas também incluir outros, como phishing por SMS e outros tipos de esquemas. Outra ferramenta importante é Zero Trust, que permite às empresas implementar controlo de acesso e monitorização em dispositivos pessoais potencialmente comprometidos quando tentam aceder à rede empresarial.
Embora estas soluções sejam muito importantes, não são suficientes. Precisamos de ferramentas automáticas que possam bloquear phishing contra dispositivos pessoais, semelhante à forma como são bloqueados por soluções sofisticadas de segurança de e-mail empresariais. Como interceptar e monitorizar estas mensagens sem ter um agente invasivo no dispositivo continua a ser um desafio em aberto.
Subscreva o Blogue Barracuda.
Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.
