A sofisticação do cibercrime representa um grande desafio para a área de TI e uma ameaça para os usuários
O recente ataque ‘zero day’ contra os 1.5 bilhões de usuários do WhatsApp foi sofisticado e inteligente. Os criminosos digitais conseguiram acesso total aos smartphones dos usuários: a meta era ler mensagens, copiar contatos e controlar a câmera do dispositivo do usuário. Mas, mais do que ameaçar as pessoas que usam o WhatsApp em suas vidas privadas, esse ataque facilita a violação dos ambientes digitais das empresas. Suponhamos, por exemplo, que um funcionário tenha o WhatsApp instalado em seu dispositivo, e esse app tenha sido comprometido por meio do último ‘exploit’ do WhatsApp. É possível que este funcionário conecte, em algum momento, seu smartphone à rede corporativa.
Esse acesso legítimo pode ser via VPN, aplicações na nuvem (por exemplo, Office 365, Dropbox etc.), Wi-Fi corporativo ou pela configuração “favorita” pessoal, conectando o dispositivo à porta USB de um laptop corporativo para que o smartphone possa carregar a bateria.
Dentro desse quadro, entender como e onde os usuários se conectam à rede corporativa é essencial.
Na maioria dos casos, as organizações não podem impedir que os telefones BYOD (‘Bring Your Own Device’) pessoais sejam comprometidos, principalmente quando fora do perímetro da rede. Os gestores de TI e segurança podem, no entanto, proteger a rede contra ‘exploits’ disseminados através do smartphone infectado.
Veja abaixo as quatro formas mais comuns utilizadas pelos cibercriminosos para aproveitar a vulnerabilidade do WhatsApp e se infiltrar em uma rede corporativa e como evitar esse quadro:
1. Via VPN – Se um funcionário se conecta à empresa através de uma VPN corporativa, o firewall de próxima geração pode ser o ‘endpoint’ onde seria estabelecida a prevenção de ameaças via VPN e controle de acesso. Essa estratégia impediria a violação do WhatsApp de espalhar qualquer malware para outros dispositivos ou para a rede.
2. Via Wi-Fi – Neste cenário, firewalls de próxima geração e pontos de acesso wireless seguros são essenciais para inspecionar todo o tráfego interno e evitar que o ‘exploit’ vá além do telefone infectado.
3. Por meio de credenciais comprometidas – Como o ‘exploit’ do WhatsApp permitiu que invasores roubassem credenciais para serviços e aplicativos na nuvem, as organizações que contam com soluções CASB (‘Cloud Access Security Broker’) conseguem mitigar as invasões de contas (ATO), o acesso não autorizado, além de qualquer vazamento de dados relacionado.
4. Via porta USB – Os usuários geralmente esquecem que uma porta USB alimentada em seu laptop é um ponto de entrada para os invasores – mesmo quando fazem algo tão inocente quanto carregar um telefone. Uma solução de proteção de ‘endpoint’ sólida monitora a conexão com o laptop e inspeciona qualquer atividade maliciosa que tente aproveitar a porta USB para entregar cargas de malware.
A luta contra violações exige mudanças nos processos das empresas – com programas de treinamento que disseminem as melhores práticas de segurança entre todos os usuários, de todos os departamentos – e a contínua atualização das soluções de segurança.
As vulnerabilidades dos ‘endpoints’ demandam um conjunto de ações para serem identificadas e resolvidas. É essencial contar com soluções que apliquem técnicas avançadas de proteção contra ameaças, como aprendizado de máquina, integração de ‘sandbox’ de rede e reversão do sistema. Só assim a corporação estará preparada para enfrentar o próximo ataque ‘zero day’ de efeito massivo que, com certeza, virá.
*Rob Krug é arquiteto sênior de Soluções de Segurança da SonicWall
