Aumento de cibercrime leva empresas a buscarem diferentes abordagens

Uma das soluções adotadas para ampliar bloqueio à entrada de malwares nas empresas é a monitoração por comportamento
É cada vez maior o número de empresas com redes invadidas por cibercriminosos. E, na maioria das vezes, o que eles buscam são informações ligadas ao core das companhias e, principalmente, dados relacionados à propriedade intelectual. Assim, investir na proteção dos dados e em um amplo programa de segurança da informação (SI) interno é essencial. Diversificar o tipo de proteção também é importante e, diante do cenário, muitas empresas têm buscado uma forma de combater essas invasões por meio da análise comportamental dos malwares.
Em conversa com a InformationWeek Brasil, Angel Viola, diretor de vendas para América Latina da FireEye, fornecedor de soluções de SI entre elas um appliance com foco na análise do comportamento do ataque, explicou que esse tipo de abordagem é uma forma de não depender da assinatura do arquivo, por exemplo, para entender se o que passa pela rede é ou não um malware.
Esse appliance comercializado pela FireEye tem uma inteligência interna baseada no comportamento padrão que arquivos diversos e emails seguem na rede corporativa. Conforme desvios são identificados, a análise é ampliada, ao passo que, quando a diferença de padrão atinge 100% ou supera a marca, já é feito um bloqueio. Quando o nível está em 70%, o tráfego é direcionado para máquinas virtuais dentro do appliance que desempenham o “papel de vítima”. Quando for um ataque, o malware entenderá ter atingido o alvo e iniciará a atividade, de forma que as ações poderão ser tomadas sem qualquer dano ao ambiente empresarial. Viola afirma que esse processo de identificação é feito em dois minutos.
“Em geral, as pessoas de negócio estão longe do debate de tecnologia”, comenta Viola, ao explicar o funcionamento da solução e o porquê de ser relevante esse trabalho com base em comportamento e não apenas em conhecimento, como fazem soluções tradicionais de firewall, IPS e gateways. Ele lembra que as mutações dos conteúdos maliciosos não são diárias e, com base em conhecimento, a partir de qualquer mudança que feita, o malware passa pelos bloqueios. “Não se pode trabalhar com conhecimento de assinatura, o malware moderno muda sua aparência”, exemplifica.
A empresa de origem americana está no Brasil desde o início do ano e, na América Latina, há um ano e meio. O foco de atuação, como lembrou Viola, está nas verticais governo e finanças, pela alta densidade de informações críticas que precisam ser protegidas, mas setores como energia, óleo e gás e companhias com grande volume de propriedade intelectual têm recebido bem esse tipo de solução. “Em geral, você vai ao cliente e ele fala que não tem problema. Quando fazemos uma prova de teste com nossa solução, geralmente, encontramos diversos arquivos (maliciosos).”
Grandes empresas como Facebook, Twitter, LinkedIn e Yahoo e instituições como Union Bank (EUA), Banco de Chile e Claro Equador são usuárias desse appliance e a expectativa com o Brasil é grande. Por aqui, três empresas estão prestes a fechar contrato, mas os nomes ainda não podem ser revelados. Mas o fato é que companhias de diversos portes e verticais estão cada vez mais preocupadas com SI e têm buscado, além de ampla educação do usuário, investir numa diversidade de soluções para fechar o cerco ao conteúdo malicioso. “Uma característica do malware moderno é ter sucesso ao atingir o alvo. Quando chega ao ponto, ele conecta o endpoint a um servidor externo”, alerta Viola, lembrando que, se a conexão não for cortada, provavelmente, a empresa sofrerá grandes prejuízos.