Nota-se no mercado uma grande oferta de soluções de segurança, larga divulgação dos ataques e ameaças e vários conselhos de consultores e especialistas. Mas estas ações têm sido insufiencientes para defender os negócios do cibercrime. A resposta, ou ao menos parte dela, pode estar no estudo diculgado recentemente pela ISH Tecnologia, segundo o qual as empresas não estão fazendo o básico: baixar e instalar as atualizações de sistemas disponibilizados pelos fabricantes.
Um mapeamento feito pela empresa detectou 488.831 vulnerabilidades ativas em máquinas brasileiras, a maior parte delas antigas e com atualizações já disponibilizadas pelos fabricantes. Este é um alerta para usuários e/ou gestores, afinal são vulnerabilidades comuns para a grande maioria das instituições e consideradas críticas por conta da simplicidade que seria invadir o sistema.
Paulo Trindade, gerente de Inteligência de Ameaças Cibernéticas da ISH Tecnologia, explica que os softwares desatualizados ou atualizados incorretamente, os sistemas sem backups regulares e a ausência de sistemas de segurança formam o combo perfeito para ataques. Segundo ele, com a falta de correções, muitas das fraquezas cibernéticas das corporações acabam sendo expostas.
O levantamento feito pela empresa apresenta as vulnerabilidades mais procuradas pelos grupos maliciosos:
Heartbeat: permite que uma versão desatualizada e mais simples do software de uma máquina seja lida e criptografada, assim roubando dados do sistema operacional como tráfego, nomes e senhas do usuário podendo fazer com que os invasores se passem pelos usuários da corporação e roubem dados diretamente da fonte.
HTTP sys (execução de código): nesse caso, a máquina analisa incorretamente um o protocolo de comunicação HTTP, pois seu código foi mudado por um invasor para obter os privilégios do sistema. Essa falha afeta vários servidores Windows, como 7SP1, 8, 8.1, Server 2008 R2, Server 2012, Server 2012 R2.
SMBv3: afeta os protocolos de sistemas do Windows dos servidores Windows 10 e Windows Server, e é colocada como crítica, já que dificilmente se recupera o sistema uma vez que tomado pelos grupos. Nesse ataque, o grupo malicioso pode até explorar que corporação ele vai atacar: o sistema do prestador de serviço ou do cliente, porque ele concede justamente a execução de código arbitrário no servidor e no cliente SMB — o protocolo de compartilhamento de arquivos que permite que o computador os leia e grave-os.
RDP: é classificado como crítico no mapeamento pois o malware altera os códigos da Área de Serviço Remota, e cria configurações exclusivas para o servidor que ele está invadindo. Uma vez que instalado o código, o invasor poderá instalar programas, visualizar, alterar ou excluir dados e criar contas como se fosse um usuário do servidor.
Grafana: nessa vulnerabilidade, são atacadas as informações operacionais fora do sistema Grafana, assim acessando e lendo arquivos que estão em locais restritos., incluindo senhas e definições de configuração.
Roteadores Cisco: essa é baseada na interface web de gerenciamento dos roteadores Cisco Small Business RV320 e RV325 Dual Gigabit WAN PAN, e ocorre devido à validação imprópria da entra fornecida pelo usuário, assim permitindo que o grupo por trás do ataque seja administrador do sistema Linux da máquina.
Servidor IIS da Microsoft: essa vulnerabilidade acontece quando o software acaba excedendo os números de dados suportados pelo buffer da máquina, a partir de uma solicitação PROPFIND do atacante. Esse tipo de invasão ocasiona nas negações de execuções e serviços da máquina da empresa após sequestrar os seus dados.
Mesmo com o número alto de vulnerabilidades, há diversos passos que as empresas podem tomar. Trindade diz que o gerenciamento de vulnerabilidades é parte essencial não só para a segurança, mas também a prosperidade de uma instituição.
Mesmo com a instalação de um sistema sólido de proteção de dados e gerenciamento de vulnerabilidades, Trindade diz que é extremamente importante para a continuidade de uma sólida e resiliente defesa de sistemas da corporação, os cuidados cotidianos nos sistemas, como a atualização constante dos aplicativos e sistemas operacionais, a utilização de softwares antivírus ou uma solução mais avançada como EDR, uso de senhas fortes mesclando letras maiúsculas, minúsculas, números e símbolos (ex: !, #, $, entre outros), restrição de informações confidenciais, realizar testes com seu sistema de proteção e o treinamento de seus colaboradores para que eles não acessem possíveis sites que sequestram informações dos computadores.
