* Por Arthur Capella
Com o fechamento de 2014, a maior preocupação dos especialistas em segurança é conseguir antecipar os principais tópicos e tendências para o próximo ano. Ao olhar para trás e analisar as tendências-chave na prevenção de ameaças de 2014, é possível fornecer indicadores sobre o que nos espera em 2015 e, portanto, seguem abaixo as tendências estabelecidas como importantes indicadores do que está por vir:
Os invasores usarão meios mais legítimos e complexos para lançar ataques generalizados.
Você já deve ter visto a palavra “malvertising”. Para quem ainda não sabe, trata-se de um método de ataque que tem ocorrido nos últimos dois anos. O Yahoo! e o AOL foram alvos de ataques em setembro e em outubro deste ano, ocasionando lucro aos hackers em milhares de dólares por dia.
Entretanto, o uso de malvertising como um método de ataque é uma mudança como um tipo de “canto escuro” de invasores – tais como spear phishing e packet sniffing – que utilizam uma técnica baseada num processo de negócio legítimo para fazer todo o trabalho sujo, que normalmente está envolvido um malware. O processo dá potencialmente a hackers acesso a milhões de usuários com um esforço mínimo e tudo que os invasores têm que fazer é desenvolver um código de malvertisement.
Nós veremos em 2015 inúmeros tipos de métodos de entrega de malware e não somente campanhas de malvertising. São utilizados canais de negócios com pouca ou nenhuma segurança porém, eles fornecem um fluxo constante de alvos inocentes com várias partes móveis tornando impossível rastrear o invasor. Isso irá requerer uma coordenação cuidadosa para fazer com que esses canais estejam mais seguros.
No próximo ano continuaremos a ver um fluxo constante de ameaças desconhecidas (zero-day), principalmente relacionadas ao código de legado.
As práticas de codificação seguras se tornaram parte do cotidiano do desenvolvedor de software. Nos últimos dois anos, temos visto mais aplicativos de segurança e equipes de desenvolvimento voltando-se a análises estáticas e dinâmicas a fim de detectarem vulnerabilidades de códigos e de lógica de negócios e corrigi-los antes que o aplicativo seja lançado ou que atualizações sejam enviadas.
Diversos clientes estão começando a construir cláusulas com tempo de conserto com penalidades monetárias em seus contratos com fornecedores. Se algo está claro no universo B2B, é que as vulnerabilidades afetam a integridade do aplicativo, o que abala a confiança do cliente e interfere na receita. Por isso, é mais fácil e mais barato solucionar as vulnerabilidades durante o ciclo de desenvolvimento de produção do que quando um aplicativo já foi lançado ou que esteja na fase de testes.
Entretanto, isso significa que o código de legado é mais caro de se consertar, mesmo quando uma vulnerabilidade ainda não tenha sido explorada. Juntamente com o fato de que hackers black hat continuam a ser mais criativos, esta é a razão pela qual o número de CVE (Common Vulnerabilities and Exposures) em 2015 continuará a ser, pelo menos, igual se não maior do que o número divulgado em 2014.
*Informações de CVE para os anos de 2010 a 2013 da empresa Secunia <https://secunia.com/vulnerability-review/vulnerability_update_all.html>
*Informações de CVE para 2014 retiradas de https://cve.mitre.org/
Funcionalidade IPS e funcionalidade de firewall irão se fundir ainda mais.
Como o mercado empresarial vê benefícios em uma plataforma baseada na abordagem mais abrangente de segurança, eu acredito que os fornecedores irão reduzir soluções anônimas de UTM (Unified Threat Management) e aposto no reforço do recurso do IPS (Intrusion Prevention Systems) com a nova geração de IPS, a NGFW + NGIPS. Também, acredito na inclusão de outras técnicas defensivas como a descodificação, descompressão, ID do aplicativo, ID do usuário, prevenção de perda de dados e sandboxing. Ainda, vejo que a maior vantagem competitiva será ter todos esses recursos de forma integrada e na nuvem para levar a segurança do data center para qualquer lugar.
(*) Arthur Capella é gerente geral da Palo Alto Networks no Brasil