Blue team
José Borges Ferreira é o novo CEO da Anubisnetworks, uma das empresas pioneiras da cibersegurança em Portugal (2009), recentemente separada da Bitsight Technologies, e agora totalmente focada em segurança de email.
06/10/2022
Os sistemas de email ainda são o principal veículo para propagar ransomware? Quanto mais omnipresente for uma tecnologia, mais esta é explorada por criminosos. Com 3 Biliões de emails/dia a circularem no mundo é fácil perceber como muitos podem ser ataques dissimulados. E o email possui muitas das características do correio físico: nunca temos a certeza do emissor e do conteúdo, e este chega-nos sem anúncio e sem requisição. Sabemos que mais de 1% de todos os emails é um ataque de phishing e, desses, 30% conseguem mesmo causar algum tipo de dano, incluindo conseguir que um malware seja despoletado. Os ataques costumam começar por fraude e engenharia social, com a intenção final de tentar que a vítima abra um ficheiro ou clique num link malicioso. E, conseguindo injetar malware nas redes das vítimas, os atacantes têm uma boa probabilidade de obterem informação que podem usar de diversos modos, incluindo simplesmente manter a informação cativa em troca de resgate. Nos EUA falamos de uma média de mais de 4 Milhões de euros de danos por cada organização atingida. Em Portugal, não havendo dados estatísticos, basta ver as notícias e perceber o impacto causado em organizações como a TAP ou a CM de Loures, só para mencionar alguns dos últimos. A segurança de email não consegue prevenir estes ataques? A grande maioria dos ataques são estancados por bons sistemas e boas organizações. E depende de fatores tecnológicos mas também de um entendimento humano sobre se uma mensagem terá características fraudulentas. Bons sistemas analisam a autenticidade, autorização, e dados reputacionais e relacionais sobre a origem e o destino e, claro, o conteúdo do email nas suas duas vertentes: tudo o que indique que possa ser uma fraude (por exemplo um logotipo copiado de outra empresa ou uma construção frásica suspeita) e tudo o que aponte para conteúdo malicioso, seja código escondido, URLs suspeitos e, claro, anexos. Os spambots - porque estes ataques, pela escala, servem-se de vítimas previamente “contaminadas” - conseguem distribuir emails todos diferentes, de origens diferentes, e muito confiáveis. Por fim, cabe à organização operar estes sistemas de segurança de um modo adaptado ao seu controlo, ecossistema e colaboradores. Como é que Portugal tem lidado com estes cibercrimes? Sofremos da globalização dos Malware-as-a-service, e também por cá andam os Emotet, os AgentTesla, e todos os outros malwares mas, por outro lado, estes ataques têm, quase sempre, uma componente geográfica e cultural na parte de engenharia social: sofremos ataques únicos (por exemplo relacionados com o nosso idioma) pelo que comparações ao nível de países é sempre injusto. O que tem vindo a mudar nas organizações portuguesas, para melhor, é a noção de que não basta a segurança comum, mas algo complementar que as destaque positivamente, deixando outras organizações serem, porventura, o caminho de menos resistência para os atacantes. O exemplo paradigmático é o Microsoft Exchange (e 365) que é usado por grande parte das organizações e é, também, o sistema mais atacado do mundo - ainda recentemente o ransomware BlackCat explorou muitas organizações com este sistema. Ora, este é um produto essencial, mas é provável que necessite de uma camada adicional de segurança dedicada e segregada deste ambiente, e que - já agora - providencie o controlo e visibilidade sobre todas as mensagens que tentam entrar e sair da organização. Temos assistido a uma maior variedade de soluções, de procura por qualidade e diferenciação, terem uma segurança por camadas e adequada ao seu país ou indústria, o que é transformacional. Mas ainda recentemente muitas organizações em Portugal foram vítimas do Ransomware Emotet? Nos nossos clientes, nós conseguimos impedir esse ataque. Mas sim, admitimos que outras organizações poderão ter sido infetadas: o ataque foi muito bem dissimulado e, numa primeira fase, passou por todos os nossos sistemas anti-malware - e estamos a falar dos sistemas com maior amplitude e qualidade em Portugal: Check Point, Bitdefender, e Sophos, entre outros - aliás, só impedimos o ataque porque temos uma tecnologia nossa que tenta descomprimir ficheiros com password e analisa o código dentro de documentos, tendo visto algo suspeito, mesmo sendo os documentos todos diferentes. Impedimos o Emotet, e tentamos impedir os seguintes ataques com ransomware, que são muitos e muito sofisticados.
Conteúdo co-produzido pela MediaNext e pela Anubisnetworks |