Do que se trata o artigo:
Este artigo aborda as principais razões para a adoção de um sistema de antivírus corporativo e quais as implicações que uma organização pode sofrer por não seguir as melhores práticas de segurança contra ameaças virtuais.
Em que situação o tema é útil:
Espera-se que, com este artigo, as equipes responsáveis pelos departamentos de Tecnologia da Informação e de Segurança possam argumentar junto aos departamentos responsáveis pela aprovação dos orçamentos que a aquisição incorreta deste tipo de solução pode comprometer seriamente a continuidade das atividades da organização, seja devido a ataques na rede como o pagamento de multas pelo uso indevido da licença dos aplicativos.
Resumo do DevMan:
A batalha dos antivírus contra as mais perigosas pragas virtuais (malwares) não é recente, vem do início da década de 70. Ainda assim, têm-se inúmeros casos de mau uso dos sistemas de proteção dentro das organizações. Seja por dificuldades técnicas ou por questões financeiras, o fato é que muitas destas empresas ou instituições ainda não adotaram um sistema de antivírus corporativo, preparado para proteger grandes quantidades de equipamentos, de forma centralizada e segura.
Há aproximadamente 40 anos o mundo teve seu primeiro contato com o vírus de computador. Essa praga ficou conhecida como Creeper, devido à mensagem que ele apresentava na tela dos computadores: “Eu sou o Creeper, pegue-me se você puder”. Esse fato ocorreu em 1971, dentro da Advanced Research Project Agency Network ou se preferir, a famosa ARPANet do Departamento de Defesa dos Estados Unidos da América. Esta rede foi criada com o objetivo de interligar diversos pontos estratégicos do governo, de forma a garantir a continuidade das comunicações em caso de uma guerra. Esta rede foi a precursora do que hoje chamamos Internet.
Através desta estrutura de comunicação o vírus se replicava, fazendo surgir a tal mensagem nos diversos computadores conectados na ARPANet, rodando o sistema TENEX. Para combater a disseminação dessa praga, foi criado outro programa, chamado de Reaper. Este também possuía o comportamento de se replicar, similar ao Creeper, porém seu objetivo era o de entrar em sistemas que já estivessem infectados com o vírus para eliminá-lo. Estava então inaugurada na prática a batalha dos antivírus no mundo virtual.
Hoje, com a democratização da Internet permitindo o acesso nos locais mais remotos do planeta, por pessoas de todos os tipos e empresas de todos os tamanhos, o que se vê é uma explosão de malwares, um novo “Big Bang” de ameaças virtuais que se transformaram em ameaças reais.
Já passou o tempo em que ter um antivírus instalado e atualizado no computador era garantia de segurança para o usuário. Nos últimos anos, os malwares têm explorado vulnerabilidades em diversos programas, como por exemplo, falhas em sistemas operacionais desatualizados, bugs em aplicativos como pacotes Office ou Adobe, e browsers como Internet Explorer ou Firefox.
Quer um exemplo recente? Lembram-se do Conficker, aquele malware que em poucos dias infectou cerca de nove milhões de computadores explorando falhas de segurança dos sistemas operacionais desatualizados da Microsoft. Em Novembro de 2008, hackers disseminaram na rede este novo vírus que buscava explorar basicamente três tipos de vulnerabilidades:
· Explorar uma falha do serviço de RPC, acrônimo de Remote Procedure Call, ou Chamada Remota de Procedimento, em todos os computadores com sistema Windows desatualizados. O patch que corrigia essa vulnerabilidade havia sido lançado em outubro de 2008;
· Quebrar senhas fracas do usuário Administrador dos alvos, permitindo o acesso aos compartilhamentos na rede, aumentando o seu poder de disseminação;
· Explorar o recurso de Autorun dos dispositivos de armazenamento móvel, assim que conectado ao computador, infectando os sistemas que não possuíam as atualizações com as devidas correções.
O diagrama da Figura 1 exemplifica um ataque.
Figura 1. Diagrama Conficker.
E não adiantava ter o antivírus atualizado, pois como se tratava de uma nova ameaça, as vacinas precisavam ser criadas nos laboratórios dos diferentes fabricantes e, mesmo assim, ainda era necessário corrigir as atualizações do Windows, pois o que esse malware fazia era utilizar recursos habilitados no sistema operacional para se propagar. Essa batalha durou até o primeiro semestre de 2009, quando descobriram que, além do próprio Conficker, esse malware abria portas para injetar novas pragas virtuais, inclusive requisitando os computadores para fazerem parte de uma rede de computadores zumbis.
Devemos sempre nos lembrar de que nenhum antivírus consegue proteção 100% efetiva, só que no passado, o mercado de forma geral vendeu muito esta ideia, quando na verdade o que se tinha eram antivírus de excelente qualidade, mas que não precisavam atuar em diferentes formas de ataque, pois os malwares de antigamente eram limitados, assim como sua disseminação. A Internet da década de 90 ainda não estava acessível a todos, portanto a multiplicação do conhecimento também não. Hoje, porém, vemos um processo de massificação na aquisição de computadores, dispositivos móveis, serviços de banda larga e tudo mais que possa auxiliar tanto na disseminação das pragas atuais quanto na colaboração dos criadores para desenvolverem novas ameaças.
Frente a estas novas ameaças, aumenta a demanda por soluções que possam garantir um nível adequado de proteção, onde a atualização das vacinas quase que em tempo real, recursos extras como anti-spyware, filtro contra phishing, anti-rootkit, firewall integrado e bloqueio de dispositivos deixaram de ser um diferencial para tornarem-se uma espécie de commodity, ou seja, todos esses recursos devem fazer parte dos sistemas de antivírus por default.
Hoje não faltam opções entre os diversos fabricantes de antivírus com excelentes produtos no mercado e baixo custo de licenciamento por equipamento ao ano. Entre os fabricantes mais conhecidos aqui no Brasil, tem-se a Symantec, McAfee, Kaspersky, F-Secure, Sophos, ESET, Microsoft, Panda, Trend Micro, Avira, Avast e AVG. Cada fabricante oferece um leque de opções, desde antivírus de celulares para o usuário doméstico até soluções completas para grandes corporações, incluindo proteções específicas para servers, desktops, smartphones e tablets.
No caso dos usuários domésticos, esses ainda possuem a vantagem de poderem usar aplicativos de antivírus gratuitos. Entre os mais populares temos o AVG Anti-Virus Free, Avast! Free Antivirus, Avira AntiVir Personal Edition Classic e Microsoft Security Essentials. Esses antivírus possuem alguns requisitos básicos de segurança, mas em testes recentes realizados por uma empresa especializada no Brasil, ficou evidente a baixa taxa de detecção dessas versões. Isso chega a ser óbvio, pois estes produtos citados são disponibilizados principalmente para divulgação da marca, de forma a permitir um primeiro contato da solução pelo usuário.
A AVG e Microsoft possuem versões gratuitas de seus antivírus para empresas de pequeno porte, como é o caso da versão AVG Anti-Virus Free Small Business, disponível para até cinco computadores por 12 meses, e o Microsoft Security Essentials para até 10 computadores, sem limite de tempo, desde que instalado em sistema operacional Windows original. Além da baixa taxa de detecção das versões gratuitas, estes antivírus trabalham de forma isolada, não permitindo sua administração de forma centralizada.
Mas em ambos os casos, os fabricantes oferecem suas outras ferramentas de segurança, com muitos recursos adicionais e maior garantia de proteção efetiva, como o AVG Anti-Virus Business Edition e o Microsoft Forefront Client Security.
Mas o que vemos nas empresas aqui no Brasil? Antivírus gratuitos instalados indiscriminadamente em empresas de pequeno, médio e, em alguns casos, até em empresas de grande porte. Quando questionados, muitos acham que estão corretos, pelo fato do antivírus instalado ser um produto freeware. Mas todos os fabricantes que disponibilizam uma versão free de seus softwares de segurança deixam explicitamente registradas as permissões do uso de seus produtos gratuitos apenas para fins não comerciais (usuários domésticos e estudantes). Alguns fabricantes ainda abrem uma exceção para pequenas empresas com 5 ou até 10 computadores, conforme dito anteriormente.
Em uma recente pesquisa do Núcleo de Tecnologia do CIESP de São Bernardo do Campo/SP com empresas industriais da região, foi constatado que 52% das empresas utilizavam o software AVG ou AVAST em seu parque. Isso não é uma característica apenas do setor industrial, mas de todo o tipo de organização. Os motivos para tal prática são os mais variados, mas as consequências do uso irregular destes softwares são bem conhecidas:
· Multa por uso de software sem licenciamento;
· Ausência de suporte técnico do fabricante;
· Limitação de funcionalidades para proteção completa;
· Impossibilidade de gestão do parque de antivírus instalado;
· Consumo do link devido atualização descentralizada das vacinas;
· Ausência de informações consolidadas sobre quais computadores foram mais atacados, quais as principais ameaças ou qual o período de maior ataque;
· Ação reativa a qualquer ataque, pois não há como ser notificado no exato momento de uma tentativa de disseminação de malwares na rede, o que permitiria o isolamento de um computador ou um grupo.
Vamos expor em detalhes alguns destes itens para mostrar as justificativas em adotar um antivírus corporativo. Estas justificativas devem ser levadas ao corpo diretivo da organização de forma clara e objetiva, pois o que se vê, muitas vezes, são situações em que os responsáveis técnicos que sabem da importância em se trabalhar com antivírus corporativos, possuem uma imensa dificuldade em mostrar os benefícios de tal adoção aos diretores e gerentes que assinam a aprovação de novos investimentos para o departamento de TI. E quando se fala em benefícios a serem mostrados, não é apenas sobre detalhes técnicos, mas financeiros. Lembrem-se sempre disso: Quem aprova tais investimentos (pelo menos em sua maioria) não está preocupado se antivírus A, B ou C é melhor tecnicamente mas, sim, se ele é financeiramente vantajoso. Hoje, a maior parte dos fabricantes de antivírus corporativos está oferecendo soluções adequadas para garantir um nível aceitável de proteção para sua rede. O que difere de um para o outro é o preço e o tipo de suporte técnico que o cliente poderá obter, e isso é fundamental para garantir a segurança dos seus ativos. Não adianta comparar qualidade técnica da ferramenta e preços, quando se compara uma empresa que apenas vende a licença de uso (ou como se diz, vendem apenas a caixinha) com outras empresas que vendem um serviço agregado, como instalação em 100% do parque, higienização da rede em busca de malwares, elaboração de políticas de segurança para uma administração correta da solução, monitoramento proativo ou mesmo emissão de relatórios periódicos com análises e recomendações para evitar a ocorrência de novos ataques.
Multa por uso de software sem licenciamento
O combate ao uso de softwares piratas tem ganhado força nos últimos anos, pela ação conjunta da Polícia com os fabricantes de softwares e as associações como a ABES (Associação Brasileira de Empresas de Softwares). Somente no mês de Julho de 2011 houve um aumento de 468% na apreensão desses softwares. Estes números comprovam o aumento das ações para reduzir os índices desta prática criminosa, principalmente no comércio e nas empresas.
Quanto aos antivírus considerados gratuitos (freewares), eles não se enquadram no critério de softwares piratas, mas seu uso por empresas não é autorizado pelos fabricantes. Com exceção das versões para pequenas empresas citadas anteriormente, todas as demais são consideradas cópias ilegais. Isso poderá resultar em multas de até 3000 vezes o valor de cada cópia, além de detenção por até 4 anos.
Se você acha que isso não acontece com frequência, é bom começar a se preocupar. De acordo com a ABES, a grande maioria das denúncias parte internamente, através de funcionários insatisfeitos ou demitidos da organização. Com a denúncia registrada, a ABES inicia um processo de investigação e com a obtenção de um mandato de busca e apreensão a associação pode encaminhar um representante com o acompanhamento da Polícia para coletar as provas de tal prática. Chegando nesse ponto, o prejuízo financeiro será consideravelmente alto, além do prejuízo imensurável contra a imagem da organização, que muitas vezes pode não ser recuperado.
Essa preocupação vem crescendo tanto que algumas empresas começam a exigir de seus prestadores de serviços a comprovação do uso de softwares licenciados para preservar o contrato entre as partes, o que não é nenhum absurdo, pois dependendo do valor da multa, e as consequências das demais penalidades previstas, uma empresa prestadora de serviço pode simplesmente fechar suas portas, deixando os seus clientes na mão.
Ausência de suporte técnico do fabricante
Parece um problema simples, mas não se engane. A ausência do apoio de um suporte técnico especializado pode acarretar em grandes transtornos para a equipe de TI da organização. Hoje, com as inúmeras atribuições do departamento de Tecnologia, cada vez mais o uso de serviços gerenciados por terceiros vem trazendo benefícios às organizações. Que empresa hoje, por exemplo, se preocupa em manter um técnico especializado em impressoras para realização de manutenção do parque? Quem mantém um estoque de peças de reposição para consertar estes equipamentos? Praticamente não se encontra mais este profissional nos departamentos de TI, pois há um consenso de que terceirizar o parque é muito mais vantajoso, tanto na questão financeira quanto na rapidez para resolver os problemas de impressão. Assim a equipe interna de TI mantém o seu foco apenas nas questões diretamente relacionadas ao negócio.
Hoje, com a grande quantidade de malwares ameaçando todos os tipos de equipamentos e sistemas, de computadores a celulares, da plataforma Windows ao Mac, demandando grande atenção por parte da equipe técnica responsável pela segurança dos ativos da organização, é fundamental que haja um tempo de resposta rápido e eficaz, que possa eliminar, ou ao menos reduzir, o impacto de um incidente causado por pragas virtuais. Frente a isso, ainda há a necessidade de constante aprendizado para operar corretamente as variadas funcionalidades das soluções de proteção. Não é simplesmente detectar e apagar arquivos suspeitos e pronto, estamos protegidos. Saber aplicar as configurações de acordo com as necessidades de cada grupo de usuários e aplicar as devidas políticas de segurança é fundamental para o correto funcionamento das ferramentas de proteção. Muitas vezes, sem o apoio de um especialista, essa proteção poderá não ser tão eficiente como deveria. Lembrem-se, independente da marca do antivírus, o que faz realmente a diferença é o apoio técnico que não vem dentro de uma caixinha. O relacionamento entre prestadores de serviços e clientes é o grande diferencial competitivo para os fornecedores, pois há muitas empresas de segurança que vendem um excelente produto, mas não possui uma política de capacitação de seus canais de revenda, para que elas possam dar o devido suporte lá na ponta do negócio.
Limitação de funcionalidades para proteção completa
Os antivírus gratuitos são limitados se comparados com as suas versões pagas, o que acaba expondo as organizações, pois como se sabe, o número de novas ameaças cresce a cada dia e cada vez mais aperfeiçoadas. Até mesmo as soluções completas correm o risco de não possuírem a vacina no momento da descoberta de um novo vírus na Internet. Para isso os principais fabricantes desenvolveram funções em seus produtos que protegem o sistema contra algumas ameaças, mesmo que ainda não tenham a vacina criada em seus laboratórios para distribuir aos seus clientes. Algumas funcionalidades principais:
· Análise Heurística: Consiste em analisar um arquivo não para procurar uma assinatura conhecida do vírus, mas para encontrar dentro de sua estrutura de código padrões que possam indicar um comportamento suspeito como, por exemplo, a inscrição de loops sem uma necessidade específica. Há também outro tipo de análise heurística baseada na emulação do código em um ambiente isolado do sistema, justamente para identificar alguma atividade suspeita durante o processo. Quando detectado algum código malicioso, o antivírus registra com uma nomenclatura genérica, até ser identificada a sua assinatura;
· Análise Comportamental: Esta função permite com que o antivírus possa interpretar o comportamento de determinados programas no sistema, identificando possíveis malwares em execução sem a percepção do usuário. Por exemplo, podem existir programas que, sem avisar, tentam enviar pacotes para endereços na Internet ou tentam realizar gravações em diretórios específicos do sistema operacional. Neste caso o antivírus bloqueia a ação e alerta o usuário;
· Protetor Integrado ao Browser: Mais conhecido em seu termo em inglês como Browsing Protection, tem como objetivo impedir que o usuário acesse páginas infectadas, com base em um banco de dados. Este recurso é muito útil, ainda mais com o grande número de páginas invadidas, para inserção de códigos maliciosos. A Figura 2 apresenta alguns exemplos deste recurso de fabricantes como F-Secure, Kaspersky e McAfee;
Figura 2. Exemplos de diferentes Protetores de Browser.
· Anti-rootkit: Função essencial para detectar códigos maliciosos ocultos ao sistema e aos antivírus comuns, por possuírem características específicas em sua programação. Acabam sendo confundidos com programas comuns por algumas soluções, mas podem permitir o acesso não autorizado de hackers, ou mesmo permitir a execução de um malware. Um caso muito conhecido de rootkits foi registrado em 2005, quando a gravadora Sony/BMG utilizou uma tecnologia para restringir a cópia de seus CDs chamada XCP. Esse sistema impedia o usuário de criar mais do que três cópias do álbum, inserindo um programa de forma oculta no sistema operacional (na época, o Windows XP), só que este programa criava uma vulnerabilidade que permitia a ação de invasores remotamente e, o que era pior, na tentativa de removê-lo, o XCP acaba por danificar o sistema. Álbuns de artistas consagrados estavam entre os 2 milhões de CDs vendidos com tal tecnologia embutida de forma oculta. Por este fato, a Sony/BMG teve sua reputação atingida ao ponto de ter que recolher os CDs com os rootkits;
· Bloqueio de Dispositivos: Esse novo recurso que vem sendo incorporado nos principais antivírus do mercado é de extrema importância, ao ponto de ser exigido em processos de licitação do Governo brasileiro. A proteção aqui tem duas finalidades, impedir que arquivos contaminados possam ser transferidos de um dispositivo de armazenamento removível para o computador, e vice-versa, como também cria uma proteção contra vazamento de informações. Hoje pesquisas apontam que 6 em cada 10 funcionários levam informações da empresa sem autorização para casa, sendo que, na maior parte dos casos, o funcionário não toma qualquer prevenção para reduzir o risco de vazamento. Outro uso muito utilizado do Bloqueio de Dispositivos atualmente é a restrição do uso de dispositivos como modens 3G, que em muitas empresas acabam sendo uma brecha de segurança, permitindo com que funcionários não autorizados possam acessar conteúdos que, pela rede convencional, são bloqueados;
· Controle de Aplicativos: Funcionalidade muito interessante, que complementa a segurança da rede, evitando com que certos aplicativos não autorizados possam ser usados para burlar regras do firewall e outras políticas de segurança da empresa. Um exemplo muito comum é o Ultrasurf. Esse aplicativo consegue burlar servidores proxy, e seu bloqueio pelo firewall da rede é complexo e, na maioria dos casos, não é funcional. É neste ponto que uma solução de antivírus com Controle de Aplicativos consegue impedir a execução deste tipo de software, assim como tantos outros que realizem comunicação com a rede, como comunicadores instantâneos, programas P2P e aplicativos multimídia;
· Firewall: Ferramenta fundamental que tem como principal característica filtrar todo o tráfego da rede e Internet, impedindo ataques de malwares, como também acessos não autorizados ao computador.
Além destes itens, todo antivírus devem também possuir as funções já conhecidas como anti-spyware e anti-spam.
Impossibilidade de gestão do parque de antivírus instalado
Este é considerado como o maior diferencial entre uma solução gratuita e uma solução corporativa. Mesmo as soluções pagas que não são preparadas para o ambiente corporativo ficam devendo neste critério também.
Saber o que acontece em tempo real com os computadores conectados em uma rede é o requisito fundamental para qualquer departamento de TI bem administrado. Não é possível garantir um nível básico de segurança da rede se o administrador não possuir as informações do estado de saúde de suas estações e servidores. Vide um modelo de administração na Figura 3.
Figura 3. Modelo de administração da solução F-Secure em uma rede corporativa.
Em hipótese alguma a rede de uma organização pode ficar inoperante e, para isso, o administrador deve garantir que nada de anormal esteja trafegando em seu ambiente. Isso inclui principalmente os malwares. Um simples pen drive infectado conectado em um computador pode disseminar o código malicioso por toda a rede. Como já dito antes, uma nova ameaça pode explorar uma vulnerabilidade do sistema até então desconhecida e, em situações em que o antivírus esteja desatualizado, o risco é eminente.
Para evitar tais surpresas, é necessário ter todas as informações sobre os softwares de proteção de rede centralizadas, de forma a permitir a identificação de qualquer comportamento suspeito na rede ou mesmo identificar possíveis brechas de segurança, como vacinas desatualizadas ou mesmo sistemas operacionais sem as suas últimas correções. Estas informações são adquiridas em painéis como os da Figura 4.
Figura 4. Painel de administração de alguns fabricantes de antivírus corporativos.
Através de um console de operação da solução de antivírus, o administrador pode criar diferentes políticas para cada grupo de computadores na rede. Um exemplo muito comum é a criação de uma política específica para notebooks, pois estes equipamentos podem ficar sem comunicação com a rede por dias e, em alguns casos, podem ficar sem as devidas vacinas atualizadas. Para evitar possíveis focos de ataque, pode-se criar uma política que mantenha o notebook isolado da rede até que todas as suas atualizações estejam em dia.
Além disso, uma gestão centralizada permite ao departamento de TI uma visão geral do que acontece na rede, e mesmo em redes de outras unidades da empresa.
Consumo do link para atualização descentralizada das vacinas
Outra característica importante é a redução do consumo do link, pois quando se tem um servidor de antivírus gerenciando as estações da rede, apenas ele se conecta com a Internet em busca de atualizações, distribuindo-as na rede de forma controlada. Imagine um parque com 1000 estações saindo para buscar suas vacinas ao mesmo tempo, diversas vezes por dia! Degradaria totalmente o link de comunicação, ainda mais em nosso país com estes links totalmente limitados. Evitar este tipo de consumo é evitar dor de cabeça para o departamento de TI.
Conclusão
Concluindo, ainda daria para listar uma série de novos motivos, mas estes são mais do que suficientes para convencer primeiramente a equipe de TI sobre as vantagens e razões técnicas que comprovam a importância de um pacote de antivírus corporativo para a empresa. Também é importante justificar financeiramente, para que o corpo diretivo de uma organização possa aprovar a compra de uma solução corporativa, desde que os responsáveis técnicos saibam usar esses argumentos a seu favor. Não adianta explicar os motivos partindo apenas do ponto de vista técnico, mas também mostrando o valor agregado para a escolha correta. Isso significa traduzir as vantagens técnicas em números palpáveis para a direção. Quando se consegue convencê-los que a escolha “mais barata” pode sair na verdade “mais caro”, com certeza o investimento necessário será obtido.
Central de
Proteção e Segurança - Microsoft
http:/www.microsoft.com/pt-br/security/pc-security/conficker.aspx
Boletim de
Segurança Microsoft – Janeiro de 2009
http://blogs.technet.com/b/risco/archive/2009/01/13/boletim-de-seguran-a-janeiro-2009.aspx
NIC.br
http://www.nic.br/imprensa/clipping/2011/midia694.htm
Diagrama
Conficker
http://upload.wikimedia.org/wikipedia/commons/thumb/8/8b/Conficker_pt.PNG/240px-
Blog do autor
http://abctec.blogspot.com/