O recente ataque zero day contra os 1.5 bilhões de usuários do WhatsApp foi sofisticado e inteligente. Os criminosos digitais conseguiram acesso total aos smartphones dos usuários: a meta era ler mensagens, copiar contatos e controlar a câmera do dispositivo do usuário. Mas, mais do que ameaçar as pessoas que usam o WhatsApp em suas vidas privadas, esse ataque facilita a violação dos ambientes digitais das empresas. Suponhamos, por exemplo, que um funcionário tenha o WhatsApp instalado em seu dispositivo e esse App tenha sido comprometido por meio do último exploit do WhatsApp. É possível que este funcionário conecte, em algum momento, seu smartphone à rede corporativa.
Esse acesso legítimo pode ser via VPN, aplicações na nuvem (por exemplo, Office 365, Dropbox, etc.), Wi-Fi corporativo ou pela configuração "favorita" pessoal, conectando o dispositivo à porta USB de um laptop corporativo para que o smartphone possa carregar a bateria.
Dentro desse quadro, entender como e onde os usuários se conectam à rede corporativa é essencial.
Na maioria dos casos, as organizações não podem impedir que os telefones BYOD (Bring Your Own Device) pessoais sejam comprometidos, principalmente quando fora do perímetro da rede. Os gestores de TI e segurança podem, no entanto, proteger a rede contra exploits disseminados através do smartphone infectado.
Veja abaixo as quatro formas mais comuns utilizadas por cibercriminosos para aproveitar a vulnerabilidade do WhatsApp e se infiltrar em uma rede corporativa e como evitar esse quadro:
1. Via VPN. Se um funcionário se conecta à empresa através de uma VPN corporativa, o firewall de próxima geração pode ser o endpoint onde seria estabelecida a prevenção de ameaças via VPN e controle de acesso. Essa estratégia impediria a violação do WhatsApp de espalhar qualquer malware para outros dispositivos ou para a rede.
2. Via Wi-Fi. Neste cenário, firewalls de próxima geração e pontos de acesso wireless seguros são essenciais para inspecionar todo o tráfego interno e evitar que o exploit vá além do telefone infectado.
3. Através de credenciais comprometidas. Como o exploit do WhatsApp permitiu que invasores roubassem credenciais para serviços e aplicativos na nuvem, as organizações que contam com soluções CASB (Cloud Access Security Broker) conseguem mitigar as invasões de contas (ATO), o acesso não autorizado, além de qualquer vazamento de dados relacionado.
4. Via porta USB. Os usuários geralmente esquecem que uma porta USB alimentada em seu laptop é um ponto de entrada para os invasores - mesmo quando fazem algo tão inocente quanto carregar um telefone. Uma solução de proteção de endpoint sólida monitora a conexão com o laptop e inspeciona qualquer atividade maliciosa que tente aproveitar a porta USB para entregar cargas de malware.
Endpoints sob ataque demandam novas atitudes e novas soluções
A luta contra violações exige mudanças nos processos das empresas - com programas de treinamento que disseminem as melhores práticas de segurança entre todos os usuários, de todos os departamentos - e a contínua atualização das soluções de segurança. As vulnerabilidades dos endpoints demandam um conjunto de ações para serem identificadas e resolvidas. É essencial contar com soluções que apliquem técnicas avançadas de proteção contra ameaças, como aprendizado de máquina, integração de sandbox de rede e reversão do sistema. Só assim a corporação estará preparada para enfrentar o próximo ataque zero day de efeito massivo que, com certeza, virá.
*Rob Krug é arquiteto sênior de Soluções de Segurança da SonicWall