Posted: 9 Min ReadPortuguês
Original Post: English

Defesa contra amea?as a dispositivos móveis da Symantec

A velha prática de gerenciamento de vulnerabilidades para mitigar riscos à seguran?a ainda pode (e deve) se estender para endpoints modernos

Só porque você n?o consegue ver, n?o significa que algo n?o esteja lá. Talvez n?o exista outro meio em que esse dito popular seja t?o evidente e verdadeiro quanto no da seguran?a de dispositivos móveis. Um dos desafios constantes que as equipes de seguran?a empresarial enfrentam hoje em dia é a falta de visibilidade sobre o cenário de amea?as a dispositivos móveis, que inclui malware, amea?as de rede, riscos de aplicativos e vulnerabilidades de sistemas operacionais (SO). Este artigo se aprofundará na última amea?a citada, que é uma das maiores dificuldades para as empresas nos últimos tempos.

O programa Vulnerabilidades e Exposi??es Comuns (CVE, Common Vulnerabilities and Exposure) identifica centenas de vulnerabilidades nos sistemas operacionais de dispositivos móveis a cada ano, e algumas delas s?o graves. A Apple e o Google lan?am atualiza??es de seguran?a e patches mensalmente, mas os usuários de dispositivos móveis nem sempre est?o cientes das atualiza??es; e até quando est?o cientes, nem sempre os instalam. às vezes, mesmo quando os usuários querem fazer isso, as atualiza??es n?o est?o disponíveis para o dispositivo deles. Em muitos casos, as vulnerabilidades permanecem abertas para explora??o, pois as equipes de seguran?a n?o ficam sabendo delas cedo o suficiente ou n?o têm as ferramentas para reagir. O que as empresas podem fazer para se manter acima desses riscos e conseguir mitigá-los?

Pegar emprestada uma parte da seguran?a tradicional de endpoints

Na rede e em programas de seguran?a tradicional de endpoints, os administradores empregam a antiga prática de gerenciamento de vulnerabilidades para identificar, priorizar e remediar as vulnerabilidades de software. Entre outros benefícios, esse gerenciamento oferece a habilidade central de visualizar todas as vulnerabilidades conhecidas a que a empresa está exposta, além da gravidade delas. Assim que houver uma vis?o clara do cenário, os administradores podem priorizar e responder ao risco de várias maneiras, seja instalando um patch de seguran?a (corre??o) ou removendo o sistema vulnerável da rede (mitiga??o).

Da mesma maneira que o gerenciamento de vulnerabilidades se tornou um componente central dos programas de seguran?a de endpoint, ele também deveria ser usado na seguran?a de dispositivos móveis. Afinal, um endpoint de dispositivo móvel também é um endpoint, o que torna a seguran?a de dispositivos móveis parte da seguran?a de endpoint. Os programas de seguran?a empresarial que n?o estendem o gerenciamento de vulnerabilidades para dispositivos móveis costumam presumir que os dispositivos móveis n?o est?o suscetíveis às vulnerabilidades de SO que costumam amea?ar os endpoints tradicionais, mas já sabemos que esse n?o é o caso.

Ultimamente, todo sistema operacional está vulnerável a riscos. Em dispositivos móveis, o risco é ainda maior: os dispositivos móveis est?o sempre ligados e conectados, e os usuários se comportam de maneira menos segura neles (conectando em mais redes abertamente, fazendo download de aplicativos arriscados, exagerando no uso de email e aplicativos de mensagem instantanea etc.). Basta explorar uma vulnerabilidade de SO para o invasor ter acesso total ao conteúdo de um dispositivo, a uma rede em que ele está conectado e aos sistemas da empresa que ele acessa, seja na nuvem ou no local. Além disso, os hackers podem ter acesso aos sensores de um dispositivo, o que permite a eles espionarem suas vítimas o tempo todo, sem que elas saibam. é fato que, se os administradores usam o gerenciamento de vulnerabilidades para reduzir o risco de explora??o de software nos endpoints Windows ou Mac, eles sem dúvida deveriam estar usando isso para reduzir o risco de explora??o em dispositivos Android e iOS.

Gerenciamento de vulnerabilidades para dispositivos móveis

O problema é que os programas de gerenciamento de vulnerabilidades n?o têm uma perspectiva e controle que abranjam o cenário sem regras dos dispositivos móveis, em oposi??o aos endpoints tradicionais. Em dispositivos móveis, s?o os usuários finais (e muitas vezes a operadora ou fabricante do dispositivo), e n?o um departamento de TI, que decidem qual firmware usar e como/quando instalar as atualiza??es de seguran?a. Os administradores de TI n?o podem conduzir ativamente avalia??es de vulnerabilidade em dispositivos móveis, nem podem for?ar atualiza??es ou patches de seguran?a.

A Symantec preenche essa lacuna oferecendo o gerenciamento de vulnerabilidades de dispositivos móveis como parte de nossa solu??o de defesa contra amea?as móveis de empresas, o Symantec Endpoint Protection Mobile (SEP Mobile). O gerenciamento de vulnerabilidades do SEP Mobile detecta vulnerabilidades conhecidas do SO tanto em dispositivos gerenciados pela empresa como naqueles n?o gerenciados. Em conjunto com a tecnologia de detec??o e resposta em endpoints (EDR) para dispositivos móveis, ele permite que os administradores identifiquem e coletem evidências sobre explora??o de vulnerabilidade (um tópico que aprofundaremos em uma próxima publica??o do blog).

Similar aos programas de gerenciamento de vulnerabilidades tradicionais, os dados do SEP Mobile sobre CVEs e o risco destes vêm, em grande parte, da MITRE, a entidade responsável por manter o banco de dados do CVE e o banco de dados nacional de vulnerabilidades (NVD, National Vulnerability Database) dos EUA, que classifica os CVEs pelo Sistema de Pontua??o de Vulnerabilidade Comum (CVSS, Common Vulnerability Scoring System). No entanto, em face da limita??o da MITRE nos últimos anos para acompanhar os novos CVEs e avaliar o risco deles, o SEP Mobile também monitora as atualiza??es de seguran?a em andamento publicadas pela Apple e pelo Google nos CVEs do iOS e do Android, respectivamente, atribuindo um nível de risco a eles. Todos esses dados s?o usados para avaliar corretamente as vulnerabilidades e priorizar a resposta.

O console de gerenciamento do SEP Mobile oferece visibilidade completa das vulnerabilidades conhecidas e do nível de risco delas.
O console de gerenciamento do SEP Mobile oferece visibilidade completa das vulnerabilidades conhecidas e do nível de risco delas.

Basicamente, o SEP Mobile ilumina o cenário escuro em que habitava o CVE de dispositivos móveis, permitindo que os administradores saibam quais dispositivos est?o expostos a riscos, quais s?o os riscos, a gravidade deles e como eles podem ser remediados.

A visibilidade é importante, mas n?o é o bastante

Nossa discuss?o, no início do artigo, levantava a quest?o sobre como as empresas poderiam proteger-se das vulnerabilidades modernas sem saber sobre elas. O gerenciamento de vulnerabilidades pode dar a t?o necessária visibilidade sobre o cenário de CVE dos dispositivos móveis, mas ver n?o é o bastante. Visibilidade sem avalia??o de riscos e acionabilidade cumpre apenas uma parte do trabalho dos administradores, restando a eles adivinhar quais vulnerabilidades precisam de resposta e como fazer isso. Para piorar, as solu??es que apenas detectam vulnerabilidades sem oferecer outras a??es podem influenciar a produtividade, pois criam sobrecarga de informa??es e fadiga cibernética.

Um gerenciamento eficiente de vulnerabilidades de endpoint de dispositivos móveis oferece redu??o contínua de riscos usando detec??o de vulnerabilidades, avalia??o da gravidade e fornecimento de informa??es e ferramentas que ajudam administradores a remediar os riscos.

Além de monitorar as vulnerabilidades conhecidas de dispositivos móveis e contextualizar os danos possíveis, o sistema de gerenciamento de vulnerabilidades do SEP Mobile oferece informa??es e classifica??es de gravidade para cada vulnerabilidade nova, bem como a possibilidade de garantir que os funcionários estejam atualizando seus SOs conforme a política de seguran?a de dispositivos móveis da empresa.

A importancia de cada um desses benefícios será discutida a seguir.

Classifica??o de riscos do CVE

Os dispositivos móveis se tornaram um vetor de ataques mais atraente para os hackers nos últimos anos, conforme evidencia a quantidade cada vez maior de CVEs relacionados a dispositivos móveis. Na verdade, o Android e o iOS est?o entre os cinco principais sistemas operacionais mais vulneráveis (excluindo aplicativos) no mercado. Para piorar, a MITRE tem enfrentado dificuldades nos últimos anos para acompanhar a quantidade de CVEs. Por consequência, o NVD, que classifica os CVEs com a pontua??o CVSS, n?o tem conseguido fornecer avalia??es de riscos de CVE em tempo hábil, com os pesquisadores precisando esperar vários meses até obter uma pontua??o de risco. Isso resultou em um buraco negro para as empresas que dependem dessa informa??o para determinar o risco dos dispositivos móveis.

O SEP Mobile preenche esse vácuo, atribuindo a cada vulnerabilidade uma classifica??o de gravidade de risco. Usando aprendizagem de máquina, a equipe de pesquisa do SEP Mobile treinou um modelo para classificar a gravidade de vulnerabilidades novas. Na falta de uma pontua??o CVSS, a classifica??o de gravidade fornecida permite que os administradores entendam o risco das vulnerabilidades de seu ambiente, sem precisar esperar pela avalia??o do NVD.

As informa??es e as classifica??es de gravidade do SEP Mobile podem ser aproveitadas por administradores que buscam tomar decis?es melhores sobre como priorizar e responder às vulnerabilidades. Além disso, como empresas diferentes avaliam as vulnerabilidades de formas diferentes, o SEP Mobile oferece uma funcionalidade integrada que permite aos administradores definir métricas de ambiente que podem afetar a pontua??o do CVSS, de acordo com o ambiente de TI da empresa. Isso faz com que as pontua??es do CVSS reflitam precisamente o risco imposto a um ambiente específico.

Acionabilidade: mitiga??o dos níveis de risco

O SEP Mobile permite que as empresas decidam exatamente qual será a tolerancia em rela??o a vers?es desatualizadas de SO ou níveis de patch de seguran?a, definindo certas regras na política de conformidade de seguran?a dos dispositivos móveis.

Os administradores podem escolher qual será a tolerancia em rela??o a vers?es desatualizadas de SO/patches, selecionando em uma lista de defini??es de upgrade do SO que é ajustada conforme s?o lan?adas novas atualiza??es.
Os administradores podem escolher qual será a tolerancia em rela??o a vers?es desatualizadas de SO/patches, selecionando em uma lista de defini??es de upgrade do SO que é ajustada conforme s?o lan?adas novas atualiza??es.

As equipes de seguran?a podem mitigar o risco de uma explora??o de CVE configurando uma política em rela??o ao número de vers?es ou níveis de patch anteriores que a empresa permite executar nos dispositivos móveis antes que eles passem a n?o estar em conformidade. Essa política de conformidade de seguran?a permite que os administradores apliquem os upgrades de vers?o do SO ou de nível de patch em endpoints sem conformidade gerenciados e n?o gerenciados. Os dispositivos que n?o estiverem em conformidade ficar?o com acesso bloqueado aos recursos corporativos confidenciais, pelo menos até o usuário final fazer upgrade para a vers?o de SO ou nível de patch que corrige o risco e corresponde à política da empresa. Antes de criar uma regra e bloquear o acesso aos recursos, os administradores podem usar ferramentas integradas de simula??o de política para ver como será o impacto na base de usuários. Nos casos em que uma grande quantidade de dispositivos será afetada, a empresa poderá decidir tomar medidas para estimular os usuários a fazer upgrade (treinamento, comunica??o etc).

E, t?o importantes quanto as outras medidas, o SEP Mobile permite que as equipes de seguran?a tomem medidas proativas para garantir que os dispositivos estejam executando o último SO, como:

  1. Aproveitar informa??es sobre possibilidade de upgrade sem precedentes.
  2. Notificar os usuários o quanto antes sobre a disponibilidade de uma nova vers?o/patch.

No console de gerenciamento, os administradores podem ver as últimas vers?es disponíveis do SO para dispositivos iOS e Android, assim como o último nível de patch de seguran?a do Android. No Android, em especial, diferentes fornecedores e operadoras de telefone celular implementam a capacidade de upgrades de maneira diversa, com base em parametros como o fabricante, o modelo do dispositivo, o SO e o nível de patch, assim como também há procedimentos diferentes para cada operadora. Levando em conta essa complexidade no cenário de possibilidades de upgrade, o SEP Mobile usa uma combina??o exclusiva de algoritmos proprietários com conhecimento do público para dizer aos administradores exatamente quais dispositivos precisam de upgrade, qual o nível de patch e quando isso deve ser feito.

Além disso, os administradores podem usar o SEP Mobile para automatizar as notifica??es de envio e os emails que alertam os usuários finais sobre a disponibilidade de uma nova vers?o/nível de patch. Na maioria dos casos, o SEP Mobile notifica os usuários sobre a disponibilidade de um upgrade até mesmo antes que o próprio fornecedor do SO envie a notifica??o de envio para o dispositivo. As op??es de comunica??o do SEP Mobile também permitem que os administradores notifiquem os usuários finais quando seus dispositivos n?o estiverem em conformidade devido a vers?es desatualizadas do SO. Nos casos em que as empresas entendem os riscos, mas preferem que os usuários dos dispositivos móveis n?o fa?am upgrade, os administradores podem optar por n?o enviar os alertas.

Embarque no gerenciamento de vulnerabilidades de dispositivos móveis

Os profissionais de seguran?a n?o podem mais se deixar convencer de que as vulnerabilidades n?o aparentes n?o existem. O risco de amea?as a dispositivos móveis está crescendo e, assim como as empresas usam o gerenciamento de vulnerabilidades para proteger seus endpoints tradicionais contra explora??o de software, elas deveriam usá-lo em seus endpoints modernos. As ferramentas de gerenciamento de vulnerabilidades de dispositivos móveis podem oferecer visibilidade sobre vulnerabilidades conhecidas que afetam os dispositivos iOS e Android, mas as ferramentas que também oferecem avalia??o de riscos e informa??es úteis ser?o mais eficazes em garantir uma continuidade da redu??o de riscos. Com o gerenciamento de vulnerabilidade do SEP Mobile, os administradores n?o v?o precisar gastar muto tempo tentando descobrir quais vulnerabilidades apresentam maior risco e como responder a elas. O SEP Mobile faz esse trabalho, fornecendo às empresas todas as ferramentas que elas precisam para reduzir o risco em dispositivos móveis.

About the Author

Yair Amit

VP & CTO, Modern OS Security

He leads the company’s research, vision and R&D center for securing iOS & Android devices, also envisioning the security model of future desktop operating systems. Working in the security industry for the past 15 years, his work has yielded dozens of patents.

Want to comment on this post?

We encourage you to share your thoughts on your favorite social platform.