Defesa contra ameaças a dispositivos móveis da Symantec

Só porque você não consegue ver, não significa que algo não esteja lá. Talvez não exista outro meio em que esse dito popular seja tão evidente e verdadeiro quanto no da segurança de dispositivos móveis. Um dos desafios constantes que as equipes de segurança empresarial enfrentam hoje em dia é a falta de visibilidade sobre o cenário de ameaças a dispositivos móveis, que inclui malware, ameaças de rede, riscos de aplicativos e vulnerabilidades de sistemas operacionais (SO). Este artigo se aprofundará na última ameaça citada, que é uma das maiores dificuldades para as empresas nos últimos tempos.

O programa Vulnerabilidades e Exposições Comuns (CVE, Common Vulnerabilities and Exposure) identifica centenas de vulnerabilidades nos sistemas operacionais de dispositivos móveis a cada ano, e algumas delas são graves. A Apple e o Google lançam atualizações de segurança e patches mensalmente, mas os usuários de dispositivos móveis nem sempre estão cientes das atualizações; e até quando estão cientes, nem sempre os instalam. Às vezes, mesmo quando os usuários querem fazer isso, as atualizações não estão disponíveis para o dispositivo deles. Em muitos casos, as vulnerabilidades permanecem abertas para exploração, pois as equipes de segurança não ficam sabendo delas cedo o suficiente ou não têm as ferramentas para reagir. O que as empresas podem fazer para se manter acima desses riscos e conseguir mitigá-los?

Pegar emprestada uma parte da segurança tradicional de endpoints

Na rede e em programas de segurança tradicional de endpoints, os administradores empregam a antiga prática de gerenciamento de vulnerabilidades para identificar, priorizar e remediar as vulnerabilidades de software. Entre outros benefícios, esse gerenciamento oferece a habilidade central de visualizar todas as vulnerabilidades conhecidas a que a empresa está exposta, além da gravidade delas. Assim que houver uma visão clara do cenário, os administradores podem priorizar e responder ao risco de várias maneiras, seja instalando um patch de segurança (correção) ou removendo o sistema vulnerável da rede (mitigação).

Da mesma maneira que o gerenciamento de vulnerabilidades se tornou um componente central dos programas de segurança de endpoint, ele também deveria ser usado na segurança de dispositivos móveis. Afinal, um endpoint de dispositivo móvel também é um endpoint, o que torna a segurança de dispositivos móveis parte da segurança de endpoint. Os programas de segurança empresarial que não estendem o gerenciamento de vulnerabilidades para dispositivos móveis costumam presumir que os dispositivos móveis não estão suscetíveis às vulnerabilidades de SO que costumam ameaçar os endpoints tradicionais, mas já sabemos que esse não é o caso.

Ultimamente, todo sistema operacional está vulnerável a riscos. Em dispositivos móveis, o risco é ainda maior: os dispositivos móveis estão sempre ligados e conectados, e os usuários se comportam de maneira menos segura neles (conectando em mais redes abertamente, fazendo download de aplicativos arriscados, exagerando no uso de email e aplicativos de mensagem instantânea etc.). Basta explorar uma vulnerabilidade de SO para o invasor ter acesso total ao conteúdo de um dispositivo, a uma rede em que ele está conectado e aos sistemas da empresa que ele acessa, seja na nuvem ou no local. Além disso, os hackers podem ter acesso aos sensores de um dispositivo, o que permite a eles espionarem suas vítimas o tempo todo, sem que elas saibam. É fato que, se os administradores usam o gerenciamento de vulnerabilidades para reduzir o risco de exploração de software nos endpoints Windows ou Mac, eles sem dúvida deveriam estar usando isso para reduzir o risco de exploração em dispositivos Android e iOS.

Gerenciamento de vulnerabilidades para dispositivos móveis

O problema é que os programas de gerenciamento de vulnerabilidades não têm uma perspectiva e controle que abranjam o cenário sem regras dos dispositivos móveis, em oposição aos endpoints tradicionais. Em dispositivos móveis, são os usuários finais (e muitas vezes a operadora ou fabricante do dispositivo), e não um departamento de TI, que decidem qual firmware usar e como/quando instalar as atualizações de segurança. Os administradores de TI não podem conduzir ativamente avaliações de vulnerabilidade em dispositivos móveis, nem podem forçar atualizações ou patches de segurança.

A Symantec preenche essa lacuna oferecendo o gerenciamento de vulnerabilidades de dispositivos móveis como parte de nossa solução de defesa contra ameaças móveis de empresas, o Symantec Endpoint Protection Mobile (SEP Mobile). O gerenciamento de vulnerabilidades do SEP Mobile detecta vulnerabilidades conhecidas do SO tanto em dispositivos gerenciados pela empresa como naqueles não gerenciados. Em conjunto com a tecnologia de detecção e resposta em endpoints (EDR) para dispositivos móveis, ele permite que os administradores identifiquem e coletem evidências sobre exploração de vulnerabilidade (um tópico que aprofundaremos em uma próxima publicação do blog).

Similar aos programas de gerenciamento de vulnerabilidades tradicionais, os dados do SEP Mobile sobre CVEs e o risco destes vêm, em grande parte, da MITRE, a entidade responsável por manter o banco de dados do CVE e o banco de dados nacional de vulnerabilidades (NVD, National Vulnerability Database) dos EUA, que classifica os CVEs pelo Sistema de Pontuação de Vulnerabilidade Comum (CVSS, Common Vulnerability Scoring System). No entanto, em face da limitação da MITRE nos últimos anos para acompanhar os novos CVEs e avaliar o risco deles, o SEP Mobile também monitora as atualizações de segurança em andamento publicadas pela Apple e pelo Google nos CVEs do iOS e do Android, respectivamente, atribuindo um nível de risco a eles. Todos esses dados são usados para avaliar corretamente as vulnerabilidades e priorizar a resposta.

Basicamente, o SEP Mobile ilumina o cenário escuro em que habitava o CVE de dispositivos móveis, permitindo que os administradores saibam quais dispositivos estão expostos a riscos, quais são os riscos, a gravidade deles e como eles podem ser remediados.

A visibilidade é importante, mas não é o bastante

Nossa discussão, no início do artigo, levantava a questão sobre como as empresas poderiam proteger-se das vulnerabilidades modernas sem saber sobre elas. O gerenciamento de vulnerabilidades pode dar a tão necessária visibilidade sobre o cenário de CVE dos dispositivos móveis, mas ver não é o bastante. Visibilidade sem avaliação de riscos e acionabilidade cumpre apenas uma parte do trabalho dos administradores, restando a eles adivinhar quais vulnerabilidades precisam de resposta e como fazer isso. Para piorar, as soluções que apenas detectam vulnerabilidades sem oferecer outras ações podem influenciar a produtividade, pois criam sobrecarga de informações e fadiga cibernética.

Além de monitorar as vulnerabilidades conhecidas de dispositivos móveis e contextualizar os danos possíveis, o sistema de gerenciamento de vulnerabilidades do SEP Mobile oferece informações e classificações de gravidade para cada vulnerabilidade nova, bem como a possibilidade de garantir que os funcionários estejam atualizando seus SOs conforme a política de segurança de dispositivos móveis da empresa.

A importância de cada um desses benefícios será discutida a seguir.

Classificação de riscos do CVE

Os dispositivos móveis se tornaram um vetor de ataques mais atraente para os hackers nos últimos anos, conforme evidencia a quantidade cada vez maior de CVEs relacionados a dispositivos móveis. Na verdade, o Android e o iOS estão entre os cinco principais sistemas operacionais mais vulneráveis (excluindo aplicativos) no mercado. Para piorar, a MITRE tem enfrentado dificuldades nos últimos anos para acompanhar a quantidade de CVEs. Por consequência, o NVD, que classifica os CVEs com a pontuação CVSS, não tem conseguido fornecer avaliações de riscos de CVE em tempo hábil, com os pesquisadores precisando esperar vários meses até obter uma pontuação de risco. Isso resultou em um buraco negro para as empresas que dependem dessa informação para determinar o risco dos dispositivos móveis.

O SEP Mobile preenche esse vácuo, atribuindo a cada vulnerabilidade uma classificação de gravidade de risco. Usando aprendizagem de máquina, a equipe de pesquisa do SEP Mobile treinou um modelo para classificar a gravidade de vulnerabilidades novas. Na falta de uma pontuação CVSS, a classificação de gravidade fornecida permite que os administradores entendam o risco das vulnerabilidades de seu ambiente, sem precisar esperar pela avaliação do NVD.

As informações e as classificações de gravidade do SEP Mobile podem ser aproveitadas por administradores que buscam tomar decisões melhores sobre como priorizar e responder às vulnerabilidades. Além disso, como empresas diferentes avaliam as vulnerabilidades de formas diferentes, o SEP Mobile oferece uma funcionalidade integrada que permite aos administradores definir métricas de ambiente que podem afetar a pontuação do CVSS, de acordo com o ambiente de TI da empresa. Isso faz com que as pontuações do CVSS reflitam precisamente o risco imposto a um ambiente específico.

Acionabilidade: mitigação dos níveis de risco

O SEP Mobile permite que as empresas decidam exatamente qual será a tolerância em relação a versões desatualizadas de SO ou níveis de patch de segurança, definindo certas regras na política de conformidade de segurança dos dispositivos móveis.

As equipes de segurança podem mitigar o risco de uma exploração de CVE configurando uma política em relação ao número de versões ou níveis de patch anteriores que a empresa permite executar nos dispositivos móveis antes que eles passem a não estar em conformidade. Essa política de conformidade de segurança permite que os administradores apliquem os upgrades de versão do SO ou de nível de patch em endpoints sem conformidade gerenciados e não gerenciados. Os dispositivos que não estiverem em conformidade ficarão com acesso bloqueado aos recursos corporativos confidenciais, pelo menos até o usuário final fazer upgrade para a versão de SO ou nível de patch que corrige o risco e corresponde à política da empresa. Antes de criar uma regra e bloquear o acesso aos recursos, os administradores podem usar ferramentas integradas de simulação de política para ver como será o impacto na base de usuários. Nos casos em que uma grande quantidade de dispositivos será afetada, a empresa poderá decidir tomar medidas para estimular os usuários a fazer upgrade (treinamento, comunicação etc).

E, tão importantes quanto as outras medidas, o SEP Mobile permite que as equipes de segurança tomem medidas proativas para garantir que os dispositivos estejam executando o último SO, como:

1. Aproveitar informações sobre possibilidade de upgrade sem precedentes.
2. Notificar os usuários o quanto antes sobre a disponibilidade de uma nova versão/patch.

No console de gerenciamento, os administradores podem ver as últimas versões disponíveis do SO para dispositivos iOS e Android, assim como o último nível de patch de segurança do Android. No Android, em especial, diferentes fornecedores e operadoras de telefone celular implementam a capacidade de upgrades de maneira diversa, com base em parâmetros como o fabricante, o modelo do dispositivo, o SO e o nível de patch, assim como também há procedimentos diferentes para cada operadora. Levando em conta essa complexidade no cenário de possibilidades de upgrade, o SEP Mobile usa uma combinação exclusiva de algoritmos proprietários com conhecimento do público para dizer aos administradores exatamente quais dispositivos precisam de upgrade, qual o nível de patch e quando isso deve ser feito.

Além disso, os administradores podem usar o SEP Mobile para automatizar as notificações de envio e os emails que alertam os usuários finais sobre a disponibilidade de uma nova versão/nível de patch. Na maioria dos casos, o SEP Mobile notifica os usuários sobre a disponibilidade de um upgrade até mesmo antes que o próprio fornecedor do SO envie a notificação de envio para o dispositivo. As opções de comunicação do SEP Mobile também permitem que os administradores notifiquem os usuários finais quando seus dispositivos não estiverem em conformidade devido a versões desatualizadas do SO. Nos casos em que as empresas entendem os riscos, mas preferem que os usuários dos dispositivos móveis não façam upgrade, os administradores podem optar por não enviar os alertas.

Embarque no gerenciamento de vulnerabilidades de dispositivos móveis

Os profissionais de segurança não podem mais se deixar convencer de que as vulnerabilidades não aparentes não existem. O risco de ameaças a dispositivos móveis está crescendo e, assim como as empresas usam o gerenciamento de vulnerabilidades para proteger seus endpoints tradicionais contra exploração de software, elas deveriam usá-lo em seus endpoints modernos. As ferramentas de gerenciamento de vulnerabilidades de dispositivos móveis podem oferecer visibilidade sobre vulnerabilidades conhecidas que afetam os dispositivos iOS e Android, mas as ferramentas que também oferecem avaliação de riscos e informações úteis serão mais eficazes em garantir uma continuidade da redução de riscos. Com o gerenciamento de vulnerabilidade do SEP Mobile, os administradores não vão precisar gastar muto tempo tentando descobrir quais vulnerabilidades apresentam maior risco e como responder a elas. O SEP Mobile faz esse trabalho, fornecendo às empresas todas as ferramentas que elas precisam para reduzir o risco em dispositivos móveis.