Velhas ameaças nunca morrem

Essa semana o diretor de segurança estratégica da IBM ISS, Gunter Ollmann, publicou um artigo falando sobre como velhas ameaças nunca morrem.

Os pesquisadores do ISS anunciaram que eles o Slammer (aquele Worm de 2003...) está, hoje em dia, com mais hosts infectados do que houveram durante seu pico de infecções 4 anos atrás.

A razão dada para isso é que alguns dispositivos de segurança (como IDS/IPS e Antivirs), quando são atualizados, acabam removendo assinaturas de ameaças "erradicas" de suas rotinas de detecção, para não haver uma perda de performance por causa das várias assinaturas. Muitos produtos fazem isso sem o conhecimento do usuários.
O problema é que ao mesmo tempo que a verificação para de ser feita, existem várias máquinas antigas na internet que estão sem atualização, e até mesmo alguns ativos de rede (impressoras, roteadores, etc) que também são vulneráveis a ameaça, mas que nunca foram atualizados. O resultado vocês já podem imaginar né?

A solução que Ollmann dá é que mais mecanismos de detecção usem mecanismos baseados em comportamento estranho (
behavioral-based) para detectar ameaças ao invés de assinaturas. Além disso é bom manter todos os dispositivos atualizados, e, quando possível, usar assinaturas antigas E novas para detecção de ameaças.

Mais informações: http://www.darkreading.com/document.asp?doc_id=132301 , http://blogs.iss.net/archive/OldThreatsNeverDie.html
O artigo de Ollmann está em : http://www.iss.net/documents/whitepapers/old_threats_never_die_wp.pdf

Marcadores: