A proliferação de dispositivos conectados implica necessariamente uma grande vigilância diante de ataques via rede. Na era da IOT, proteger sua conexão se torna uma necessidade, que é o que as suítes de segurança modernas oferecem. Vamos ver como um antivírus o protege além até mesmo do computador no qual está instalado.
Monitoramento de tráfego em busca de anomalias
O malware não esperou pela era dos objetos conectados se espalhar pela rede. Um dos primeiros worms conhecidos, Morris, já estava sendo transmitido em 1988 pela ARPANET, a ancestral da Internet.Desde então, inúmeros malwares “lendários” usaram a rede para se reproduzir, mas também para cometer seus crimes. Os botnets têm causado estragos nos últimos anos, transformando computadores infectados em retransmissores para spam ou ataques de negação de serviço.
Uma solução de segurança pode agir contra esses tipos de ameaças monitorando o sistema: isso é chamado de análise comportamental. O pacote de segurança vigia diferentes lugares no sistema operacional para detectar ações suspeitas: acesso anormal a uma pasta, modificação de arquivos,processo desconhecido …
A varredura de rede executa um trabalho semelhante, mas no tráfego da máquina na qual o software de segurança está instalado. O módulo fará a varredura dos pacotes que passam por sua rede. Como ocorre com os arquivos, a detecção de tráfego suspeito pode simplesmente passar por informações conhecidas, como endereços IP sabidamente maliciosos. Nesse caso, se um aplicativo tentar se conectar a um endereço suspeito, da mesma forma que se você tentar se conectar a um site fraudulento por meio de seu navegador, a ação será abortada.
Aprendizado de máquina para identificar riscos desconhecidos
Novamente, isso funciona se o endereço já estiver listado no banco de dados do pacote de segurança. Caso contrário, a proteção de rede também pode tentar reconhecer o comportamento suspeito, porque possui características que colocam o mecanismo de varredura em alerta. Por exemplo, é possível detectar uma sequência de ações que se parece com um ataque do tipo DDOS.
As técnicas de análise de rede mais avançadas usam aprendizado de máquina. Esta solução, em particular integrada com soluções de segurança do tipo box, passará algum tempo a observar o tráfego ao longo do tempo e a afinar a sua aprendizagem através de redes neurais, à semelhança do software de reconhecimento facial. Após esta fase, a análise pode, assim, detectar comportamentos que vão além do quadro desta aprendizagem para bloqueá-los.
Objetos conectados: além do PC
A análise de rede é um componente essencial da proteção moderna por uma razão óbvia: nosso ambiente hoje vai muito além de um único PC, laptop ou mesmo de dois ou três dispositivos móveis. Câmeras de vigilância, lâmpadas inteligentes e outros objetos e sensores quase sempre estão conectados à Internet.
A multiplicação da oferta nesta matéria a preços muitas vezes vantajosos pode nos encorajar a comprar uma quantidade de dispositivos dos quais não necessariamente sabemos o nível de segurança. Muitas câmeras de vigilância baratas usam firmware com um nível de segurança bastante baixo. E aí, nenhum antivírus instalado no sistema para protegê-los. Daí a importância de se ter uma solução que analise o tráfego da rede e que consiga, por exemplo, bloquear a conexão de uma câmera IP a um servidor suspeito.
Esses ataques não são uma fantasia: o malware Mirai usou esse vetor de objetos conectados para se instalar e usar seu firmware para lançar ataques de spam ou DDOS. Descoberto em 2016, Mirai explora uma lacuna que parece absurda em sua simplicidade. Ele se conecta a dispositivos infectados usando um banco de dados de mais de 60 combinações comuns de administrador / senha de fábrica, apostando na, infelizmente ainda alta, probabilidade de que os usuários não o tenham alterado. O sucesso de Mirai também depende se uma câmera IP comprometida é quase invisível. Ele continua a funcionar normalmente e não mostra sinais claros de desaceleração como um PC.
