Pular para conteúdo

Evolução das Ameaças

Era dos Códigos Maliciosos (1975 - 1995)

Softwares maliciosos começaram a ser criados. Para lidar com eles, sistemas de identificação e bloqueio desses programas foram criados.

Foram criadas tecnologias de defesa de perímetro: - Firewall - Antivirus - Proxy - Intrusion Detecion System (IDS)

Era da Pandemia de Código Malicioso (1996-2001)

Explosões de ataques de malware pela internet fizeram com que a proteção de um sistema tivesse que ser feita a partir de várias ferramentas e mecanismos diferentes. O processo de defesa tornava-se mais complexo e as informações eram mais difíceis de se correlacionar quando espalhadas por diversas ferramentas. Para evitar essa complexidade, foram adotadas tecnologias que: - Centralizassem a visibilidade da defesa, como o SIEM; e - Avisassem brechas na defesa ainda no desenvolvimento, como Scanners de Vulnerabilidades.

Como consequência, também foi nessa era que os Provedores de Gerenciamneto de Serviços de Segurança (MSSP) apareceram.

Era das Cadeias de Ataque (2002 - 2006)

As equipes de defesa formalizaram sua atuação com a criação de leis e frameworks. Assim surgiu o compliance, a iniciativa das empresas em se manterem de acordo com as leis em relação a defesa cibernética. Também foi assim que surgiu frameworks como o Metaexploit Framework, um guia para se criar exploits.

Os atacantes viram os movimentos das equipes de defesa. Eles estudaram, aprenderam e incorporaram o conhecimento da defesa em seus ataques. Dessa forma a capacidade de criar ataques em massa evoluiu para a criação de cadeias de ataques. O grande volume de ataques tornou-se coordenado e nem todos os ataques planejavam ter um impacto imediato, alguns apenas abriam portas para ataques futuros. O controle e perícia em geral aos ataques aumentou e os atacantes começaram a praticar crimes cibernéticos de alta escala.

A defesa percebeu que os ataques estavam mais elaborados e criou ferramentas como: - Honeypots, ambientes expostos, mas controlados, que registram as tentativas de ataques voltados a eles. Essas armadilhas para atacantes e suas cadeias foram um dos primeiros passos da defesa cibernética em relação a entender o comportamento de ataques e como eles formavam uma cadeia. - Intrusion Prevention System (IPS).

Era dos APT (2007 - 2012)

Com o potencial econômico, político e social que ameaças cibernéticas mostraram na era passada, grupos organizados começaram a ser formados para criarem verdadeiras armas cibernéticas a sistemas computacionais ao redor do mundo. Esses grupos são chamados de Advanced Persistent Threats (APTs) e conduziram guerras cibernéticas, hackitivismo e vazamentos.

Nessa era ficou mais evidente às equipes de defesa como os ataques agora seguiam cadeias de ataque orquestradas e com objetivos financeiros por trás. Houve aqui a tradução das cadeias de ataque em uma série de comportamentos sequenciais. Dessa forma, mais ferramentas voltadas a identificar e bloquear ataques e cadeias de ataque por seus comportamentos surgiram, como: - Endpoint Detection and Response (EDR) - Network Detection and Response (NDR) - Capacidade de correlacionamento de informações por parte do SIEM.

Era da Inteligência Compartilhada

Como resposta, nações, empresas e organizações se juntaram para criar medidas de defesas mais rígidas aos APTs. Como resultado:

  • Surgimento de Inteligência de Ameaças
  • Novas defesas concentradas em detecção e prevenção por comportamentos.