Modelos epidêmicos são largamente estudados, provenientes da biologia, tais modelos visam capturar um vírus que se espalha na rede e seus impactos e o efeito de contramedidas para mitigar as ameaças.
Quando uma parcela superior da população está imunizada dentro de uma rede, consequentemente reduz a chance de contaminação de indivíduos não imunizados.A análise de custo-benefício de um programa de vacinação leva em consideração o número de agentes contaminados e imunes e o risco de contaminação de agentes suscetíveis.
Atualmente é possível que um adversário estratégico possa localizar sistemas vulneráveis em poucas horas, através de varreduras de IPs da internet, pois ainda que exista poucos indivíduos suscetíveis neste caso o risco ainda é alto.
Abordaremos então a aplicação de contramedidas, levando em conta seus custos e benefícios. Será observado que certos dispositivos a população se comportam num padrão condizente com o “siga a multidão” enquanto para outros o comportamento se assemelha a “afaste-se da multidão”.
Com dados avaliados da plataforma Shodan, identificamos que em cenários reais, muitos se comportam da forma similar a “siga a multidão”. De forma analitica iremos avaliar fatores positivos e negativos associados às contramedidas de segurança computacional.
            Malwares como WannaCry, ransomware responsável pela infecção de 230.000 computadores pelo protocolo SMB v2, possui uma alta taxa de contaminação endógena, limitada a capacidade de contaminação entre redes e contaminava as vítimas através de spam. Após saber quais dispositivos são vulneráveis, a capacidade do atacante se limitará a capacidade do servidor de carregar o código nas vítimas e de manter a rede operacional.
Consideremos que um adversário que possui um malware tem poder computacional limitado e sua capacidade média de contaminação por unidade de tempo é denotada por Λ. A vacinação é a principal contramedida para evitar a disseminação epidêmica e é muito importante, e se dá através da atualização do sistema operacional e antivírus, onde necessitam ser constantemente atualizados já que existem várias gerações de um mesmo programa malicioso.
Existem outras medidas mais rigorosas tais como desconexão de nós da rede, instalação de sistemas operacionais mais modernos e sistemas de antivírus de efeito, estes últimos possuem um custo de manutenção e poder computacional maiores, porém é algo válido quando se quer evitar o SIS (Susceptible Infected Susceptible).
A população será igual ao número de nós que não aplicaram contramedidas ou que aplicaram contramedidas moderadas. Toda aplicação de um path de correção tem um custo computacional ou por vezes pode representar a substituição de todo um parque instalado e investimentos elevados.
Em uma análise de [Wang et al.2017] contendo mais de 64 mil amostras de dispositivos de controle industrial, menos de 30% desses sistemas são atualizados para versões imunes a ataques.
Fica notável que quando a maioria utiliza versões recentes de um determinado produto, a minoria segue essa corrente , contudo ainda sim pode acontecer o comportamento de crescer o número de dispositivos com versão antiga em conjunto com o número de dispositivos com versão mais nova do produto, acontecendo isto geralmente quando novas instalações do produto que muitas vezes podem vir embarcadas com versões antigas de firmware.
Assumimos que o atacante pode identificar nós vulneráveis, mas não pode distingui-los entre suscetíveis e infectados, existindo N nós vulneráveis na rede, a taxa de ataque por nó é λ = Λ/N.
Quando se tem um domínio da infecção endógena, o sistema se tem altas probabilidades de infecção, independente da quantidade de nós vulneráveis. Todo esforço é para que os indivíduos apliquem a vacina quando a taxa endógena atinge valores moderados a probabilidade de infecção passa a depender do número de nós vulneráveis. Para atacantes com capacidade limitada o aumento de nós vulneráveis faz com que se diminua a probabilidade de um determinado nó estar infectado.
Sendo a infecção endógena a probabilidade de infecção apenas diminui com o aumento de nós vulneráveis, existindo uma transição do comportamento de seguir para evitar a multidão.
Iremos considerar uma população finita de N nós dos quais um total de N nós não aplicaram nenhuma forma de vacina, tendo assim uma vulnerabilidade que pode ser explorada. Os M - N nós, aplicaram alguma vacina e consideramo-os imunes.
Cada nó pode ser suscetível ou infectado, podendo o nó infectado ser recuperado para o estado suscetível após um período de tempo. Um nó suscetível pode ser infectado por um atacante externo ou externo de um vizinho da rede. Seja d o número de vizinhos infectados de um determinado nó, pode-se assumir que a taxa de infecção é exponencialmente dependente de d, tendo a taxa endógena de γd e exógena é λγd sendo o tempo considerado exponencial.
Cada estado da rede corresponde a um estado no processo Markoviano, além disso, o processo Markoviano aqui utilizado é reversível. Um nó pode se decidir se irá investir na aplicação da vacina ou não sendo o investimento C e o custo H.
Quando um nó decide não investir em uma vacina passa a estar sujeito ao processo de contaminação epidêmica, podendo ser contaminado, podendo após ser contaminado se recuperar sem a necessariamente ser imunizado, tal como retorno ao estado inicial, formatação e reinicialização. Após a remoção que decidiram investir na vacina e estão imunes, a topologia restante da rede determina o processo de dispersão da epidemia.
A topologia da rede é dada por uma matriz de adjacência ANN, onde cada entrada akl é igual a 1 se nó xk e xL estão contaminados, e zero caso contrário. Como tratamos de conexões não direcionadas, então akl = alk. Os elementos na diagonal de A são todos iguais a zero.
A matriz geradora infinitesimal está associada ao processo Markoviano tendo o modelo de distribuição de probabilidade dos estados em regime estacionário dado por [Zhang And Moura 2014, Zhang et al. 2017], visando a topologia analisando a probabilidade de infecção através de uma complexa equação:
Podendo o resultado acima ser utilizado por exemplo para caracterizar os pontos de equilíbrio do sistema.

É possível através da epidemiologia demonstrar que quanto maior o número de indivíduos imunes, menor é a chance de que uma contaminação se espalhe na rede. Quando há muitos indivíduos que se aplicaram uma contramedida, os indivíduos restantes têm menos incentivo para aplicar a contramedida.

Escrito por : Tecflag - Matérial de consulta, probida cópia para outros fins.

Referências: RUFINO, Vilc et al. Contaminação Epidêmica em Redes: Imunidade Coletiva e Suas Implicações Frente a Atacantes Estratégicos. Workshop em Desempenho de Sistemas Computacionais e de Comunicação (WPerformance_CSBC), [S.l.], v. 17, n. 1/2018, july 2018. ISSN 2595-6167. Disponível em: <http://portaldeconteudo.sbc.org.br/index.php/wperformance/article/view/3341>. Acesso em: 10 dec. 2018.