Veja o relatório - PromonLogicalis

Transcrição

Veja o relatório - PromonLogicalis
Sede - América
Cisco Systems, Inc.
San Jose, CA
Sede - Ásia e Pacífico
Cisco Systems (USA) Pte. Ltd.
Cingapura
Sede - Europa
Cisco Systems International
BV Amsterdam,
The Netherlands
A Cisco possui mais de 200 escritórios no mundo todo. Os endereços, números de telefone e fax estão
disponíveis no site da Cisco em www.cisco.com/go/offices.
Todo o conteúdo está protegido por leis de direitos autorais. Copyright © 2011-2013 Cisco Systems, Inc. Todos os
direitos reservados. Este documento contém informações públicas da Cisco. Cisco e o logotipo Cisco são marcas
comerciais da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em outros países. Uma lista das
marcas registradas da Cisco pode ser encontrada em www.cisco.com/go/trademarks. Todas as marcas de terceiros
citadas pertencem a seus respectivos proprietários. O uso do termo "parceiro" não implica uma relação de
sociedade entre a Cisco e qualquer outra empresa. (020813 v2)
Relatório de
Segurança
Anual da Cisco
de 2013
2
2013 Cisco Annual Security Report
Vivendo no mundo
atual do sistema
“any-to-any”.
3
Os criminosos cibernéticos estão se beneficiando do cenário de ataques atual, o
qual encontra-se em rápida expansão e bastante presente no mundo do sistema
“any-to-any”, no qual as pessoas fazem uso de qualquer dispositivo para acessar
aplicativos empresariais em ambientes de rede que utilizam serviços em nuvem
descentralizados. O relatório de segurança anual da Cisco® de 2013 destaca as
tendências globais com base em dados do mundo real e oferece conhecimentos
e análises que ajudam empresas e governos a melhorarem sua segurança no
futuro. O relatório combina pesquisa especializada com inteligência de segurança
agregados pela Cisco com enfoque em dados coletados durante o ano fiscal de
2012.
4
2013 Cisco Annual Security Report
Conteúdo
5
A relação de dispositivos, nuvens e aplicativos
6
Multiplicação de endpoints
12
Os serviços estão presentes em muitas nuvens
18
A mistura entre uso corporativo e pessoal
22
A Geração Y e o local de trabalho
Big Data
28
Um bom negócio para as empresas de hoje
Estado da exploração
32
O perigo se esconde em lugares surpreendentes
Ameaças em evolução
50
Novos métodos, mesmas explorações
Envio de Spam sempre presente
58
Perspectiva de segurança para 2013
70
Sobre a Cisco Security Intelligence Operations
74
6
2013 Cisco Annual Security Report
A relação
entre
dispositivos,
nuvens e
aplicativos
7
O mundo do sistema any-to-any e a
Internet de Todas as Coisas são uma
evolução em termos de conectividade
e colaboração que se desdobra
rapidamente. A relação entre dispositivos,
nuvens e aplicativos.
Embora essa evolução não seja inesperada,
as empresas podem estar despreparadas
para a realidade de navegação no mundo
"any-to-any" — pelo menos de uma
perspectiva de segurança.
"O ponto principal da questão relacionada
ao sistema de computação distribuída anyto-any é que alcançamos rapidamente o
ponto em que é cada vez menos provável
que um usuário acesse uma empresa por
meio de uma rede corporativa," diz Chris
Young, vice-presidente sênior do Grupo
de segurança e governo da Cisco. “Cada
vez mais, o foco volta-se para a cultura
de qualquer dispositivo em qualquer local
vindo de qualquer instanciação de rede.
Os dispositivos habilitados para acessar a
Internet — smartphones, tablets e muitos
outros — tentam conectar aplicações que
poderiam ser executadas em qualquer
lugar, inclusive em uma nuvem de software
como serviço (SaaS), em uma nuvem
particular ou em uma nuvem híbrida.”
Ao mesmo tempo, outra evolução está a
caminho — um movimento contínuo em
direção da formação da "Internet de todas
as coisas - The Internet of Everything".
Essa é a conexão inteligente de:
• Pessoas: redes sociais, centros
populacionais e entidades digitais
• Processos: sistemas e processos
comerciais
• Dados: World wide web e informações
• Coisas: mundo físico, dispositivos e
objetos
“Cada vez mais, o foco volta-se para
a cultura de qualquer dispositivo em
qualquer local vindo de qualquer
instanciação de rede. Dispositivos
com acesso à Internet — smartphones,
tablets e outros — tentam se conectar a
aplicativos que podem ser executados
em qualquer lugar."
Chris Young, Vice-Presidente Sênior do
grupo de segurança e governo da Cisco
8
2013 Cisco Annual Security Report
“O aumento do número de pessoas,
processos, dados e coisas na Internet, e
sua convergência, tornará as conexões
em rede mais importantes e valiosas do
que nunca.”
Nancy Cam-Winget, engenheira renomada
da Cisco
A Internet de Todas as Coisas baseiase na “Internet das coisas”1 que
adicionando a inteligência de rede
permite a convergência, a orquestração
e a visibilidade por meio de sistemas
previamente diferenciados. As conexões
da Internet de Todas as Coisas não
representam apenas dispositivos móveis
ou laptops e desktops, mas também um
número cada vez maior de conexões de
máquina para máquina (M2M) que ficam
conectadas on-line todos os dias. Essas
“coisas” são objetos aos quais não damos
muita importância, que geralmente usamos
todos os dias e nem imaginamos que
possam estar conectados — como um
sistema de aquecimento doméstico, uma
turbina eólica ou um carro.
A Internet de Todas as Coisas com
certeza é uma condição futura, mas que
não está tão distante quando a questão
do any-to-any é considerada. Enquanto
isso ela irá criar desafios de segurança
para as empresas, mas também trará
novas oportunidades. “Coisas incríveis
acontecerão com o crescimento da
Internet de Todas as Coisas”, diz Nancy
Cam-Winget, engenheira renomada da
Cisco. “O crescimento e a convergência
de pessoas, processos, dados e coisas
na Internet tornará as conexões em rede
mais importantes e valiosas do que nunca.”
Além disso, a Internet de Todas as Coisas
criará novos recursos, experiências mais
valiosas e oportunidades econômicas
sem precedentes para países, negócios e
indivíduos."
Como a nuvem
compromete a segurança
O desafio de proteger uma grande
variedade de aplicações, dispositivos e
usuários — seja no contexto do sistema
"any-to-any" ou da Internet de Todas as
Coisas — é dificultado pela popularidade da
nuvem como meio de gerenciar sistemas
corporativos. De acordo com dados
reunidos pela Cisco, espera-se que o
tráfego de data centers em termos globais
seja quadruplicado nos próximos cinco
anos, e o componente de crescimento mais
rápido será a nuvem. Em 2016, o tráfego
global em nuvem corresponderá a dois
terços do tráfego total de data centers.
Espera-se que o tráfego global de data
centers seja quadruplicado nos próximos
cinco anos, e o componente de
crescimento mais rápido serão os dados
em nuvem. Em 2016, o tráfego global em
nuvem corresponderá a dois terços do
tráfego total do data centers.
9
Soluções de segurança fragmentadas,
como a aplicação de firewalls a uma
borda de rede instável, não protegem
dados que atualmente se movimentam
constantemente entre dispositivos, redes
e nuvens. Mesmo entre os data centers —
que agora abrigam as "joias da coroa" (big
data) das empresas — a virtualização tornase mais a regra do que a exceção. Abordar
desafios de segurança difundidos pela
virtualização e pela nuvem requer repensar
posturas de segurança para refletir sobre
este novo paradigma — controles com base
em perímetro e modelos antigos de acesso
e contenção precisam ser alterados para
proteger o novo modelo de negócios.
Funcionários conectados e
privacidade de dados
Outro fator comprometedor na equação
any-to-any são os funcionários jovens e
móveis. Este grupo acredita que é capaz
de fazer negócios onde quer que esteja
e com qualquer dispositivo que tenha
em mãos. Em destaque no Relatório de
segurança anual da Cisco de 2013 estão as
descobertas do Relatório Cisco Connected
World Technology 2012, que foram
reunidas na pesquisa realizada em 2011
sobre as novas atitudes que estudantes
universitários e jovens profissionais em
todo o mundo têm em relação ao trabalho,
à tecnologia e à segurança.
O último estudo se concentra ainda mais
nas atitudes desses funcionários em
relação à segurança, com enfoque especial
na privacidade e em quanto e com que
Outro fator comprometedor na equação
do sistema de computação distribuída
any-to-any são os funcionários jovens e
móveis. Este grupo acredita que é capaz
de fazer negócios onde quer que esteja
usando qualquer dispositivo que tenha
em mãos.
frequência uma empresa pode interferir no
desejo do funcionário de usar livremente a
Internet no trabalho. O estudo do Relatório
Cisco Connected World Technology 2012
também analisa se a privacidade on-line
ainda é algo com que todos os usuários se
preocupam ativamente.
Análise de dados e
tendências mundiais de
segurança
O Relatório de segurança anual da Cisco
de 2013 inclui uma análise profunda de
tendências de malware e spam da Web,
com base em pesquisas realizadas pela
Cisco. Enquanto muitos que operam na
"economia paralela" têm concentrado seus
esforços no desenvolvimento de técnicas
cada vez mais sofisticadas, a pesquisa
da Cisco deixa claro que os criminosos
cibernéticos frequentemente adotam
métodos bem conhecidos e básicos para
comprometer os usuários.
O aumento de ataques de negação de
serviço distribuído (DDoS) no último ano
é apenas um exemplo da tendência "o
10
2013 Cisco Annual Security Report
"Vemos algumas mudanças incômodas no ambiente de ameaças com que se
deparam governos, empresas e sociedades.”
John N. Stewart, vice-presidente sênior e chefe de segurança da Cisco.
antigo agora é novidade" em se tratando
de crimes cibernéticos. Por vários anos, os
ataques de DDoS — que podem paralisar
provedores de serviços de Internet (ISPs)
e afetar o tráfego para e de sites visados
— não tiveram muita importância na lista de
prioridades de segurança de TI para muitas
empresas. Entretanto, campanhas recentes
de várias empresas famosas — incluindo
instituições financeiras dos EUA2 — servem
como lembrete de que qualquer ameaça
à segurança cibernética pode causar uma
interrupção significativa e até mesmo
um dano irreparável, caso a organização
não esteja preparada para isso. Portanto,
ao criar planos de gerenciamento de
continuidade de negócios, as empresas
devem considerar como reagiriam e se
recuperariam de um evento cibernético
prejudicial — caso um evento se torne um
ataque DDoS direcionado à empresa, um
importante recurso de fabricação ativado
pela Internet de repente ficar off-line, um
ataque a diversos estágios avançados por
um criminoso oculto ou algo nunca visto
antes.
"Enquanto a discussão de segurança de TI
sofreu mais que sua cota de alarmismo nos
último anos, vemos algumas mudanças
perturbadoras no ambiente de ameaças
que governos, empresas e sociedades
enfrentam," diz John N. Stewart, vicepresidente sênior e chefe de segurança
da Cisco. "O crime cibernético já não é
mais um mero um aborrecimento ou mais
uma despesa feita quando fechamos
negócios. Abordamos um ponto decisivo
em que as perdas econômicas geradas
pelo crime cibernético ameaçam suplantar
os benefícios econômicos criados pela
tecnologia da informação. Está claro que
precisamos de novas ideias e de um novo
enfoque para reduzir o dano que o crime
cibernético causa no bem-estar mundial.”
11
12
2013 Cisco Annual Security Report
Multiplicação
de endpoints
13
A evolução do sistema "any-to-any"
já envolve bilhões de dispositivos
conectados à Internet; em 2012, o
número destes dispositivos no mundo
subiu para mais de 9 bilhões.
3
Considerando que atualmente menos de
1% das coisas no mundo físico estão
conectadas, resta um vasto potencial para
“conectar o não conectado.”4 Estima-se
que com uma Internet que já tenha uma
projeção de 50 bilhões de “coisas”
conectadas a ela, o número de conexões
aumentará para 13.311.666.640.184.600
em 2020. Adicionar apenas mais uma
"coisa" conectada à Internet (50 bilhões +
1) aumentará o número de conexões em
mais 50 bilhões.5
Quanto às “coisas” que finalmente
compreenderão o “todas as coisas,” estas
variarão de smartphones e sistemas de
aquecimento doméstico a turbinas eólicas
e carros. Dave Evans, futurista-chefe
do grupo de soluções de negócios de
Internet da Cisco, explica assim o conceito
da multiplicação de terminais: “Num
futuro próximo, quando seu carro estiver
conectado à Internet de Todas as Coisas, o
número de coisas na Internet simplesmente
aumentará em um. Pense nos vários outros
elementos com os quais seu carro poderia
se conectar— outros carros, semáforos,
sua casa, equipe de serviços, relatórios de
meteorologia, sinais de alerta e até mesmo
a própria rodovia.”6
“Num futuro próximo, quando seu carro
estiver conectado à Internet de Todas
as Coisas, o número de coisas na
Internet simplesmente aumentará em
um. Pense nos vários outros elementos
com os quais seu carro poderia se
conectar— outros carros, semáforos,
sua casa, equipe de serviços, relatórios
de meteorologia, sinais de alerta e até
mesmo a própria rodovia.”
David Evans, futurista-chefe da Cisco
14
2013 Cisco Annual Security Report
Figura 1: A Internet de Todas as Coisas
A Internet de Todas as Coisas é a conexão inteligente de pessoas, processos, dados e
coisas.
De pessoas para
máquina (P2M)
De pessoas para
pessoas (P2P)
Pessoas
Móvel
Residência
Processo
Dados
Coisas
Negócios
De máquina para
máquina (M2M)
Na Internet de Todas as Coisas, as conexões são os fatores mais importantes. Os tipos
de conexões, não o número, são o que criam valor entre pessoas, processos, dados e
coisas.
15
Na Internet de Todas as Coisas, as
conexões são os fatores mais importantes.
Os tipos de conexões, não o número,
são o que criam valor entre pessoas,
processos, dados e coisas. Por fim, o
número de conexões reduzirá o número de
coisas.7 A explosão de novas conexões,
que já faz parte da Internet de Todas as
Coisas, é impulsionada principalmente
pelo desenvolvimento cada vez maior
de dispositivos habilitados por IP, como
também pelo aumento da disponibilidade
mundial de banda larga e do advento do
IPv6. Os riscos de segurança criados
pela Internet de Todas as Coisas não se
relacionam apenas à multiplicação de
endpoints any-to-any que nos aproxima
diariamente de um mundo ainda mais
conectado, mas também à oportunidade
de agentes maliciosos utilizarem ainda mais
incursões para comprometer usuários,
redes e dados. As próprias novas conexões
criarão riscos porque irão gerar ainda mais
dados em movimento que precisam ser
protegidos em tempo real — incluindo os
volumes crescentes de big data que as
empresas continuarão a coletar, armazenar
e analisar.
“A Internet de Todas as Coisas ganha
forma rapidamente, portanto o
profissional de segurança precisa pensar
em como mudar seu enfoque da simples
proteção de endpoints e do perímetro
de rede".
Chris Young, Vice-Presidente Sênior do
grupo de segurança e governo da Cisco
“A Internet de Todas as Coisas ganha
forma rapidamente, portanto o profissional
de segurança precisa pensar em como
mudar seu enfoque da simples proteção
de endpoints e do perímetro de rede," diz
Chris Young. “Haverá muitos dispositivos,
conexões e tipos de conteúdo e aplicativos
— e esse número só irá crescer. Neste
panorama, a própria rede se torna parte
do paradigma de segurança que permite
que as empresas estendam a política e o
controle sobre os ambientes de rede."
16
2013 Cisco Annual Security Report
Atualização da consumerização de TI da Cisco
A multiplicação de endpoints é um fenômeno que a Cisco conhece bem em sua própria organização de
70.000 funcionários em todo o mundo Desde a formalização da prática de consumerização de TI há dois
anos, a empresa presenciou uma taxa de crescimento de 79% no número de dispositivos móveis em uso
na empresa.
O relatório de segurança anual da Cisco de 20118 analisou primeiro a jornada de consumerização de TI
em desenvolvimento na Cisco, a qual faz parte da ampla e contínua transição da organização para tornarse uma “empresa virtual.” No momento, a Cisco alcança o último estágio de sua planejada jornada, que
durará vários anos. A Cisco será cada vez mais uma empresa independente de locais e serviços e ainda
assim seus dados estarão seguros.9
Em 2012, a Cisco adicionou cerca de 11.000 smartphones e tablets em toda a empresa — ou
aproximadamente 1.000 novos dispositivos com acesso à Internet por mês. “No final de 2012, havia quase
60.000 smartphones e tablets em uso na organização — incluindo quase 14.000 iPads — e todos eles
faziam parte da tendência de consumerização (BYO, bring your own),” diz Brett Belding, gerente sênior de
supervisão da Cisco IT Mobility Services. “Os dispositivos móveis na Cisco agora fazem parte da tendência
de consumerização (BYO, bring your own), ponto.”
O tipo de dispositivo que teve o maior aumento em sua utilização na Cisco foi o iPad da Apple. "É
fascinante pensar que há três anos este produto nem mesmo existia," diz Belding. “Agora há mais de
14.000 iPads sendo usados na Cisco todos os dias por nossos funcionários para uma variedade de
atividades — relacionadas tanto ao uso pessoal quanto ao trabalho. E os funcionários estão usando iPads
além de seus smartphones.”
Quanto aos smartphones, o número de iPhones da Apple em uso na Cisco quase triplicou em um período
de dois anos, quase atingindo a marca de 28.600 aparelhos. Os dispositivos RIM BlackBerry, Google
Android e Microsoft Windows também estão incluídos no programa consumerização de TI da Cisco. Os
funcionários optam por trocar o acesso a dados corporativos em seu dispositivo pessoal mediante acordo
sobre controles de segurança. Por exemplo, usuários que desejam verificar e-mails e calendários em seus
dispositivos precisam obter o perfil de segurança da Cisco, o qual aplica recursos como limpeza remota,
criptografia e senha.
“Comportamos mais dispositivos do que antes e ,ao mesmo tempo, temos tido o
menor número de casos de suporte. Nosso objetivo é que algum dia um funcionário
possa simplesmente trazer qualquer dispositivo para usar o Cisco Identity Services
Engine (ISE) e configurar nossas principais ferramentas de colaboração de WebEx,
incluindo Meeting Center, Jabber e WebEx Social.”
Brett Belding, gerente sênior responsável pela supervisão do Cisco IT Mobility Services
17
Figura 2: desenvolvimento de dispositivos móveis da Cisco
PLATAFORMA
DEZ
2010
DEZ
2011
DEZ
2012
iPhone
iPad
BlackBerry
Android
Outros
TOTAL
Desde o princípio o apoio social tem sido um componente fundamental do programa de consumerização
de TI da Cisco. "Nos apoiamos fortemente na [plataforma de colaboração corporativa] WebEx Social como
nossa plataforma de sustentação para a consumerização de TI e ela nos rende grandes dividendos," diz
Belding. “Comportamos mais dispositivos do que antes e ,ao mesmo tempo, temos tido o menor número
de casos de suporte. Nosso objetivo é que um dia um funcionário possa simplesmente trazer qualquer
dispositivo para usar o Cisco Identity Services Engine (ISE) e configurar nossas principais ferramentas de
colaboração da WebEx, incluindo Meeting Center, Jabber e WebEx Social.”
A próxima etapa da consumerização de TI na Cisco, de acordo com Belding, é melhorar ainda mais a
segurança com o aumento da visibilidade e do controle sobre todas as atividade e dispositivos, tanto na
rede física quanto na infraestrutura virtual, além de aprimorar a experiência do usuário. "Preocupar-se com
a experiência do usuário é a tendência principal da consumerização de TI," diz Belding. “Tentamos aplicar
este conceito à nossa organização. Temos que fazer isso. Acho que atualmente estamos testemunhando
uma "TI-zação" dos usuários. Antes eles perguntavam, "Posso usar este dispositivo no trabalho?" Agora
eles dizem, "Entendo que você precisa manter a empresa segura, mas não interfira
na minha experiência de usuário.’”
18
2013 Cisco Annual Security Report
Os serviços
estão
presentes em
muitas nuvens
19
O tráfego mundial de dados está em
ascensão. De acordo com o Cisco
Global Cloud Index, espera-se que o
tráfego mundial de data centers seja
quadruplicado nos próximos cinco
anos. Ele aumentará a uma taxa de
crescimento anual composta (CAGR) de
31% entre 2011 e 2016.
10
Deste enorme aumento, o componente
com crescimento mais rápido são os dados
em nuvem O tráfego global em nuvem
aumentará seis vezes nos próximos cinco
anos, crescendo a uma taxa de 44% de
2011 a 2016. Na verdade, o tráfego em
nuvem corresponderá a dois terços do
tráfego total de data centers em 2016.11
Esta explosão do tráfego em nuvem
levanta questões sobre a habilidade das
empresas gerenciarem estas informações.
Na nuvem, as linhas de controle não são
claras: uma empresa pode posicionar redes
de segurança em torno de seus dados de
nuvem quando não possui e opera o data
center? Como ferramentas de segurança
básica, como firewalls e softwares antivírus,
podem ser aplicadas quando a borda de
rede não pode ser definida?
Não importa quantas questões de
segurança sejam levantadas, é claro
que cada vez mais empresas adotam os
benefícios das nuvens — e aquelas que o
O tráfego global em nuvem aumentará
seis vezes nos próximos cinco anos,
crescendo a uma taxa de 44% de 2011
a 2016.
20
2013 Cisco Annual Security Report
fizeram provavelmente não retornarão a
um modelo privado de data center. Embora
as oportunidades da nuvem apresentadas
para empresas sejam muitas, — incluindo
economias de custos, maior colaboração
da força de trabalho, produtividade
e emissão de carbono reduzida — os
possíveis riscos de segurança que as
empresas enfrentam como resultado da
transferência de dados de negócios e
processos para a nuvem incluem:
Hipervisores
Se comprometido, este software que
cria e executa máquinas virtuais poderia
causar um ataque de hackers em massa
ou comprometer dados relacionados a
vários servidores — apresentando a mesma
facilidade de gerenciamento e acesso
que a virtualização oferece a um hacker
bem-sucedido. Um hipervisor malicioso
(controlado por “hyperjacking”) pode obter
controle total de um servidor.12
Um hipervisor malicioso (controlado por
“hyperjacking”) pode obter controle total
de um servidor.12
Custo reduzido de entrada
A virtualização reduziu o custo de entrada
para oferecer serviços como um servidor
virtual privado (VPS). Comparado a
modelos de data center com base em
hardware, observamos um crescimento
rápido, barato e uma infraestrutura
facilmente disponível para atividades
criminosas. Por exemplo, há vários
serviços de VPS disponíveis para compra
instantânea (com a possibilidade de
compra usando Bitcoin ou outros tipos
de pagamento difíceis de rastrear) que
são destinados ao submundo do crime. A
virtualização tornou a infraestrutura muito
mais barata e fácil de ser disponibilizada
— com pouca ou nenhuma verificação das
atividades.
“Dissociação” de aplicações
virtualizadas
Como as aplicações virtualizadas são
dissociadas dos recursos físicos que usam,
fica mais difícil para as empresas aplicarem
abordagens de segurança tradicionais.
Provedores de TI buscam minimizar os
custos com uma oferta bastante flexível
em que os recursos podem ser movidos
conforme necessário — em contraste com
o grupo de segurança que busca reunir
serviços com esta postura de segurança e
os mantém longe de outros que podem ser
menos seguros.
21
"A virtualização e a computação em
nuvem criam problemas iguais aos da
consumerização de TI (BYOD), mas
totalmente reformulados," diz Joe Epstein,
antigo CEO da Virtuata, uma empresa
adquirida pela Cisco em 2012 que
disponibiliza recursos inovadores para
proteger informações virtuais em nível
de máquina em data centers e ambientes
de nuvem. "Aplicativos e dados de alto
valor atualmente são movidos em torno
do data center. O conceito de cargas de
trabalho virtuais deixam as empresas
desconfortáveis. No ambiente virtual, como
você sabe que pode confiar no que está
executando? A resposta é que você não
tem sido capaz disso até agora — e essa
incerteza tem sido o principal obstáculo
para a adoção da nuvem."
Mas Epstein observou que é cada vez
mais difícil para as empresas ignorarem
a virtualização e a nuvem. “O mundo
compartilhará tudo,” ele diz. “Tudo será
virtualizado e compartilhado. Não fará
sentido continuar executando apenas data
centers privados. As nuvens híbridas estão
onde a TI está.”
“A virtualização e a computação em
nuvem criam problemas assim como
os da consumerização de TI, mas
totalmente reformulados... Aplicativos
e dados de alto valor movem-se
atualmente em torno do data center.”
Joe Epstein, antigo CEO
da Virtuata
A resposta para estes desafios crescentes
de nuvem e virtualização é a segurança
adaptativa e responsiva. Neste caso,
a segurança deve ser um elemento
programável integrado de forma contínua
na estrutura do data center subjacente,
de acordo com Epstein. Além disso, a
segurança precisa ser criada na fase de
design, ao invés de ser imposta na fase de
pós-implementação.
22
2013 Cisco Annual Security Report
Mistura de
negócios e
uso pessoal
A Geração Y e o local
de trabalho
23
Os funcionários modernos —
principalmente os jovens da “Geração
Y” — querem liberdade para navegar
na Internet não apenas quando e
como querem, mas também com os
dispositivos de sua escolha. Entretanto,
eles não querem que essas liberdades
sejam infringidas por seus chefes, o que
prenuncia uma situação de tensão para
profissionais de segurança.
De acordo com o estudo do Relatório Cisco
Connected World Technology 2012, dois
terços dos entrevistados acreditam que os
chefes não deveriam rastrear as atividades
on-line dos funcionários em dispositivos
da empresa. Em resumo, eles acham que
os chefes não deveriam monitorar seu
comportamento. Apenas cerca de um
terço (34%) dos funcionários entrevistados
disse que não se importaria se os chefes
rastreassem seu comportamento on-line.
Apenas um em cinco entrevistados disse
que seus chefes rastreiam suas atividades
on-line em dispositivos da empresa,
enquanto 46% disseram que seus chefes
não rastreiam as atividades. Descobertas
do último estudo Connected World também
mostram que a Geração Y tem fortes
opiniões sobre os chefes rastrearem a
atividade on-line dos funcionários — mesmo
aqueles que relataram que trabalham em
empresas onde isso não ocorre.
Apenas um em cinco entrevistados
disse que seus chefes rastreiam suas
atividades on-line em dispositivos da
empresa, enquanto 46% disseram
que seus chefes não rastreiam as
atividades.
24
2013 Cisco Annual Security Report
Parece haver uma divergência entre o
que os funcionários acham que podem
fazer com os dispositivos fornecidos pela
empresa e quais políticas o setor de TI
realmente dita sobre o uso pessoal, o que
aumenta ainda mais os desafios para os
profissionais de segurança. Quatro dos
10 entrevistados disseram que devem
usar dispositivos fornecidos pela empresa
para atividades de trabalho, enquanto um
quarto disse que tem permissão para usar
os dispositivos da empresa para atividades
não relacionadas ao trabalho. Entretanto,
90% dos profissionais de TI entrevistados
disseram que têm de fato políticas que
proíbem que dispositivos fornecidos pela
empresa sejam usados para atividades online pessoais — apesar de 38% saber que
os funcionários quebram políticas e usam
dispositivos para atividades pessoais além
das atividades relacionadas ao trabalho.
(É possível encontrar mais informações
sobre a perspectiva da Cisco em relação a
estes desafios de consumerização de TI na
página 16.)
Parece haver uma divergência entre
o que os funcionários acreditam que
podem fazer com os dispositivos
disponibilizados pela empresa e
quais políticas o setor de TI realmente
dita sobre o uso pessoal desses
dispositivos.
Privacidade e geração Y
De acordo com o Relatório Cisco
Connected World Technology 2012 a
Geração Y aceitou o fato de que, graças
à Internet, a privacidade pessoal pode
ser algo ultrapassado. 90% dos jovens
consumidores entrevistados disseram que
a era da privacidade está ultrapassada
e acreditam que não podem controlar
a privacidade de suas informações. Um
terço dos entrevistados relatou que não
se preocupa com os dados que são
armazenados e capturados sobre eles.
Em geral, a Geração Y também acredita
que sua identidade on-line é diferente
de sua identidade off-line. 40% disseram
que estas identidades geralmente são
diferentes dependendo da atividade
em questão, enquanto 36% acreditam
que estas identidades são totalmente
diferentes. Apenas 8% acreditam que estas
identidades são iguais.
Jovens consumidores também têm grandes
expectativas de que os sites respeitarão
a privacidade de suas informações,
geralmente sentindo-se mais seguros
em compartilhar dados com as principais
mídias sociais ou sites comunitários
devido ao anonimato que o número
expressivo de usuários proporciona. Entre
os entrevistados, 46% disseram esperar
que determinados sites mantenham suas
informações seguras, enquanto 17%
25
afirmaram acreditar que a maioria dos
sites mantenha a privacidade de suas
informações. Entretanto, 29% disseram
não acreditar que os sites mantenham
a privacidade de suas informações e se
preocupam com segurança e roubo de
identidade. Compare o conceito acima
com a ideia de compartilhar dados com um
empregador que entende o contexto de
quem eles são e o que fazem.
“A Geração Y está iniciando no mercado
de trabalho e trazendo novas práticas e
atitudes relacionadas à informação e à
segurança. Essa geração acredita no fim
da privacidade — ou seja, que na prática
ela não existe —, e é com base nesse
paradigma que as empresas devem
trabalhar. Esse conceito é alarmante
para as gerações anteriores que estão
no mercado de trabalho atual", diz Adam
Philpott, diretor da EMEAR Security Sales
da Cisco. “As empresas podem, entretanto,
disponibilizar treinamentos sobre a
segurança de informações, alertando seus
funcionários sobre os riscos envolvidos,
e oferecer orientações sobre como
compartilhar melhor as informações e
usufruir das ferramentas on-line que fazem
parte da área de segurança de dados”.
“A Geração Y está iniciando no
mercado de trabalho e trazendo
novas práticas e atitudes
relacionadas à informação e à
segurança. Essa geração acredita
no fim da privacidade — ou seja,
que na prática ela não existe —,
e é com base nesse paradigma
que as empresas devem trabalhar.
Esse conceito é alarmante para as
gerações anteriores que estão no
mercado de trabalho atual".
Adam Philpott, diretor da EMEAR
Security Sales
26
2013 Cisco Annual Security Report
Por que as empresas precisam propagar informações
que gerem conhecimento sobre a desinformação das
mídias sociais
por Jean Gordon Kocienda,
analista de ameaças mundiais da Cisco
As mídias sociais têm sido um grande benefício para muitas empresas. A capacidade de estabelecer
conexões diretamente com clientes e outros públicos com o uso do Twitter e do Facebook ajudou
muitas empresas a criar o reconhecimento da marca por meio da interação social on-line.
O lado negativo desta comunicação direta super rápida é que as mídias sociais podem permitir que
informações imprecisas e enganosas sejam espalhadas a uma velocidade incrível. Não é difícil imaginar
um cenário em que um terrorista coordena ataques em terra usando tweets enganosos com a intenção
de obstruir rodovias e linhas telefônicas, ou enviar pessoas para caminhos perigosos. Por exemplo: o
governo da Índia bloqueou centenas de sites e textos controlados13 em uma tentativa de restaurar a
calma na parte nordeste do país depois que fotos e mensagens de texto foram postadas. Os rumores
incitaram pânico em milhares de trabalhadores migrantes, que sobrecarregaram estações de trem e
ônibus.
Campanhas de desinformação de mídia social também têm afetado os preços de mercado. Uma
informação roubada da página da Reuters no Twitter relatou que o Exército Livre da Síria tinha
sucumbido em Alepo. Alguns dias depois, um feed de notícias do Twitter foi comprometido e um
suposto diplomata russo publicou no site que o presidente sírio Bashar Al-Assad estava morto. Antes
dessas contas serem desacreditadas, o preço do petróleo nos mercados internacionais disparou.14
Profissionais de segurança precisam estar em alerta para estas publicações de mídia social de rápida
propagação e possivelmente prejudiciais, especialmente se essas publicações forem direcionadas à
própria empresa — é necessário uma ação rápida para defender as redes contra malwares, advertir os
funcionários sobre tentativas de phishing (roubo de identidade), reencaminhar uma entrega ou oferecer
consultoria sobre segurança aos funcionários. Os executivos de segurança desejam evitar a todo custo
alertar gerentes sobre notícias de última hora que podem vir a ser uma farsa.
A primeira defesa que temos contra notícias fabricadas é confirmá-las através de várias fontes.
Antigamente, os jornalistas faziam isso por nós. Quando líamos ou ouvíamos uma notícia, ela já havia
sido confirmada. Atualmente, assim como nós, muitos jornalistas obtêm suas histórias de fontes como
o Twitter, e se vários de nós acreditarmos na mesma história, podemos facilmente confundir re-tweets
com a confirmação do fato.
Para as notícias de última hora que exigem ação rápida, a melhor aposta pode ser usar o antigo “teste
da primeira impressão.” Se a história parecer artificial, pense duas vezes antes de repeti-la ou citá-la.15
27
Para as notícias de última hora que exigem ação rápida, a melhor aposta pode ser
usar o antigo “teste da primeira impressão.” Se a história parecer artificial, pense duas
vezes antes de repeti-la ou citá-la.
28
2013 Cisco Annual Security Report
Big data
Um bom negócio
para as empresas de
hoje
29
No mundo dos negócios, "big data" é
o assunto do momento — além disso, a
possibilidade de obter material analítico
valioso por meio dos vastos volumes de
informações que as empresas coletam,
geram e armazenam tem tido bastante
visibilidade.
O relatório Cisco Connected World
Technology 2012 analisou o impacto da
tendência do big data em empresas — e
mais especificamente, em suas equipes
de TI. De acordo com as descobertas do
estudo, aproximadamente três quartos
(74%) das empresas em todo o mundo
coletam e armazenam dados, e os
administradores usam a análise de big data
para a tomada de decisões de negócios.
Além disso, sete entre dez entrevistados
do setor de TI relataram que o big data
será uma prioridade estratégica para suas
empresas e equipes no próximo ano.
oportunidades analíticas com foco para
negócios. Mas há preocupações em torno
da segurança do big data. As descobertas
do estudo do Connected World mostram
que um terço dos entrevistados (32%)
acredita que o big data compromete os
requisitos de segurança e proteção de
dados e redes porque há muitos dados e
muitas formas de acessá-los. Em resumo,
o big data aumenta os vetores e ângulos
que equipes de segurança empresarial — e
soluções de segurança — devem proteger.
O desenvolvimento ou surgimento da
mobilidade, da nuvem, da virtualização,
da multiplicação de endpoints e de outras
tendências de rede, abrirá caminho para
um uso ainda maior de big data e de
Aproximadamente 74% das organizações
em todo o mundo coletam e armazenam
dados, e os administradores usam a
análise de big data para a tomada de
decisões de negócios.
30
2013 Cisco Annual Security Report
Coreia, Alemanha, Estados Unidos
e México possuem as mais altas
porcentagens de entrevistados do setor
de TI que acreditam que o big data
complica a segurança.
A Coreia (45%), a Alemanha (42%), os
Estados Unidos (40%) e o México (40%)
têm as mais altas porcentagens de
entrevistados do setor de TI que acreditam
que o big data compromete a segurança.
Para garantir a segurança, a maioria dos
entrevistados do setor de TI — mais de dois
terços (68%) — acredita que toda a equipe
desse setor deve participar da preparação
de estratégias e da administração dos
esforços que envolvem o big data em
suas empresas. Gavin Reid, diretor de
pesquisa de ameaças da Cisco Security
Intelligence Operations, diz “O big data
não compromete a segurança — ele a
torna possível. Na Cisco coletamos e
armazenamos 2,6 trilhões de registros
todos os dias — isso forma a plataforma
de onde podemos iniciar a detecção e o
controle de incidentes.”
Há obstáculos que impedem a adoção
de soluções projetadas para ajudar
as empresas a gerenciar melhor e
a extrair todo o potencial do grande
volume de dados (big data) que geram.
Os entrevistados apontaram a falta de
orçamento, de tempo para estudar o big
data, de soluções apropriadas, de equipes
de TI e de profissionais especializados
nesse setor. Um entre quatro entrevistados
em todo o mundo (23%) disse que a falta
de mão de obra especializada e de pessoal
foi um fator inibidor para que sua empresa
usasse o big data de forma eficiente.
Isso indica a necessidade de que mais
profissionais iniciantes no mercado de
trabalho sejam treinados nesta área.
Da mesma forma, a nuvem é o fator de
sucesso do big data de acordo com 50%
dos entrevistados do setor de TI para o
estudo Connected World. Eles acreditam
que suas empresas precisam trabalhar
em planos e implantações de nuvem para
tornar o big data um negócio rentável
em todo o mundo. Essa percepção teve
destaque na China (78%) e na Índia
(76%), onde mais de três entre quatro
entrevistados acreditavam que havia uma
dependência da nuvem antes do big data
realmente se tornar um sucesso. Como
resultado, em alguns casos o estudo indica
Há obstáculos que impedem a adoção
de soluções que são especificamente
projetadas para ajudar as empresas
a gerenciar melhor e a extrair todo o
potencial do grande volume de dados
(big data) que geram. Os entrevistados
apontaram a falta de orçamento, de
tempo para estudar o big data, de
soluções apropriadas, de equipes de TI
e de profissionais especializados nesse
setor.
31
que a adoção da nuvem afetará a taxa de
adoção — e os benefícios — dos esforços
relacionados ao big data.
Mais da metade dos entrevistados gerais
do setor de TI também confirmou que as
discussões sobre o big data em suas
empresas ainda não são produtivas. Isso
não é surpreendente se considerarmos que
apenas agora o mercado tenta entender
como aproveitar, analisar e usar de forma
estratégica o big data. Em alguns países,
entretanto, discussões sobre big data
resultam em decisões significativas sobre
estratégia, direção e soluções. China
(82%), México (67%), Índia (63%) e
Argentina (57%) lideram neste ponto. Mais
da metade dos entrevistados destes países
afirmam que as discussões sobre big data
em suas empresas estão bem
encaminhadas — e geram ações e
resultados sólidos.
Três entre cinco entrevistados do setor
de TI do relatório Mundo conectado 2012
acreditam que o big data pode ajudar os
países e suas economias a se tornarem
mais competitivos no mercado mundial.
Em alguns países, entretanto, discussões
sobre big data resultam em decisões
significativas sobre estratégia, direção
e soluções. China, México, Índia e
Argentina lideram neste ponto. Mais
da metade dos entrevistados desses
países afirmam que discussões sobre
big data em suas empresas estão bem
encaminhadas — e geram ações e
resultados sólidos.
32
2013 Cisco Annual Security Report
Estado da
exploração
O perigo se
esconde em lugares
surpreendentes
33
Muitos profissionais de segurança — e
certamente uma grande comunidade
de usuários on-line — têm ideias préconcebidas sobre quais os possíveis locais
em que as pessoas podem se deparar com
um perigoso malware da Web.
De modo geral, acredita-se que os sites
que promovem atividades criminosas
— como sites de venda de produtos
farmacêuticos ilegais ou de produtos de
luxo falsificados — têm mais chance de
hospedar um malware. Nossos dados
revelam a verdade sobre este conceito
ultrapassado. No cenário atual das
ameaças cibernéticas as ocorrências de
malware na Web geralmente não são
produto de sites de conteúdo duvidoso.
"As ocorrências de malware da Web
aparecem em todos os locais visitados
pelos usuários da Internet — incluindo os
mais conceituados sites, os quais são
visitados com frequência, mesmo que
seja com o intuito de conduzir negócios,"
diz Mary Landesman, pesquisadora de
segurança sênior da Cisco. "Na verdade,
sites de empresas e indústrias são uma das
três principais categorias visitadas quando
uma ocorrência de malware é encontrada.
Obviamente os sites de negócios não
são projetados para serem nocivos. Os
perigos, entretanto, frequentemente estão
em anúncios exploratórios bem visíveis
que são distribuídos para sites legítimos
ou em hackers que visam comunidades de
usuários nos sites comuns mais usados.
Além disso, sites infectados por malware
são predominantes em muitos países
e regiões — não apenas em um ou dois
países, o que distorce a noção de que sites
de alguns países podem hospedar mais
conteúdo malicioso que outros. “A Web é o
mecanismo de disponibilização de malware
mais impressionante que já vimos até hoje.
Ela supera até mesmo o worm ou os vírus
mais produtivos em sua capacidade de
atingir — e infectar — um público em massa
silenciosamente e com eficiência," diz
Landesman. “As empresas precisam de
proteção, mesmo se bloquearem os sites
Os perigos estão frequentemente
escondidos em anúncios on-line de
cunho exploratório de alta visibilidade.
34
2013 Cisco Annual Security Report
Figura 3: riscos de acordo com o tamanho da empresa
Até 2,5 vezes mais riscos de encontrar malware da Web em grandes organizações.
Risk by Company Size
Número de funcionários
250 ou menos
251–500
501–1000
1001–2500
2501–5000
5001–10.000
10.001–25.000
Mais de 25.000
Todas as empresas — independente do tamanho — enfrentam um risco significativo
de descobertas de malware da Web. Toda empresa deve concentrar-se nos
fundamentos da proteção de sua rede e propriedade intelectual.
35
de conteúdo duvidoso mais comuns, com
um foco ainda mais preciso na inspeção e
na análise.”
Descobertas de malware
por tamanho da empresa
As empresas maiores (com mais de 25.000
funcionários) têm um risco 2,5 vezes maior
de encontrar malware do que empresas
pequenas. Este risco elevado pode ser
causado por uma maior propriedade
intelectual de alto valor. Por isso as grandes
empresas são um alvo mais frequente.
Enquanto empresas pequenas possuem
menos ocorrências de malware da Web por
usuário, é importante observar que todas as
empresas — independentemente do tamanho
— enfrentam um risco significativo de
ocorrências de malware. Toda empresa deve
concentrar-se nos fundamentos da proteção
de sua rede e propriedade intelectual.
Descobertas de malware
por país
A pesquisa da Cisco mostra uma mudança
significativa no panorama mundial para as
ocorrências de malware da Web por país
em 2012. A China, que foi a segunda da
lista de ocorrências de malware da Web em
2011, caiu drasticamente seis posições em
2012. A Dinamarca e a Suécia agora estão
no terceiro e quarto lugar, respectivamente.
Os Estados Unidos permaneceram no
topo do ranking em 2012, assim como em
2011, com 33% de todas as ocorrências
de malware por meio de sites hospedados
nesse país.
Mudanças na localização geográfica
entre 2011 e 2012 provavelmente
refletem mudanças tanto na detecção
quanto nos hábitos do usuário. Por
exemplo, "malvertising", ou o malware
disponibilizado através de anúncios online, tiveram uma função mais significativa
nas descobertas de malware da Web
em 2012 do que em 2011. Vale lembrar
que descobertas de malware da Web
ocorrem com mais frequência através
da navegação normal em sites legítimos
que podem ter sido comprometidos ou
estão apresentando anúncios maliciosos
involuntários. Um anúncio malicioso pode
afetar qualquer site, independente de sua
origem.
Em geral, os dados geográficos de 2012
demonstram que a Web pode causar
infestações de forma uniforme — ao
contrário das percepções de que apenas
um ou dois países sejam responsáveis
por hospedar malware da Web ou de
que qualquer país esteja mais seguro
que outro. Assim como a disponibilização
de conteúdo dinâmico da Web 2.0
permite a monetização de sites em todo
o mundo, também é possível facilitar
a disponibilização de malware da Web
mundialmente.
Claro, há uma diferença distinta entre
onde uma descoberta de malware da Web
ocorre e onde o malware realmente está
hospedado. Em malvertising, por exemplo,
a descoberta normalmente ocorre
quando visitamos um site legítimo e com
boa reputação que por acaso apresenta
um anúncio de terceiros. Entretanto, o
36
2013 Cisco Annual Security Report
Figura 4: ocorrências de malware da Web por país
Um terço de todas as ocorrências de malware da Web foram encontradas em domínios
hospedados nos Estados Unidos.
GANHOS DE 2011
DECLÍNIO DE 2011
4,07%
Reino
Unido
1,95%
1
Irlanda
2,27%
Holanda
6,11%
Alemanha
33,14%
Estados Unidos
37
9,55%
Dinamarca
10
3
7
9
9,27%
Suécia
4
5
2
8
9,79%
Rússia
6
5,65%
China
2,63%
Turquia
Em geral, os dados geográficos de 2012 demonstram que a Web pode causar
infestações de forma uniforme — ao contrário das percepções de que apenas um ou
dois países sejam responsáveis por hospedar malware da Web ou de que qualquer
país esteja mais seguro que outro.
38
2013 Cisco Annual Security Report
Figura 5: principais tipos de malware da Web
Descobertas de malware do software Android cresceram 2.577% em 2012, apesar de que
os malwares de aparelhos móveis compreendem uma pequena porcentagem do total de
ocorrências de malware da Web.
Exploração de 9,8%
Roubo de
Informações 3,4%
Baixador 1,1%
Mal script/iframe 83,4%
Worm 0,89%
Vírus 0,48%
Dispositivo móvel 0,42%
Scareware 0,16%
Ransomware 0,058%
Kit de malware/hacker 0,057%
Android Growth
Crescimento do Android: 2577%
JAN FEV MAR ABR MAI JUN JUL AGO SET OCT NOV DEZ
39
malware destinado para distribuição está
hospedado em um domínio completamente
diferente. Como os dados da Cisco são
baseados no local da ocorrência, eles
não tem relação alguma com a origem
do malware. Por exemplo, a popularidade
elevada das mídias sociais e dos sites de
entretenimento na Dinamarca e na Suécia,
juntamente com os riscos de malvertising,
é altamente responsável pelo aumento das
ocorrências de sites hospedados nessas
regiões, mas este não é um indicativo da
origem real do malware.
Principais tipos de malware
da Web em 2012
Os malwares do software Android
cresceram substancialmente mais rápido
que qualquer outra forma de malware
disponibilizado através da Web. Uma
tendência importante, pois foi relatado
que o Android possui a maior participação
de mercado de dispositivos móveis do
mundo. É importante observar que as
descobertas de malware para dispositivos
móveis compreenderam apenas 0,5%
de todas as descobertas de malware
em 2012, com o Android obtendo mais
de 95% de todas essas descobertas de
malware da Web. Além disso, em 2012
ocorreu o surgimento do primeiro botnet de
Android documentado em livre circulação,
o que indica que os desenvolvimentos de
malware para dispositivos móveis em 2013
precisam de muita atenção.
Enquanto alguns especialistas afirmam que
o Android é uma "grande ameaça" ou que
deve ser o enfoque principal das equipes
de segurança corporativa em 2013 — os
dados reais mostram o contrário. Conforme
observado acima, o malware da Web para
dispositivos móveis, em geral, compõe
menos de 1% do total de ocorrências —
número distante do cenário "apocalíptico"
que muitos detalham. O impacto da
consumerização de TI e da proliferação
de dispositivos não pode ser ignorado.
No entanto, a maior preocupação das
empresas devem ser ameaças, tais como a
perda de dados acidental, devendo garantir
que os funcionários não "vasculhem" ou
façam "jailbreak" em seus dispositivos,
instalando apenas aplicações de canais
de distribuição oficiais e confiáveis. Caso
os usuários optem por não usar mais as
lojas de aplicativos móveis oficiais, eles
devem ter certeza de que, antes de fazer
o download, conhecem e confiam no autor
do aplicativo e podem provar que o código
não foi violado.
Quando analisamos de modo mais amplo o
panorama de malwares da Web, não nos
surpreendemos com o fato de que scripts e
iFrames maliciosos corresponderam a 83%
das ocorrências achadas em 2012. Embora
seja relativamente compatível com o ano
anterior, é uma descoberta sobre a qual
vale a pena discutir. Estes tipos de ataques
frequentemente representam códigos
maliciosos em webpages "confiáveis" que
podem ser visitadas por usuários todos os
dias — o que significa que um invasor é
capaz de comprometer os usuários sem
mesmo levantar suspeitas.
40
2013 Cisco Annual Security Report
As explorações ficam em segundo lugar,
com 10% do número total de ocorrências
de malware no ano passado. Entretanto,
estes dados são em grande parte um
resultado de onde o bloqueio ocorreu em
comparação com a concentração real de
explorações na Web. Por exemplo, 83%
de scripts maliciosos e iFrame ocultos são
bloqueios que ocorrem em um estágio
anterior, antes do acontecimento de
qualquer exploração. Por isso, podem
artificialmente diminuir o número de
explorações observadas.
As explorações ainda são uma
grande causa das infecções via Web
e sua presença continuada enfatiza a
necessidade de os fornecedores adotarem
as melhores práticas de segurança nos
ciclos de vida de seus produtos. As
organizações devem se concentrar na
segurança como parte do design e do
processo de desenvolvimento do produto,
com divulgações de vulnerabilidade
oportunas e ciclos de correção imediatos/
regulares. As empresas e os usuários
também precisam ser orientados a respeito
dos riscos de segurança associados ao uso
de produtos que não são mais respaldados
pelos fornecedores. Isso também é
essencial para que as empresas possam
manter um processo de gerenciamento das
principais vulnerabilidades e para que os
usuários possam manter seu hardware e
software atualizados.
Entre os cinco principais estão os ladrões
de informações, com 3,5% do total de
descobertas de malware da Web em 2012,
baixadores (1,1%) e worms (0,8%). Mais
uma vez, estes números são um reflexo
de onde o bloqueio ocorre, geralmente no
ponto em que o script ou iFrame malicioso
é encontrado pela primeira vez. Como
resultado, estes números não refletem o
número real de ladrões de informações,
baixadores ou worms que são distribuídos
através da Web.
Principais tipos de conteúdo
de malware
Criadores de malware buscam
constantemente maximizar seu retorno
sobre o investimento (ROI) encontrando
maneiras de atingir o maior número de
possíveis vítimas com o menor esforço
e, quando possível, se aproveitam de
tecnologias de plataforma cruzada. Para
estes fins, kits de ferramentas geralmente
distribuem explorações em uma ordem
específica. Assim que uma exploração
de sucesso for distribuída, não será
possível fazer tentativas de nenhuma
outra exploração. A alta concentração
de pacotes de exploração do software
Java—87% do total de explorações da
Web— mostra que são feitas tentativas
de inserção dessas vulnerabilidades
anteriormente a outros tipos de pacotes
de exploração. Isso demonstra também
que os invasores estão obtendo sucesso
usando os pacotes de exploração do
software Java. Além disso, com mais de 3
bilhões de dispositivos executando Java,16
a tecnologia representa um caminho aberto
para que hackers escalem seus ataques
através de várias plataformas
41
Figura 6: principais tipos de conteúdo de malware para 2012
Explorações de Java corresponderam a 87% do total de explorações da Web.
Tipos dos principais conteúdos mensais
100%
Aplicação
Texto
Imagem
Vídeo
Áudio
Mensagem
80%
60%
40%
20%
0%
J
F
M
A
M
J
J
A
S
O
N
D
Tipos de conteúdo explorado
100%
Java
PDF
Flash
Active-X
80%
60%
40%
20%
0%
J
F
M
A
M
J
J
A
S
O
N
D
Total dos principais tipos de conteúdo
Aplicação
Texto
65.05%
33.81%
Imagem Vídeo
Áudio
1.09% 0.05% 0.01%
Mensagem
0.00%
A alta concentração de pacotes de exploração do software Java mostra que são
feitas tentativas de inserção dessas vulnerabilidades anteriormente a outros tipos
de pacotes de exploração. Isso demonstra também que os invasores estão obtendo
sucesso usando os pacotes de exploração do software Java.
42
2013 Cisco Annual Security Report
Figura 7: categoria dos principais sites
Sites de compras on-line são 21 vezes mais propensos a disponibilizar conteúdo malicioso
que sites de software falsificado.
Observação: A categoria “conteúdo dinâmico” está no topo da lista da Cisco dos principais
Toppara
Siteprobabilidade
Category for
Malware
Encounter
locais
de Web
infecções
de malware.
Esta categoria inclui sistemas de
disponibilização de conteúdo, como estatísticas da Web, análise de sites e outros conteúdos de
terceiros não relacionados a publicidade.
Propagandas
16,81%
Negócios e
indústria 8,15%
Conteúdo dinâmico
e CDN 18,30%
Jogos 6,51%
Hospedagem
de sites
4,98%
Mecanismos de
busca e portais
4,53%
Computadores
e Internet 3,57%
Comunidades on-line 2,66%
Compras 3,57%
Entretenimento 2,57%
Viagem 3,00%
Armazenamento e
backup on-line 2,27%
Notícias 2,18%
Saúde e
nutrição
0,97%
Transporte
1,11%
Educação
1,17%
Esportes e divertimentos
2,10%
Serviços de transferência
de arquivos 1,50%
SaaS e B2B
E-mail
1,40%
baseado
na Web
1,37%
43
Duas outras plataformas cruzadas —
PDF e Flash — levaram o segundo e o
terceiro lugares na análise da Cisco
dos principais tipos de conteúdo para
distribuição de malware. Apesar de o
Active X ainda estar sendo explorado, os
pesquisadores da Cisco têm observado um
uso constantemente baixo da tecnologia
como um veículo para malware. Entretanto,
conforme observado anteriormente em
relação ao Java, números menores de
certos tipos de explorações são em grande
parte uma reflexão da ordem em que foram
feitas as tentativas de exploração.
Ao analisar conteúdo de mídia, os dados da
Cisco revelam quase o dobro de malware
com base em imagem em comparação
do que em vídeos que não são em Flash.
Entretanto, isso deve-se em parte, à forma
como os navegadores lidam com tipos de
conteúdo declarado e aos esforços dos
invasores para manipular estes controles
declarando tipos de conteúdo errados.
Além disso, sistemas de comando e
controle de malware frequentemente
distribuem informações do servidor através
de comentários escondidos em arquivos de
imagem comuns.
Principal categoria de site
Conforme mostram os dados da Cisco,
a ideia de que infecções de malware
resultam mais comumente de sites
"arriscados", como os de software
falsificado, é um engano. A análise da
Cisco indica que a grande maioria das
ocorrências de malware da Web ocorrem
por meio da navegação comum em sites
populares. Em outras palavras, a maioria
das ocorrências acontece nos locais
mais visitados pelos usuários— onde eles
acreditam serem sites seguros.
Em segundo lugar na lista estão os
anúncios on-line, que correspondem a 16%
do total de descobertas de malware da
Web. A publicação de anúncios é um meio
comum de monetizar sites, portanto um
único anúncio malicioso distribuído dessa
maneira pode causar um impacto negativo
e de alto impacto.
A grande maioria das descobertas de
malware da Web ocorrem por meio da
navegação comum em sites populares.
Em outras palavras, a maioria das
descobertas acontece nos lugares mais
visitados pelos usuários— e que pensam
ser seguros.
44
2013 Cisco Annual Security Report
Os criminosos cibernéticos prestaram
muita atenção aos hábitos modernos
de navegação para expor o maior
número de pessoas possível aos
malwares da Web.
Analisando os outros colocados na lista
de categorias de sites em que foram
encontradas ocorrências de malware, os
sites de empresas e indústrias—os quais
incluem tudo, desde sites corporativos a
recursos humanos e serviços de frete—
ficaram em terceiro lugar. Jogos on-line
estão em quarto lugar, seguidos por sites
de hospedagem da Web e os mecanismos
de busca ficaram em quinto e sexto
lugares, respectivamente. As 20 principais
categorias de site não contam com os
sites normalmente considerados como
maliciosos. Há uma mistura saudável de
tipos de site populares e legítimos, como
compras on-line (nº 8), notícias (nº13) e
aplicativos de SaaS/business-to-business
(nº 16).
Os criminosos cibernéticos prestaram
muita atenção aos hábitos modernos de
navegação para expor o maior número de
pessoas possível aos malwares da Web.
Onde os usuários on-line estiverem, os
criadores de malware os seguirão e se
aproveitarão de sites confiáveis através do
comprometimento direto ou de redes de
distribuição de terceiros.
Aplicativos populares por
acessos
As mudanças em como as pessoas usam
seu tempo on-line aumentam o terreno
para que criminosos cibernéticos lancem
explorações. Empresas de todos os
portes estão adotando as mídias sociais
e o compartilhamento de vídeos on-line.
A maioria das marcas tem presença no
Facebook e no Twitter e muitos estão
integrando as mídias sociais em seus
próprios produtos. A medida que estes
destinos da Web vão atraindo o público de
modo massivo e vão sendo incorporados
dentro das configurações empresariais,
mais oportunidades de distribuição de
malware vão sendo criadas.
De acordo com o Cisco Application Visibility
and Control (AVC), a grande maioria (91%)
das solicitações da Web foi dividida entre
mecanismos de busca (36%), sites de
vídeo on-line (22%), redes de anúncios
(13%) e redes sociais (20%).
Empresas de todos os portes estão
adotando as mídias sociais e o
compartilhamento de vídeos on-line. A
maioria das marcas tem presença no
Facebook e no Twitter e muitos estão
integrando as mídias sociais em seus
próprios produtos.
45
Figura 8: aplicativos populares por acessos
As mídias sociais e o compartilhamento de vídeos on-line mudaram o modo como os
funcionários dispõem de seu horário de trabalho — expondo novas vulnerabilidades.
Top Web Applications by Hits
Outros
Rede Social
20%
9%
36%
Mecanismo
de pesquisa
13%
Anúncios
22%
Vídeo on-line
Se os dados nos principais sites visitados na Internet estão correlacionados à
categoria mais perigosa de sites, os mesmos locais em que os usuários on-line têm a
maior exposição a malwares, como mecanismos de busca, estão entre as principais
áreas que guiam às ocorrências de malware da Web.
Se os dados nos principais sites visitados
na Internet estão correlacionados à
categoria mais perigosa de sites, os
mesmos locais em que os usuários on-line
têm a maior exposição a malwares, como
mecanismos de busca, estão entre as
principais áreas que guiam às ocorrências
de malware da Web. Esta correlação
mostra mais uma vez que os criadores de
malware estão concentrados em maximizar
seu ROI — e, portanto, centralizarão seus
esforços nos lugares onde o número de
usuários e a facilidade de exposição são
maiores.
46
2013 Cisco Annual Security Report
When Gothic Horror Gives Birth to Malware
de Kevin W. Hamlen
Professor Associado, Departamento de Ciências da Computação da Universidade do Texas,
Dallas
A camuflagem do malware é uma ameaça emergente que profissionais de segurança enfrentarão cada vez
mais. Enquanto a maioria dos malwares usam mutação ou ofuscação para diversificar e tornar a aplicação
de engenharia reversa mais difícil, o malware com auto-camuflagem é ainda mais furtivo, misturandose com o software específico já presente em cada sistema infectado por esse tipo de malware. Isso
pode enganar as defesas que procuram por anomalias de software com descompactação de tempo de
execução ou código criptografado, que frequentemente expõem malwares mais convencionais.
A última tecnologia de malware de auto-camuflagem — apropriadamente apelidada de Frankenstein17
— é um produto de nossa pesquisa deste ano no Cyber Security Research and Education Center na
Universidade do Texas, em Dallas. Assim como a história fictícia do cientista louco no romance de terror
de Mary Shelley, o “malware Frankenstein” cria mutantes que roubam partes de corpos (ou seja, códigos)
de outros softwares e as une para criar variantes exclusivas de si mesmo. Cada Frankenstein mutante
é, portanto, composto totalmente de um software não anômalo e de aparência benigna, não executa
descompactação de tempo de execução ou criptografia suspeita e tem acesso a um conjunto sempre em
expansão de transformações de códigos dos vários programas que ele encontra.
Sorrateiramente, o Frankenstein dá vida às suas criações usando uma variedade de técnicas extraídas
de teorias de compiladores e análises de programas. Primeiro, os binários da vítima são examinados
em busca de pequenas sequências de bites que decodificam sequências de instruções possivelmente
úteis, chamadas de gadgets. Em seguida, um pequeno interpretador abstrato infere os possíveis efeitos
semânticos de cada gadget descoberto. É aplicada uma pesquisa retroativa para descobrir sequências de
gadgets que, quando executadas em ordem, têm o efeito de implementar o comportamento malicioso da
carga útil do malware.
Assim como a história fictícia do cientista louco no romance de terror de Mary Shelley,
o “malware Frankenstein” cria mutantes que roubam partes de corpos
(ou seja, códigos) de outros softwares e as une para criar variantes exclusivas de si
mesmo.
47
Em geral, nossa pesquisa sugere que malwares de última geração podem cada vez
mais evitar mutações simples com base em criptografia e compactação em favor de
ofuscações binárias metamórficas avançadas, como as usadas pelo Frankenstein.
Cada sequência descoberta é finalmente montada para formar um novo mutante. Na prática, o
Frankenstein descobre mais de 2.000 gadgets por segundo, acumulando mais de 100.000 dos binários de
apenas duas ou três vítimas em menos de cinco segundos. Com um conjunto tão grande de gadgets à sua
disposição, os mutantes resultantes raramente compartilham alguma sequência de instruções comuns;
cada uma delas, portanto, parece exclusiva.
Em geral, nossa pesquisa sugere que malwares de última geração podem cada vez mais evitar mutações
simples com base em criptografia e compactação em favor de ofuscações binárias metamórficas
avançadas, como as usadas pelo Frankenstein. Essas ofuscações são fáceis de implementar, apoiam
a propagação rápida e são eficientes para ocultar o malware das fases de análise estática da maioria
dos mecanismos de detecção de malware. Para enfrentar esta tendência, os defensores precisarão
desenvolver algumas das mesmas tecnologias usadas para desenvolver o Frankenstein, que incluem
análise estática com base em semântica ao invés de sintática, extração de recursos e assinaturas
semânticas derivadas do aprendizado de máquina,18 em vez da análise puramente manual.
Este artigo relata uma pesquisa apoiada em parte pelo prêmio nº 1054629 da National
Science Foundation (NSF) e pelos EUA. Prêmio FA9550-10-1-0088. da Air Force Office of
Scientific Research (AFOSR) Qualquer opinião, descoberta, conclusão ou recomendação
externada são do autor e não necessariamente reflete a da NSF ou da AFOSR.
Vishwath Mohan e Kevin W. Hamlen. “Frankenstein: Stitching Malware from Benign Binaries.” In. Proceedings
of the USENIX Workshop on Offensive Technologies (WOOT), pp. 77-84, agosto de 2012.
17
Mohammad M. Masud, Tahseen M. Al-Khateeb, Kevin W. Hamlen, Jing Gao, Latifur Khan, Jiawei Han e Bhavani
Thuraisingham. “Cloud-based” Malware Detection for Evolving Data Streams. 311 ACM Transactions on
Management Information Systems (TMIS), 2(3), outubro de 2011.
18
48
2013 Cisco Annual Security Report
Números de alertas
mensais de 2010
Números de alertas
mensais de 2011
Números de alertas
mensais de 2012
Análise de
e Reamp
ameaças
deTotal
2012
Totalvulnerabilidade
Reamp Novo
Total
Novo
Reamp
Novo
O gráfico de categorias de vulnerabilidades e ameaças mostra um aumento significativo no total de
552 344 208 552
Janeiro 417 259 158 417
403 237 166 403
ameaças — em 2012, o número de ameaças aumentou 19,8% com relação ao ano de 2011. Esse aumento
430
253
177
847
551 317 234 1103
Fevereiro
400
176
224
803
acentuado das ameaças aplica uma forte pressão na capacidade de as empresas manterem os sistemas
324 194 1364
487 238
1590
Março 518
501 e276
225 —1304
de gerenciamento
de vulnerabilidades
atualizados
corrigidos
especialmente
com a249
mudança
para
ambientes
virtuais.
375 167 208 1740
524 306 218 2114
Abril
475 229 246 1779
Maio
322 174 148 2062
404 185 219 2183
586 343 243 2700
Setembro
357 167 190 3916
441 234 207 4023
572 330 242 5024
As empresas também estão tentando adotar um uso maior de softwares open-source e de terceiros a
294
240 2596
647
258open-source
3347
472
221única
251vulnerabilidade
2655
seremJunho
incluídos 534
em seus
produtos
e ambientes.
"Uma
nas 389
soluções
422 impactar
210 212
277 237
Julho pode
453 213
240 3108
ou de terceiros
uma3018
grande variedade
de sistemas
em todo514
o ambiente,
o que3861
torna difícil
a identificação
a correção
ou a atualização
de
todos
esses
Jeff Shipley,
gerente
da Cisco
286 255
3559
306 285
4452
Agosto e541
474
226
248sistemas,”
3582 diz591
Security Research and Operations.
191 227
4334
517 de
280
237 5541
Outubro
244ao4581
Quanto
aos tipos418
de ameaças,
o maior
grupo 558
é o de314
ameaças
gerenciamento
recursos;
isso
geralmente
vulnerabilidades
de negação
de serviço,
ameaças
entradas
como erros
252 224 4810
375 de
175
200 5916
Novembroinclui476
357
195 162
4938à validação
de
injeção SQL e400
criação
script 5210
de site cruzado
fluxos
de buffer
na negação
de serviço.
203de 197
376 183
193 6292
Dezembro
363 e178
185
5301que resultam
A preponderância de ameaças semelhantes de anos anteriores, combinada com a elevação acentuada
5210que
2780
2430
5301 2684
2617
6292 para
3488a detecção
2804
nas ameaças, indica
o segmento
de segurança
precisa
se preparar melhor
ea
manipulação dessas vulnerabilidades.
As Cisco IntelliShield Alert Urgency Ratings refletem o nível da atividade de ameaças relacionadas a
vulnerabilidades específicas. O aumento substancial nas taxas de urgência de nível 3 indica que mais
2010
2011causa
2012
8000
vulnerabilidades
realmente estão sendo exploradas. Isso aconteceu provavelmente
por
do aumento
7000
na publicidade
que liberou explorações por pesquisadores ou ferramentas de teste e a incorporação
6000
dessas explorações nos kits de ferramentas de ataque. Esses dois fatores permitem que mais explorações
5000
fiquem disponíveis
e sejam usadas livremente por hackers e grupos criminosos.
4000
3000
As Cisco IntelliShield Alert Severity Ratings refletem o grau do impacto das explorações de
2000
vulnerabilidades
bem-sucedidas. As taxas de gravidade também mostram um aumento notável nas
1000
ameaças de0nível 3 — pelas mesmas razões indicadas acima em relação à pronta disponibilidade de
J
F
M
A
M
J
J
A
S
O
N
D
ferramentas de exploração
Figura 9: taxas de urgência e gravidade
2010
Classificação
Classificação
Urgência >=3
Gravidade >=3
Urgência >=4
Gravidade >=4
Urgência >=5
Gravidade >=5
0
10
20
30
40
50
60
0
500
1000
2011
1500
2012
2000
49
Figura 10: categorias de vulnerabilidades e ameaças
Números de alertas
mensais de 2010
Total
Números de alertas
mensais de 2011
Reamp Novo
Total
Números de alertas
mensais de 2012
Reamp Novo
Total
Reamp Novo
Janeiro
417 259 158 417
403 237 166 403
552 344 208 552
Fevereiro
430 253 177 847
400 176 224 803
551 317 234 1103
Março
518 324 194 1364
501 276 225 1304
487 238 249 1590
Abril
375 167 208 1740
475 229 246 1779
524 306 218 2114
Maio
322 174 148 2062
404 185 219 2183
586 343 243 2700
Junho
534 294 240 2596
472 221 251 2655
647 389 258 3347
Julho
422 210 212 3018
453 213 240 3108
514 277 237 3861
Agosto
541 286 255 3559
474 226 248 3582
591 306 285 4452
Setembro
357 167 190 3916
441 234 207 4023
572 330 242 5024
Outubro
418 191 227 4334
558 314 244 4581
517 280 237 5541
Novembro
476 252 224 4810
357 195 162 4938
375 175 200 5916
Dezembro
400 203 197 5210
363 178 185 5301
376 183 193 6292
5210 2780 2430
5301 2684 2617
6292 3488 2804
2010
8000
7000
6000
5000
4000
3000
2000
1000
0
J
F
M
A
M
J
J
A
S
O
2011
N
2012
D
"Uma única vulnerabilidade nas soluções open-source ou de terceiros pode impactar
2010
2012
uma grande variedade de sistemas em todo o ambiente, o que torna
difícil2011
a
Classificação
Classificação
identificação
e a correção ou a atualização de todos
esses sistemas”.
Gravidade >=3
Urgência >=3
Jeff Shipley, gerente da Cisco Security Research and Operations.
Urgência >=4
Gravidade >=4
Urgência >=5
Gravidade >=5
0
10
20
30
40
50
60
0
500
1000
1500
2000
50
2013 Cisco Annual Security Report
Ameaças em
evolução
Novos métodos,
mesmas explorações
51
Hoje em dia, não importa qual
exploração cibernética é escolhida —
contanto que o método selecionado aja
com eficiência.
Isso não quer dizer que os agentes
na economia paralela não continuam
comprometidos com a criação de
ferramentas e técnicas ainda mais
sofisticadas para afetar usuários, infectar
redes, roubar dados confidenciais, entre
muitos outros objetivos. Em 2012, no
entanto, houve uma tendência que tentava
resgatar os "bons e velhos" malwares
para descobrir novas maneiras de criar
interrupções ou evadir proteções de
segurança corporativa.
Os ataques DDoS são um exemplo
importante — várias grandes instituições
financeiras dos Estados Unidos foram alvos
famosos de duas campanhas importantes
e relacionadas lançadas por grupos de
hacktivistas estrangeiros nos últimos seis
meses de 2012 (para análise detalhada,
consulte a seção tendências de ataques
de negação de serviço distribuídos em
2012). Alguns especialistas em segurança
avisam que esses eventos são apenas
o início e que os "hacktivistas, redes
criminosas organizadas e até mesmo
Estados-nação, serão os responsáveis"19
por esses ataques no futuro, trabalhando
tanto de forma colaborativa como de forma
independente.
“Nós estamos percebendo no DDoS
uma tendência na qual os invasores
acrescentam contexto adicional ao site
alvo do ataque para que a interrupção
se torne mais significativa," diz Gavin
Reid, diretor da Threat Research for Cisco
Security Intelligence Operations, "Em vez
de fazer um fluxo SYN, agora, o DDoS
tenta manipular um aplicativo específico da
empresa — o que possivelmente provocará
um conjunto de danos em cascata, no caso
de falha.”
Em 2012 houve uma tendência que
tentava resgatar os "bons e velhos"
malwares para descobrir novas maneiras
de criar interrupções ou evadir proteções
de segurança corporativa.
52
2013 Cisco Annual Security Report
"Mesmo contra adversários sofisticados —
mas medianos—, a "modernidade" atual
da segurança de rede é frequentemente
ultrapassada de forma significativa."
Gregory Neal Akers, vice-presidente sênior
do Advanced Security Initiatives Group da
Cisco
Embora as empresas possam acreditarse adequadamente protegidas contra a
ameaça do DDoS, muito provavelmente
suas redes não poderiam ser defendidas
contra os tipos de ataques implacáveis e
em alto volume testemunhados em 2012.
"Mesmo contra adversários sofisticados —
mas medianos—, a "modernidade"' atual
na segurança de rede é frequentemente
ultrapassada de forma significativa," diz
Gregory Neal Akers, Vice-Presidente
Sênior do Advanced Security Initiatives
Group da Cisco.
Outra tendência na comunidade de
crimes cibernéticos gira em torno da
"democratização" de ameaças. Vemos
cada vez mais que atualmente as
ferramentas e técnicas — e a inteligência
sobre como explorar vulnerabilidades —
são "amplamente compartilhadas" na
economia paralela. “Recursos de táticas de
espionagem se desenvolveram muito," diz
Akers. “Agora vemos mais especialização
e colaboração entre agentes maliciosos".
É uma linha de produção de ameaças:
alguém desenvolve um bug, outra pessoa
cria o malware, outra projeta o componente
de engenharia social e assim por diante."
A criação de poderosas ameaças que
os ajudarão a obter acesso ao grande
volume de ativos de alto valor encontrados
na rede é um dos motivos pelos quais o
criminosos cibernéticos estão combinando
suas expertises com mais frequência.
Mas, na comunidade de crimes virtuais,
como em qualquer empresa do mundo
real que terceiriza suas tarefas, eficiência e
redução de custos estão entre os principais
estimuladores da abordagem "criar uma
ameaça". O "talento autônomo" contratado
para essas tarefas normalmente anuncia
suas habilidades e paga taxas para a ampla
comunidade de crimes cibernéticos por
intermédio de mercados on-line secretos.
53
Ataques de amplificação e reflexão
Ataques de amplificação e reflexão de DNS20 utilizam resolvedores recursivos de sistema de
nomes de domínio (DNS) ou servidores oficiais de DNS para aumentar o volume de tráfego
de ataques enviados a uma vítima. Ao falsificar 21 mensagens de solicitação de DNS, esses
ataques escondem a verdadeira fonte do ataque e enviam consultas de DNS que retornam
mensagens de resposta de DNS 1.000 a 10.000% maiores que a mensagem de solicitação
de DNS. Esses tipos de perfis de ataque são comumente observados durante ataques 22
DDoS.
As empresas participam inadvertidamente desses ataques ao deixar resolvedores
recursivos abertos pela Internet. Eles podem detectar os ataques usando várias
ferramentas23 e tecnologias de telemetria 24 de fluxo que podem ajudar a proteger 25 seu
servidor DNS ou mensagens de resposta26 de DNS com limite de taxa.
Tendências ataques de negação de serviço distribuídos
em 2012
A análise a seguir é derivada do repositório do Arbor Networks ATLAS, que compreende
dados mundiais reunidos a partir de várias origens, de 240 ISPs, tráfego de monitoração de
pico de 37,8 Tbps.27
Os tamanhos dos ataques continuam a ser uma tendência ascendente
Em geral, houve um aumento no tamanho médio de ataques no ano passado. Houve um
aumento de 27% em volume de ataques (de 1.23 Gbps em 2011 para 1.57 Gbps em 2012) e
um aumento de 15% nos pacotes por segundo usados em ataques (de 1,33 Mpps em 2011
para 1,54 Mpps em 2012).
Demografia dos ataques
As três principais fontes de ataques monitoradas, depois de remover 41% de fontes para as
quais não há atribuição devido ao anonimato de dados, são a China (17,8%), Coreia do Sul
(12,7%) e Estados Unidos (8%).
Os maiores ataques
O maior ataque monitorado foi medido em 100,84 Gbps e durou aproximadamente 20
minutos (a fonte do ataque é desconhecida devido ao anonimato de dados). O maior ataque
monitorado em pps correspondente foi medido em 82,36 Gbps e durou aproximadamente
24 minutos (a fonte do ataque é desconhecida devido ao anonimato de dados).
54
2013 Cisco Annual Security Report
Figura 11: evasões do Sistema de Prevenção de Intrusos (IPS)
Protocolo de controle de transmissão, Src Porta: 32883 (32883), Dst
DCE RPC Bind, Fragmento: Único, FragLen: 820, Call: 0
Versão: 5
Versão (inferior): 0
Tipo de Pacote: bind (11)
 Sinalizadores do pacote: 0x03
 Representação de dados: 10000000
Comprimento do fragmento.: 820
Comprimento autorizado: 0
ID de chamada: 0
Transm. máx. de frag.: 5.840
Recup. máx. de frag.: 5.840
Grupo de assoc.: 0x00000000
Número de itens de contexto: 18
 ID de contexto: 0
Número de itens de transm.: 1

UUID da interface: c681d4c7-7f36-33aa-6cb8-535560c3f0e9
 ID de contexto: 1
Número de itens transf.: 1

Interface UUID: 2ec29c7e-6d49-5e67-9d6f-4c4a37a87355
A Cisco Security Research and Operations mantém vários laboratórios de malware
para observar o tráfego de elementos maliciosos na prática. O malware é liberado
intencionalmente nesses laboratórios para garantir se os dispositivos de segurança
são eficientes; os computadores também são deixados intencionalmente vulneráveis
e expostos à Internet.
55
Armamento de técnicas
modernas de evasão
Criminosos cibernéticos desenvolvem
constantemente novas técnicas para
passar por dispositivos de segurança. Os
pesquisadores da Cisco observam de
forma cautelosa as novas técnicas e o
"armamento" de técnicas bem conhecidas.
A Cisco Security Research and Operations
mantém vários laboratórios de malware
para observar o tráfego de elementos
maliciosos na prática. O malware é liberado
intencionalmente nesses laboratórios para
garantir se os dispositivos de segurança
são eficientes; os computadores também
são deixados intencionalmente vulneráveis
e expostos à Internet.
Durante esse teste, a tecnologia Cisco
Intrusion Prevention System (IPS) detecta
um ataque bem conhecido à Chamada
de Procedimento Remoto da Microsoft
(MSRPC). Uma análise cuidadosa
determinou que o ataque utiliza uma tática
de evasão de malware nunca vista em uma
tentativa de passar pelos dispositivos de
segurança.28 A evasão enviou vários IDs de
contexto de ligação dentro da solicitação
de ligação inicial. Este tipo de ataque
pode evadir proteções a menos que o IPS
monitore e determine quais IDs foram bemsucedidas.
Criminosos cibernéticos desenvolvem
constantemente novas técnicas para
passar por dispositivos de segurança.
Os pesquisadores da Cisco observam
de forma cautelosa as novas técnicas
e o "armamento" de técnicas bem
conhecidas.
56
2013 Cisco Annual Security Report
Estudo de caso
Operação Ababil
Durante setembro e outubro de 2012, a Cisco e a Arbor Networks monitoraram uma campanha de ataques
de DDoS direcionada e muito séria conhecida como "Operação Ababil", que tinha como alvo instituições
financeiras com base nos EUA. Os ataques a DDoS foram premeditados, concentrados, anunciados
e executados à risca. Os invasores foram capazes de deixar vários sites financeiros importantes
indisponíveis para clientes legítimos por minutos — e nas ocorrências mais graves, por horas. Durante
os eventos, vários grupos assumiram a responsabilidade pelos ataques. Pelo menos um grupo alegou
estar protestando contra a legislação de direitos autorais e de propriedade intelectual nos Estados
Unidos. Outros divulgaram seu envolvimento como uma resposta a um vídeo publicado no YouTube que
apresentava conteúdo ofensivo para uma parcela de muçulmanos.
Do ponto de vista de segurança cibernética, a Operação Ababil é notável porque aproveitou aplicativos
da Web e servidores de hospedagem comuns que são tão populares quanto vulneráveis. Outro fator óbvio
e incomum usado nessa séries de ataques foi que ataques simultâneos, em alta largura de banda, foram
lançados contra várias empresas do mesmo setor (financeiro).
Como é observado frequentemente no setor de segurança, o antigo torna-se atual novamente.
Em 18 de setembro de 2012, o "Cyber Fighters of Izz ad-Din al-Qassam" postou no Pastebin29 fazendo
um apelo aos muçulmanos para que atacassem instituições financeiras e plataformas de negociação de
commodities. As ameaças e alvos específicos foram expostos perante o mundo durante quatro semanas
consecutivas. A cada semana, novas ameaças junto a novos alvos foram seguidos por ações ocorridas nos
horários e datas indicados. Na quinta semana, o grupo parou de nomear alvos, mas deixou claro que as
campanhas continuariam. Conforme prometido, as campanhas recomeçaram no começo de dezembro de
2012, mais uma vez tendo como alvo várias grandes instituições financeiras dos EUA.
A fase 2 da Operação Ababil também foi anunciada no Pastebin.30 Ao invés de infectar máquinas, uma
variedade de aplicativos da Web de PHP, incluindo o Sistema de Gerenciamento de Conteúdo Joomla,
serviram como os principais robôs da campanha. Além disso, muitos sites do WordPress, frequentemente
usando o plug-in TimThumb desatualizado, foram comprometidos mais ou menos ao mesmo tempo. Os
invasores também tiveram como alvo servidores sem manutenção que hospedavam esses aplicativos e
carregaram webshells de PHP para desenvolver mais ferramentas de ataque. O conceito de "comando
e controle" não foi aplicado da maneira típica. Os invasores conectaram-se a ferramentas diretamente
ou usaram servidores, scripts e proxies intermediários. Durante os eventos cibernéticos em setembro e
outubro de 2012, uma grande quantidade de arquivos e ferramentas com base em PHP foram usados, não
apenas o “tsoknoproblembro” (conhecido como “Brobot”) relatado. A segunda fase da atividade também
utilizou ferramentas de ataque atualizadas como o Brobot v2.
A Operação Ababil desenvolveu uma combinação de ferramentas com vetores que atacam a camada de
aplicações em HTTP, HTTPS e DNS com tráfego de ataque volumétrico em uma variedade de protocolos
TCP, UDP, ICMP e outros protocolos IP. A análise da Cisco mostrou que a maioria dos pacotes foram
enviados para TCP/UDP porta 53 (DNS) ou 80 (HTTP). Enquanto o tráfego em UDP porta 53 e TCP portas
53 e 80 representam um tráfego normalmente válido, pacotes destinados para UDP porta 80 representam
uma anomalia geralmente não usada por aplicações.
Um relatório detalhado dos padrões e cargas úteis da campanha da Operação Ababil pode ser encontrado
no Resposta ao evento da Cisco: Ataques de negação de serviço distribuídos em instituições financeiras.31
57
Lições aprendidas
Embora eles representem uma parte fundamental de qualquer portfólio de segurança de rede, os
dispositivos IPS e de firewall dependem de uma inspeção de tráfego stateful. As técnicas da camada de
aplicativos usadas na campanha da Operação Ababil derrubaram facilmente as tabelas de estados e, em
vários casos, fizeram com que elas falhassem. A tecnologia inteligente de mitigação de DDoS foi uma das
medidas preventivas eficientes utilizadas.
Os serviços de segurança gerenciados e os provedores de serviço da Internet (ISPs) têm seus limites.
Durante um típico ataque DDoS, acredita-se que os ataques volumétricos devem ser combatidos na rede.
Para as campanhas da camada de aplicativos implantadas mais próximas às vítimas, eles devem ser
tratados no data center ou na "borda do cliente". Como várias empresas foram alvejadas simultaneamente,
os centros de depuração de rede ficaram sobrecarregados.
É fundamental manter o hardware e o software atualizados nos dispositivos de mitigação de DDoS. As
implantações mais antigas nem sempre estão aptas a combater as ameaças mais recentes. Também é
importante ter a capacidade certa nos locais certos. Ser capaz de mitigar um grande ataque é inútil se o
tráfego não puder ser canalizado para o local onde a tecnologia foi implantada.
Embora a mitigação de ataques de DDos em nuvem ou de rede geralmente apresente uma largura de
banda muito mais elevada, as soluções implantadas localmente oferecem um melhor tempo de reação
contra os ataques, além de melhor controle e visibilidade sobre eles. A combinação dos dois cria uma
solução mais completa.
Em conjunto com tecnologias de DDoS em nuvem e de rede, e como parte do material de apoio produzido
para os eventos da Operação Ababil, a Cisco resumiu as tecnologias de detecção e mitigação no
Identifying and Mitigating the Distributed Denial of Service Attacks Targeting Financial Institutions Applied
Mitigation Bulletin.32 Essas técnicas incluem o uso de filtro da Lista de controle de acesso de trânsito
(tACL), análise de dados de NetFlow e unicast Reverse Path Forwarding (uRPF). Além disso, há várias
melhores práticas que devem ser regularmente revisadas, testadas e implementadas que ajudarão muito
as empresas a se prepararem e a reagirem a eventos de rede. Uma biblioteca com conteúdo sobre essas
melhores práticas pode ser encontrada no Cisco SIO Tactical Resources33 e no Service Provider Security
Best Practices.34
58
2013 Cisco Annual Security Report
Envio de
spam sempre
presente
59
Os volumes de spam estão continuamente
em declínio em todo o mundo, de acordo
com uma pesquisa da Cisco, mas o
spam ainda é uma ferramenta prática
para muitos criminosos cibernéticos, que
o veem como uma maneira eficiente
e conveniente de expor os usuários a
malwares e para possibilitar uma ampla
gama de golpes.
Entretanto, apesar da percepção de que
o malware é normalmente desenvolvido
através de anexos de e-mail de spam, a
pesquisa da Cisco mostra que atualmente
muito poucos spammers utilizam esse
método; ao invés disso, lançam mão
de links maliciosos no e-mail como um
mecanismo de distribuição muito mais
eficiente.
O spam é algo menos "disperso" que
no passado, com muito mais spammers
preferindo como alvo grupos específicos
de usuários na esperança de gerar retornos
financeiros mais altos. Marcas famosas de
empresas farmacêuticas, relógios de luxo e
eventos como a temporada fiscal, estão no
topo da lista das coisas mais promovidas
por spammers em suas campanhas. Com
o tempo, os spammers aprenderam que
a maneira mais rápida de atrair cliques e
compras — e de gerar lucro — é promover
marcas falsificadas e se aproveitar de
eventos atuais que atraem a atenção de
grandes grupos de usuários.
Tendências mundiais de
spam
Desde as retiradas de botnet em grande
escala de 2010, os spans enviados em
altos volumes não são tão eficientes
como antes e os spammers aprenderam
isso e mudaram sua tática. Existe uma
clara evolução que segue na direção
de campanhas menores e com maior
direcionamento, baseadas em eventos
mundiais e em subconjuntos específicos
de usuários. Grandes volumes de spam
também têm maior probabilidade de ser
60
2013 Cisco Annual Security Report
Figura 12: tendências mundiais de spam
Os volumes de spam global estão abaixo de 18%, com a maioria dos spammers mantendo
horários comerciais em fins de semanas.
GANHOS DE 2011
DECLÍNIO DE 2011
3,88%
Rússia
2,72%
2
Polônia
3,60%
Arábia Saudita
11,38%
7
Estados Unidos
3,60%
Brasil
English
79%
Rússia
5%
Catalão
3%
Japonês Dinamarquês Alemão
3%
2%
1%
Spam Language
Francês
1%
Romeno
1%
Espanhol
1%
Chinês
1%
61
4,19%
4,60%
4
3
China
Coreia
6
10
8
9
1
5
12,3%
Índia
4,00%
Vietnã
2,94%
Taiwan
Grandes volumes de spam têm maior probabilidade de ser observados por
provedores de e-mail, que os encerrarão antes que seu objetivo possa ser concluído.
62
2013 Cisco Annual Security Report
Em 2012 houve vários exemplos de
spammers que usaram notícias sobre
eventos mundiais — e até grandes
tragédias — para tirarem proveito sobre
os usuários.
observados por provedores de e-mail, que
os encerrarão antes que seu objetivo possa
ser concluído.
Em 2011, os volumes gerais de spam
mundiais ficaram abaixo de 18%. Isso está
longe da queda radical de volume observada
em 2010, seguinte às retiradas de botnet,
mas a diminuição da tendência ainda é
considerada como um avanço positivo.
Os spammers continuam concentrados
na minimização de esforços enquanto
maximizam o impacto. De acordo com a
pesquisa da Cisco, o volume de spans
caiu 25% nos finais de semana, quando
os usuários muitas vezes não acessam
e-mails. O volume de spans subiu nos
níveis mais altos nas terças e quartasfeiras — uma média de 10% mais alto que
em outros dias da semana. Essa atividade
reforçada no meio da semana e volumes
mais baixos no final de semana permitem
que spammers vivam "vidas normais".
Isso também oferece a eles tempo
para investir na criação de campanhas
adaptadas com base em eventos mundiais
no começo da semana que os ajudarão a
gerar uma taxa de resposta mais alta.
Em 2012 houve vários exemplos de
spammers que usaram notícias sobre
eventos mundiais — e até grandes tragédias
— para tirarem proveito dos usuários.
Durante a supertempestade Sandy, por
exemplo, os pesquisadores da Cisco
identificaram um golpe de ação de "bump
and dump" com base em uma campanha
de spam. Utilizando uma mensagem de
e-mail pré-existente que fazia um apelo
às pessoas para que elas investissem
em penny stocks (ações de baixo valor)
voltadas para a exploração de recursos
naturais, os spammers começaram
a anexar às mensagens manchetes
sensacionalistas sobre a supertempestade
Sandy. Um aspecto incomum dessa
campanha é que os spammers utilizaram
endereços IP exclusivos para enviar um
lote de spam — e não ativaram esses
endereços desde então.
Origem do spam
No mundo do spam, alguns países
permanecem nas mesmas posições
enquanto outros mudaram notavelmente
suas classificações. Em 2012, a Índia
permaneceu no topo do ranking como
uma fonte mundial de spans. Os Estados
Unidos subiram da sexta posição em 2011,
para a segunda em 2012. Completando
os cinco principais países originadores de
spam estão a Coreia (na terceira posição),
a China (na quarta posição) e o Vietnã (na
quinta posição).
63
JAN 28, 2013 200 pm
Figura 13: origem do spam
A Índia mantêm a liderança de spans e os Estados Unidos dispararam para a segunda
posição.
VOLUMES DE SPAM
menos de 18%
DECLÍNIO DE 2011 PARA 2012
SEGUNDA-FEIRA
TERÇA-FEIRA
QUARTA-FEIRA
mais de 10%
GANHOS NA METADE
DA SEMANA
QUINTA-FEIRA
SEXTA-FEIRA
SÁBADO
DOMINGO
De modo geral, a maioria dos spammers
concentra seus esforços na criação de
mensagens de spam que apresentam os
idiomas falados pelos mais frequentes
usuários de e-mails. De acordo com a
pesquisa da Cisco, o principal idioma para
mensagens de spam em 2012 foi o inglês,
seguido pelo russo, catalão, japonês e
dinamarquês. É importante observar que
menos de 25%
DECLÍNIO PARA FINS DE
SEMANA
há diferenças entre a origem de envio
do spam e os idiomas que são usados
na mensagem de spam; por exemplo,
enquanto a Índia foi o país número um
em origem de spans em 2012, os dialetos
locais não se classificaram entre os 10
principais em termos de idiomas usados
em spam enviado da Índia. O mesmo foi
observado para Coreia, Vietnã e China.
64
2013 Cisco Annual Security Report
Email Attachments
Figura 14: anexos de e-mail
Apenas 3% dos spans possuem anexos em comparação com 25% de e-mails válidos,
mas anexos de spam são 18% maiores.
Only 3% of Spam has an Attachment, versus 25% of Valid Email
E-mail de spam
E-mail válido
3%
25%
Anexos de spam são 18% maiores
18%
Figura 15: spam de IPv6
Embora os e-mails com base em IPv6 permaneçam representando uma porcentagem muito
pequena
do tráfego geral, eles estão crescendo com o aumento de usuários de e-mails
IPv6
Spam
migrando para uma infraestrutura com o IPv6 habilitado.
Aumento de e-mails por IPv6: 862%
Aumento de spans por IPv6: 171%
JUN
JUL
AGO
SET
OUT
NOV
DEZ
65
Anexos de e-mail
O spam foi considerado por muito tempo
como um mecanismo de disponibilização
de malware, especialmente quando um
anexo está envolvido. Mas uma pesquisa
recente da Cisco sobre o uso de anexos
de e-mail em campanhas de spam, mostra
que esta percepção pode ser um mito.
Apenas 3% do total de spans possui um
anexo, contra 25% de e-mails válidos. Nos
raros casos em que uma mensagem de
spam não inclui um anexo, ela é em média
de 18% maior que um anexo normal que
seria incluído em um e-mail válido. Como
resultado, esses anexos tendem a ser
contrastantes.
Nos e-mails modernos, os links reinam.
Os spammers projetam suas campanhas
para convencer os usuários a visitarem os
sites onde podem comprar produtos ou
serviços (geralmente duvidosos). Uma vez
ali, as informações pessoais dos usuários
são coletadas, com frequência sem seu
conhecimento, ou eles são comprometidos
de alguma outra maneira.
De acordo com a análise "Marcas
Falsificadas", exibida posteriormente nesta
seção, foi revelado que a maioria dos spans
são originados em grupos que buscam
vender um conjunto de mercadorias de
marcas famosas muito específico - de
relógios de luxo a produtos farmacêuticos
- os quais, na maior parte dos casos, são
falsos.
Spam de IPv6
Embora os e-mails com base em IPv6
permaneçam representando uma
porcentagem muito pequena do tráfego
geral, eles estão crescendo com o
aumento de usuários de e-mails migrando
para uma infraestrutura com o IPv6
habilitado.
No entanto, apesar do volume geral de
e-mails crescer rapidamente, esse não é o
caso dos spans de IPv6. Isso sugere que
os spammers estão evitando o tempo e os
gastos despendidos com a migração para
o novo padrão da Internet. Não há uma
necessidade que estimule os spammers
- e praticamente nenhum ou mesmo zero
benefícios - para que seja feita tamanha
mudança no momento atual. Devido ao
esgotamento dos endereços IPv4 e ao
crescimento explosivo do uso do IPv6,
impulsionado pelos dispositivos móveis e
pela comunicação M2M, prevê-se que os
spammers atualizem sua infraestrutura e
agilizem seus esforços.
Nos e-mails modernos, os links reinam. Os spammers projetam suas campanhas
para convencer os usuários a visitarem os sites onde podem comprar produtos ou
serviços. Uma vez ali, as informações pessoais dos usuários são coletadas, com
frequência sem seu conhecimento, ou eles são comprometidos de alguma outra
maneira.
66
2013 Cisco Annual Security Report
Figura 16: marcas falsificadas
Os spammers têm como alvo produtos farmacêuticos, relógios de luxo e temporadas
Spoofed Brands for Spam
fiscais.
5% 50% 100%
JAN FEV MAR ABR MAY JUN JUL AGO SET OUT NOV DEZ
Medicamentos prescritos
Relógios de luxo
Cartão de crédito
Análises de negócios
Redes profissionais
Transferência financeira eletrônica
Software de contabilidade
Rede social
Associações de profissionais
Companhia aérea
Correio
Perda de peso
Organização governamental
Software do Windows
Empresa de celular
Classificados on-line
Impostos
Hormônio de crescimento humano
Notícias
Serviços de pagamento eletrônico
Cartões
Carros de luxo
Serviços de folha de pagamento
Visualização do consumidor
do Windows 8
Software de contabilidade durante
a temporada fiscal dos EUA
Spans relacionados a aparelhos celulares
coincide com o lançamento do iPhone 5
Spans relacionados a redes sociais
profissionais
67
Marcas falsificadas
Com e-mails de spam de marcas
falsificadas, os spammers usam empresas
e produtos para enviar suas mensagens
na esperança de que usuários on-line
cliquem em um link ou façam uma compra.
A maioria das marcas falsificadas são de
medicamentos prescritos, como ansiolíticos
ou antibióticos. Além disso, marcas de
relógios de luxo também fazem parte do
"burburinho" que permanece constante
durante todo o ano.
A análise da Cisco mostra que os
spammers também têm a habilidade de
vincular suas campanhas aos eventos de
notícias. De janeiro a março de 2012 os
dados da Cisco mostraram um aumento
no número de spans relacionados ao
software Windows, o que coincidiu com
o lançamento do sistema operacional
Windows 8. De fevereiro a abril de 2012,
durante a temporada fiscal dos EUA, a
análise mostra um aumento vertiginoso de
spans desenvolvidos para softwares fiscais.
De janeiro a março de 2012, e então
novamente de setembro a dezembro
de 2012 — o inicio e o final do ano — o
spam relacionado a redes profissionais
teve grandes aparições, talvez porque os
spammers sabiam que as pessoas muitas
vezes começam a procurar por trabalho
durante estes períodos do ano.
Em resumo, os spammers
desempenham essa atividade pelo
dinheiro e, ao longo dos anos,
aprenderam que a maneira mais rápida
de atrair cliques e compras é oferecendo
produtos farmacêuticos e artigos de luxo
e adaptando seus ataques a eventos que
chamem a atenção da maior parte do
mundo.
De setembro a novembro de 2012, os
spammers executaram uma série de
campanhas passando-se por empresas
de telefonia móvel, coincidindo com o
lançamento do iPhone 5.
Resumindo: os spammers desempenham
essa atividade pelo dinheiro e, ao longo
dos anos, aprenderam que a maneira
mais rápida de atrair cliques e compras
é oferecendo produtos farmacêuticos e
artigos de luxo e adaptando seus ataques
a eventos que chamem a atenção da maior
parte do mundo.
68
2013 Cisco Annual Security Report
Gerenciamento de vulnerabilidades: um fornecedor deve
fazer mais do que enumerar de forma ambivalente35
Como um fornecedor divulga os problemas de segurança de seu produto é o aspecto mais visível de suas
práticas de gerenciamento de vulnerabilidades. Na Cisco, os avisos de segurança36 são pesquisados
e publicados pelo Product Security Incident Response Team (PSIRT), um grupo de especialistas em
segurança sêniores que entende que a proteção de clientes da Cisco e da corporação devem estar
conectadas.
“Os avisos de segurança divulgam nossos problemas de segurança do produto mais graves e são,
geralmente, a primeira evidência de uma vulnerabilidade de um produto da Cisco,” diz Russell Smoak,
Diretor Sênior do Cisco Security Research and Operations, “Como tal, é importante que eles sejam um
veículo de comunicações eficiente, que ajudem os clientes a tomarem decisões bem informadas e a
gerenciar seus riscos. Combinados com técnicas de mitigação avançadas 37oferecemos a nossos clientes
formas de alavancar os recursos presentes nos mecanismos instalados da Cisco. Somos capazes de
oferecer o maior número de detalhes possível para responder de forma rápida e confiável."
O gerenciamento de vulnerabilidades, entretanto, começa muito antes de seu ciclo de vida e pode
se estender além da divulgação inicial. "A melhoria contínua das práticas de gerenciamento de
vulnerabilidades é imprescindível para acompanhar o ritmo de mudanças do ambiente de segurança, as
quais resultam da evolução de ameaças, bem como de novos produtos e tecnologias," diz Smoak.
Em outras palavras, um fornecedor que não desenvolve tecnologias de combate às ameaças cibernéticas
— e que não divulga ameaças - corre o risco de não acompanhar o ritmo do mercado. Por exemplo, a
inovação da ferramenta de gerenciamento de vulnerabilidades interna da Cisco atua na área software de
terceiros. O software de terceiros é qualquer código incluído em um produto do fornecedor que não foi
criado pelo próprio. Geralmente incluem softwares comerciais de terceiros ou softwares livres.
A Cisco utiliza ferramentas personalizadas que usam dados de vulnerabilidade do Cisco IntelliShield38 para
notificar as equipes de desenvolvimento do produto quando um problema de segurança originado em um
software de terceiros pode afetar um produto da Cisco. Esta ferramenta, denominada Cisco Internal Alert
Manager, tem ampla capacidade de gerenciar problemas de segurança que são originados em códigos
que não pertencem à Cisco.
Um fornecedor que não desenvolve tecnologias de combate às ameaças cibernéticas
— e que não divulga ameaças - corre o risco de não acompanhar o ritmo do mercado.
69
As melhorias de práticas de divulgação de segurança também devem ser contínuas. No começo de 2013,
a Cisco começará a usar um novo tipo de documento — o Cisco Security Notes — para divulgar problemas
de segurança de produto com níveis de gravidade de baixa a média. O Cisco Security Notice melhorará a
eficiência da comunicação relacionada a problemas de segurança não considerados graves o suficiente
para justificar um Cisco Security Advisory. Esses documentos estarão disponíveis publicamente e serão
indexados por um identificador Common Vulnerability and Exposure (CVE) para a obtenção de uma melhor
visibilidade.
Para melhorar ainda mais a divulgação do relatório contínuo de problemas de segurança, os fornecedores
(incluindo a Cisco) começaram a incluir os formatos Common Vulnerability Reporting Framework
(CVRF)39 e Open Vulnerability Assessment Language (OVAL)40 em suas divulgações Esses padrões em
desenvolvimento ajudam os usuários finais a avaliarem as vulnerabilidades através de várias plataformas
e tecnologias com segurança — e os padrões são capazes de aumentar devido aos benefícios do formato
legível por máquina. “Assegurar que nossos clientes tenham as ferramentas necessárias para avaliar
adequadamente ameaças às suas redes ajuda a reduzir riscos e permite a priorização das tarefas exigidas
para a proteção de suas infraestruturas,” diz Smoak.
No próximo ano, para obter atualizações adicionais e análises detalhadas sobre
tendências de segurança, além de informações sobre as publicações mais recentes
da Cisco relacionadas à segurança corporativa, visite o site Cisco Security Reports.
http://www.cisco.com/go/securityreport
Para acompanhar continuamente as ideias e opiniões dos especialistas da Cisco
sobre uma grande variedade de tópicos de segurança, visite o Cisco Security Blog.
blogs.cisco.com/security
70
2013 Cisco Annual Security Report
Perspectivas
de segurança
para 2013
71
O cenário de ameaças hoje não é um
problema cuja causa se dá devido a
usuários desinformados que visitam
site maliciosos, nem tampouco será
resolvido pelo bloqueio de locais na Web
conhecidos por serem "corrompidos".
Esse relatório demonstrou como os
invasores têm se tornado cada vez mais
sofisticados, buscam sites, ferramentas e
aplicativos menos prováveis de levantar
suspeitas, os quais são visitados pelo
usuários com mais frequência. As ameaças
modernas são capazes de infectar públicos
em massa de forma silenciosa e eficiente,
sem discriminar segmentos de mercado,
tamanho, empresa ou país. Os criminosos
cibernéticos estão se beneficiando do
cenário de ataques atual, o qual encontrase em rápida expansão e bastante presente
no mundo do sistema “any-to-any”,
onde as pessoas fazem uso de qualquer
dispositivo para acessar as redes de suas
empresas.
segurança é necessária para proteger a
próspera Internet de Todas as Coisas. “Os
hackers e criminosos cibernéticos tiram
proveito do fato de que toda empresa
dos setores privado e público possui seu
próprio programa de segurança de TI,"
diz John Stewart. "Sim, nós participamos
de conferências e permanecemos em
contato uns com os outros, mas nós
realmente precisamos sair do formato de
segurança de TI individualizado para um
que tenha base em um compartilhamento
de inteligência em tempo real e na
responsividade coletiva."
Com a migração contínua das principais
infraestruturas nacionais, empresas
e mercados financeiros globais para
serviços com base na nuvem e para a
conectividade móvel, uma abordagem
integrada e em camadas voltada para a
As ameaças modernas são capazes de
infectar públicos em massa de forma
silenciosa e eficiente, sem discriminar
segmentos de mercado, tamanho,
empresa ou país.
72
2013 Cisco Annual Security Report
Construir uma infraestrutura de segurança
melhor não significa criar uma arquitetura
mais complexa — na verdade, é exatamente
o contrário. Significa fazer a infraestrutura
e os elementos nela trabalharem juntos,
com mais inteligência, para detectar e
reduzir ameaças. A rápida adoção da
consumerização de TI (BYOD), a realidade
de hoje que se define pela utilização
de vários dispositivos por usuário e
o crescimento de serviços com base
na nuvem, determinou o fim da era do
gerenciamento de recursos de segurança
em cada endpoint isoladamente. Nós
devemos adotar um método holístico de
segurança que garanta que estejamos
monitorando ameaças em todos os vetores,
compreendendo desde e-mails e a Web
até os próprios usuários", diz Michael
Covington, gerente de produtos da Cisco
SIO. "A inteligência voltada ao combate de
ameaças deve estar acima das plataformas
individuais para que seja possível a
obtenção de uma perspectiva de rede."
As ameaças miram cada vez mais usuários
e organizações em vários vetores; as
empresas precisam coletar, armazenar
A rede do futuro é inteligente e deve
oferecer uma melhor segurança
utilizando uma estrutura de colaboração,
a qual não era viável no passado, por
meio da soma de seus componentes
individuais.
e processar toda a atividade de rede
relevante à segurança para entenderem
melhor o escopo e extensão dos ataques.
É possível, então, aumentar o nível de
análise utilizando o contexto das atividades
de rede para estabelecer um processo
de tomada de decisões relacionadas à
segurança mais preciso e adequado. Com
o aumento da sofisticação dos invasores,
é importante que as empresas projetem
recursos de segurança na rede desde
o início de suas operações, utilizando
soluções que reúnam inteligência voltada
para o combate de ameaças, políticas de
segurança e controles aplicáveis em todos
os pontos de contato da rede.
As ferramentas utilizadas para impedir
os avanços dos invasores devem ser
aprimoradas para que acompanhem seus
níveis crescentes de sofisticação. Como a
rede disponibiliza uma malha comum para
comunicação nas plataformas, ela também
servirá como meio de proteção para os
dispositivos, os serviços e os usuários
que diariamente a utilizam para realizar
trocas de conteúdo confidencial. A rede
do futuro é inteligente e deve oferecer uma
melhor segurança utilizando uma estrutura
de colaboração, a qual não era viável
no passado, por meio da soma de seus
componentes individuais.
73
74
2013 Cisco Annual Security Report
Sobre a Cisco
Security
Intelligence
Operations
75
Gerenciar e proteger as redes
distribuídas e ágeis de hoje tornou-se
um desafio crescente.
Os criminosos cibernéticos continuam
a explorar a confiança dos usuários em
aplicativos e dispositivos de consumo,
o que aumenta os riscos para empresas
e funcionários. A segurança tradicional,
baseada em camadas de produtos e no
uso de vários filtros, não é suficiente para
a defesa contra a mais recente geração de
malwares, que se espalha rapidamente,
tem objetivos mundiais e usa vários vetores
para se propagar.
A Cisco se mantém à frente das mais novas
ameaças, usando a inteligência voltada
ao combate de ameaças em tempo real
da Cisco Security Intelligence Operations
(SIO). A Cisco SIO é o maior ecossistema
de segurança com base na nuvem do
mundo. Nele são analisados todos os dias
mais de 75 terabits de feeds de dados em
tempo real de soluções implantadas de
e-mail, Web, firewall e IPS da Cisco.
A Cisco SIO agrega dados de vetores de
ameaças e os analisa usando algoritmos
automatizados e processamento manual,
em uma tentativa de entender como
as ameaças se propagam. A SIO então
categoriza as ameaças e cria regras
usando mais de 200 parâmetros. Os
pesquisadores de segurança também
analisam informações sobre eventos
de segurança que têm o potencial para
provocar um impacto generalizado sobre
redes, aplicativos e dispositivos. As regras
são transferidas de forma dinâmica aos
dispositivos de segurança da Cisco a cada
três a cinco minutos.
A Cisco SIO é o maior ecossistema
de segurança com base na nuvem
do mundo. Nele são analisados todos
os dias mais de 75 terabits de feeds
de dados em tempo real de soluções
implantadas de e-mail, Web, firewall e
IPS da Cisco.
76
2013 Cisco Annual Security Report
A equipe da Cisco SIO também publica
as melhores práticas de segurança, além
de orientações táticas para bloquear
ameaças. A Cisco está empenhada em
oferecer soluções completas de segurança
que sejam integradas, adequadas,
abrangentes e eficazes, que permitam uma
segurança holística para empresas em
todo o mundo. Com a Cisco, as empresas
podem economizar tempo com pesquisas
sobre ameaças e vulnerabilidades,
concentrando-se mais em uma abordagem
proativa da segurança
Para saber mais sobre a inteligência
de alertas, análise de ameaças e
vulnerabilidades e soluções comprovadas
de mitigação da Cisco, visite:
http://www.cisco.com/security.
Metodologia
A análise apresentada neste relatório é
baseada em dados que foram reunidos de
várias fontes mundiais anônimas, e incluem
soluções de segurança de e-mail, Web,
A Cisco coleta dados de uma
implantação mundial de sensores que
executam funções como armadilha de
spam e análise cautelosa da Web para
buscar ativamente por novas instâncias
de malware.
firewall e sistema de prevenção de intrusos
(IPS) da Cisco. Essas plataformas são
colocadas na linha de frente para proteger
redes de clientes de conteúdo malicioso
e invasores. Além desses mecanismos
de proteção de clientes, a Cisco também
coleta dados de uma implantação mundial
de sensores que executam funções como
armadilhas de spam e análise cautelosa
da Web para encontrar ativamente novas
instâncias de malware.
Utilizando essas ferramentas e os dados
coletados por elas, a grande área de
rede da Cisco oferece aos sistemas e
pesquisadores da SIO uma perspectiva
sobre uma amostragem significativa de
atividades tanto legítimas como maliciosas
ocorrendo na Internet. Nenhum fornecedor
de segurança possui visibilidade total sobre
todas as ocorrências maliciosas. Os dados
apresentados nesse relatório representam
a perspectiva da Cisco sobre o estado atual
do panorama de ameaças e representa
nossa melhor tentativa de normalizar os
dados e refletir as tendências e padrões
mundiais com base nos dados disponíveis
no momento.
77
Cisco Security IntelliShield Alert Manager Service
O Cisco Security IntelliShield Alert Manager Service é uma solução abrangente e de
baixo custo que oferece a inteligência de segurança que as empresas necessitam para
identificar, prevenir e atenuar ataques aos seus departamentos de TI. Este serviço de alerta
contra ameaças e vulnerabilidades, configurável e baseado na Web, permite que a equipe
de segurança tenha acesso a informações precisas, em tempo útil e com credibilidade
sobre ameaças e vulnerabilidades que possam afetar seus ambientes. O IntelliShield
Alert Manager permite que as empresas salvem tempo na pesquisa por ameaças e
vulnerabilidades e concentrem-se mais em uma abordagem proativa da segurança
A Cisco oferece uma versão gratuita durante 90 dias do Cisco Security IntelliShield Alert
Manager Service. Ao registrar-se para o período de teste, você terá acesso completo ao
serviço, incluindo ferramentas e alertas contra ameaças e vulnerabilidades.
Para saber mais sobre o Cisco Security IntelliShield Alert Manager Services, visite:
https://intellishield.cisco.com/security/alertmanager/trialdo?dispatch=4.
Saiba mais
Cisco Security Intelligence Operations
www.cisco.com/security
Cisco Security Products
www.cisco.com/go/security
Cisco Security Blog
blogs.cisco.com/security
Cisco Corporate Security
Programs Organization
www.cisco.com/go/cspo
Cisco Remote Management Services
www.cisco.com/en/US/products/
ps6192/serv_category_home
78
2013 Cisco Annual Security Report
“The Internet of Things,” por Michael Chui, Markus Löffler, and Roger Roberts, McKinsey Quarterly, março de
2010: http://www.mckinseyquarterly.com/The_Internet_of_Things_2538.
1
“Cisco Event Response: Distributed Denial of Service Attacks on Financial Institutions,” 1º de outubro de
2012: http://www.cisco.com/web/about/security/intelligence/ERP-financial-DDoS.html.
2
Cisco Internet Business Solutions Group.
3
“The World Market for Internet Connected Devices — 2012 Edition,” lançamento de mídia, IMS Research, 4 de
outubro de 2012: http://imsresearch.com/press-release/Internet_Connected_Devices_Approaching_10_
Billion_to_exceed_28_Billion_by_2020&cat_id=210&type=LatestResearch.
4
Cisco Internet Business Solutions Group.
5
“Internet of Everything: It’s the Connections That Matter,” by Dave Evans, Cisco Blog, 29 de novembro de
2012: http://blogs.cisco.com/news/internet-of-everything-its-the-connections-that-matter/.
6
Cisco Internet Business Solutions Group.
7
Relatório anual de segurança da Cisco, dezembro de 2011: http://www.cisco.com/en/US/prod/collateral/
vpndevc/security_annual_report_2011.pdf.
8
“Remote Access and BYOD: Enterprises Working to Find Common Ground with Employees,” 2011 Cisco
Annual Security Report, dezembro de 2011, p. 10: http://www.cisco.com/en/US/prod/collateral/vpndevc/
security_annual_report_2011.pdf.
9
“Cisco Global Cloud Index: Forecast and Methodology, 2011–2016”: http://www.cisco.com/en/US/solutions/
collateral/ns341/ns525/ns537/ns705/ns1175/Cloud_Index_White_Paper.html.
10
Ibid.
11
“A Deep Dive Into Hyperjacking,” by Dimitri McKay, SecurityWeek, 3 de fevereiro de 2011: http://www.
securityweek.com/deep-dive-hyperjacking.
12
India Asks Pakistan to Investigate Root of Panic,” by Jim Yardley, The New York Times, 19 de agosto de 2012:
http://www.nytimes.com/2012/08/20/world/asia/india-asks-pakistan-to-help-investigate-root-of-panic.
html?_r=1&.
13
“Twitter Rumor Sparked Oil-Price Spike,” by Nicole Friedman, WSJ.com, 6 de agosto de 2012: http://online.
wsj.com/article/SB10000872396390444246904577573661207457898.html.
14
Este artigo foi publicado originalmente no Cisco Security Blog: http://blogs.cisco.com/security/sniffing-outsocial-media-disinformation/
15
Java.com: http://www.java.com/en/about/.
16
V ishwath Mohan and Kevin W. Hamlen. Frankenstein: Stitching Malware from Benign Binaries. In. Proceedings
of the USENIX Workshop on Offensive Technologies (WOOT), pp. 77-84, agosto de 2012.
17
Mohammad M. Masud, Tahseen M. Al-Khateeb, Kevin W. Hamlen, Jing Gao, Latifur Khan, Jiawei Han e
Bhavani Thuraisingham. Cloud-based Malware Detection for Evolving Data Streams. ACM Transactions on
Management Information Systems (TMIS), 2(3), October 2011.
18
“DDoS Attacks: 2013 Forecast, Experts Say Recent Hits Only the Beginning,” by Tracy Kitten,
BankInfoSecurity.com, 30 de dezembro de 2012: http://ffiec.bankinfosecurity.com/ddos-attacks-2013forecast-a-5396.
19
79
“Maliciously Abusing Implementation Flaws in DNS,” DNS Best Practices, Network Protections, and Attack
Identification, Cisco.com: http://www.cisco.com/web/about/security/intelligence/dns-bcp.html#3.
20
“IP Spoofing,” por Farha Ali, Lander University, disponível no Cisco.com: http://www.cisco.com/web/about/
ac123/ac147/archived_issues/ipj_10-4/104_ip-spoofing.html.
21
“Distributed Denial of Service Attacks,” por Charalampos Patrikakis, Michalis Masikos e Olga Zouraraki,
National Technical University of Athens, The Internet Protocol Journal - Volume 7, Número 4. Disponível em:
http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html.
22
“DNS Tools,” The Measurement Factory: http://dns.measurement-factory.com/tools.
23
Para obter mais informações sobre Ferramentas DNS, consulte DNS-OARC (https://www.dns-oarc.net/oarc/
tools) e The Measurement Factory (http://dns.measurement-factory.com/tools/index.html).
24
“Secure BIND Template Version 7,3 07 Aug 2012,” por TEAM CYMRU, cymru.com: http://www.cymru.com/
Documents/secure-bind-template.html.
25
“Response Rate Limiting in the Domain Name System (DNS RRL),” RedBarn.org: http://www.redbarn.org/dns/
ratelimits.
26
Os dados do sistema de monitoramento da Internet ATLAS, da Arbor Networks, são derivados de
honeypots implantados em redes de provedores de serviços no mundo inteiro, da pesquisa de malware
da ASERT (Equipe de Engenharia e Respostas de Segurança da Arbor Networks) e de um feed de dados
anônimos publicado a cada hora com base na correlação entre NetFlow, BGP e SNMP. Os dados anônimos
disponibilizados pelos clientes do Peakflow SP da Arbor são comparados e analisados quanto à sua
tendência no ATLAS para oferecer uma visão detalhada sobre os padrões de ameaças e tráfego na Internet.
27
“IPS Testing,” Cisco.com: http://www.cisco.com/web/about/security/intelligence/cwilliams-ips.html.
28
“Bank of America and New York Stock Exchange under attack unt [sic],” Pastebin.com, 18 de Setembro de
2012: http://pastebin.com/mCHia4W5.
29
“Phase 2 Operation Ababil,” Pastebin.com, 18 de setembro de 2012: http://pastebin.com/E4f7fmB5.
30
“Cisco Event Response: Distributed Denial of Service Attacks on Financial Institutions”: http://www.cisco.com/
web/about/security/intelligence/ERP-financial-DDoS.html.
31
Identifying and Mitigating the Distributed Denial of Service Attacks Targeting Financial Institutions Applied
Mitigation Bulletin: http://tools.cisco.com/security/center/viewAMBAlert.x?alertId=27115.
32
“Security Intelligence Operations Tactical Resources,” Cisco.com: http://tools.cisco.com/security/center/
intelliPapers.x?i=55.
33
“Service Provider Security Best Practices,” Cisco.com: http://tools.cisco.com/security/center/
serviceProviders.x?i=76.
34
Anagrama oferecido como cortesia pela anagramgenius.com.
35
Cisco Security Advisories: http://cisco.com/go/psirt.
36
Cisco Applied Mitigation Bulletins, Cisco.com: http://tools.cisco.com/security/center/searchAIR.x.
37
Cisco Intellishield Alert Manager Service: http://www.cisco.com/web/services/portfolio/product-technicalsupport/intellishield/index.html.
38
CVRF, ICASI.com: http://www.icasi.org/cvrf.
39
OVAL, Oval International: http://oval.mitre.org/.
40