Veja o relatório - PromonLogicalis
Transcrição
Veja o relatório - PromonLogicalis
Sede - América Cisco Systems, Inc. San Jose, CA Sede - Ásia e Pacífico Cisco Systems (USA) Pte. Ltd. Cingapura Sede - Europa Cisco Systems International BV Amsterdam, The Netherlands A Cisco possui mais de 200 escritórios no mundo todo. Os endereços, números de telefone e fax estão disponíveis no site da Cisco em www.cisco.com/go/offices. Todo o conteúdo está protegido por leis de direitos autorais. Copyright © 2011-2013 Cisco Systems, Inc. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Cisco e o logotipo Cisco são marcas comerciais da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em outros países. Uma lista das marcas registradas da Cisco pode ser encontrada em www.cisco.com/go/trademarks. Todas as marcas de terceiros citadas pertencem a seus respectivos proprietários. O uso do termo "parceiro" não implica uma relação de sociedade entre a Cisco e qualquer outra empresa. (020813 v2) Relatório de Segurança Anual da Cisco de 2013 2 2013 Cisco Annual Security Report Vivendo no mundo atual do sistema “any-to-any”. 3 Os criminosos cibernéticos estão se beneficiando do cenário de ataques atual, o qual encontra-se em rápida expansão e bastante presente no mundo do sistema “any-to-any”, no qual as pessoas fazem uso de qualquer dispositivo para acessar aplicativos empresariais em ambientes de rede que utilizam serviços em nuvem descentralizados. O relatório de segurança anual da Cisco® de 2013 destaca as tendências globais com base em dados do mundo real e oferece conhecimentos e análises que ajudam empresas e governos a melhorarem sua segurança no futuro. O relatório combina pesquisa especializada com inteligência de segurança agregados pela Cisco com enfoque em dados coletados durante o ano fiscal de 2012. 4 2013 Cisco Annual Security Report Conteúdo 5 A relação de dispositivos, nuvens e aplicativos 6 Multiplicação de endpoints 12 Os serviços estão presentes em muitas nuvens 18 A mistura entre uso corporativo e pessoal 22 A Geração Y e o local de trabalho Big Data 28 Um bom negócio para as empresas de hoje Estado da exploração 32 O perigo se esconde em lugares surpreendentes Ameaças em evolução 50 Novos métodos, mesmas explorações Envio de Spam sempre presente 58 Perspectiva de segurança para 2013 70 Sobre a Cisco Security Intelligence Operations 74 6 2013 Cisco Annual Security Report A relação entre dispositivos, nuvens e aplicativos 7 O mundo do sistema any-to-any e a Internet de Todas as Coisas são uma evolução em termos de conectividade e colaboração que se desdobra rapidamente. A relação entre dispositivos, nuvens e aplicativos. Embora essa evolução não seja inesperada, as empresas podem estar despreparadas para a realidade de navegação no mundo "any-to-any" — pelo menos de uma perspectiva de segurança. "O ponto principal da questão relacionada ao sistema de computação distribuída anyto-any é que alcançamos rapidamente o ponto em que é cada vez menos provável que um usuário acesse uma empresa por meio de uma rede corporativa," diz Chris Young, vice-presidente sênior do Grupo de segurança e governo da Cisco. “Cada vez mais, o foco volta-se para a cultura de qualquer dispositivo em qualquer local vindo de qualquer instanciação de rede. Os dispositivos habilitados para acessar a Internet — smartphones, tablets e muitos outros — tentam conectar aplicações que poderiam ser executadas em qualquer lugar, inclusive em uma nuvem de software como serviço (SaaS), em uma nuvem particular ou em uma nuvem híbrida.” Ao mesmo tempo, outra evolução está a caminho — um movimento contínuo em direção da formação da "Internet de todas as coisas - The Internet of Everything". Essa é a conexão inteligente de: • Pessoas: redes sociais, centros populacionais e entidades digitais • Processos: sistemas e processos comerciais • Dados: World wide web e informações • Coisas: mundo físico, dispositivos e objetos “Cada vez mais, o foco volta-se para a cultura de qualquer dispositivo em qualquer local vindo de qualquer instanciação de rede. Dispositivos com acesso à Internet — smartphones, tablets e outros — tentam se conectar a aplicativos que podem ser executados em qualquer lugar." Chris Young, Vice-Presidente Sênior do grupo de segurança e governo da Cisco 8 2013 Cisco Annual Security Report “O aumento do número de pessoas, processos, dados e coisas na Internet, e sua convergência, tornará as conexões em rede mais importantes e valiosas do que nunca.” Nancy Cam-Winget, engenheira renomada da Cisco A Internet de Todas as Coisas baseiase na “Internet das coisas”1 que adicionando a inteligência de rede permite a convergência, a orquestração e a visibilidade por meio de sistemas previamente diferenciados. As conexões da Internet de Todas as Coisas não representam apenas dispositivos móveis ou laptops e desktops, mas também um número cada vez maior de conexões de máquina para máquina (M2M) que ficam conectadas on-line todos os dias. Essas “coisas” são objetos aos quais não damos muita importância, que geralmente usamos todos os dias e nem imaginamos que possam estar conectados — como um sistema de aquecimento doméstico, uma turbina eólica ou um carro. A Internet de Todas as Coisas com certeza é uma condição futura, mas que não está tão distante quando a questão do any-to-any é considerada. Enquanto isso ela irá criar desafios de segurança para as empresas, mas também trará novas oportunidades. “Coisas incríveis acontecerão com o crescimento da Internet de Todas as Coisas”, diz Nancy Cam-Winget, engenheira renomada da Cisco. “O crescimento e a convergência de pessoas, processos, dados e coisas na Internet tornará as conexões em rede mais importantes e valiosas do que nunca.” Além disso, a Internet de Todas as Coisas criará novos recursos, experiências mais valiosas e oportunidades econômicas sem precedentes para países, negócios e indivíduos." Como a nuvem compromete a segurança O desafio de proteger uma grande variedade de aplicações, dispositivos e usuários — seja no contexto do sistema "any-to-any" ou da Internet de Todas as Coisas — é dificultado pela popularidade da nuvem como meio de gerenciar sistemas corporativos. De acordo com dados reunidos pela Cisco, espera-se que o tráfego de data centers em termos globais seja quadruplicado nos próximos cinco anos, e o componente de crescimento mais rápido será a nuvem. Em 2016, o tráfego global em nuvem corresponderá a dois terços do tráfego total de data centers. Espera-se que o tráfego global de data centers seja quadruplicado nos próximos cinco anos, e o componente de crescimento mais rápido serão os dados em nuvem. Em 2016, o tráfego global em nuvem corresponderá a dois terços do tráfego total do data centers. 9 Soluções de segurança fragmentadas, como a aplicação de firewalls a uma borda de rede instável, não protegem dados que atualmente se movimentam constantemente entre dispositivos, redes e nuvens. Mesmo entre os data centers — que agora abrigam as "joias da coroa" (big data) das empresas — a virtualização tornase mais a regra do que a exceção. Abordar desafios de segurança difundidos pela virtualização e pela nuvem requer repensar posturas de segurança para refletir sobre este novo paradigma — controles com base em perímetro e modelos antigos de acesso e contenção precisam ser alterados para proteger o novo modelo de negócios. Funcionários conectados e privacidade de dados Outro fator comprometedor na equação any-to-any são os funcionários jovens e móveis. Este grupo acredita que é capaz de fazer negócios onde quer que esteja e com qualquer dispositivo que tenha em mãos. Em destaque no Relatório de segurança anual da Cisco de 2013 estão as descobertas do Relatório Cisco Connected World Technology 2012, que foram reunidas na pesquisa realizada em 2011 sobre as novas atitudes que estudantes universitários e jovens profissionais em todo o mundo têm em relação ao trabalho, à tecnologia e à segurança. O último estudo se concentra ainda mais nas atitudes desses funcionários em relação à segurança, com enfoque especial na privacidade e em quanto e com que Outro fator comprometedor na equação do sistema de computação distribuída any-to-any são os funcionários jovens e móveis. Este grupo acredita que é capaz de fazer negócios onde quer que esteja usando qualquer dispositivo que tenha em mãos. frequência uma empresa pode interferir no desejo do funcionário de usar livremente a Internet no trabalho. O estudo do Relatório Cisco Connected World Technology 2012 também analisa se a privacidade on-line ainda é algo com que todos os usuários se preocupam ativamente. Análise de dados e tendências mundiais de segurança O Relatório de segurança anual da Cisco de 2013 inclui uma análise profunda de tendências de malware e spam da Web, com base em pesquisas realizadas pela Cisco. Enquanto muitos que operam na "economia paralela" têm concentrado seus esforços no desenvolvimento de técnicas cada vez mais sofisticadas, a pesquisa da Cisco deixa claro que os criminosos cibernéticos frequentemente adotam métodos bem conhecidos e básicos para comprometer os usuários. O aumento de ataques de negação de serviço distribuído (DDoS) no último ano é apenas um exemplo da tendência "o 10 2013 Cisco Annual Security Report "Vemos algumas mudanças incômodas no ambiente de ameaças com que se deparam governos, empresas e sociedades.” John N. Stewart, vice-presidente sênior e chefe de segurança da Cisco. antigo agora é novidade" em se tratando de crimes cibernéticos. Por vários anos, os ataques de DDoS — que podem paralisar provedores de serviços de Internet (ISPs) e afetar o tráfego para e de sites visados — não tiveram muita importância na lista de prioridades de segurança de TI para muitas empresas. Entretanto, campanhas recentes de várias empresas famosas — incluindo instituições financeiras dos EUA2 — servem como lembrete de que qualquer ameaça à segurança cibernética pode causar uma interrupção significativa e até mesmo um dano irreparável, caso a organização não esteja preparada para isso. Portanto, ao criar planos de gerenciamento de continuidade de negócios, as empresas devem considerar como reagiriam e se recuperariam de um evento cibernético prejudicial — caso um evento se torne um ataque DDoS direcionado à empresa, um importante recurso de fabricação ativado pela Internet de repente ficar off-line, um ataque a diversos estágios avançados por um criminoso oculto ou algo nunca visto antes. "Enquanto a discussão de segurança de TI sofreu mais que sua cota de alarmismo nos último anos, vemos algumas mudanças perturbadoras no ambiente de ameaças que governos, empresas e sociedades enfrentam," diz John N. Stewart, vicepresidente sênior e chefe de segurança da Cisco. "O crime cibernético já não é mais um mero um aborrecimento ou mais uma despesa feita quando fechamos negócios. Abordamos um ponto decisivo em que as perdas econômicas geradas pelo crime cibernético ameaçam suplantar os benefícios econômicos criados pela tecnologia da informação. Está claro que precisamos de novas ideias e de um novo enfoque para reduzir o dano que o crime cibernético causa no bem-estar mundial.” 11 12 2013 Cisco Annual Security Report Multiplicação de endpoints 13 A evolução do sistema "any-to-any" já envolve bilhões de dispositivos conectados à Internet; em 2012, o número destes dispositivos no mundo subiu para mais de 9 bilhões. 3 Considerando que atualmente menos de 1% das coisas no mundo físico estão conectadas, resta um vasto potencial para “conectar o não conectado.”4 Estima-se que com uma Internet que já tenha uma projeção de 50 bilhões de “coisas” conectadas a ela, o número de conexões aumentará para 13.311.666.640.184.600 em 2020. Adicionar apenas mais uma "coisa" conectada à Internet (50 bilhões + 1) aumentará o número de conexões em mais 50 bilhões.5 Quanto às “coisas” que finalmente compreenderão o “todas as coisas,” estas variarão de smartphones e sistemas de aquecimento doméstico a turbinas eólicas e carros. Dave Evans, futurista-chefe do grupo de soluções de negócios de Internet da Cisco, explica assim o conceito da multiplicação de terminais: “Num futuro próximo, quando seu carro estiver conectado à Internet de Todas as Coisas, o número de coisas na Internet simplesmente aumentará em um. Pense nos vários outros elementos com os quais seu carro poderia se conectar— outros carros, semáforos, sua casa, equipe de serviços, relatórios de meteorologia, sinais de alerta e até mesmo a própria rodovia.”6 “Num futuro próximo, quando seu carro estiver conectado à Internet de Todas as Coisas, o número de coisas na Internet simplesmente aumentará em um. Pense nos vários outros elementos com os quais seu carro poderia se conectar— outros carros, semáforos, sua casa, equipe de serviços, relatórios de meteorologia, sinais de alerta e até mesmo a própria rodovia.” David Evans, futurista-chefe da Cisco 14 2013 Cisco Annual Security Report Figura 1: A Internet de Todas as Coisas A Internet de Todas as Coisas é a conexão inteligente de pessoas, processos, dados e coisas. De pessoas para máquina (P2M) De pessoas para pessoas (P2P) Pessoas Móvel Residência Processo Dados Coisas Negócios De máquina para máquina (M2M) Na Internet de Todas as Coisas, as conexões são os fatores mais importantes. Os tipos de conexões, não o número, são o que criam valor entre pessoas, processos, dados e coisas. 15 Na Internet de Todas as Coisas, as conexões são os fatores mais importantes. Os tipos de conexões, não o número, são o que criam valor entre pessoas, processos, dados e coisas. Por fim, o número de conexões reduzirá o número de coisas.7 A explosão de novas conexões, que já faz parte da Internet de Todas as Coisas, é impulsionada principalmente pelo desenvolvimento cada vez maior de dispositivos habilitados por IP, como também pelo aumento da disponibilidade mundial de banda larga e do advento do IPv6. Os riscos de segurança criados pela Internet de Todas as Coisas não se relacionam apenas à multiplicação de endpoints any-to-any que nos aproxima diariamente de um mundo ainda mais conectado, mas também à oportunidade de agentes maliciosos utilizarem ainda mais incursões para comprometer usuários, redes e dados. As próprias novas conexões criarão riscos porque irão gerar ainda mais dados em movimento que precisam ser protegidos em tempo real — incluindo os volumes crescentes de big data que as empresas continuarão a coletar, armazenar e analisar. “A Internet de Todas as Coisas ganha forma rapidamente, portanto o profissional de segurança precisa pensar em como mudar seu enfoque da simples proteção de endpoints e do perímetro de rede". Chris Young, Vice-Presidente Sênior do grupo de segurança e governo da Cisco “A Internet de Todas as Coisas ganha forma rapidamente, portanto o profissional de segurança precisa pensar em como mudar seu enfoque da simples proteção de endpoints e do perímetro de rede," diz Chris Young. “Haverá muitos dispositivos, conexões e tipos de conteúdo e aplicativos — e esse número só irá crescer. Neste panorama, a própria rede se torna parte do paradigma de segurança que permite que as empresas estendam a política e o controle sobre os ambientes de rede." 16 2013 Cisco Annual Security Report Atualização da consumerização de TI da Cisco A multiplicação de endpoints é um fenômeno que a Cisco conhece bem em sua própria organização de 70.000 funcionários em todo o mundo Desde a formalização da prática de consumerização de TI há dois anos, a empresa presenciou uma taxa de crescimento de 79% no número de dispositivos móveis em uso na empresa. O relatório de segurança anual da Cisco de 20118 analisou primeiro a jornada de consumerização de TI em desenvolvimento na Cisco, a qual faz parte da ampla e contínua transição da organização para tornarse uma “empresa virtual.” No momento, a Cisco alcança o último estágio de sua planejada jornada, que durará vários anos. A Cisco será cada vez mais uma empresa independente de locais e serviços e ainda assim seus dados estarão seguros.9 Em 2012, a Cisco adicionou cerca de 11.000 smartphones e tablets em toda a empresa — ou aproximadamente 1.000 novos dispositivos com acesso à Internet por mês. “No final de 2012, havia quase 60.000 smartphones e tablets em uso na organização — incluindo quase 14.000 iPads — e todos eles faziam parte da tendência de consumerização (BYO, bring your own),” diz Brett Belding, gerente sênior de supervisão da Cisco IT Mobility Services. “Os dispositivos móveis na Cisco agora fazem parte da tendência de consumerização (BYO, bring your own), ponto.” O tipo de dispositivo que teve o maior aumento em sua utilização na Cisco foi o iPad da Apple. "É fascinante pensar que há três anos este produto nem mesmo existia," diz Belding. “Agora há mais de 14.000 iPads sendo usados na Cisco todos os dias por nossos funcionários para uma variedade de atividades — relacionadas tanto ao uso pessoal quanto ao trabalho. E os funcionários estão usando iPads além de seus smartphones.” Quanto aos smartphones, o número de iPhones da Apple em uso na Cisco quase triplicou em um período de dois anos, quase atingindo a marca de 28.600 aparelhos. Os dispositivos RIM BlackBerry, Google Android e Microsoft Windows também estão incluídos no programa consumerização de TI da Cisco. Os funcionários optam por trocar o acesso a dados corporativos em seu dispositivo pessoal mediante acordo sobre controles de segurança. Por exemplo, usuários que desejam verificar e-mails e calendários em seus dispositivos precisam obter o perfil de segurança da Cisco, o qual aplica recursos como limpeza remota, criptografia e senha. “Comportamos mais dispositivos do que antes e ,ao mesmo tempo, temos tido o menor número de casos de suporte. Nosso objetivo é que algum dia um funcionário possa simplesmente trazer qualquer dispositivo para usar o Cisco Identity Services Engine (ISE) e configurar nossas principais ferramentas de colaboração de WebEx, incluindo Meeting Center, Jabber e WebEx Social.” Brett Belding, gerente sênior responsável pela supervisão do Cisco IT Mobility Services 17 Figura 2: desenvolvimento de dispositivos móveis da Cisco PLATAFORMA DEZ 2010 DEZ 2011 DEZ 2012 iPhone iPad BlackBerry Android Outros TOTAL Desde o princípio o apoio social tem sido um componente fundamental do programa de consumerização de TI da Cisco. "Nos apoiamos fortemente na [plataforma de colaboração corporativa] WebEx Social como nossa plataforma de sustentação para a consumerização de TI e ela nos rende grandes dividendos," diz Belding. “Comportamos mais dispositivos do que antes e ,ao mesmo tempo, temos tido o menor número de casos de suporte. Nosso objetivo é que um dia um funcionário possa simplesmente trazer qualquer dispositivo para usar o Cisco Identity Services Engine (ISE) e configurar nossas principais ferramentas de colaboração da WebEx, incluindo Meeting Center, Jabber e WebEx Social.” A próxima etapa da consumerização de TI na Cisco, de acordo com Belding, é melhorar ainda mais a segurança com o aumento da visibilidade e do controle sobre todas as atividade e dispositivos, tanto na rede física quanto na infraestrutura virtual, além de aprimorar a experiência do usuário. "Preocupar-se com a experiência do usuário é a tendência principal da consumerização de TI," diz Belding. “Tentamos aplicar este conceito à nossa organização. Temos que fazer isso. Acho que atualmente estamos testemunhando uma "TI-zação" dos usuários. Antes eles perguntavam, "Posso usar este dispositivo no trabalho?" Agora eles dizem, "Entendo que você precisa manter a empresa segura, mas não interfira na minha experiência de usuário.’” 18 2013 Cisco Annual Security Report Os serviços estão presentes em muitas nuvens 19 O tráfego mundial de dados está em ascensão. De acordo com o Cisco Global Cloud Index, espera-se que o tráfego mundial de data centers seja quadruplicado nos próximos cinco anos. Ele aumentará a uma taxa de crescimento anual composta (CAGR) de 31% entre 2011 e 2016. 10 Deste enorme aumento, o componente com crescimento mais rápido são os dados em nuvem O tráfego global em nuvem aumentará seis vezes nos próximos cinco anos, crescendo a uma taxa de 44% de 2011 a 2016. Na verdade, o tráfego em nuvem corresponderá a dois terços do tráfego total de data centers em 2016.11 Esta explosão do tráfego em nuvem levanta questões sobre a habilidade das empresas gerenciarem estas informações. Na nuvem, as linhas de controle não são claras: uma empresa pode posicionar redes de segurança em torno de seus dados de nuvem quando não possui e opera o data center? Como ferramentas de segurança básica, como firewalls e softwares antivírus, podem ser aplicadas quando a borda de rede não pode ser definida? Não importa quantas questões de segurança sejam levantadas, é claro que cada vez mais empresas adotam os benefícios das nuvens — e aquelas que o O tráfego global em nuvem aumentará seis vezes nos próximos cinco anos, crescendo a uma taxa de 44% de 2011 a 2016. 20 2013 Cisco Annual Security Report fizeram provavelmente não retornarão a um modelo privado de data center. Embora as oportunidades da nuvem apresentadas para empresas sejam muitas, — incluindo economias de custos, maior colaboração da força de trabalho, produtividade e emissão de carbono reduzida — os possíveis riscos de segurança que as empresas enfrentam como resultado da transferência de dados de negócios e processos para a nuvem incluem: Hipervisores Se comprometido, este software que cria e executa máquinas virtuais poderia causar um ataque de hackers em massa ou comprometer dados relacionados a vários servidores — apresentando a mesma facilidade de gerenciamento e acesso que a virtualização oferece a um hacker bem-sucedido. Um hipervisor malicioso (controlado por “hyperjacking”) pode obter controle total de um servidor.12 Um hipervisor malicioso (controlado por “hyperjacking”) pode obter controle total de um servidor.12 Custo reduzido de entrada A virtualização reduziu o custo de entrada para oferecer serviços como um servidor virtual privado (VPS). Comparado a modelos de data center com base em hardware, observamos um crescimento rápido, barato e uma infraestrutura facilmente disponível para atividades criminosas. Por exemplo, há vários serviços de VPS disponíveis para compra instantânea (com a possibilidade de compra usando Bitcoin ou outros tipos de pagamento difíceis de rastrear) que são destinados ao submundo do crime. A virtualização tornou a infraestrutura muito mais barata e fácil de ser disponibilizada — com pouca ou nenhuma verificação das atividades. “Dissociação” de aplicações virtualizadas Como as aplicações virtualizadas são dissociadas dos recursos físicos que usam, fica mais difícil para as empresas aplicarem abordagens de segurança tradicionais. Provedores de TI buscam minimizar os custos com uma oferta bastante flexível em que os recursos podem ser movidos conforme necessário — em contraste com o grupo de segurança que busca reunir serviços com esta postura de segurança e os mantém longe de outros que podem ser menos seguros. 21 "A virtualização e a computação em nuvem criam problemas iguais aos da consumerização de TI (BYOD), mas totalmente reformulados," diz Joe Epstein, antigo CEO da Virtuata, uma empresa adquirida pela Cisco em 2012 que disponibiliza recursos inovadores para proteger informações virtuais em nível de máquina em data centers e ambientes de nuvem. "Aplicativos e dados de alto valor atualmente são movidos em torno do data center. O conceito de cargas de trabalho virtuais deixam as empresas desconfortáveis. No ambiente virtual, como você sabe que pode confiar no que está executando? A resposta é que você não tem sido capaz disso até agora — e essa incerteza tem sido o principal obstáculo para a adoção da nuvem." Mas Epstein observou que é cada vez mais difícil para as empresas ignorarem a virtualização e a nuvem. “O mundo compartilhará tudo,” ele diz. “Tudo será virtualizado e compartilhado. Não fará sentido continuar executando apenas data centers privados. As nuvens híbridas estão onde a TI está.” “A virtualização e a computação em nuvem criam problemas assim como os da consumerização de TI, mas totalmente reformulados... Aplicativos e dados de alto valor movem-se atualmente em torno do data center.” Joe Epstein, antigo CEO da Virtuata A resposta para estes desafios crescentes de nuvem e virtualização é a segurança adaptativa e responsiva. Neste caso, a segurança deve ser um elemento programável integrado de forma contínua na estrutura do data center subjacente, de acordo com Epstein. Além disso, a segurança precisa ser criada na fase de design, ao invés de ser imposta na fase de pós-implementação. 22 2013 Cisco Annual Security Report Mistura de negócios e uso pessoal A Geração Y e o local de trabalho 23 Os funcionários modernos — principalmente os jovens da “Geração Y” — querem liberdade para navegar na Internet não apenas quando e como querem, mas também com os dispositivos de sua escolha. Entretanto, eles não querem que essas liberdades sejam infringidas por seus chefes, o que prenuncia uma situação de tensão para profissionais de segurança. De acordo com o estudo do Relatório Cisco Connected World Technology 2012, dois terços dos entrevistados acreditam que os chefes não deveriam rastrear as atividades on-line dos funcionários em dispositivos da empresa. Em resumo, eles acham que os chefes não deveriam monitorar seu comportamento. Apenas cerca de um terço (34%) dos funcionários entrevistados disse que não se importaria se os chefes rastreassem seu comportamento on-line. Apenas um em cinco entrevistados disse que seus chefes rastreiam suas atividades on-line em dispositivos da empresa, enquanto 46% disseram que seus chefes não rastreiam as atividades. Descobertas do último estudo Connected World também mostram que a Geração Y tem fortes opiniões sobre os chefes rastrearem a atividade on-line dos funcionários — mesmo aqueles que relataram que trabalham em empresas onde isso não ocorre. Apenas um em cinco entrevistados disse que seus chefes rastreiam suas atividades on-line em dispositivos da empresa, enquanto 46% disseram que seus chefes não rastreiam as atividades. 24 2013 Cisco Annual Security Report Parece haver uma divergência entre o que os funcionários acham que podem fazer com os dispositivos fornecidos pela empresa e quais políticas o setor de TI realmente dita sobre o uso pessoal, o que aumenta ainda mais os desafios para os profissionais de segurança. Quatro dos 10 entrevistados disseram que devem usar dispositivos fornecidos pela empresa para atividades de trabalho, enquanto um quarto disse que tem permissão para usar os dispositivos da empresa para atividades não relacionadas ao trabalho. Entretanto, 90% dos profissionais de TI entrevistados disseram que têm de fato políticas que proíbem que dispositivos fornecidos pela empresa sejam usados para atividades online pessoais — apesar de 38% saber que os funcionários quebram políticas e usam dispositivos para atividades pessoais além das atividades relacionadas ao trabalho. (É possível encontrar mais informações sobre a perspectiva da Cisco em relação a estes desafios de consumerização de TI na página 16.) Parece haver uma divergência entre o que os funcionários acreditam que podem fazer com os dispositivos disponibilizados pela empresa e quais políticas o setor de TI realmente dita sobre o uso pessoal desses dispositivos. Privacidade e geração Y De acordo com o Relatório Cisco Connected World Technology 2012 a Geração Y aceitou o fato de que, graças à Internet, a privacidade pessoal pode ser algo ultrapassado. 90% dos jovens consumidores entrevistados disseram que a era da privacidade está ultrapassada e acreditam que não podem controlar a privacidade de suas informações. Um terço dos entrevistados relatou que não se preocupa com os dados que são armazenados e capturados sobre eles. Em geral, a Geração Y também acredita que sua identidade on-line é diferente de sua identidade off-line. 40% disseram que estas identidades geralmente são diferentes dependendo da atividade em questão, enquanto 36% acreditam que estas identidades são totalmente diferentes. Apenas 8% acreditam que estas identidades são iguais. Jovens consumidores também têm grandes expectativas de que os sites respeitarão a privacidade de suas informações, geralmente sentindo-se mais seguros em compartilhar dados com as principais mídias sociais ou sites comunitários devido ao anonimato que o número expressivo de usuários proporciona. Entre os entrevistados, 46% disseram esperar que determinados sites mantenham suas informações seguras, enquanto 17% 25 afirmaram acreditar que a maioria dos sites mantenha a privacidade de suas informações. Entretanto, 29% disseram não acreditar que os sites mantenham a privacidade de suas informações e se preocupam com segurança e roubo de identidade. Compare o conceito acima com a ideia de compartilhar dados com um empregador que entende o contexto de quem eles são e o que fazem. “A Geração Y está iniciando no mercado de trabalho e trazendo novas práticas e atitudes relacionadas à informação e à segurança. Essa geração acredita no fim da privacidade — ou seja, que na prática ela não existe —, e é com base nesse paradigma que as empresas devem trabalhar. Esse conceito é alarmante para as gerações anteriores que estão no mercado de trabalho atual", diz Adam Philpott, diretor da EMEAR Security Sales da Cisco. “As empresas podem, entretanto, disponibilizar treinamentos sobre a segurança de informações, alertando seus funcionários sobre os riscos envolvidos, e oferecer orientações sobre como compartilhar melhor as informações e usufruir das ferramentas on-line que fazem parte da área de segurança de dados”. “A Geração Y está iniciando no mercado de trabalho e trazendo novas práticas e atitudes relacionadas à informação e à segurança. Essa geração acredita no fim da privacidade — ou seja, que na prática ela não existe —, e é com base nesse paradigma que as empresas devem trabalhar. Esse conceito é alarmante para as gerações anteriores que estão no mercado de trabalho atual". Adam Philpott, diretor da EMEAR Security Sales 26 2013 Cisco Annual Security Report Por que as empresas precisam propagar informações que gerem conhecimento sobre a desinformação das mídias sociais por Jean Gordon Kocienda, analista de ameaças mundiais da Cisco As mídias sociais têm sido um grande benefício para muitas empresas. A capacidade de estabelecer conexões diretamente com clientes e outros públicos com o uso do Twitter e do Facebook ajudou muitas empresas a criar o reconhecimento da marca por meio da interação social on-line. O lado negativo desta comunicação direta super rápida é que as mídias sociais podem permitir que informações imprecisas e enganosas sejam espalhadas a uma velocidade incrível. Não é difícil imaginar um cenário em que um terrorista coordena ataques em terra usando tweets enganosos com a intenção de obstruir rodovias e linhas telefônicas, ou enviar pessoas para caminhos perigosos. Por exemplo: o governo da Índia bloqueou centenas de sites e textos controlados13 em uma tentativa de restaurar a calma na parte nordeste do país depois que fotos e mensagens de texto foram postadas. Os rumores incitaram pânico em milhares de trabalhadores migrantes, que sobrecarregaram estações de trem e ônibus. Campanhas de desinformação de mídia social também têm afetado os preços de mercado. Uma informação roubada da página da Reuters no Twitter relatou que o Exército Livre da Síria tinha sucumbido em Alepo. Alguns dias depois, um feed de notícias do Twitter foi comprometido e um suposto diplomata russo publicou no site que o presidente sírio Bashar Al-Assad estava morto. Antes dessas contas serem desacreditadas, o preço do petróleo nos mercados internacionais disparou.14 Profissionais de segurança precisam estar em alerta para estas publicações de mídia social de rápida propagação e possivelmente prejudiciais, especialmente se essas publicações forem direcionadas à própria empresa — é necessário uma ação rápida para defender as redes contra malwares, advertir os funcionários sobre tentativas de phishing (roubo de identidade), reencaminhar uma entrega ou oferecer consultoria sobre segurança aos funcionários. Os executivos de segurança desejam evitar a todo custo alertar gerentes sobre notícias de última hora que podem vir a ser uma farsa. A primeira defesa que temos contra notícias fabricadas é confirmá-las através de várias fontes. Antigamente, os jornalistas faziam isso por nós. Quando líamos ou ouvíamos uma notícia, ela já havia sido confirmada. Atualmente, assim como nós, muitos jornalistas obtêm suas histórias de fontes como o Twitter, e se vários de nós acreditarmos na mesma história, podemos facilmente confundir re-tweets com a confirmação do fato. Para as notícias de última hora que exigem ação rápida, a melhor aposta pode ser usar o antigo “teste da primeira impressão.” Se a história parecer artificial, pense duas vezes antes de repeti-la ou citá-la.15 27 Para as notícias de última hora que exigem ação rápida, a melhor aposta pode ser usar o antigo “teste da primeira impressão.” Se a história parecer artificial, pense duas vezes antes de repeti-la ou citá-la. 28 2013 Cisco Annual Security Report Big data Um bom negócio para as empresas de hoje 29 No mundo dos negócios, "big data" é o assunto do momento — além disso, a possibilidade de obter material analítico valioso por meio dos vastos volumes de informações que as empresas coletam, geram e armazenam tem tido bastante visibilidade. O relatório Cisco Connected World Technology 2012 analisou o impacto da tendência do big data em empresas — e mais especificamente, em suas equipes de TI. De acordo com as descobertas do estudo, aproximadamente três quartos (74%) das empresas em todo o mundo coletam e armazenam dados, e os administradores usam a análise de big data para a tomada de decisões de negócios. Além disso, sete entre dez entrevistados do setor de TI relataram que o big data será uma prioridade estratégica para suas empresas e equipes no próximo ano. oportunidades analíticas com foco para negócios. Mas há preocupações em torno da segurança do big data. As descobertas do estudo do Connected World mostram que um terço dos entrevistados (32%) acredita que o big data compromete os requisitos de segurança e proteção de dados e redes porque há muitos dados e muitas formas de acessá-los. Em resumo, o big data aumenta os vetores e ângulos que equipes de segurança empresarial — e soluções de segurança — devem proteger. O desenvolvimento ou surgimento da mobilidade, da nuvem, da virtualização, da multiplicação de endpoints e de outras tendências de rede, abrirá caminho para um uso ainda maior de big data e de Aproximadamente 74% das organizações em todo o mundo coletam e armazenam dados, e os administradores usam a análise de big data para a tomada de decisões de negócios. 30 2013 Cisco Annual Security Report Coreia, Alemanha, Estados Unidos e México possuem as mais altas porcentagens de entrevistados do setor de TI que acreditam que o big data complica a segurança. A Coreia (45%), a Alemanha (42%), os Estados Unidos (40%) e o México (40%) têm as mais altas porcentagens de entrevistados do setor de TI que acreditam que o big data compromete a segurança. Para garantir a segurança, a maioria dos entrevistados do setor de TI — mais de dois terços (68%) — acredita que toda a equipe desse setor deve participar da preparação de estratégias e da administração dos esforços que envolvem o big data em suas empresas. Gavin Reid, diretor de pesquisa de ameaças da Cisco Security Intelligence Operations, diz “O big data não compromete a segurança — ele a torna possível. Na Cisco coletamos e armazenamos 2,6 trilhões de registros todos os dias — isso forma a plataforma de onde podemos iniciar a detecção e o controle de incidentes.” Há obstáculos que impedem a adoção de soluções projetadas para ajudar as empresas a gerenciar melhor e a extrair todo o potencial do grande volume de dados (big data) que geram. Os entrevistados apontaram a falta de orçamento, de tempo para estudar o big data, de soluções apropriadas, de equipes de TI e de profissionais especializados nesse setor. Um entre quatro entrevistados em todo o mundo (23%) disse que a falta de mão de obra especializada e de pessoal foi um fator inibidor para que sua empresa usasse o big data de forma eficiente. Isso indica a necessidade de que mais profissionais iniciantes no mercado de trabalho sejam treinados nesta área. Da mesma forma, a nuvem é o fator de sucesso do big data de acordo com 50% dos entrevistados do setor de TI para o estudo Connected World. Eles acreditam que suas empresas precisam trabalhar em planos e implantações de nuvem para tornar o big data um negócio rentável em todo o mundo. Essa percepção teve destaque na China (78%) e na Índia (76%), onde mais de três entre quatro entrevistados acreditavam que havia uma dependência da nuvem antes do big data realmente se tornar um sucesso. Como resultado, em alguns casos o estudo indica Há obstáculos que impedem a adoção de soluções que são especificamente projetadas para ajudar as empresas a gerenciar melhor e a extrair todo o potencial do grande volume de dados (big data) que geram. Os entrevistados apontaram a falta de orçamento, de tempo para estudar o big data, de soluções apropriadas, de equipes de TI e de profissionais especializados nesse setor. 31 que a adoção da nuvem afetará a taxa de adoção — e os benefícios — dos esforços relacionados ao big data. Mais da metade dos entrevistados gerais do setor de TI também confirmou que as discussões sobre o big data em suas empresas ainda não são produtivas. Isso não é surpreendente se considerarmos que apenas agora o mercado tenta entender como aproveitar, analisar e usar de forma estratégica o big data. Em alguns países, entretanto, discussões sobre big data resultam em decisões significativas sobre estratégia, direção e soluções. China (82%), México (67%), Índia (63%) e Argentina (57%) lideram neste ponto. Mais da metade dos entrevistados destes países afirmam que as discussões sobre big data em suas empresas estão bem encaminhadas — e geram ações e resultados sólidos. Três entre cinco entrevistados do setor de TI do relatório Mundo conectado 2012 acreditam que o big data pode ajudar os países e suas economias a se tornarem mais competitivos no mercado mundial. Em alguns países, entretanto, discussões sobre big data resultam em decisões significativas sobre estratégia, direção e soluções. China, México, Índia e Argentina lideram neste ponto. Mais da metade dos entrevistados desses países afirmam que discussões sobre big data em suas empresas estão bem encaminhadas — e geram ações e resultados sólidos. 32 2013 Cisco Annual Security Report Estado da exploração O perigo se esconde em lugares surpreendentes 33 Muitos profissionais de segurança — e certamente uma grande comunidade de usuários on-line — têm ideias préconcebidas sobre quais os possíveis locais em que as pessoas podem se deparar com um perigoso malware da Web. De modo geral, acredita-se que os sites que promovem atividades criminosas — como sites de venda de produtos farmacêuticos ilegais ou de produtos de luxo falsificados — têm mais chance de hospedar um malware. Nossos dados revelam a verdade sobre este conceito ultrapassado. No cenário atual das ameaças cibernéticas as ocorrências de malware na Web geralmente não são produto de sites de conteúdo duvidoso. "As ocorrências de malware da Web aparecem em todos os locais visitados pelos usuários da Internet — incluindo os mais conceituados sites, os quais são visitados com frequência, mesmo que seja com o intuito de conduzir negócios," diz Mary Landesman, pesquisadora de segurança sênior da Cisco. "Na verdade, sites de empresas e indústrias são uma das três principais categorias visitadas quando uma ocorrência de malware é encontrada. Obviamente os sites de negócios não são projetados para serem nocivos. Os perigos, entretanto, frequentemente estão em anúncios exploratórios bem visíveis que são distribuídos para sites legítimos ou em hackers que visam comunidades de usuários nos sites comuns mais usados. Além disso, sites infectados por malware são predominantes em muitos países e regiões — não apenas em um ou dois países, o que distorce a noção de que sites de alguns países podem hospedar mais conteúdo malicioso que outros. “A Web é o mecanismo de disponibilização de malware mais impressionante que já vimos até hoje. Ela supera até mesmo o worm ou os vírus mais produtivos em sua capacidade de atingir — e infectar — um público em massa silenciosamente e com eficiência," diz Landesman. “As empresas precisam de proteção, mesmo se bloquearem os sites Os perigos estão frequentemente escondidos em anúncios on-line de cunho exploratório de alta visibilidade. 34 2013 Cisco Annual Security Report Figura 3: riscos de acordo com o tamanho da empresa Até 2,5 vezes mais riscos de encontrar malware da Web em grandes organizações. Risk by Company Size Número de funcionários 250 ou menos 251–500 501–1000 1001–2500 2501–5000 5001–10.000 10.001–25.000 Mais de 25.000 Todas as empresas — independente do tamanho — enfrentam um risco significativo de descobertas de malware da Web. Toda empresa deve concentrar-se nos fundamentos da proteção de sua rede e propriedade intelectual. 35 de conteúdo duvidoso mais comuns, com um foco ainda mais preciso na inspeção e na análise.” Descobertas de malware por tamanho da empresa As empresas maiores (com mais de 25.000 funcionários) têm um risco 2,5 vezes maior de encontrar malware do que empresas pequenas. Este risco elevado pode ser causado por uma maior propriedade intelectual de alto valor. Por isso as grandes empresas são um alvo mais frequente. Enquanto empresas pequenas possuem menos ocorrências de malware da Web por usuário, é importante observar que todas as empresas — independentemente do tamanho — enfrentam um risco significativo de ocorrências de malware. Toda empresa deve concentrar-se nos fundamentos da proteção de sua rede e propriedade intelectual. Descobertas de malware por país A pesquisa da Cisco mostra uma mudança significativa no panorama mundial para as ocorrências de malware da Web por país em 2012. A China, que foi a segunda da lista de ocorrências de malware da Web em 2011, caiu drasticamente seis posições em 2012. A Dinamarca e a Suécia agora estão no terceiro e quarto lugar, respectivamente. Os Estados Unidos permaneceram no topo do ranking em 2012, assim como em 2011, com 33% de todas as ocorrências de malware por meio de sites hospedados nesse país. Mudanças na localização geográfica entre 2011 e 2012 provavelmente refletem mudanças tanto na detecção quanto nos hábitos do usuário. Por exemplo, "malvertising", ou o malware disponibilizado através de anúncios online, tiveram uma função mais significativa nas descobertas de malware da Web em 2012 do que em 2011. Vale lembrar que descobertas de malware da Web ocorrem com mais frequência através da navegação normal em sites legítimos que podem ter sido comprometidos ou estão apresentando anúncios maliciosos involuntários. Um anúncio malicioso pode afetar qualquer site, independente de sua origem. Em geral, os dados geográficos de 2012 demonstram que a Web pode causar infestações de forma uniforme — ao contrário das percepções de que apenas um ou dois países sejam responsáveis por hospedar malware da Web ou de que qualquer país esteja mais seguro que outro. Assim como a disponibilização de conteúdo dinâmico da Web 2.0 permite a monetização de sites em todo o mundo, também é possível facilitar a disponibilização de malware da Web mundialmente. Claro, há uma diferença distinta entre onde uma descoberta de malware da Web ocorre e onde o malware realmente está hospedado. Em malvertising, por exemplo, a descoberta normalmente ocorre quando visitamos um site legítimo e com boa reputação que por acaso apresenta um anúncio de terceiros. Entretanto, o 36 2013 Cisco Annual Security Report Figura 4: ocorrências de malware da Web por país Um terço de todas as ocorrências de malware da Web foram encontradas em domínios hospedados nos Estados Unidos. GANHOS DE 2011 DECLÍNIO DE 2011 4,07% Reino Unido 1,95% 1 Irlanda 2,27% Holanda 6,11% Alemanha 33,14% Estados Unidos 37 9,55% Dinamarca 10 3 7 9 9,27% Suécia 4 5 2 8 9,79% Rússia 6 5,65% China 2,63% Turquia Em geral, os dados geográficos de 2012 demonstram que a Web pode causar infestações de forma uniforme — ao contrário das percepções de que apenas um ou dois países sejam responsáveis por hospedar malware da Web ou de que qualquer país esteja mais seguro que outro. 38 2013 Cisco Annual Security Report Figura 5: principais tipos de malware da Web Descobertas de malware do software Android cresceram 2.577% em 2012, apesar de que os malwares de aparelhos móveis compreendem uma pequena porcentagem do total de ocorrências de malware da Web. Exploração de 9,8% Roubo de Informações 3,4% Baixador 1,1% Mal script/iframe 83,4% Worm 0,89% Vírus 0,48% Dispositivo móvel 0,42% Scareware 0,16% Ransomware 0,058% Kit de malware/hacker 0,057% Android Growth Crescimento do Android: 2577% JAN FEV MAR ABR MAI JUN JUL AGO SET OCT NOV DEZ 39 malware destinado para distribuição está hospedado em um domínio completamente diferente. Como os dados da Cisco são baseados no local da ocorrência, eles não tem relação alguma com a origem do malware. Por exemplo, a popularidade elevada das mídias sociais e dos sites de entretenimento na Dinamarca e na Suécia, juntamente com os riscos de malvertising, é altamente responsável pelo aumento das ocorrências de sites hospedados nessas regiões, mas este não é um indicativo da origem real do malware. Principais tipos de malware da Web em 2012 Os malwares do software Android cresceram substancialmente mais rápido que qualquer outra forma de malware disponibilizado através da Web. Uma tendência importante, pois foi relatado que o Android possui a maior participação de mercado de dispositivos móveis do mundo. É importante observar que as descobertas de malware para dispositivos móveis compreenderam apenas 0,5% de todas as descobertas de malware em 2012, com o Android obtendo mais de 95% de todas essas descobertas de malware da Web. Além disso, em 2012 ocorreu o surgimento do primeiro botnet de Android documentado em livre circulação, o que indica que os desenvolvimentos de malware para dispositivos móveis em 2013 precisam de muita atenção. Enquanto alguns especialistas afirmam que o Android é uma "grande ameaça" ou que deve ser o enfoque principal das equipes de segurança corporativa em 2013 — os dados reais mostram o contrário. Conforme observado acima, o malware da Web para dispositivos móveis, em geral, compõe menos de 1% do total de ocorrências — número distante do cenário "apocalíptico" que muitos detalham. O impacto da consumerização de TI e da proliferação de dispositivos não pode ser ignorado. No entanto, a maior preocupação das empresas devem ser ameaças, tais como a perda de dados acidental, devendo garantir que os funcionários não "vasculhem" ou façam "jailbreak" em seus dispositivos, instalando apenas aplicações de canais de distribuição oficiais e confiáveis. Caso os usuários optem por não usar mais as lojas de aplicativos móveis oficiais, eles devem ter certeza de que, antes de fazer o download, conhecem e confiam no autor do aplicativo e podem provar que o código não foi violado. Quando analisamos de modo mais amplo o panorama de malwares da Web, não nos surpreendemos com o fato de que scripts e iFrames maliciosos corresponderam a 83% das ocorrências achadas em 2012. Embora seja relativamente compatível com o ano anterior, é uma descoberta sobre a qual vale a pena discutir. Estes tipos de ataques frequentemente representam códigos maliciosos em webpages "confiáveis" que podem ser visitadas por usuários todos os dias — o que significa que um invasor é capaz de comprometer os usuários sem mesmo levantar suspeitas. 40 2013 Cisco Annual Security Report As explorações ficam em segundo lugar, com 10% do número total de ocorrências de malware no ano passado. Entretanto, estes dados são em grande parte um resultado de onde o bloqueio ocorreu em comparação com a concentração real de explorações na Web. Por exemplo, 83% de scripts maliciosos e iFrame ocultos são bloqueios que ocorrem em um estágio anterior, antes do acontecimento de qualquer exploração. Por isso, podem artificialmente diminuir o número de explorações observadas. As explorações ainda são uma grande causa das infecções via Web e sua presença continuada enfatiza a necessidade de os fornecedores adotarem as melhores práticas de segurança nos ciclos de vida de seus produtos. As organizações devem se concentrar na segurança como parte do design e do processo de desenvolvimento do produto, com divulgações de vulnerabilidade oportunas e ciclos de correção imediatos/ regulares. As empresas e os usuários também precisam ser orientados a respeito dos riscos de segurança associados ao uso de produtos que não são mais respaldados pelos fornecedores. Isso também é essencial para que as empresas possam manter um processo de gerenciamento das principais vulnerabilidades e para que os usuários possam manter seu hardware e software atualizados. Entre os cinco principais estão os ladrões de informações, com 3,5% do total de descobertas de malware da Web em 2012, baixadores (1,1%) e worms (0,8%). Mais uma vez, estes números são um reflexo de onde o bloqueio ocorre, geralmente no ponto em que o script ou iFrame malicioso é encontrado pela primeira vez. Como resultado, estes números não refletem o número real de ladrões de informações, baixadores ou worms que são distribuídos através da Web. Principais tipos de conteúdo de malware Criadores de malware buscam constantemente maximizar seu retorno sobre o investimento (ROI) encontrando maneiras de atingir o maior número de possíveis vítimas com o menor esforço e, quando possível, se aproveitam de tecnologias de plataforma cruzada. Para estes fins, kits de ferramentas geralmente distribuem explorações em uma ordem específica. Assim que uma exploração de sucesso for distribuída, não será possível fazer tentativas de nenhuma outra exploração. A alta concentração de pacotes de exploração do software Java—87% do total de explorações da Web— mostra que são feitas tentativas de inserção dessas vulnerabilidades anteriormente a outros tipos de pacotes de exploração. Isso demonstra também que os invasores estão obtendo sucesso usando os pacotes de exploração do software Java. Além disso, com mais de 3 bilhões de dispositivos executando Java,16 a tecnologia representa um caminho aberto para que hackers escalem seus ataques através de várias plataformas 41 Figura 6: principais tipos de conteúdo de malware para 2012 Explorações de Java corresponderam a 87% do total de explorações da Web. Tipos dos principais conteúdos mensais 100% Aplicação Texto Imagem Vídeo Áudio Mensagem 80% 60% 40% 20% 0% J F M A M J J A S O N D Tipos de conteúdo explorado 100% Java PDF Flash Active-X 80% 60% 40% 20% 0% J F M A M J J A S O N D Total dos principais tipos de conteúdo Aplicação Texto 65.05% 33.81% Imagem Vídeo Áudio 1.09% 0.05% 0.01% Mensagem 0.00% A alta concentração de pacotes de exploração do software Java mostra que são feitas tentativas de inserção dessas vulnerabilidades anteriormente a outros tipos de pacotes de exploração. Isso demonstra também que os invasores estão obtendo sucesso usando os pacotes de exploração do software Java. 42 2013 Cisco Annual Security Report Figura 7: categoria dos principais sites Sites de compras on-line são 21 vezes mais propensos a disponibilizar conteúdo malicioso que sites de software falsificado. Observação: A categoria “conteúdo dinâmico” está no topo da lista da Cisco dos principais Toppara Siteprobabilidade Category for Malware Encounter locais de Web infecções de malware. Esta categoria inclui sistemas de disponibilização de conteúdo, como estatísticas da Web, análise de sites e outros conteúdos de terceiros não relacionados a publicidade. Propagandas 16,81% Negócios e indústria 8,15% Conteúdo dinâmico e CDN 18,30% Jogos 6,51% Hospedagem de sites 4,98% Mecanismos de busca e portais 4,53% Computadores e Internet 3,57% Comunidades on-line 2,66% Compras 3,57% Entretenimento 2,57% Viagem 3,00% Armazenamento e backup on-line 2,27% Notícias 2,18% Saúde e nutrição 0,97% Transporte 1,11% Educação 1,17% Esportes e divertimentos 2,10% Serviços de transferência de arquivos 1,50% SaaS e B2B E-mail 1,40% baseado na Web 1,37% 43 Duas outras plataformas cruzadas — PDF e Flash — levaram o segundo e o terceiro lugares na análise da Cisco dos principais tipos de conteúdo para distribuição de malware. Apesar de o Active X ainda estar sendo explorado, os pesquisadores da Cisco têm observado um uso constantemente baixo da tecnologia como um veículo para malware. Entretanto, conforme observado anteriormente em relação ao Java, números menores de certos tipos de explorações são em grande parte uma reflexão da ordem em que foram feitas as tentativas de exploração. Ao analisar conteúdo de mídia, os dados da Cisco revelam quase o dobro de malware com base em imagem em comparação do que em vídeos que não são em Flash. Entretanto, isso deve-se em parte, à forma como os navegadores lidam com tipos de conteúdo declarado e aos esforços dos invasores para manipular estes controles declarando tipos de conteúdo errados. Além disso, sistemas de comando e controle de malware frequentemente distribuem informações do servidor através de comentários escondidos em arquivos de imagem comuns. Principal categoria de site Conforme mostram os dados da Cisco, a ideia de que infecções de malware resultam mais comumente de sites "arriscados", como os de software falsificado, é um engano. A análise da Cisco indica que a grande maioria das ocorrências de malware da Web ocorrem por meio da navegação comum em sites populares. Em outras palavras, a maioria das ocorrências acontece nos locais mais visitados pelos usuários— onde eles acreditam serem sites seguros. Em segundo lugar na lista estão os anúncios on-line, que correspondem a 16% do total de descobertas de malware da Web. A publicação de anúncios é um meio comum de monetizar sites, portanto um único anúncio malicioso distribuído dessa maneira pode causar um impacto negativo e de alto impacto. A grande maioria das descobertas de malware da Web ocorrem por meio da navegação comum em sites populares. Em outras palavras, a maioria das descobertas acontece nos lugares mais visitados pelos usuários— e que pensam ser seguros. 44 2013 Cisco Annual Security Report Os criminosos cibernéticos prestaram muita atenção aos hábitos modernos de navegação para expor o maior número de pessoas possível aos malwares da Web. Analisando os outros colocados na lista de categorias de sites em que foram encontradas ocorrências de malware, os sites de empresas e indústrias—os quais incluem tudo, desde sites corporativos a recursos humanos e serviços de frete— ficaram em terceiro lugar. Jogos on-line estão em quarto lugar, seguidos por sites de hospedagem da Web e os mecanismos de busca ficaram em quinto e sexto lugares, respectivamente. As 20 principais categorias de site não contam com os sites normalmente considerados como maliciosos. Há uma mistura saudável de tipos de site populares e legítimos, como compras on-line (nº 8), notícias (nº13) e aplicativos de SaaS/business-to-business (nº 16). Os criminosos cibernéticos prestaram muita atenção aos hábitos modernos de navegação para expor o maior número de pessoas possível aos malwares da Web. Onde os usuários on-line estiverem, os criadores de malware os seguirão e se aproveitarão de sites confiáveis através do comprometimento direto ou de redes de distribuição de terceiros. Aplicativos populares por acessos As mudanças em como as pessoas usam seu tempo on-line aumentam o terreno para que criminosos cibernéticos lancem explorações. Empresas de todos os portes estão adotando as mídias sociais e o compartilhamento de vídeos on-line. A maioria das marcas tem presença no Facebook e no Twitter e muitos estão integrando as mídias sociais em seus próprios produtos. A medida que estes destinos da Web vão atraindo o público de modo massivo e vão sendo incorporados dentro das configurações empresariais, mais oportunidades de distribuição de malware vão sendo criadas. De acordo com o Cisco Application Visibility and Control (AVC), a grande maioria (91%) das solicitações da Web foi dividida entre mecanismos de busca (36%), sites de vídeo on-line (22%), redes de anúncios (13%) e redes sociais (20%). Empresas de todos os portes estão adotando as mídias sociais e o compartilhamento de vídeos on-line. A maioria das marcas tem presença no Facebook e no Twitter e muitos estão integrando as mídias sociais em seus próprios produtos. 45 Figura 8: aplicativos populares por acessos As mídias sociais e o compartilhamento de vídeos on-line mudaram o modo como os funcionários dispõem de seu horário de trabalho — expondo novas vulnerabilidades. Top Web Applications by Hits Outros Rede Social 20% 9% 36% Mecanismo de pesquisa 13% Anúncios 22% Vídeo on-line Se os dados nos principais sites visitados na Internet estão correlacionados à categoria mais perigosa de sites, os mesmos locais em que os usuários on-line têm a maior exposição a malwares, como mecanismos de busca, estão entre as principais áreas que guiam às ocorrências de malware da Web. Se os dados nos principais sites visitados na Internet estão correlacionados à categoria mais perigosa de sites, os mesmos locais em que os usuários on-line têm a maior exposição a malwares, como mecanismos de busca, estão entre as principais áreas que guiam às ocorrências de malware da Web. Esta correlação mostra mais uma vez que os criadores de malware estão concentrados em maximizar seu ROI — e, portanto, centralizarão seus esforços nos lugares onde o número de usuários e a facilidade de exposição são maiores. 46 2013 Cisco Annual Security Report When Gothic Horror Gives Birth to Malware de Kevin W. Hamlen Professor Associado, Departamento de Ciências da Computação da Universidade do Texas, Dallas A camuflagem do malware é uma ameaça emergente que profissionais de segurança enfrentarão cada vez mais. Enquanto a maioria dos malwares usam mutação ou ofuscação para diversificar e tornar a aplicação de engenharia reversa mais difícil, o malware com auto-camuflagem é ainda mais furtivo, misturandose com o software específico já presente em cada sistema infectado por esse tipo de malware. Isso pode enganar as defesas que procuram por anomalias de software com descompactação de tempo de execução ou código criptografado, que frequentemente expõem malwares mais convencionais. A última tecnologia de malware de auto-camuflagem — apropriadamente apelidada de Frankenstein17 — é um produto de nossa pesquisa deste ano no Cyber Security Research and Education Center na Universidade do Texas, em Dallas. Assim como a história fictícia do cientista louco no romance de terror de Mary Shelley, o “malware Frankenstein” cria mutantes que roubam partes de corpos (ou seja, códigos) de outros softwares e as une para criar variantes exclusivas de si mesmo. Cada Frankenstein mutante é, portanto, composto totalmente de um software não anômalo e de aparência benigna, não executa descompactação de tempo de execução ou criptografia suspeita e tem acesso a um conjunto sempre em expansão de transformações de códigos dos vários programas que ele encontra. Sorrateiramente, o Frankenstein dá vida às suas criações usando uma variedade de técnicas extraídas de teorias de compiladores e análises de programas. Primeiro, os binários da vítima são examinados em busca de pequenas sequências de bites que decodificam sequências de instruções possivelmente úteis, chamadas de gadgets. Em seguida, um pequeno interpretador abstrato infere os possíveis efeitos semânticos de cada gadget descoberto. É aplicada uma pesquisa retroativa para descobrir sequências de gadgets que, quando executadas em ordem, têm o efeito de implementar o comportamento malicioso da carga útil do malware. Assim como a história fictícia do cientista louco no romance de terror de Mary Shelley, o “malware Frankenstein” cria mutantes que roubam partes de corpos (ou seja, códigos) de outros softwares e as une para criar variantes exclusivas de si mesmo. 47 Em geral, nossa pesquisa sugere que malwares de última geração podem cada vez mais evitar mutações simples com base em criptografia e compactação em favor de ofuscações binárias metamórficas avançadas, como as usadas pelo Frankenstein. Cada sequência descoberta é finalmente montada para formar um novo mutante. Na prática, o Frankenstein descobre mais de 2.000 gadgets por segundo, acumulando mais de 100.000 dos binários de apenas duas ou três vítimas em menos de cinco segundos. Com um conjunto tão grande de gadgets à sua disposição, os mutantes resultantes raramente compartilham alguma sequência de instruções comuns; cada uma delas, portanto, parece exclusiva. Em geral, nossa pesquisa sugere que malwares de última geração podem cada vez mais evitar mutações simples com base em criptografia e compactação em favor de ofuscações binárias metamórficas avançadas, como as usadas pelo Frankenstein. Essas ofuscações são fáceis de implementar, apoiam a propagação rápida e são eficientes para ocultar o malware das fases de análise estática da maioria dos mecanismos de detecção de malware. Para enfrentar esta tendência, os defensores precisarão desenvolver algumas das mesmas tecnologias usadas para desenvolver o Frankenstein, que incluem análise estática com base em semântica ao invés de sintática, extração de recursos e assinaturas semânticas derivadas do aprendizado de máquina,18 em vez da análise puramente manual. Este artigo relata uma pesquisa apoiada em parte pelo prêmio nº 1054629 da National Science Foundation (NSF) e pelos EUA. Prêmio FA9550-10-1-0088. da Air Force Office of Scientific Research (AFOSR) Qualquer opinião, descoberta, conclusão ou recomendação externada são do autor e não necessariamente reflete a da NSF ou da AFOSR. Vishwath Mohan e Kevin W. Hamlen. “Frankenstein: Stitching Malware from Benign Binaries.” In. Proceedings of the USENIX Workshop on Offensive Technologies (WOOT), pp. 77-84, agosto de 2012. 17 Mohammad M. Masud, Tahseen M. Al-Khateeb, Kevin W. Hamlen, Jing Gao, Latifur Khan, Jiawei Han e Bhavani Thuraisingham. “Cloud-based” Malware Detection for Evolving Data Streams. 311 ACM Transactions on Management Information Systems (TMIS), 2(3), outubro de 2011. 18 48 2013 Cisco Annual Security Report Números de alertas mensais de 2010 Números de alertas mensais de 2011 Números de alertas mensais de 2012 Análise de e Reamp ameaças deTotal 2012 Totalvulnerabilidade Reamp Novo Total Novo Reamp Novo O gráfico de categorias de vulnerabilidades e ameaças mostra um aumento significativo no total de 552 344 208 552 Janeiro 417 259 158 417 403 237 166 403 ameaças — em 2012, o número de ameaças aumentou 19,8% com relação ao ano de 2011. Esse aumento 430 253 177 847 551 317 234 1103 Fevereiro 400 176 224 803 acentuado das ameaças aplica uma forte pressão na capacidade de as empresas manterem os sistemas 324 194 1364 487 238 1590 Março 518 501 e276 225 —1304 de gerenciamento de vulnerabilidades atualizados corrigidos especialmente com a249 mudança para ambientes virtuais. 375 167 208 1740 524 306 218 2114 Abril 475 229 246 1779 Maio 322 174 148 2062 404 185 219 2183 586 343 243 2700 Setembro 357 167 190 3916 441 234 207 4023 572 330 242 5024 As empresas também estão tentando adotar um uso maior de softwares open-source e de terceiros a 294 240 2596 647 258open-source 3347 472 221única 251vulnerabilidade 2655 seremJunho incluídos 534 em seus produtos e ambientes. "Uma nas 389 soluções 422 impactar 210 212 277 237 Julho pode 453 213 240 3108 ou de terceiros uma3018 grande variedade de sistemas em todo514 o ambiente, o que3861 torna difícil a identificação a correção ou a atualização de todos esses Jeff Shipley, gerente da Cisco 286 255 3559 306 285 4452 Agosto e541 474 226 248sistemas,” 3582 diz591 Security Research and Operations. 191 227 4334 517 de 280 237 5541 Outubro 244ao4581 Quanto aos tipos418 de ameaças, o maior grupo 558 é o de314 ameaças gerenciamento recursos; isso geralmente vulnerabilidades de negação de serviço, ameaças entradas como erros 252 224 4810 375 de 175 200 5916 Novembroinclui476 357 195 162 4938à validação de injeção SQL e400 criação script 5210 de site cruzado fluxos de buffer na negação de serviço. 203de 197 376 183 193 6292 Dezembro 363 e178 185 5301que resultam A preponderância de ameaças semelhantes de anos anteriores, combinada com a elevação acentuada 5210que 2780 2430 5301 2684 2617 6292 para 3488a detecção 2804 nas ameaças, indica o segmento de segurança precisa se preparar melhor ea manipulação dessas vulnerabilidades. As Cisco IntelliShield Alert Urgency Ratings refletem o nível da atividade de ameaças relacionadas a vulnerabilidades específicas. O aumento substancial nas taxas de urgência de nível 3 indica que mais 2010 2011causa 2012 8000 vulnerabilidades realmente estão sendo exploradas. Isso aconteceu provavelmente por do aumento 7000 na publicidade que liberou explorações por pesquisadores ou ferramentas de teste e a incorporação 6000 dessas explorações nos kits de ferramentas de ataque. Esses dois fatores permitem que mais explorações 5000 fiquem disponíveis e sejam usadas livremente por hackers e grupos criminosos. 4000 3000 As Cisco IntelliShield Alert Severity Ratings refletem o grau do impacto das explorações de 2000 vulnerabilidades bem-sucedidas. As taxas de gravidade também mostram um aumento notável nas 1000 ameaças de0nível 3 — pelas mesmas razões indicadas acima em relação à pronta disponibilidade de J F M A M J J A S O N D ferramentas de exploração Figura 9: taxas de urgência e gravidade 2010 Classificação Classificação Urgência >=3 Gravidade >=3 Urgência >=4 Gravidade >=4 Urgência >=5 Gravidade >=5 0 10 20 30 40 50 60 0 500 1000 2011 1500 2012 2000 49 Figura 10: categorias de vulnerabilidades e ameaças Números de alertas mensais de 2010 Total Números de alertas mensais de 2011 Reamp Novo Total Números de alertas mensais de 2012 Reamp Novo Total Reamp Novo Janeiro 417 259 158 417 403 237 166 403 552 344 208 552 Fevereiro 430 253 177 847 400 176 224 803 551 317 234 1103 Março 518 324 194 1364 501 276 225 1304 487 238 249 1590 Abril 375 167 208 1740 475 229 246 1779 524 306 218 2114 Maio 322 174 148 2062 404 185 219 2183 586 343 243 2700 Junho 534 294 240 2596 472 221 251 2655 647 389 258 3347 Julho 422 210 212 3018 453 213 240 3108 514 277 237 3861 Agosto 541 286 255 3559 474 226 248 3582 591 306 285 4452 Setembro 357 167 190 3916 441 234 207 4023 572 330 242 5024 Outubro 418 191 227 4334 558 314 244 4581 517 280 237 5541 Novembro 476 252 224 4810 357 195 162 4938 375 175 200 5916 Dezembro 400 203 197 5210 363 178 185 5301 376 183 193 6292 5210 2780 2430 5301 2684 2617 6292 3488 2804 2010 8000 7000 6000 5000 4000 3000 2000 1000 0 J F M A M J J A S O 2011 N 2012 D "Uma única vulnerabilidade nas soluções open-source ou de terceiros pode impactar 2010 2012 uma grande variedade de sistemas em todo o ambiente, o que torna difícil2011 a Classificação Classificação identificação e a correção ou a atualização de todos esses sistemas”. Gravidade >=3 Urgência >=3 Jeff Shipley, gerente da Cisco Security Research and Operations. Urgência >=4 Gravidade >=4 Urgência >=5 Gravidade >=5 0 10 20 30 40 50 60 0 500 1000 1500 2000 50 2013 Cisco Annual Security Report Ameaças em evolução Novos métodos, mesmas explorações 51 Hoje em dia, não importa qual exploração cibernética é escolhida — contanto que o método selecionado aja com eficiência. Isso não quer dizer que os agentes na economia paralela não continuam comprometidos com a criação de ferramentas e técnicas ainda mais sofisticadas para afetar usuários, infectar redes, roubar dados confidenciais, entre muitos outros objetivos. Em 2012, no entanto, houve uma tendência que tentava resgatar os "bons e velhos" malwares para descobrir novas maneiras de criar interrupções ou evadir proteções de segurança corporativa. Os ataques DDoS são um exemplo importante — várias grandes instituições financeiras dos Estados Unidos foram alvos famosos de duas campanhas importantes e relacionadas lançadas por grupos de hacktivistas estrangeiros nos últimos seis meses de 2012 (para análise detalhada, consulte a seção tendências de ataques de negação de serviço distribuídos em 2012). Alguns especialistas em segurança avisam que esses eventos são apenas o início e que os "hacktivistas, redes criminosas organizadas e até mesmo Estados-nação, serão os responsáveis"19 por esses ataques no futuro, trabalhando tanto de forma colaborativa como de forma independente. “Nós estamos percebendo no DDoS uma tendência na qual os invasores acrescentam contexto adicional ao site alvo do ataque para que a interrupção se torne mais significativa," diz Gavin Reid, diretor da Threat Research for Cisco Security Intelligence Operations, "Em vez de fazer um fluxo SYN, agora, o DDoS tenta manipular um aplicativo específico da empresa — o que possivelmente provocará um conjunto de danos em cascata, no caso de falha.” Em 2012 houve uma tendência que tentava resgatar os "bons e velhos" malwares para descobrir novas maneiras de criar interrupções ou evadir proteções de segurança corporativa. 52 2013 Cisco Annual Security Report "Mesmo contra adversários sofisticados — mas medianos—, a "modernidade" atual da segurança de rede é frequentemente ultrapassada de forma significativa." Gregory Neal Akers, vice-presidente sênior do Advanced Security Initiatives Group da Cisco Embora as empresas possam acreditarse adequadamente protegidas contra a ameaça do DDoS, muito provavelmente suas redes não poderiam ser defendidas contra os tipos de ataques implacáveis e em alto volume testemunhados em 2012. "Mesmo contra adversários sofisticados — mas medianos—, a "modernidade"' atual na segurança de rede é frequentemente ultrapassada de forma significativa," diz Gregory Neal Akers, Vice-Presidente Sênior do Advanced Security Initiatives Group da Cisco. Outra tendência na comunidade de crimes cibernéticos gira em torno da "democratização" de ameaças. Vemos cada vez mais que atualmente as ferramentas e técnicas — e a inteligência sobre como explorar vulnerabilidades — são "amplamente compartilhadas" na economia paralela. “Recursos de táticas de espionagem se desenvolveram muito," diz Akers. “Agora vemos mais especialização e colaboração entre agentes maliciosos". É uma linha de produção de ameaças: alguém desenvolve um bug, outra pessoa cria o malware, outra projeta o componente de engenharia social e assim por diante." A criação de poderosas ameaças que os ajudarão a obter acesso ao grande volume de ativos de alto valor encontrados na rede é um dos motivos pelos quais o criminosos cibernéticos estão combinando suas expertises com mais frequência. Mas, na comunidade de crimes virtuais, como em qualquer empresa do mundo real que terceiriza suas tarefas, eficiência e redução de custos estão entre os principais estimuladores da abordagem "criar uma ameaça". O "talento autônomo" contratado para essas tarefas normalmente anuncia suas habilidades e paga taxas para a ampla comunidade de crimes cibernéticos por intermédio de mercados on-line secretos. 53 Ataques de amplificação e reflexão Ataques de amplificação e reflexão de DNS20 utilizam resolvedores recursivos de sistema de nomes de domínio (DNS) ou servidores oficiais de DNS para aumentar o volume de tráfego de ataques enviados a uma vítima. Ao falsificar 21 mensagens de solicitação de DNS, esses ataques escondem a verdadeira fonte do ataque e enviam consultas de DNS que retornam mensagens de resposta de DNS 1.000 a 10.000% maiores que a mensagem de solicitação de DNS. Esses tipos de perfis de ataque são comumente observados durante ataques 22 DDoS. As empresas participam inadvertidamente desses ataques ao deixar resolvedores recursivos abertos pela Internet. Eles podem detectar os ataques usando várias ferramentas23 e tecnologias de telemetria 24 de fluxo que podem ajudar a proteger 25 seu servidor DNS ou mensagens de resposta26 de DNS com limite de taxa. Tendências ataques de negação de serviço distribuídos em 2012 A análise a seguir é derivada do repositório do Arbor Networks ATLAS, que compreende dados mundiais reunidos a partir de várias origens, de 240 ISPs, tráfego de monitoração de pico de 37,8 Tbps.27 Os tamanhos dos ataques continuam a ser uma tendência ascendente Em geral, houve um aumento no tamanho médio de ataques no ano passado. Houve um aumento de 27% em volume de ataques (de 1.23 Gbps em 2011 para 1.57 Gbps em 2012) e um aumento de 15% nos pacotes por segundo usados em ataques (de 1,33 Mpps em 2011 para 1,54 Mpps em 2012). Demografia dos ataques As três principais fontes de ataques monitoradas, depois de remover 41% de fontes para as quais não há atribuição devido ao anonimato de dados, são a China (17,8%), Coreia do Sul (12,7%) e Estados Unidos (8%). Os maiores ataques O maior ataque monitorado foi medido em 100,84 Gbps e durou aproximadamente 20 minutos (a fonte do ataque é desconhecida devido ao anonimato de dados). O maior ataque monitorado em pps correspondente foi medido em 82,36 Gbps e durou aproximadamente 24 minutos (a fonte do ataque é desconhecida devido ao anonimato de dados). 54 2013 Cisco Annual Security Report Figura 11: evasões do Sistema de Prevenção de Intrusos (IPS) Protocolo de controle de transmissão, Src Porta: 32883 (32883), Dst DCE RPC Bind, Fragmento: Único, FragLen: 820, Call: 0 Versão: 5 Versão (inferior): 0 Tipo de Pacote: bind (11)  Sinalizadores do pacote: 0x03  Representação de dados: 10000000 Comprimento do fragmento.: 820 Comprimento autorizado: 0 ID de chamada: 0 Transm. máx. de frag.: 5.840 Recup. máx. de frag.: 5.840 Grupo de assoc.: 0x00000000 Número de itens de contexto: 18  ID de contexto: 0 Número de itens de transm.: 1  UUID da interface: c681d4c7-7f36-33aa-6cb8-535560c3f0e9  ID de contexto: 1 Número de itens transf.: 1  Interface UUID: 2ec29c7e-6d49-5e67-9d6f-4c4a37a87355 A Cisco Security Research and Operations mantém vários laboratórios de malware para observar o tráfego de elementos maliciosos na prática. O malware é liberado intencionalmente nesses laboratórios para garantir se os dispositivos de segurança são eficientes; os computadores também são deixados intencionalmente vulneráveis e expostos à Internet. 55 Armamento de técnicas modernas de evasão Criminosos cibernéticos desenvolvem constantemente novas técnicas para passar por dispositivos de segurança. Os pesquisadores da Cisco observam de forma cautelosa as novas técnicas e o "armamento" de técnicas bem conhecidas. A Cisco Security Research and Operations mantém vários laboratórios de malware para observar o tráfego de elementos maliciosos na prática. O malware é liberado intencionalmente nesses laboratórios para garantir se os dispositivos de segurança são eficientes; os computadores também são deixados intencionalmente vulneráveis e expostos à Internet. Durante esse teste, a tecnologia Cisco Intrusion Prevention System (IPS) detecta um ataque bem conhecido à Chamada de Procedimento Remoto da Microsoft (MSRPC). Uma análise cuidadosa determinou que o ataque utiliza uma tática de evasão de malware nunca vista em uma tentativa de passar pelos dispositivos de segurança.28 A evasão enviou vários IDs de contexto de ligação dentro da solicitação de ligação inicial. Este tipo de ataque pode evadir proteções a menos que o IPS monitore e determine quais IDs foram bemsucedidas. Criminosos cibernéticos desenvolvem constantemente novas técnicas para passar por dispositivos de segurança. Os pesquisadores da Cisco observam de forma cautelosa as novas técnicas e o "armamento" de técnicas bem conhecidas. 56 2013 Cisco Annual Security Report Estudo de caso Operação Ababil Durante setembro e outubro de 2012, a Cisco e a Arbor Networks monitoraram uma campanha de ataques de DDoS direcionada e muito séria conhecida como "Operação Ababil", que tinha como alvo instituições financeiras com base nos EUA. Os ataques a DDoS foram premeditados, concentrados, anunciados e executados à risca. Os invasores foram capazes de deixar vários sites financeiros importantes indisponíveis para clientes legítimos por minutos — e nas ocorrências mais graves, por horas. Durante os eventos, vários grupos assumiram a responsabilidade pelos ataques. Pelo menos um grupo alegou estar protestando contra a legislação de direitos autorais e de propriedade intelectual nos Estados Unidos. Outros divulgaram seu envolvimento como uma resposta a um vídeo publicado no YouTube que apresentava conteúdo ofensivo para uma parcela de muçulmanos. Do ponto de vista de segurança cibernética, a Operação Ababil é notável porque aproveitou aplicativos da Web e servidores de hospedagem comuns que são tão populares quanto vulneráveis. Outro fator óbvio e incomum usado nessa séries de ataques foi que ataques simultâneos, em alta largura de banda, foram lançados contra várias empresas do mesmo setor (financeiro). Como é observado frequentemente no setor de segurança, o antigo torna-se atual novamente. Em 18 de setembro de 2012, o "Cyber Fighters of Izz ad-Din al-Qassam" postou no Pastebin29 fazendo um apelo aos muçulmanos para que atacassem instituições financeiras e plataformas de negociação de commodities. As ameaças e alvos específicos foram expostos perante o mundo durante quatro semanas consecutivas. A cada semana, novas ameaças junto a novos alvos foram seguidos por ações ocorridas nos horários e datas indicados. Na quinta semana, o grupo parou de nomear alvos, mas deixou claro que as campanhas continuariam. Conforme prometido, as campanhas recomeçaram no começo de dezembro de 2012, mais uma vez tendo como alvo várias grandes instituições financeiras dos EUA. A fase 2 da Operação Ababil também foi anunciada no Pastebin.30 Ao invés de infectar máquinas, uma variedade de aplicativos da Web de PHP, incluindo o Sistema de Gerenciamento de Conteúdo Joomla, serviram como os principais robôs da campanha. Além disso, muitos sites do WordPress, frequentemente usando o plug-in TimThumb desatualizado, foram comprometidos mais ou menos ao mesmo tempo. Os invasores também tiveram como alvo servidores sem manutenção que hospedavam esses aplicativos e carregaram webshells de PHP para desenvolver mais ferramentas de ataque. O conceito de "comando e controle" não foi aplicado da maneira típica. Os invasores conectaram-se a ferramentas diretamente ou usaram servidores, scripts e proxies intermediários. Durante os eventos cibernéticos em setembro e outubro de 2012, uma grande quantidade de arquivos e ferramentas com base em PHP foram usados, não apenas o “tsoknoproblembro” (conhecido como “Brobot”) relatado. A segunda fase da atividade também utilizou ferramentas de ataque atualizadas como o Brobot v2. A Operação Ababil desenvolveu uma combinação de ferramentas com vetores que atacam a camada de aplicações em HTTP, HTTPS e DNS com tráfego de ataque volumétrico em uma variedade de protocolos TCP, UDP, ICMP e outros protocolos IP. A análise da Cisco mostrou que a maioria dos pacotes foram enviados para TCP/UDP porta 53 (DNS) ou 80 (HTTP). Enquanto o tráfego em UDP porta 53 e TCP portas 53 e 80 representam um tráfego normalmente válido, pacotes destinados para UDP porta 80 representam uma anomalia geralmente não usada por aplicações. Um relatório detalhado dos padrões e cargas úteis da campanha da Operação Ababil pode ser encontrado no Resposta ao evento da Cisco: Ataques de negação de serviço distribuídos em instituições financeiras.31 57 Lições aprendidas Embora eles representem uma parte fundamental de qualquer portfólio de segurança de rede, os dispositivos IPS e de firewall dependem de uma inspeção de tráfego stateful. As técnicas da camada de aplicativos usadas na campanha da Operação Ababil derrubaram facilmente as tabelas de estados e, em vários casos, fizeram com que elas falhassem. A tecnologia inteligente de mitigação de DDoS foi uma das medidas preventivas eficientes utilizadas. Os serviços de segurança gerenciados e os provedores de serviço da Internet (ISPs) têm seus limites. Durante um típico ataque DDoS, acredita-se que os ataques volumétricos devem ser combatidos na rede. Para as campanhas da camada de aplicativos implantadas mais próximas às vítimas, eles devem ser tratados no data center ou na "borda do cliente". Como várias empresas foram alvejadas simultaneamente, os centros de depuração de rede ficaram sobrecarregados. É fundamental manter o hardware e o software atualizados nos dispositivos de mitigação de DDoS. As implantações mais antigas nem sempre estão aptas a combater as ameaças mais recentes. Também é importante ter a capacidade certa nos locais certos. Ser capaz de mitigar um grande ataque é inútil se o tráfego não puder ser canalizado para o local onde a tecnologia foi implantada. Embora a mitigação de ataques de DDos em nuvem ou de rede geralmente apresente uma largura de banda muito mais elevada, as soluções implantadas localmente oferecem um melhor tempo de reação contra os ataques, além de melhor controle e visibilidade sobre eles. A combinação dos dois cria uma solução mais completa. Em conjunto com tecnologias de DDoS em nuvem e de rede, e como parte do material de apoio produzido para os eventos da Operação Ababil, a Cisco resumiu as tecnologias de detecção e mitigação no Identifying and Mitigating the Distributed Denial of Service Attacks Targeting Financial Institutions Applied Mitigation Bulletin.32 Essas técnicas incluem o uso de filtro da Lista de controle de acesso de trânsito (tACL), análise de dados de NetFlow e unicast Reverse Path Forwarding (uRPF). Além disso, há várias melhores práticas que devem ser regularmente revisadas, testadas e implementadas que ajudarão muito as empresas a se prepararem e a reagirem a eventos de rede. Uma biblioteca com conteúdo sobre essas melhores práticas pode ser encontrada no Cisco SIO Tactical Resources33 e no Service Provider Security Best Practices.34 58 2013 Cisco Annual Security Report Envio de spam sempre presente 59 Os volumes de spam estão continuamente em declínio em todo o mundo, de acordo com uma pesquisa da Cisco, mas o spam ainda é uma ferramenta prática para muitos criminosos cibernéticos, que o veem como uma maneira eficiente e conveniente de expor os usuários a malwares e para possibilitar uma ampla gama de golpes. Entretanto, apesar da percepção de que o malware é normalmente desenvolvido através de anexos de e-mail de spam, a pesquisa da Cisco mostra que atualmente muito poucos spammers utilizam esse método; ao invés disso, lançam mão de links maliciosos no e-mail como um mecanismo de distribuição muito mais eficiente. O spam é algo menos "disperso" que no passado, com muito mais spammers preferindo como alvo grupos específicos de usuários na esperança de gerar retornos financeiros mais altos. Marcas famosas de empresas farmacêuticas, relógios de luxo e eventos como a temporada fiscal, estão no topo da lista das coisas mais promovidas por spammers em suas campanhas. Com o tempo, os spammers aprenderam que a maneira mais rápida de atrair cliques e compras — e de gerar lucro — é promover marcas falsificadas e se aproveitar de eventos atuais que atraem a atenção de grandes grupos de usuários. Tendências mundiais de spam Desde as retiradas de botnet em grande escala de 2010, os spans enviados em altos volumes não são tão eficientes como antes e os spammers aprenderam isso e mudaram sua tática. Existe uma clara evolução que segue na direção de campanhas menores e com maior direcionamento, baseadas em eventos mundiais e em subconjuntos específicos de usuários. Grandes volumes de spam também têm maior probabilidade de ser 60 2013 Cisco Annual Security Report Figura 12: tendências mundiais de spam Os volumes de spam global estão abaixo de 18%, com a maioria dos spammers mantendo horários comerciais em fins de semanas. GANHOS DE 2011 DECLÍNIO DE 2011 3,88% Rússia 2,72% 2 Polônia 3,60% Arábia Saudita 11,38% 7 Estados Unidos 3,60% Brasil English 79% Rússia 5% Catalão 3% Japonês Dinamarquês Alemão 3% 2% 1% Spam Language Francês 1% Romeno 1% Espanhol 1% Chinês 1% 61 4,19% 4,60% 4 3 China Coreia 6 10 8 9 1 5 12,3% Índia 4,00% Vietnã 2,94% Taiwan Grandes volumes de spam têm maior probabilidade de ser observados por provedores de e-mail, que os encerrarão antes que seu objetivo possa ser concluído. 62 2013 Cisco Annual Security Report Em 2012 houve vários exemplos de spammers que usaram notícias sobre eventos mundiais — e até grandes tragédias — para tirarem proveito sobre os usuários. observados por provedores de e-mail, que os encerrarão antes que seu objetivo possa ser concluído. Em 2011, os volumes gerais de spam mundiais ficaram abaixo de 18%. Isso está longe da queda radical de volume observada em 2010, seguinte às retiradas de botnet, mas a diminuição da tendência ainda é considerada como um avanço positivo. Os spammers continuam concentrados na minimização de esforços enquanto maximizam o impacto. De acordo com a pesquisa da Cisco, o volume de spans caiu 25% nos finais de semana, quando os usuários muitas vezes não acessam e-mails. O volume de spans subiu nos níveis mais altos nas terças e quartasfeiras — uma média de 10% mais alto que em outros dias da semana. Essa atividade reforçada no meio da semana e volumes mais baixos no final de semana permitem que spammers vivam "vidas normais". Isso também oferece a eles tempo para investir na criação de campanhas adaptadas com base em eventos mundiais no começo da semana que os ajudarão a gerar uma taxa de resposta mais alta. Em 2012 houve vários exemplos de spammers que usaram notícias sobre eventos mundiais — e até grandes tragédias — para tirarem proveito dos usuários. Durante a supertempestade Sandy, por exemplo, os pesquisadores da Cisco identificaram um golpe de ação de "bump and dump" com base em uma campanha de spam. Utilizando uma mensagem de e-mail pré-existente que fazia um apelo às pessoas para que elas investissem em penny stocks (ações de baixo valor) voltadas para a exploração de recursos naturais, os spammers começaram a anexar às mensagens manchetes sensacionalistas sobre a supertempestade Sandy. Um aspecto incomum dessa campanha é que os spammers utilizaram endereços IP exclusivos para enviar um lote de spam — e não ativaram esses endereços desde então. Origem do spam No mundo do spam, alguns países permanecem nas mesmas posições enquanto outros mudaram notavelmente suas classificações. Em 2012, a Índia permaneceu no topo do ranking como uma fonte mundial de spans. Os Estados Unidos subiram da sexta posição em 2011, para a segunda em 2012. Completando os cinco principais países originadores de spam estão a Coreia (na terceira posição), a China (na quarta posição) e o Vietnã (na quinta posição). 63 JAN 28, 2013 200 pm Figura 13: origem do spam A Índia mantêm a liderança de spans e os Estados Unidos dispararam para a segunda posição. VOLUMES DE SPAM menos de 18% DECLÍNIO DE 2011 PARA 2012 SEGUNDA-FEIRA TERÇA-FEIRA QUARTA-FEIRA mais de 10% GANHOS NA METADE DA SEMANA QUINTA-FEIRA SEXTA-FEIRA SÁBADO DOMINGO De modo geral, a maioria dos spammers concentra seus esforços na criação de mensagens de spam que apresentam os idiomas falados pelos mais frequentes usuários de e-mails. De acordo com a pesquisa da Cisco, o principal idioma para mensagens de spam em 2012 foi o inglês, seguido pelo russo, catalão, japonês e dinamarquês. É importante observar que menos de 25% DECLÍNIO PARA FINS DE SEMANA há diferenças entre a origem de envio do spam e os idiomas que são usados na mensagem de spam; por exemplo, enquanto a Índia foi o país número um em origem de spans em 2012, os dialetos locais não se classificaram entre os 10 principais em termos de idiomas usados em spam enviado da Índia. O mesmo foi observado para Coreia, Vietnã e China. 64 2013 Cisco Annual Security Report Email Attachments Figura 14: anexos de e-mail Apenas 3% dos spans possuem anexos em comparação com 25% de e-mails válidos, mas anexos de spam são 18% maiores. Only 3% of Spam has an Attachment, versus 25% of Valid Email E-mail de spam E-mail válido 3% 25% Anexos de spam são 18% maiores 18% Figura 15: spam de IPv6 Embora os e-mails com base em IPv6 permaneçam representando uma porcentagem muito pequena do tráfego geral, eles estão crescendo com o aumento de usuários de e-mails IPv6 Spam migrando para uma infraestrutura com o IPv6 habilitado. Aumento de e-mails por IPv6: 862% Aumento de spans por IPv6: 171% JUN JUL AGO SET OUT NOV DEZ 65 Anexos de e-mail O spam foi considerado por muito tempo como um mecanismo de disponibilização de malware, especialmente quando um anexo está envolvido. Mas uma pesquisa recente da Cisco sobre o uso de anexos de e-mail em campanhas de spam, mostra que esta percepção pode ser um mito. Apenas 3% do total de spans possui um anexo, contra 25% de e-mails válidos. Nos raros casos em que uma mensagem de spam não inclui um anexo, ela é em média de 18% maior que um anexo normal que seria incluído em um e-mail válido. Como resultado, esses anexos tendem a ser contrastantes. Nos e-mails modernos, os links reinam. Os spammers projetam suas campanhas para convencer os usuários a visitarem os sites onde podem comprar produtos ou serviços (geralmente duvidosos). Uma vez ali, as informações pessoais dos usuários são coletadas, com frequência sem seu conhecimento, ou eles são comprometidos de alguma outra maneira. De acordo com a análise "Marcas Falsificadas", exibida posteriormente nesta seção, foi revelado que a maioria dos spans são originados em grupos que buscam vender um conjunto de mercadorias de marcas famosas muito específico - de relógios de luxo a produtos farmacêuticos - os quais, na maior parte dos casos, são falsos. Spam de IPv6 Embora os e-mails com base em IPv6 permaneçam representando uma porcentagem muito pequena do tráfego geral, eles estão crescendo com o aumento de usuários de e-mails migrando para uma infraestrutura com o IPv6 habilitado. No entanto, apesar do volume geral de e-mails crescer rapidamente, esse não é o caso dos spans de IPv6. Isso sugere que os spammers estão evitando o tempo e os gastos despendidos com a migração para o novo padrão da Internet. Não há uma necessidade que estimule os spammers - e praticamente nenhum ou mesmo zero benefícios - para que seja feita tamanha mudança no momento atual. Devido ao esgotamento dos endereços IPv4 e ao crescimento explosivo do uso do IPv6, impulsionado pelos dispositivos móveis e pela comunicação M2M, prevê-se que os spammers atualizem sua infraestrutura e agilizem seus esforços. Nos e-mails modernos, os links reinam. Os spammers projetam suas campanhas para convencer os usuários a visitarem os sites onde podem comprar produtos ou serviços. Uma vez ali, as informações pessoais dos usuários são coletadas, com frequência sem seu conhecimento, ou eles são comprometidos de alguma outra maneira. 66 2013 Cisco Annual Security Report Figura 16: marcas falsificadas Os spammers têm como alvo produtos farmacêuticos, relógios de luxo e temporadas Spoofed Brands for Spam fiscais. 5% 50% 100% JAN FEV MAR ABR MAY JUN JUL AGO SET OUT NOV DEZ Medicamentos prescritos Relógios de luxo Cartão de crédito Análises de negócios Redes profissionais Transferência financeira eletrônica Software de contabilidade Rede social Associações de profissionais Companhia aérea Correio Perda de peso Organização governamental Software do Windows Empresa de celular Classificados on-line Impostos Hormônio de crescimento humano Notícias Serviços de pagamento eletrônico Cartões Carros de luxo Serviços de folha de pagamento Visualização do consumidor do Windows 8 Software de contabilidade durante a temporada fiscal dos EUA Spans relacionados a aparelhos celulares coincide com o lançamento do iPhone 5 Spans relacionados a redes sociais profissionais 67 Marcas falsificadas Com e-mails de spam de marcas falsificadas, os spammers usam empresas e produtos para enviar suas mensagens na esperança de que usuários on-line cliquem em um link ou façam uma compra. A maioria das marcas falsificadas são de medicamentos prescritos, como ansiolíticos ou antibióticos. Além disso, marcas de relógios de luxo também fazem parte do "burburinho" que permanece constante durante todo o ano. A análise da Cisco mostra que os spammers também têm a habilidade de vincular suas campanhas aos eventos de notícias. De janeiro a março de 2012 os dados da Cisco mostraram um aumento no número de spans relacionados ao software Windows, o que coincidiu com o lançamento do sistema operacional Windows 8. De fevereiro a abril de 2012, durante a temporada fiscal dos EUA, a análise mostra um aumento vertiginoso de spans desenvolvidos para softwares fiscais. De janeiro a março de 2012, e então novamente de setembro a dezembro de 2012 — o inicio e o final do ano — o spam relacionado a redes profissionais teve grandes aparições, talvez porque os spammers sabiam que as pessoas muitas vezes começam a procurar por trabalho durante estes períodos do ano. Em resumo, os spammers desempenham essa atividade pelo dinheiro e, ao longo dos anos, aprenderam que a maneira mais rápida de atrair cliques e compras é oferecendo produtos farmacêuticos e artigos de luxo e adaptando seus ataques a eventos que chamem a atenção da maior parte do mundo. De setembro a novembro de 2012, os spammers executaram uma série de campanhas passando-se por empresas de telefonia móvel, coincidindo com o lançamento do iPhone 5. Resumindo: os spammers desempenham essa atividade pelo dinheiro e, ao longo dos anos, aprenderam que a maneira mais rápida de atrair cliques e compras é oferecendo produtos farmacêuticos e artigos de luxo e adaptando seus ataques a eventos que chamem a atenção da maior parte do mundo. 68 2013 Cisco Annual Security Report Gerenciamento de vulnerabilidades: um fornecedor deve fazer mais do que enumerar de forma ambivalente35 Como um fornecedor divulga os problemas de segurança de seu produto é o aspecto mais visível de suas práticas de gerenciamento de vulnerabilidades. Na Cisco, os avisos de segurança36 são pesquisados e publicados pelo Product Security Incident Response Team (PSIRT), um grupo de especialistas em segurança sêniores que entende que a proteção de clientes da Cisco e da corporação devem estar conectadas. “Os avisos de segurança divulgam nossos problemas de segurança do produto mais graves e são, geralmente, a primeira evidência de uma vulnerabilidade de um produto da Cisco,” diz Russell Smoak, Diretor Sênior do Cisco Security Research and Operations, “Como tal, é importante que eles sejam um veículo de comunicações eficiente, que ajudem os clientes a tomarem decisões bem informadas e a gerenciar seus riscos. Combinados com técnicas de mitigação avançadas 37oferecemos a nossos clientes formas de alavancar os recursos presentes nos mecanismos instalados da Cisco. Somos capazes de oferecer o maior número de detalhes possível para responder de forma rápida e confiável." O gerenciamento de vulnerabilidades, entretanto, começa muito antes de seu ciclo de vida e pode se estender além da divulgação inicial. "A melhoria contínua das práticas de gerenciamento de vulnerabilidades é imprescindível para acompanhar o ritmo de mudanças do ambiente de segurança, as quais resultam da evolução de ameaças, bem como de novos produtos e tecnologias," diz Smoak. Em outras palavras, um fornecedor que não desenvolve tecnologias de combate às ameaças cibernéticas — e que não divulga ameaças - corre o risco de não acompanhar o ritmo do mercado. Por exemplo, a inovação da ferramenta de gerenciamento de vulnerabilidades interna da Cisco atua na área software de terceiros. O software de terceiros é qualquer código incluído em um produto do fornecedor que não foi criado pelo próprio. Geralmente incluem softwares comerciais de terceiros ou softwares livres. A Cisco utiliza ferramentas personalizadas que usam dados de vulnerabilidade do Cisco IntelliShield38 para notificar as equipes de desenvolvimento do produto quando um problema de segurança originado em um software de terceiros pode afetar um produto da Cisco. Esta ferramenta, denominada Cisco Internal Alert Manager, tem ampla capacidade de gerenciar problemas de segurança que são originados em códigos que não pertencem à Cisco. Um fornecedor que não desenvolve tecnologias de combate às ameaças cibernéticas — e que não divulga ameaças - corre o risco de não acompanhar o ritmo do mercado. 69 As melhorias de práticas de divulgação de segurança também devem ser contínuas. No começo de 2013, a Cisco começará a usar um novo tipo de documento — o Cisco Security Notes — para divulgar problemas de segurança de produto com níveis de gravidade de baixa a média. O Cisco Security Notice melhorará a eficiência da comunicação relacionada a problemas de segurança não considerados graves o suficiente para justificar um Cisco Security Advisory. Esses documentos estarão disponíveis publicamente e serão indexados por um identificador Common Vulnerability and Exposure (CVE) para a obtenção de uma melhor visibilidade. Para melhorar ainda mais a divulgação do relatório contínuo de problemas de segurança, os fornecedores (incluindo a Cisco) começaram a incluir os formatos Common Vulnerability Reporting Framework (CVRF)39 e Open Vulnerability Assessment Language (OVAL)40 em suas divulgações Esses padrões em desenvolvimento ajudam os usuários finais a avaliarem as vulnerabilidades através de várias plataformas e tecnologias com segurança — e os padrões são capazes de aumentar devido aos benefícios do formato legível por máquina. “Assegurar que nossos clientes tenham as ferramentas necessárias para avaliar adequadamente ameaças às suas redes ajuda a reduzir riscos e permite a priorização das tarefas exigidas para a proteção de suas infraestruturas,” diz Smoak. No próximo ano, para obter atualizações adicionais e análises detalhadas sobre tendências de segurança, além de informações sobre as publicações mais recentes da Cisco relacionadas à segurança corporativa, visite o site Cisco Security Reports. http://www.cisco.com/go/securityreport Para acompanhar continuamente as ideias e opiniões dos especialistas da Cisco sobre uma grande variedade de tópicos de segurança, visite o Cisco Security Blog. blogs.cisco.com/security 70 2013 Cisco Annual Security Report Perspectivas de segurança para 2013 71 O cenário de ameaças hoje não é um problema cuja causa se dá devido a usuários desinformados que visitam site maliciosos, nem tampouco será resolvido pelo bloqueio de locais na Web conhecidos por serem "corrompidos". Esse relatório demonstrou como os invasores têm se tornado cada vez mais sofisticados, buscam sites, ferramentas e aplicativos menos prováveis de levantar suspeitas, os quais são visitados pelo usuários com mais frequência. As ameaças modernas são capazes de infectar públicos em massa de forma silenciosa e eficiente, sem discriminar segmentos de mercado, tamanho, empresa ou país. Os criminosos cibernéticos estão se beneficiando do cenário de ataques atual, o qual encontrase em rápida expansão e bastante presente no mundo do sistema “any-to-any”, onde as pessoas fazem uso de qualquer dispositivo para acessar as redes de suas empresas. segurança é necessária para proteger a próspera Internet de Todas as Coisas. “Os hackers e criminosos cibernéticos tiram proveito do fato de que toda empresa dos setores privado e público possui seu próprio programa de segurança de TI," diz John Stewart. "Sim, nós participamos de conferências e permanecemos em contato uns com os outros, mas nós realmente precisamos sair do formato de segurança de TI individualizado para um que tenha base em um compartilhamento de inteligência em tempo real e na responsividade coletiva." Com a migração contínua das principais infraestruturas nacionais, empresas e mercados financeiros globais para serviços com base na nuvem e para a conectividade móvel, uma abordagem integrada e em camadas voltada para a As ameaças modernas são capazes de infectar públicos em massa de forma silenciosa e eficiente, sem discriminar segmentos de mercado, tamanho, empresa ou país. 72 2013 Cisco Annual Security Report Construir uma infraestrutura de segurança melhor não significa criar uma arquitetura mais complexa — na verdade, é exatamente o contrário. Significa fazer a infraestrutura e os elementos nela trabalharem juntos, com mais inteligência, para detectar e reduzir ameaças. A rápida adoção da consumerização de TI (BYOD), a realidade de hoje que se define pela utilização de vários dispositivos por usuário e o crescimento de serviços com base na nuvem, determinou o fim da era do gerenciamento de recursos de segurança em cada endpoint isoladamente. Nós devemos adotar um método holístico de segurança que garanta que estejamos monitorando ameaças em todos os vetores, compreendendo desde e-mails e a Web até os próprios usuários", diz Michael Covington, gerente de produtos da Cisco SIO. "A inteligência voltada ao combate de ameaças deve estar acima das plataformas individuais para que seja possível a obtenção de uma perspectiva de rede." As ameaças miram cada vez mais usuários e organizações em vários vetores; as empresas precisam coletar, armazenar A rede do futuro é inteligente e deve oferecer uma melhor segurança utilizando uma estrutura de colaboração, a qual não era viável no passado, por meio da soma de seus componentes individuais. e processar toda a atividade de rede relevante à segurança para entenderem melhor o escopo e extensão dos ataques. É possível, então, aumentar o nível de análise utilizando o contexto das atividades de rede para estabelecer um processo de tomada de decisões relacionadas à segurança mais preciso e adequado. Com o aumento da sofisticação dos invasores, é importante que as empresas projetem recursos de segurança na rede desde o início de suas operações, utilizando soluções que reúnam inteligência voltada para o combate de ameaças, políticas de segurança e controles aplicáveis em todos os pontos de contato da rede. As ferramentas utilizadas para impedir os avanços dos invasores devem ser aprimoradas para que acompanhem seus níveis crescentes de sofisticação. Como a rede disponibiliza uma malha comum para comunicação nas plataformas, ela também servirá como meio de proteção para os dispositivos, os serviços e os usuários que diariamente a utilizam para realizar trocas de conteúdo confidencial. A rede do futuro é inteligente e deve oferecer uma melhor segurança utilizando uma estrutura de colaboração, a qual não era viável no passado, por meio da soma de seus componentes individuais. 73 74 2013 Cisco Annual Security Report Sobre a Cisco Security Intelligence Operations 75 Gerenciar e proteger as redes distribuídas e ágeis de hoje tornou-se um desafio crescente. Os criminosos cibernéticos continuam a explorar a confiança dos usuários em aplicativos e dispositivos de consumo, o que aumenta os riscos para empresas e funcionários. A segurança tradicional, baseada em camadas de produtos e no uso de vários filtros, não é suficiente para a defesa contra a mais recente geração de malwares, que se espalha rapidamente, tem objetivos mundiais e usa vários vetores para se propagar. A Cisco se mantém à frente das mais novas ameaças, usando a inteligência voltada ao combate de ameaças em tempo real da Cisco Security Intelligence Operations (SIO). A Cisco SIO é o maior ecossistema de segurança com base na nuvem do mundo. Nele são analisados todos os dias mais de 75 terabits de feeds de dados em tempo real de soluções implantadas de e-mail, Web, firewall e IPS da Cisco. A Cisco SIO agrega dados de vetores de ameaças e os analisa usando algoritmos automatizados e processamento manual, em uma tentativa de entender como as ameaças se propagam. A SIO então categoriza as ameaças e cria regras usando mais de 200 parâmetros. Os pesquisadores de segurança também analisam informações sobre eventos de segurança que têm o potencial para provocar um impacto generalizado sobre redes, aplicativos e dispositivos. As regras são transferidas de forma dinâmica aos dispositivos de segurança da Cisco a cada três a cinco minutos. A Cisco SIO é o maior ecossistema de segurança com base na nuvem do mundo. Nele são analisados todos os dias mais de 75 terabits de feeds de dados em tempo real de soluções implantadas de e-mail, Web, firewall e IPS da Cisco. 76 2013 Cisco Annual Security Report A equipe da Cisco SIO também publica as melhores práticas de segurança, além de orientações táticas para bloquear ameaças. A Cisco está empenhada em oferecer soluções completas de segurança que sejam integradas, adequadas, abrangentes e eficazes, que permitam uma segurança holística para empresas em todo o mundo. Com a Cisco, as empresas podem economizar tempo com pesquisas sobre ameaças e vulnerabilidades, concentrando-se mais em uma abordagem proativa da segurança Para saber mais sobre a inteligência de alertas, análise de ameaças e vulnerabilidades e soluções comprovadas de mitigação da Cisco, visite: http://www.cisco.com/security. Metodologia A análise apresentada neste relatório é baseada em dados que foram reunidos de várias fontes mundiais anônimas, e incluem soluções de segurança de e-mail, Web, A Cisco coleta dados de uma implantação mundial de sensores que executam funções como armadilha de spam e análise cautelosa da Web para buscar ativamente por novas instâncias de malware. firewall e sistema de prevenção de intrusos (IPS) da Cisco. Essas plataformas são colocadas na linha de frente para proteger redes de clientes de conteúdo malicioso e invasores. Além desses mecanismos de proteção de clientes, a Cisco também coleta dados de uma implantação mundial de sensores que executam funções como armadilhas de spam e análise cautelosa da Web para encontrar ativamente novas instâncias de malware. Utilizando essas ferramentas e os dados coletados por elas, a grande área de rede da Cisco oferece aos sistemas e pesquisadores da SIO uma perspectiva sobre uma amostragem significativa de atividades tanto legítimas como maliciosas ocorrendo na Internet. Nenhum fornecedor de segurança possui visibilidade total sobre todas as ocorrências maliciosas. Os dados apresentados nesse relatório representam a perspectiva da Cisco sobre o estado atual do panorama de ameaças e representa nossa melhor tentativa de normalizar os dados e refletir as tendências e padrões mundiais com base nos dados disponíveis no momento. 77 Cisco Security IntelliShield Alert Manager Service O Cisco Security IntelliShield Alert Manager Service é uma solução abrangente e de baixo custo que oferece a inteligência de segurança que as empresas necessitam para identificar, prevenir e atenuar ataques aos seus departamentos de TI. Este serviço de alerta contra ameaças e vulnerabilidades, configurável e baseado na Web, permite que a equipe de segurança tenha acesso a informações precisas, em tempo útil e com credibilidade sobre ameaças e vulnerabilidades que possam afetar seus ambientes. O IntelliShield Alert Manager permite que as empresas salvem tempo na pesquisa por ameaças e vulnerabilidades e concentrem-se mais em uma abordagem proativa da segurança A Cisco oferece uma versão gratuita durante 90 dias do Cisco Security IntelliShield Alert Manager Service. Ao registrar-se para o período de teste, você terá acesso completo ao serviço, incluindo ferramentas e alertas contra ameaças e vulnerabilidades. Para saber mais sobre o Cisco Security IntelliShield Alert Manager Services, visite: https://intellishield.cisco.com/security/alertmanager/trialdo?dispatch=4. Saiba mais Cisco Security Intelligence Operations www.cisco.com/security Cisco Security Products www.cisco.com/go/security Cisco Security Blog blogs.cisco.com/security Cisco Corporate Security Programs Organization www.cisco.com/go/cspo Cisco Remote Management Services www.cisco.com/en/US/products/ ps6192/serv_category_home 78 2013 Cisco Annual Security Report “The Internet of Things,” por Michael Chui, Markus Löffler, and Roger Roberts, McKinsey Quarterly, março de 2010: http://www.mckinseyquarterly.com/The_Internet_of_Things_2538. 1 “Cisco Event Response: Distributed Denial of Service Attacks on Financial Institutions,” 1º de outubro de 2012: http://www.cisco.com/web/about/security/intelligence/ERP-financial-DDoS.html. 2 Cisco Internet Business Solutions Group. 3 “The World Market for Internet Connected Devices — 2012 Edition,” lançamento de mídia, IMS Research, 4 de outubro de 2012: http://imsresearch.com/press-release/Internet_Connected_Devices_Approaching_10_ Billion_to_exceed_28_Billion_by_2020&cat_id=210&type=LatestResearch. 4 Cisco Internet Business Solutions Group. 5 “Internet of Everything: It’s the Connections That Matter,” by Dave Evans, Cisco Blog, 29 de novembro de 2012: http://blogs.cisco.com/news/internet-of-everything-its-the-connections-that-matter/. 6 Cisco Internet Business Solutions Group. 7 Relatório anual de segurança da Cisco, dezembro de 2011: http://www.cisco.com/en/US/prod/collateral/ vpndevc/security_annual_report_2011.pdf. 8 “Remote Access and BYOD: Enterprises Working to Find Common Ground with Employees,” 2011 Cisco Annual Security Report, dezembro de 2011, p. 10: http://www.cisco.com/en/US/prod/collateral/vpndevc/ security_annual_report_2011.pdf. 9 “Cisco Global Cloud Index: Forecast and Methodology, 2011–2016”: http://www.cisco.com/en/US/solutions/ collateral/ns341/ns525/ns537/ns705/ns1175/Cloud_Index_White_Paper.html. 10 Ibid. 11 “A Deep Dive Into Hyperjacking,” by Dimitri McKay, SecurityWeek, 3 de fevereiro de 2011: http://www. securityweek.com/deep-dive-hyperjacking. 12 India Asks Pakistan to Investigate Root of Panic,” by Jim Yardley, The New York Times, 19 de agosto de 2012: http://www.nytimes.com/2012/08/20/world/asia/india-asks-pakistan-to-help-investigate-root-of-panic. html?_r=1&. 13 “Twitter Rumor Sparked Oil-Price Spike,” by Nicole Friedman, WSJ.com, 6 de agosto de 2012: http://online. wsj.com/article/SB10000872396390444246904577573661207457898.html. 14 Este artigo foi publicado originalmente no Cisco Security Blog: http://blogs.cisco.com/security/sniffing-outsocial-media-disinformation/ 15 Java.com: http://www.java.com/en/about/. 16 V ishwath Mohan and Kevin W. Hamlen. Frankenstein: Stitching Malware from Benign Binaries. In. Proceedings of the USENIX Workshop on Offensive Technologies (WOOT), pp. 77-84, agosto de 2012. 17 Mohammad M. Masud, Tahseen M. Al-Khateeb, Kevin W. Hamlen, Jing Gao, Latifur Khan, Jiawei Han e Bhavani Thuraisingham. Cloud-based Malware Detection for Evolving Data Streams. ACM Transactions on Management Information Systems (TMIS), 2(3), October 2011. 18 “DDoS Attacks: 2013 Forecast, Experts Say Recent Hits Only the Beginning,” by Tracy Kitten, BankInfoSecurity.com, 30 de dezembro de 2012: http://ffiec.bankinfosecurity.com/ddos-attacks-2013forecast-a-5396. 19 79 “Maliciously Abusing Implementation Flaws in DNS,” DNS Best Practices, Network Protections, and Attack Identification, Cisco.com: http://www.cisco.com/web/about/security/intelligence/dns-bcp.html#3. 20 “IP Spoofing,” por Farha Ali, Lander University, disponível no Cisco.com: http://www.cisco.com/web/about/ ac123/ac147/archived_issues/ipj_10-4/104_ip-spoofing.html. 21 “Distributed Denial of Service Attacks,” por Charalampos Patrikakis, Michalis Masikos e Olga Zouraraki, National Technical University of Athens, The Internet Protocol Journal - Volume 7, Número 4. Disponível em: http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html. 22 “DNS Tools,” The Measurement Factory: http://dns.measurement-factory.com/tools. 23 Para obter mais informações sobre Ferramentas DNS, consulte DNS-OARC (https://www.dns-oarc.net/oarc/ tools) e The Measurement Factory (http://dns.measurement-factory.com/tools/index.html). 24 “Secure BIND Template Version 7,3 07 Aug 2012,” por TEAM CYMRU, cymru.com: http://www.cymru.com/ Documents/secure-bind-template.html. 25 “Response Rate Limiting in the Domain Name System (DNS RRL),” RedBarn.org: http://www.redbarn.org/dns/ ratelimits. 26 Os dados do sistema de monitoramento da Internet ATLAS, da Arbor Networks, são derivados de honeypots implantados em redes de provedores de serviços no mundo inteiro, da pesquisa de malware da ASERT (Equipe de Engenharia e Respostas de Segurança da Arbor Networks) e de um feed de dados anônimos publicado a cada hora com base na correlação entre NetFlow, BGP e SNMP. Os dados anônimos disponibilizados pelos clientes do Peakflow SP da Arbor são comparados e analisados quanto à sua tendência no ATLAS para oferecer uma visão detalhada sobre os padrões de ameaças e tráfego na Internet. 27 “IPS Testing,” Cisco.com: http://www.cisco.com/web/about/security/intelligence/cwilliams-ips.html. 28 “Bank of America and New York Stock Exchange under attack unt [sic],” Pastebin.com, 18 de Setembro de 2012: http://pastebin.com/mCHia4W5. 29 “Phase 2 Operation Ababil,” Pastebin.com, 18 de setembro de 2012: http://pastebin.com/E4f7fmB5. 30 “Cisco Event Response: Distributed Denial of Service Attacks on Financial Institutions”: http://www.cisco.com/ web/about/security/intelligence/ERP-financial-DDoS.html. 31 Identifying and Mitigating the Distributed Denial of Service Attacks Targeting Financial Institutions Applied Mitigation Bulletin: http://tools.cisco.com/security/center/viewAMBAlert.x?alertId=27115. 32 “Security Intelligence Operations Tactical Resources,” Cisco.com: http://tools.cisco.com/security/center/ intelliPapers.x?i=55. 33 “Service Provider Security Best Practices,” Cisco.com: http://tools.cisco.com/security/center/ serviceProviders.x?i=76. 34 Anagrama oferecido como cortesia pela anagramgenius.com. 35 Cisco Security Advisories: http://cisco.com/go/psirt. 36 Cisco Applied Mitigation Bulletins, Cisco.com: http://tools.cisco.com/security/center/searchAIR.x. 37 Cisco Intellishield Alert Manager Service: http://www.cisco.com/web/services/portfolio/product-technicalsupport/intellishield/index.html. 38 CVRF, ICASI.com: http://www.icasi.org/cvrf. 39 OVAL, Oval International: http://oval.mitre.org/. 40