Sc-01casr2014 Cte Lig PT-BR 35330 PDF

Relatório de Segurança
Anual da Cisco de 2014

2 Relatório de Segurança Anual da Cisco de 2014
Resumo executivo
O problema da confiança
O uso excessivo da confiança é um modo comum de operação dos agressores online e
outros agentes mal-intencionados. Eles se aproveitam da confiança dos usuários depositada
em sistemas, aplicativos e nas pessoas e empresas com quem interagem com frequência. E
essa tática funciona: há ampla evidência de que os intrusos estão inventando novos métodos
para integrar malware em redes, permanecendo sem serem detectados por longos períodos,
e para roubar dados e prejudicar sistemas essenciais.
Utilizando métodos que vão desde o roubo de senhas e credenciais com o uso da
manipulação social até infiltrações furtivas e ocultas executadas em minutos, os agentes
mal-intencionados continuam a se aproveitar da confiança pública, trazendo consequências
danosas a todos os atingidos. No entanto, o problema de confiança vai além de criminosos
que se aproveitam de vulnerabilidades ou que atacam usuários através da manipulação social:
ela enfraquece a confiança nas empresas públicas e privadas.
As redes atuais estão enfrentando duas formas de desgaste de confiança. Uma é o declínio
da confiança do cliente na integridade dos produtos. A outra é a evidência
crescente de que agentes mal-intencionados estão derrotando
os mecanismos de confiança. Desta forma, é questionada a a Agentes
eficácia das garantias de rede e aplicativos, da autenticação e
mal-intencionados
das arquiteturas de autorização.
continuam a inovar as
Neste relatório, a Cisco oferece dados e percepções
maneiras de explorar
sobre as principais preocupações de segurança, como
mudanças em malware, tendências em vulnerabilidades a confiança pública
e a ressurgência de ataques DDoS (distributed denial-of- com consequências
service). O relatório examina também campanhas direcionadas bastante danosas.
a empresas, grupos e setores específicos, além da sofisticação
crescente daqueles que tentam roubar informações confidenciais.
O relatório é finalizado com recomendações para o exame holístico de
modelos de segurança e a obtenção de visibilidade em todo o processo de ataque: antes,
durante e após um ataque.
Principais descobertas
As três principais descobertas do Relatório de Segurança Anual da Cisco de 2014 estão abaixo:
Ataques contra a infraestrutura têm como alvo recursos significativos em toda a Internet.
• E xplorações mal-intencionadas estão obtendo acesso a servidores de hospedagem na web, nameservers e em
data centers. Isso sugere a formação de überbots que procuram ativos de alta reputação e com muitos recursos.
• E rros de buffer são a ameaça principal, com 21% das categorias de ameaça de Enumeração de pontos fracos
comuns (CWE, Common Weakness Enumeration).
•O
s encontros com malware estão se deslocando para os setores de fabricação de eletrônicos e de agricultura e
mineração, com uma taxa de encontro médio seis vezes maior que a média as verticais do setor.
Agentes mal-intencionados estão usando aplicativos confiáveis para se aproveitar de lacunas na segurança do
perímetro.
• O spam continua com sua tendência de queda, embora a proporção de spam mal-intencionado permaneça
constante.
•O
Java compreende 91% das explorações na web; 76% das empresas que usam os serviços Cisco Web Security
executam o Java 6, uma versão de fim de ciclo, sem suporte.
• Ataques do tipo "watering hole" têm como objetivo sites específicos relacionados a um determinado setor para
distribuir malware.
As investigações de empresas multinacionais mostram evidências de comprometimento interno. O tráfego suspeito

emana de suas redes e tenta se conectar em sites questionáveis (100% das empresas estão fazendo chamadas a
hosts de malware mal-intencionado).
•O
s indicadores de comprometimento sugerem que as penetrações em redes podem ficar sem serem detectadas
por longos períodos.
• Os alertas de ameaça aumentaram em 14% por ano; novos alertas (alertas não atualizados) estão em crescimento.
•9
9% de todos os malwares para dispositivos móveis em 2013 tiveram como alvo dispositivos Android. Os usuários
de Android também tiveram a maior taxa de encontros (71%) com todas as formas de malware distribuídos na web.
Conteúdo do relatório
O Relatório de Segurança Anual da Cisco de 2014 apresenta
percepções sobre segurança em quatro áreas principais:
Confiança
Todas as empresas devem se preocupar em encontrar o
equilíbrio certo entre confiança, transparência e privacidade,
pois há muito em jogo. Nessa área, abordamos três
pressões que tornam ainda mais desafiadoras as tentativas
dos profissionais de segurança em ajudar suas empresas a
atingir esse equilíbrio:
• Maior área de superfície de ataque

• Proliferação e sofisticação do modelo de ataque
• Complexidade de ameaças e soluções
Inteligência de ameaças
Usando o maior conjunto de telemetria de detecções
disponível, a Cisco e a Sourcefire analisaram e reuniram
percepções sobre segurança do ano passado:
• Ataques contra a infraestrutura têm como alvo recursos

significativos em toda a Internet.
• Agentes mal-intencionados estão usando aplicativos confiáveis

para se aproveitar de lacunas na segurança do perímetro.
• Indicadores de comprometimento sugerem que as

penetrações em rede podem ficar sem serem detectadas
por longos períodos.
Setor
Nesta seção, os investigadores do Cisco Security
Intelligence Operations (SIO) elevam a discussão em
torno das tendências do setor que se estendem além da
telemetria da Cisco, embora ainda afetem as práticas de
segurança—desde tentativas de login forçado, atividade de
DDoS de grande escala e esforços de ransomware até a
crescente dependência na nuvem, falta de talentos na área
de segurança e outras preocupações.
Recomendações
As empresas enfrentam um aumento no número de ataques,
na proliferação e sofisticação de tipos de ataque e da
complexidade dentro da rede. Muitas sentem dificuldades
em solidificar uma visão de segurança sustentada por uma
estratégia eficaz que usa novas tecnologias, simplifica a
arquitetura e as operações, e fortalece suas equipes de
segurança.
Esta seção destaca como um modelo de segurança

voltado especificamente para as ameaças permite que os
responsáveis pela segurança da rede enfrentem o ataque
do começo ao fim, em todos os vetores de ataque, e que
respondam a todo o instante de maneira contínua: antes,
durante e após um ataque.
Como a Cisco avalia o panorama das ameaças

A Cisco desempenha uma função crucial na avaliação de ameaças, dada a prevalência de
suas soluções e a abrangência da sua inteligência de segurança:
• 16 bilhões de solicitações web são inspecionadas todos os dias através do Cisco Cloud
Web Security
• 93 bilhões de e-mails são inspecionados todos os dias através da solução de e-mail

hospedado da Cisco
• 200.000 endereços IP são avaliados diariamente

• 400.000 amostras de malware são avaliadas diariamente
• 33 milhões de arquivos de endpoint são avaliados todos os dias pelo FireAMP
• 28 milhões de conexões de rede são avaliadas todos os dias pelo FireAMP
Essa atividade resulta na detecção das seguintes ameaças pela Cisco:
• 4,5 bilhões de e-mails são bloqueados todos os dias

• 80 milhões de solicitações são bloqueadas todos os dias
• 6.450 detecções de arquivos de endpoint ocorrem diariamente no FireAMP
• 3.186 detecções de rede de endpoint ocorrem todo dia no FireAMP
• 50.000 invasões de rede são detectadas todos os dias
Conteúdo
Confiança.. . . . . . . . . . . . . . . . . . . ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Novas maneiras de fazer negócios, novas lacunas de segurança.................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Um desgaste da confiança.. . . . ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Principais desafios de segurança para 2014........................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Sistemas confiáveis e transparentes................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Inteligência de ameaças................................................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Alertas de ameaças em crescimento.................................................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
O volume de spam está caindo, mas o spam mal-intencionado é ainda uma ameaça. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Explorações da web: Java lidera o grupo.. ............................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
BYOD e mobilidade: amadurecimento dos dispositivos beneficiam o crime cibernético. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Ataques direcionados: o desafio de desalojar "visitantes" persistentes e difundidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Instantâneo de malware: tendências observadas em 2013........................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Alvos primários: verticais do setor...................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Fraturas em um ecossistema frágil..................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Tráfego mal-intencionado, frequentemente um sinal de ataques direcionados, detectados em todas
as redes corporativas. . . . . . . . . . . .......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Setor.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Tentativas de login forçado, uma das táticas favoritas para comprometer sites.. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Ataques DDoS: o que era velho voltou a ser novidade............................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
DarkSeoul.. . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
A falta de talentos na área de segurança e as lacunas nas soluções............... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
A nuvem como um novo perímetro.................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Recomendações.. . . . .......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Objetivos para 2014: verificação da confiabilidade e melhoria da visibilidade...... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Apêndice.. . . . . . . . . . . . . . . . . . . .......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
As empresas de segurança precisam de cientistas de dados.. ..................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Sobre o Cisco SIO.. ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Cisco SIO.. . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Sobre este documento Software recomendado

Este documento contém material que pode ser pesquisado e distribuído. Adobe Acrobat versão 7.0 e superiores
Procure por esse ícone para abrir o recurso de localização no Adobe Acrobat.
[ ] Procure por esses ícones para compartilhar o conteúdo.
Confiança
Todas as empresas devem se preocupar em encontrar o
equilíbrio certo entre confiança, transparência e privacidade,
pois há muito em jogo.
9 Relatório de Segurança Anual da Cisco de 2014 Confiança
Novas maneiras de fazer

negócios, novas lacunas de
segurança
Os elos fracos na cadeia de fornecimento de tecnologia são uma
particularidade do complexo panorama atual de riscos e ameaças
cibernéticas.
O mesmo se aplica à emergência da infraestrutura abrangente, onde qualquer dispositivo
em qualquer local pode vir a qualquer instanciação da rede.1 Há também uma abundância
crescente de dispositivos que utilizam a Internet (smartphones, tablets, etc.) tentando se
conectar a aplicativos que podem ser executados em qualquer local, incluindo uma nuvem
pública de software como serviço (SaaS), uma nuvem privada ou uma nuvem híbrida.2
Mesmo os serviços básicos de infraestrutura de Internet se tornaram alvo de hackers que
desejam aproveitar a reputação, a largura de banda e o tempo de atividade e disponibilidade
contínuos dos servidores de hospedagem na web, nameservers e data centers, para lançar
campanhas cada vez maiores. (Consulte "Fraturas em um ecossistema frágil", página 43.)
[ Embora tendências como a computação em nuvem e a mobilidade

estejam reduzindo a visibilidade e aumentando a complexidade da
segurança, as empresas ainda precisam adotá-las, pois elas são
cruciais para trazer vantagem competitiva e sucesso comercial.
No entanto, as lacunas de segurança estão emergindo (e
se aprofundando) à medida que as equipes de segurança A infraestrutura básica
tentam alinhar soluções tradicionais com estilos novos e em da Internet se tornou alvo
rápida evolução de fazer negócios. Enquanto isso, os agentes dos hackers.
mal-intencionados estão trabalhando mais rápido para se
aproveitar de lacunas que as soluções pontuais não integradas
simplesmente não podem lidar. E eles estão tendo sucesso,
pois têm os recursos para serem mais ágeis. ]
A rede do crime cibernético está se ampliando, se fortalecendo e opera

cada vez mais como qualquer rede empresarial legítima e sofisticada. Hoje, a hierarquia do
crime cibernético é similar a uma pirâmide (consulte Figura 1). Na base estão os oportunistas
que não são técnicos e usuários de "crimeware como serviço" que desejam ganhar dinheiro,
comunicar algo, ou ambos, com suas campanhas. No meio estão os revendedores e
sustentadores de infraestrutura (os "intermediários"). No topo estão os inovadores técnicos,

os grandes agentes os quais as autoridades policiais mais procuram, mas que são difíceis de
serem encontrados.
Os criminosos cibernéticos geralmente têm objetivos comerciais claros ao lançar suas

explorações. Eles sabem quais informações procuram ou qual resultado desejam obter, e
sabem o caminho que devem percorrer para atingir esses objetivos. Os inimigos passarão
tempo significativo pesquisando seus alvos, frequentemente através de informações
disponibilizadas publicamente em redes sociais, e planejando seus objetivos estrategicamente.
[ Muitos agentes na chamada "economia paralela" também enviam malware de vigilância para
coletar informações sobre um ambiente, incluindo a tecnologia de segurança implantada, para
que possam direcionar seus ataques. Esse reconhecimento anterior à exploração é uma forma
dos criadores de malware se certificarem de que eles funcionarão. Uma vez integrados em
uma rede, o malware avançado que eles projetaram pode se comunicar com servidores de
controle e comando externamente e se disseminar lateralmente por toda a infraestrutura para
cumprir sua missão, seja ela o roubo de dados vitais ou a interrupção de sistemas essenciais. ]
FIGURA 1
A hierarquia do crime cibernético
Inovadores
técnicos
Revendedores /
mantenedores de infraestrutura
Oportunistas não técnicos / usuários de crimeware como serviço

Um desgaste da confiança
Ameaças com a intenção de se aproveitar da confiança
dos usuários nos sistemas, em aplicativos e das pessoas
e de empresas que eles conhecem, são agora acessórios
permanentes no mundo cibernético.
Disseque quase qualquer esquema e no centro haverá algum abuso de confiança: malware
enviado a usuários que navegam legitimamente por sites populares. E-mails de spam que
parecem ter sido enviados por empresas conhecidas, mas que contêm links para sites mal-
intencionados. Aplicativos móveis de terceiros infiltrados por malware e baixados de lojas
online populares. Informantes que usam privilégios de acesso a informações para roubar
propriedade intelectual dos empregadores.
Talvez devesse haver uma suposição, por parte de todos os usuários, de que não se pode
confiar em nada no mundo cibernético. E os profissionais de segurança
deveriam prestar um serviço às suas empresas, ao não confiar em
tráfegos de rede3—ou ter plena fé nas práticas de segurança
dos fornecedores ou cadeias de fornecimento que viabilizam
Deveria haver uma
tecnologia à empresa. Porém, as empresas dos setores
público e privado, usuários individuais e até mesmo nações suposição, por parte de
querem ainda ter a garantia de poder confiar nas tecnologias todos os usuários, de
fundamentais de que dependem todos os dias. que não se pode confiar
Essa necessidade de confiança na segurança ajudou a em nada no mundo
avançar ainda mais os Critérios comuns para avaliação cibernético.
da segurança da tecnologia da informação (Common
Criteria), a linguagem e a estrutura que permitem às agências
governamentais e outros grupos a definição das exigências que os
produtos de tecnologia devem cumprir para garantir sua confiabilidade. Hoje,
26 países, incluindo os Estados Unidos, estão participando do Common Criteria Recognition
Arrangement (Acordo de reconhecimento de critérios comuns), um acordo multilateral que
possibilita o reconhecimento mútuo de produtos avaliados pelos governos participantes.
No entanto, em 2013, a confiança, em geral, sofreu um revés. O catalisador: Edward

Snowden. O ex-contratado do governo norte-americano vazou informações confidenciais
para o The Guardian, um jornal britânico; informações que ele obteve enquanto trabalhava em
uma missão da Agência Nacional de Segurança dos EUA (NSA).4
As revelações de Snowden à imprensa até o momento incluem detalhes sobre o programa

de vigilância eletrônica e de coleta de dados da NSA, o PRISM,5 além do programa NSA-
GCHQ6 em separado, conhecido como MUSCULAR, através do qual as redes de fibra ótica
que transportam tráfego de data centers estrangeiros de grandes empresas de Internet foram
alegadamente grampeadas.7
Essas e outras revelações de Snowden sobre práticas de vigilância do governo desgastaram

a confiança em muitos níveis: entre nações, entre governos e o setor privado, entre cidadãos
privados e seus governos, e entre cidadãos privados e as empresas no setor público e
privado. Elas também, naturalmente, levantaram preocupações sobre a presença e os
riscos potenciais de vulnerabilidades não intencionais e de "portas dos fundos" (backdoors)
intencionais em produtos tecnológicos, e se os fornecedores estão fazendo o bastante para
evitar esses pontos fracos e proteger os usuários finais.
Principais desafios de
segurança para 2014
[ À medida que a confiança se desgasta, e se torna mais difícil
definir quais sistemas e relacionamentos são realmente confiáveis,
as empresas enfrentam várias situações importantes que
enfraquecem sua capacidade de lidar com a segurança:
1 | Maior área de superfície de ataque
2 | Proliferação e sofisticação do modelo de ataque
3 | Complexidade das ameaças e soluções ]
Esses problemas combinados criam e exacerbam as lacunas de segurança que permitem

que agentes mal-intencionados lancem explorações mais rápido do que o tempo levado pelas
empresas para resolverem seus pontos fracos de segurança.
Essas ameaças e esses riscos são examinados em mais detalhes nas páginas a seguir.
1 |Maior área de superfície de ataque

Hoje, a superfície de ataque apresenta possibilidades infinitas para que os agentes mal-
intencionados enfraqueçam um ecossistema de segurança grande mas frágil. A superfície
aumentou exponencialmente e ainda está se expandido; há muitos endpoints, muitas vias de
acesso e muitos dados que não estão sob controle da empresa.
Os dados são o prêmio que a maioria dos inimigos querem obter através de suas campanhas,
pois eles são essencialmente dinheiro. Se os dados tiverem qualquer "valor de mercado",
seja a propriedade intelectual de uma grande corporação ou os dados de saúde de um
indivíduo, eles serão desejados e, desta forma, estarão em risco. Se o valor do alvo é maior
que o risco de comprometê-lo, ele será hackeado. Até mesmo as pequenas empresas estão
correndo o risco de serem hackeadas. A maioria das empresas, de pequeno e grande porte,
foi comprometida e nem mesmo sabe disso: 100% das redes empresariais analisadas pela
Cisco têm tráfego vindo de sites que hospedam malware.
FIGURA 2
A anatomia de uma ameaça moderna
Internet e
Campus Empresa
aplicativos de nuvem
Rede pública Perímetro Data center

O ponto de entrada da infecção Ameaças cibernéticas avançadas A ameaça se espalha e tenta
ocorre fora da empresa contornam o perímetro de defesa roubar dados de alto valor
A anatomia de uma ameaça moderna, esboçada na Figura 2, ressalta como o objetivo final
de muitas campanhas de crimes cibernético é atingir o data center e
extrair dados valiosos. Neste exemplo, uma ação mal-intencionada
ocorre em um dispositivo fora da rede corporativa. Ela causa um
infecção, que se move para uma rede de campus. Essa rede
serve como um trampolim para a rede empresarial e depois a
O objetivo final
ameaça chega ao tesouro: o data center. de muitas campanhas
Em função da expansão da área de superfície de ataque e
de crimes cibernéticos
ataque de dados de alto valor por hackers, os especialistas é atingir o data center
em segurança da Cisco recomendam que as empresas e extrair dados
procurem responder a duas importantes perguntas em importantes.
2014: "aonde nossos dados essenciais residem?" e "como
podemos criar um ambiente seguro para proteger esses
dados, especialmente quando novos modelos empresariais, como a
computação em nuvem e mobilidade, nos deixam com pouco controle sobre eles?"
2 |Proliferação e sofisticação do modelo de ataque

O panorama de ameaças de hoje é muito diferente daquele de apenas 10 anos atrás.
Ataques simples que causavam danos contidos deram espaço a operações modernas
de crime cibernético que são sofisticadas, bem financiadas e capazes de causar grandes
problemas às empresas.
As empresas se tornaram o foco dos ataques direcionados. Esses ataques são muito difíceis
de serem detectados, permanecem nas redes por longos períodos e reúnem recursos de
rede para lançar ataques em outros locais.
Para cobrir todo a sequência do ataque, as empresas precisam lidar com uma ampla variedade
de vetores de ataque com soluções que operam em todos os lugares em que a ameaça
possa se manifestar: na rede, em endpoints, em dispositivos móveis e em ambientes virtuais.
"Onde residem nossos dados importantes?" e "como

podemos criar um ambiente seguro para proteger esses
dados, especialmente quando novos modelos de negócios,
como a computação em nuvem e mobilidade, nos deixam
com pouco controle sobre eles?"
Especialistas de segurança da Cisco
3 | Complexidade das ameaças e soluções

Já se foram os dias em que bloqueadores de spam e software antivírus podiam proteger um
perímetro de rede facilmente definido da maioria das ameaças. As redes de hoje vão além
das fronteiras tradicionais e constantemente desenvolvem e criam novos vetores de ataque:
dispositivos móveis, aplicativos habilitados pela web e móveis, hipervisores, mídia social,
navegadores da web, computadores domésticos e até mesmo veículos. Soluções que estejam
atuando em um determinado momento não conseguem responder à infinidade de tecnologias
e estratégias utilizadas por agentes mal-intencionados. Isso torna o monitoramento e o
gerenciamento da segurança de informações ainda mais difíceis para as equipes de segurança.
As vulnerabilidades das empresas estão aumentando, pois as

empresas estão trabalhando através de soluções pontuais
desagregadas e várias plataformas de gerenciamento. Soluções que
O resultado: um conjunto de tecnologias diferentes ao estejam atuando em
longo de pontos de controle que nunca foram projetados um determinado momento
para trabalharem em conjunto. Isso aumenta as chances não conseguem responder
de comprometimento das informações do cliente, da à infinidade de tecnologias
propriedade intelectual e de outras informações confidenciais, e estratégias utilizadas
e coloca a reputação da empresa em risco. por agentes mal-
É necessário um recurso contínuo que forneça a melhor intencionados.
oportunidade para atender aos desafios de ambientes de ameaça
complexos. Ataques implacáveis não ocorrem em um único momento
específico; eles são contínuos. É assim que devem ser as defesas da empresa.
Com a complexidade das ameaças e soluções correspondentes no nível mais alto já registrado,
as empresas precisam repensar sua estratégia de segurança. Em vez de depender de soluções
pontuais, elas podem minimizar a complexidade integrando continuamente a segurança na
própria malha da rede, para que a rede possa:
• Monitorar e analisar continuamente arquivos e identificar comportamento

mal-intencionado subsequente sempre que ele começar.
• Ajudar as empresas a expandir a aplicação de políticas, aumentando a

superfície na qual os dispositivos de rede podem ser colocados.
• Acelerar o tempo de detecção já que assim é possível visualizar mais tráfego.

• Dar às empresas a capacidade de agregar reconhecimento de contexto
exclusivo que não é possível obter ao contar apenas com dispositivos
específicos à segurança.
A mudança rumo aos serviços de nuvem e à mobilidade está colocando uma carga maior
de segurança nos endpoints e dispositivos móveis que, em alguns casos, poderão nunca
tocar a rede corporativa. O fato é que os dispositivos móveis apresentam riscos à segurança
quando são usados para acessar recursos da empresa; eles se conectam
facilmente com serviços de nuvem e computadores de terceiros com
posturas de segurança que são possivelmente desconhecidas e
que estão fora do controle da empresa. Além disso, o malware
Os dispositivos
para dispositivos móveis está crescendo rapidamente, o que
aumenta ainda mais os riscos. Dada a falta de até mesmo móveis introduzem
uma visibilidade básica, a maioria das equipes de segurança riscos à segurança
de TI não tem os recursos necessários para identificar as quando são usados
possíveis ameaças a esses dispositivos.
para acessar recursos
Abordagens avançadas, como a contínua disponibilidade de da empresa.
recursos, desempenharão uma função maior no tratamento de
malware avançado através de análises de big data que agregam
dados e eventos em toda a rede estendida para proporcionar maior
visibilidade, até mesmo depois de um arquivo ter sido movido na rede ou
entre endpoints. É diferente da segurança de endpoint em um momento específico, que
verifica arquivos em um determinado período para determinar uma disposição de malware.
O malware avançado pode escapar dessa verificação para estabelecer-se rapidamente em
endpoints e se espalhar pelas redes.
Sistemas confiáveis e
transparentes
Em função da maior área de superfície de ataque, do crescimento da
proliferação e sofisticação do modelo de ataque e da complexidade
das ameaças e soluções, precisamos confiar nas informações
que consumimos, junto com os sistemas que as fornecem,
independentemente de como acessamos os serviços em rede.
A criação de um ambiente de rede verdadeiramente seguro se torna ainda mais complexa,
à medida que governos e empresas investem em mobilidade, colaboração, computação
em nuvem e outras formas de virtualização. Esses recursos ajudam a melhorar a resiliência,
aumentar a eficiência e reduzir custos, mas também podem introduzir riscos adicionais.
A segurança dos processos de fabricação que criam produtos de TI está agora também em
risco, com produtos falsificados e adulterados se tornando um problema crescente. Como
resultado, os líderes governamentais e corporativos atuais identificam de forma esmagadora
a segurança cibernética e problemas relacionados à confiança como as principais
preocupações. A pergunta que os profissionais de segurança deveriam se fazer é: o que
faríamos de maneira diferente se soubéssemos que um comprometimento fosse iminente?
Os agentes mal-intencionados procurarão e explorarão qualquer ponto fraco de segurança na

cadeia de fornecimento de tecnologia. Vulnerabilidades e backdoors intencionais em produtos de
tecnologia podem, em última análise, proporcioná-los o "acesso total". Backdoors têm sido um
problema de segurança há bastante tempo e deveriam ser uma preocupação para as empresas,
pois elas existem exclusivamente para ajudar a facilitar atividades clandestinas ou criminosas.
O desenvolvimento de sistemas confiáveis significa construir a segurança do zero, desde o

início até o término do ciclo de vida de um produto. O ciclo Cisco Secure
Development Life (CSDL)8 prescreve uma metodologia que pode
ser repetida e medida, que foi projetada para incorporar a
segurança do produto no estágio de concepção, atenuar as Os agentes
vulnerabilidades durante o desenvolvimento e aumentar a mal-intencionados
resiliência de produtos em função de um ataque. procurarão e explorarão
Sistemas confiáveis fornecem a base de uma abordagem de qualquer ponto fraco
melhoria contínua à segurança, que antevê e antecipa novas de segurança na cadeia
ameaças. Tais infraestruturas não só protegem informações
de fornecimento de
essenciais, como também ajudam a evitar interrupções de
serviços essenciais. Produtos confiáveis respaldados por tecnologia.
fornecedores confiáveis permitem que seus usuários minimizem os
custos e os dano de reputação resultantes do abuso de informações,
interrupções de serviço e violações de informações.
Sistemas confiáveis, no entanto, não devem ser confundidos com imunidade a ataques
externos. Os clientes e usuários de TI desempenham uma função importante para manter a
eficácia de sistemas confiáveis, ao afastar tentativas de corromper suas operações. Isso inclui
a instalação de atualizações e correções focadas em segurança dentro do prazo, vigilância
constante no reconhecimento de comportamento anormal do sistema e contramedidas
eficazes contra ataques.
Principais preocupações As tecnologias não permanecem imutáveis, nem os

para 2014 dos CISOs de hoje agressores. A garantia de confiabilidade do sistema
precisa abranger todo o ciclo de vida de uma rede, desde
À medida que chefes de segurança
o projeto inicial até a fabricação, integração de sistemas,
de informações (CISOs) pesquisam
o panorama de ameaças atual, eles operação diária, manutenção e atualizações e, finalmente, a
enfrentam a pressão crescente desativação da solução.
para proteger terabytes de dados,
cumprir regulamentos rigorosos de A necessidade de sistemas confiáveis vai além da própria
conformidade e avaliar os riscos rede de uma empresa e inclui as redes nas quais uma
de se trabalhar com fornecedores empresa se conecta. As equipes de pesquisa e operações
terceirizados—fazendo tudo isso com de segurança da Cisco observaram o aumento no uso de
orçamentos em redução e equipes "pivô" ao longo do ano passado. A técnica deo uso de pivô
reduzidas de TI. Os CISOs têm muito
no crime cibernético envolve a utilização de uma backdoor,
mais tarefas e ameaças complexas
e sofisticadas para gerenciar. Os vulnerabilidade ou simples aproveitamento de confiança em
principais estrategistas de segurança algum ponto na cadeia de ataque como um trampolim para
dos serviços de segurança da Cisco, lançar uma campanha mais sofisticada contra alvos muito
que aconselham os CISOs sobre maiores, como a rede de uma grande empresa de energia
abordagens de segurança para suas ou data center de uma instituição financeira. Alguns hackers
organizações, oferecem essa lista
usam a confiança que existe entre as empresas como a
de preocupações e desafios mais
urgentes para 2014: base do pivô, se aproveitando de um parceiro comercial
confiável para atacar e explorar outro parceiro empresarial
Gerenciamento de conformidade ou governamental desavisado.
A preocupação mais universal entre
CISOs pode ser a necessidade de A vigilância é apropriada no panorama moderno das
proteger seus dados que residem ameaças. A segurança deve se adaptar a todos os estados
em uma rede cada vez mais porosa, transientes que fazem parte do ambiente de TI empresarial,
enquanto gastam recursos de
através da validação da confiabilidade do sistema de forma
alto valor com a conformidade. A
mensurável e objetiva, baseada em dados e processos
conformidade isolada não é igual
a ser seguro; é simplesmente um confirmáveis independentes. A abordagem mais sustentável
patamar mínimo que foca nas é uma defesa dinâmica ajustada ao ambiente único de
necessidades de um ambiente uma empresa, que inclui controles de segurança que estão
especial regulado. A segurança, em constante evolução, para que possam permanecer
enquanto isso, é uma abordagem que
relevantes.9
engloba tudo que abrange todas as
atividades comerciais. Os sistemas confiáveis podem existir nesse ambiente e a
Confiança na nuvem transparência é essencial para construí-los. "Um sistema
OS CISOs devem tomar decisões
confiável deve ser construído sobre uma base forte:
sobre como gerenciar informações práticas de desenvolvimento de produtos, uma cadeia de
com segurança com os orçamentos fornecimento confiável e uma abordagem de arquitetura
que consiste em projeto de rede, implantação e políticas",
Continua na próxima página
Continuação da página anterior
e tempo finitos que lhe são alocados. diz John N. Stewart, vice-presidente sênior e chefe de
Por exemplo, a nuvem se tornou segurança da Cisco. "Mas o atributo mais importante é a
uma maneira econômica e ágil para
transparência do fornecedor".
gerenciar armazéns de dados que
não param de crescer, mas ela cria A compensação por mais transparência é menos
mais preocupações aos CISOs. Os privacidade, mas o equilíbrio correto pode ser obtido através
CEOs e a diretoria veem a nuvem
de cooperação, o que leva a maiores oportunidades para
como uma panaceia para eliminar
hardware caro. Eles querem os alinhar a inteligência de ameaças com as melhores práticas
benefícios de descarregar dados na de segurança. Todas as empresas devem se preocupar em
nuvem e esperam que o CISO faça encontrar o equilíbrio certo entre confiança, transparência e
isso acontecer, com segurança e privacidade, pois há muito em jogo.
rapidamente.
Confiança nos fornecedores

[ À longo prazo, uma melhor segurança cibernética poderá
ser obtida para todos os usuários e todo o potencial da
Como a nuvem, as organizações
emergente economia da Internet de Todas as Coisas10
exploram os fornecedores para
fornecer soluções especializadas. O
poderá ser concretizado. Porém, cumprir essas metas
modelo de custo de usar empresas dependerá de políticas de privacidade eficazes e defesas
terceirizadas faz sentido. No entanto, de rede robustas que distribuem de forma inteligente a
esses fornecedores são alvos de alto carga de segurança pelos endpoints e pela rede. À curto
valor para criminosos, que sabem que prazo e talvez mais próximo de nós, está a necessidade de
suas defesas podem não ser tão fortes.
qualquer empresa moderna de usar os melhores métodos
Recuperação de violações de e informações disponíveis para ajudar a proteger seus
segurança ativos mais valiosos e garantir que eles não contribuam
Todas as empresas devem supor que diretamente para aumentar os desafios relacionados à
foram hackeadas, ou pelo menos
segurança cibernética. ]
concordar que não é uma questão de
"se eles serão alvo de um ataque" e As empresas de hoje devem considerar o possível
sim "quando". Hacks recentes, como impacto de suas práticas de segurança no ecossistema de
a Operação Night Dragon, a violação
segurança cibernética, que se torna cada vez maior, mais
da RSA e o ataque Shamoon contra
uma grande empresa de petróleo complexa e interconectada. Abdicar dessa "visão geral"
e gás em 2012, estão na mente de pode resultar na obtenção de uma baixa pontuação de
muitos CISOs. (Consulte a pesquisa reputação para a empresa, o que significa que nenhum dos
da Cisco sobre a prevalência de principais provedores de segurança permitiria o acesso ao
atividades mal-intencionadas em seu site. Não é fácil para uma empresa sair da lista negra e
redes corporativas na página 48.)
algumas podem nunca se recuperar completamente.
Para saber mais sobre as práticas dos sistemas confiáveis

da Cisco, acesse www.cisco.com/go/trustworthy.
Inteligência de
ameaças
Com o uso do maior conjunto de telemetria de detecções, a
Cisco e a Sourcefire analisaram e reuniram as percepções sobre
segurança do ano passado.
21 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
Alertas de ameaças em
crescimento
As vulnerabilidades e ameaças relatadas pelo Cisco IntelliShield®
mostraram um crescimento constante em 2013: em outubro de
2013, os totais anuais cumulativos de alerta aumentaram em 14%
a cada ano desde 2012 (Figura 3).
Os alertas em outubro de 2013 estavam em seu nível mais elevado desde que o IntelliShield
começou a registrá-los em maio de 2000.
Também é notável o aumento significativo de novos alertas em comparação com alertas

atualizados, conforme o rastreamento pelo IntelliShield (Figura 4). Fornecedores e pesquisadores
de tecnologia estão descobrindo um número cada vez maior de novas vulnerabilidades (Figura
6) e essas descobertas são o resultado de uma ênfase maior na utilização de um ciclo de vida
de desenvolvimento altamente seguro, além de melhorias na segurança em seus próprios
produtos. O elevado número de novas vulnerabilidades também pode ser um sinal de que os
fornecedores estão examinando o código de seus produtos e corrigindo problemas antes que
os produtos sejam lançados e suas vulnerabilidades exploradas.
FIGURA 3
Totais acumulados de alertas anuais, 2010-2013
7000 2013
2012
6000
2011
5000 2010
4000
3000
2000
1000
0
Jan. Fev. Mar. Abr. Mai. Jun. Jul. Ago. Set. Out. Nov. Dez.
Mês
Mais atenção ao desenvolvimento de softwares seguros pode ajudar a construir a confiança

nas soluções dos fornecedores. Um ciclo de vida de desenvolvimento seguro não só atenua
o risco de vulnerabilidades e permite que os fornecedores detectem defeitos potenciais no
início do desenvolvimento, como também diz aos compradores que eles podem confiar
nessas soluções.
FIGURA 4
Alertas
1000
novos e atualizados, 2013
320
800
278
293
291
256
281
600
212
211
221
224
517
215
437
400
391
386
387
366
347
333
324
Atualizado
303
Alerta
286
200 Novo
Alerta
de ameaça
0
Jan. Fev. Mar. Abr. Mai. Jun. Jul. Ago. Set. Out. Nov.
Mês
FIGURA 5
Categorias de ameaças comuns rastreadas pelo Cisco IntelliShield

OBS.: essas categorias de ameaças CWE (Common Weakness Enumeration, Enumeração de pontos fracos
comuns), conforme as definições do National Vulnerability Database (https://nvd.nist.gov/cwe.cfm), são combinadas
com os métodos que os agentes mal-intencionados usam para atacar as redes.
1 5 9
CWE-119: erros de buffer CWE-264: permissões, privilégios CWE: erro de design
e controle de acesso
2 CWE-310: problemas com criptografia
Outros alertas Intellishield 6
(atividade, problemas, CRR, AMB) CWE-200: vazamento/divulgação de informações CWE-287: problemas com autenticação
3 7 CWE-352: Cross-Site
CWE-399: erros de gerenciamento de recursos CWE-79: Cross-Site Scripting (XSS) Request Forgery (CSRF, Falsificação de
solicitação entre sites)
4 8
CWE-20: validação de entrada CWE-94: injeção de código CWE-22: path traversal
CWE-78: injeções de comandos de SO
CWE-89: injeção de SQL
CWE-362: condições de corrida
CWE-255 gerenciamento de credenciais

9
1 CWE-59: sequência de link
CWE-16: configuração
8 CWE: informações insuficientes
CWE: outros
CWE-189: erros numéricos

7
6 2
4 3
O volume de spam está caindo,

mas o spam mal-intencionado
é ainda uma ameaça
O volume de spam estava em uma tendência descendente em
todo o mundo em 2013. No entanto, embora o volume geral
possa ter diminuído, a proporção de spam mal-intencionado
permanece constante.
Spammers usam a velocidade como uma ferramenta para abusar da confiança de usuários
de e-mail, fornecendo enormes quantidades de spam quando eventos ou tendências
reduzem a resistência dos destinatários às fraudes de spam.
Na sequência da explosão na maratona de Boston em 15 de abril de 2013, duas grandes
campanhas de spam tiveram início (uma em 16 e outra em 17 de abril), projetadas para atrair
usuários de e-mail ávidos por notícias sobre o impacto do evento. Os pesquisadores da Cisco
detectaram o registro de centenas de domínios relacionados à explosão,
poucas horas após o ataque na maratona de Boston.11
Ambas as campanhas de spam continham linhas de assunto
sobre supostos boletins de notícias relacionados às explosões,
enquanto as mensagens continham links que diziam conduzir Os spammers atacam
a vídeos das explosões das bombas ou notícias de fontes o desejo das pessoas
de imprensa de boa reputação. Os links direcionavam os
por mais informações
destinatários a páginas web que continham links vinculados
a histórias ou vídeos reais de notícias e também a iframes na sequência de um
mal-intencionados projetados para infectar os computadores grande evento.
dos visitantes. Em seu pico, o spam relacionado à explosão da
maratona de Boston compunha 40% de todas as mensagens de
spam entregues em todo o mundo, em 17 de abril de 2013.
A Figura 6 mostra uma das campanhas de spam de botnet disfarçada como
uma mensagem da CNN.12 A Figura 7 mostra o HTML fonte de uma mensagem de spam da
explosão da maratona de Boston. O iframe final (ofuscado) é para um site mal-intencionado.13
Como o spam de últimas notícias é tão imediato, os usuários de e-mail têm mais
probabilidade de acreditar que as mensagens de spam são legítimas. Os spammers atacam
o desejo das pessoas por mais informações na sequência de um grande evento. Quando os
spammers enviam aos usuários os links que eles desejam, é muito mais fácil iludi-los a efetuar
uma ação desejada, como clicar em um link infectado. Também é muito mais fácil evitar que
eles suspeitem que algo está errado com a mensagem.
FIGURA 6
Spam da maratona de Boston
FIGURA 7
HTML fonte de uma mensagem de spam da explosão na maratona de Boston
<iframe width="640" height="360"

src="https://www.youtube.com/embed/H4Mx5qbgeNo">
<iframe>

src="https://www.youtube.com/embed/JVU7rQ6wUcE">
<iframe>

src="https://bostonmarathonbombing.html">
<iframe>
Spam de acordo com os números

O volume de spam global está caindo, de acordo com os dados coletados pela Cisco Threat
Research Analysis and Communications (TRAC)/SIO (Figura 8), embora as tendências variem
de acordo com o país (Figura 9).
FIGURA 8
Volume global de spam, 2013

Fonte: Cisco TRAC/SIO
160
140
120
Bilhões por dia
100
80
60
40
20
0
Jan. Fev. Mar. Abr. Mai. Jun. Jul. Ago. Set. Out.
Mês
FIGURA 9
Tendências de volume, 2013

25 Estados Unidos Itália
República da Espanha
Coreia
20
Volume em porcentagem
China
15
10
0
Jan. Fev. Mar. Abr. Mai. Jun. Jul. Ago. Set. Out.
Mês
FIGURA 10
Principais temas de mensagens de spam em todo o mundo
1. 2. 3.
Depósito bancário/notificações Compra de produto online Foto anexada
de pagamento Confirmação de compra de produto, Fotos mal-intencionadas anexadas.
Notificações de depósitos, transferências, solicitação de ordem de compra,
pagamentos, cheque devolvido, alerta de orçamento, avaliação.
fraude.
4. 5. 6.
Avisos de envio Encontros online Impostos
Faturas, entrega ou recolhimento, Sites de encontros online. Documentos tributários, reembolsos,
rastreamento. relatórios, informações de débito,
preenchimento online da declaração do
imposto de renda.
7. 8. 9.
Facebook Vale-presente ou cupom PayPal
Status da conta, atualizações, Alertas de várias lojas Atualização de conta, confirmação,
notificações, software de segurança. (Apple foi a mais popular). notificação de pagamento, contestação
de pagamento.
Explorações da web:
Java lidera o grupo
De todas as ameaças na Web que enfraquecem a segurança, as
vulnerabilidades na linguagem de programação Java continuam a
ser o alvo mais frequentemente explorado por criminosos online,
de acordo com os dados da Cisco.
As explorações no Java ultrapassam as detectadas em Flash ou documentos Adobe PDF, que
são também vetores populares para atividade criminosa (Figura 11).
Os dados da Sourcefire, agora parte da Cisco, também mostram que as explorações do Java
compõem a ampla maioria (91%) dos indicadores de comprometimento (IoCs) monitorados
pela solução FireAMP da Sourcefire para análise e proteção avançada de malware (Figura 12).
O FireAMP detecta comprometimentos ao vivo em endpoints e depois registra o software que
causou tal comprometimento.
FIGURA 11
Ataques mal-intencionados gerados através de PDF,

Flash e Java em 2013
Fonte: relatórios da Cisco Cloud Web Security
16%
14%
12% PDF
10% Flash
8% Java
6%
4%
2%
0
Mês
Para ameaças como explorações do Java, o problema mais significativo enfrentado pelos
profissionais de segurança é a maneira como o malware entra em seu ambiente de rede
e onde eles deveriam concentrar os esforços para minimizar a infecção. Ações individuais
podem não parecer mal-intencionadas, mas seguir uma cadeia de eventos pode nos
esclaracer de onde vem o malware. O encadeamento de eventos é a capacidade de conduzir
uma análise retrospectiva sobre os dados que conectam o caminho tomado pelos agentes
mal-intencionados para contornar a segurança de perímetro e se infiltrar na rede.
Os IoCs podem sozinhos demonstrar que acessar um dado site é seguro. Por sua vez, a
inicialização do Java pode ser uma ação segura, como pode ser a inicialização de um arquivo
executável. No entanto, uma empresa está em risco se um usuário visitar um site com uma
injeção de iframe, que depois inicializa o Java; o Java então baixa um arquivo executável e
esse arquivo executa ações mal-intencionadas.
FIGURA 12
Indicadores de comprometimento, por tipo

Source: Sourcefire (solução FireAMP)
2%
Microsoft Word
3% 1%
Microsoft Excel Microsoft PowerPoint
3%
Adobe Reader
91%
Comprometimento do Java
A onipresença do Java o mantém no topo da lista de ferramentas favoritas de criminosos,

o que torna os comprometimentos do Java de longe a atividade mais mal-intencionada da
"cadeia de eventos" em 2013. Como a página Web "Sobre" do Java explica, 97% dos
computadores de mesa empresariais executam Java, assim como 89% dos computadores de
mesa em geral nos EUA.14
O Java fornece uma superfície de ataque grande demais para que os criminosos ignorem.
A tendência é que eles construam soluções que executem explorações em ordem.
Por exemplo, eles tentam primeiramente violar uma rede ou roubar dados usando as
vulnerabilidades mais fáceis e mais conhecidas antes de passar a outros métodos. Na maioria
dos casos, o Java é a exploração que os criminosos escolhem para começar, pois ele traz o
melhor retorno de investimento.
Mitigação do problema do Java

Embora as explorações de Java sejam comuns e as vulnerabilidades sejam difíceis de
eliminar, há métodos para reduzir seu impacto:
• Quando for prático, desativar o Java em navegadores em toda a rede pode evitar que essas
explorações sejam iniciadas.
• Ferramentas de telemetria como o Cisco NetFlow, integrado em muitas soluções de

segurança, podem monitorar tráfego associado ao Java, proporcionando aos profissionais
de segurança uma melhor compreensão das fontes de ameaças.
• O amplo gerenciamento de correções pode fechar muitas brechas de segurança.

• O monitoramento de endpoint e as ferramentas de análise que continuam a rastrear e
analisar arquivos após eles sua entrada na rede podem detectar retrospectivamente e
impedir ameaças que parecem seguras, mas que exibem comportamento mal-intencionado
posteriormente.
• Uma lista priorizada de dispositivos potencialmente comprometidos pode ser gerada usando
IoCs para correlacionar inteligência de malware (mesmo aparentemente eventos benignos) e
para identificar uma infecção de dia zero sem assinaturas de antivírus existentes.
A atualização para a versão mais recente do Java também pode ajudar a contornar as
vulnerabilidades. De acordo com a pesquisa da Cisco TRAC/SIO, 90% dos clientes da Cisco
usam uma versão do Java 7 Runtime Environment, a versão mais atual do programa. Isso
é bom do ponto de vista da segurança, já que essa versão provavelmente oferece maior
proteção contra vulnerabilidades.
No entanto, a pesquisa da Cisco TRAC/SIO mostra também que 76% das empresas que
usam soluções da Cisco usam também o Java 6 Runtime Environment, além do Java 7.
O Java 6 é uma versão anterior que atingiu seu fim de vida e não tem mais suporte. As
empresas frequentemente usam ambas as versões do Java Runtime Environment, pois
diferentes aplicativos podem depender de diferentes versões para executar o código Java.
No entanto, com mais de três quartos das empresas pesquisadas pela Cisco utilizando uma
solução em fim de vida com vulnerabilidades que nunca serão corrigidas publicamente, os
criminosos têm ampla oportunidade de explorarem os pontos fracos.
Em 2013, os encontros com malware Java na web atingiram um pico em abril, com 14% de
todo o malware encontrado na web. Esses encontros caíram a seu ponto mais baixo em
maio e junho de 2013, com cerca de 6% e 5% de todos os encontros com malware na web,
respectivamente (Figura 13).
(No início desse ano, a Oracle anunciou que não publicaria mais atualizações do SE do Java 6
em seu site de download público, apesar de atualizações existentes do SE do Java 6 estarem
disponíveis no Java Archive na Oracle Technology Network).
Se profissionais de segurança, que têm tempo limitado para lutar contra explorações web,
decidirem focar a maior parte de sua atenção no Java, eles poderão colocar seus recursos no
lugar certo.
FIGURA 13
Encontros de malware web no Java, 2013

14%
14,00%
12%
12,25%
10%
9,50%
8%
9,00%
7,50%
7,50%
6%
6,75%
6,50%
6,25%
6,00%
5,00%
4%
2%
0
Mês
BYOD e mobilidade:
amadurecimento dos dispositivos
beneficia o crime cibernético
Os criminosos cibernéticos e seus alvos compartilham um desafio
comum: ambos estão tentando descobrir como usar da melhor
maneira a tendência de BYOD e mobilidade para obter vantagem
empresarial.
Duas coisas parecem estar ajudando os criminosos a obter uma vantagem. Primeiro, a
maturação das plataformas móveis. Os especialistas em segurança da Cisco observam que
quanto mais os smartphones, tablets e outros dispositivos têm desempenho semelhante ao de
computadores de mesa e laptops tradicionais, mais fácil se torna projetar malware para eles.
Segundo, o uso crescentes de aplicativos móveis. Quando os usuários baixam aplicativos

móveis, eles estão colocando um cliente leve no endpoint e baixando código. Outro desafio:
muitos usuários baixam aplicativos móveis regularmente sem pensar na segurança.
Enquanto isso, as equipes de segurança de hoje estão às voltas com

um problema considerável: como proteger qualquer usuário, em
qualquer dispositivo, localizado em qualquer lugar e acessando
qualquer aplicativo ou recurso.15 A tendência de BYOD apenas Muitos usuários
complica esses esforços. É difícil gerenciar todos esses tipos
baixam aplicativos
de equipamentos, especialmente com um orçamento de TI
limitado. Em um ambiente de BYOD, o CISO precisa ter a
móveis regularmente
certeza de que a sala de dados é rigorosamente controlada. sem pensar
A mobilidade oferece novas maneiras de comprometimento
na segurança.
de usuários e dados. Os pesquisadores da Cisco observaram
agentes usando canais de rede sem fio para espionar e obter
acesso aos dados trocados através desses canais. A mobilidade
também apresenta uma variedade de problemas de segurança para
empresas, incluindo a perda de propriedade intelectual e outros dados confidenciais, caso o
dispositivo de um funcionário seja roubado ou perdido e não esteja protegido.
De acordo com especialistas da Cisco, instituir um programa formal para gerenciamento

de dispositivos móveis, para ajudar a garantir que qualquer dispositivo seja protegido antes
que ele possa acessar a rede, é uma solução para melhorar a segurança da empresa. No
mínimo, um bloqueio de número de identificação pessoal (PIN) deve ser obrigatório para a
autenticação do usuário e a equipe de segurança deveria conseguir desligar ou apagar o
dispositivo remotamente, caso ele seja roubado ou perdido.
Tendências de malware para dispositivos móveis: 2013

A seguinte pesquisa em tendências de malware para dispositivos móveis durante 2013 foi
conduzida pela Cisco TRAC/SIO e Sourcefire, agora parte da Cisco.
Os malwares para dispositivos móveis, que atacam dispositivos específicos

compunham apenas 1,2% de todos os encontros de malware na web
em 2013. Embora não sejam uma porcentagem significativa, ainda
vale a pena observar, pois o malware para dispositivos móveis é Os malwares para
claramente uma área de exploração emergente (e lógica) para dispositivos móveis,
desenvolvedores de malware.
que atacam dispositivos
De acordo com pesquisadores da Cisco TRAC/SIO, quando específicos, compunham
o malware para dispositivos móveis tem a intenção de apenas 1,2% de todos os
comprometer um dispositivo, 99% de todos os encontros têm encontros de malware
dispositivos Android como alvo. Os cavalos de troia que tem na web em 2013.
como alvo dispositivos com capacidade para Java Micro Edition
(J2ME) estavam em segundo lugar em 2013, com 0,84% de todos
os encontros com malware para dispositivos móveis.
Todavia, nem todo malware para dispositivos móveis é projetado para atacar dispositivos
específicos. Muitos encontros envolvem phishing, likejacking, ou outros ardis de engenharia
social, ou redirecionamentos forçados a sites diferentes dos esperados. Uma análise dos
agentes de usuário pela Cisco TRAC/SIO revela que os usuários de Android, com 71%, têm as
mais altas taxas de encontro com todas as formas de malware distribuídos na web, seguidos
pelos usuários de iPhone da Apple, com 14% de todos os encontros com malware (Figura 14).
Os pesquisadores da Cisco TRAC/SIO também relataram a evidência de esforços para

monetizar os comprometimentos de Android durante 2013, incluindo lançamentos de adware
e spyware relacionados com empresas de pequeno e médio porte (SME).
Com 43,8%, Andr/Qdplugin-A foi o malware para dispositivos móveis mais frequentemente
encontrado, de acordo com a pesquisa da Cisco TRAC/SIO. Encontros comuns se deram
através de cópias reempacotadas de aplicativos legítimos distribuídos através de mercados
não oficiais (Figura 15).
FIGURA 14
Encontros com malware na web por dispositivos móveis

100%
80%
60%
40%
20%
0
Android
iPhone
iPad
BlackBerry
Nokia
Symbian
iPod
Huawei
Windows
Telefone
Motorola
Playstation
Nook
Zune WP
Kindle
Windows CE
FIGURA 15
10 principais encontros com malware para dispositivos móveis, 2013

50%
40%
30%
20%
10%
0
Andr/NewyearL-B
Andr/SmsSpy-J
Andr/SMSSend-B
Andr/Spy-AAH
Plangton.a
Trojan.AndroidOS.
AndroidOS.
Wooboo.a
Andr/DroidRt-A
Andr/Gmaster-E
Trojan-SMS.AndroidOS.
Agent.ao
Andr/DroidRt-C
Andr/Qdplugin-A
35
u
n gF
Ku
oid
FIGURA 16
r
ja nD
Tro
dr.
An
on
.Pl ank t
ojan
16%
e An dr.Tr
ak (1%)
n .O pf e
ja .Zson
.Tro r ojan
ndr.T
98%
A ndr A
(1%)
jan.K min
14%
ndr.Tro
(1%) A
Andr.SMSSend
proporcionalmente. Fonte: Sourcefire
r ix t y
nserve Tro jan.G ones
rojan.A (1%) A ndr.
Andr.T
11%
.Fa keTimer
(>1%) Andr.Trojan
(>1%) Andr.Trojan.Badnews
Andr.Exploit.Gingerbreak
10%
(>1%) Andr.Trojan.G ingerMas
ter
7%
A ndr.E x plo (>1%) A ndr.Tr
it.Ratc ojan.Chuli
6%
(>1%) A n
dr.Tr ojan.OB
Relatório de Segurança Anual da Cisco de 2014
B C. E x
p l o i t. A ad
4%
ndr
(>1%)
And A ndr.T
4%
r.E xp rojan. A
ck p o s
l o i t.E
xplo (>1%) ts
And id
4%
r.Tro And r.Troj
ja n.S t an .TG Lo
4%
And els (>1% ad er
r.Tr ) An
3%
oj a dr.Tr
Ad n.G ojan
ein .Ro g
3%
nr. (>1%
An T roj imi ) An ueSP
Push
3%
dr. a n. dr.T
Tro Dro roja
An n.N o
Principais famílias de malware Android observadas em 2013
id D
An d r.Tr
jan
.A rea tCo
m pa
d o mL
7%
dr d tible
(2 r j a igh
% .Tr
o
n.G t
(2 ) A
%) j a o
n d n. A l d d r
An r.T nd ea
dr r r m
.Tr ojan orat
oj .
a n Pj a
p
Inteligência de ameaças
.Y
ZH p s
C
Obs.: o SMSSend foi responsável por 98% de todo o malware para Android; os 2% restantes são mostrados
Ataques direcionados:
o desafio de desalojar
"visitantes" persistentes e
difundidos
São grandes as chances de que ataques direcionados já tenham
se infiltrado em suas redes.
E como eles se alojam dentro de uma rede, eles tendem a ficar por ali, roubando dados
sem serem detectados ou usando recursos de rede como "pivô" e depois atacando outras
entidades (para mais informações sobre uso de pivôs, consulte página 18). O dano vai além
do roubo de dados ou interrupção de negócios: a confiança entre parceiros e clientes pode ir
embora se esses ataques não forem desalojados das redes na hora certa.
Ataques direcionados ameaçam a propriedade intelectual, os dados de clientes e as

informações confidenciais do governo. Seus criadores usam ferramentas sofisticadas
que contornam a infraestrutura de segurança de uma empresa. Os
criminosos se esforçam muito para se certificar de que essas
brechas não sejam detectadas, usando métodos que resultam
em "indicadores de comprometimento" quase imperceptíveis,
ou IoCs. Sua abordagem metódica para entrar nas redes e Criminosos
efetuar sua missão envolve uma "cadeia de ataque", a cadeia se esforçam muito
de eventos é conduzida através das fases de um ataque. para certificar-se de que
Uma vez que esses ataques direcionados encontram um essas brechas não
lugar na rede para se esconder, eles efetuam suas tarefas sejam detectadas
sem problemas e geralmente as conduzem sem serem
notados.
FIGURA 17
A cadeia de ataque
Para compreender a gama de ameaças atuais e defender eficazmente a rede, os profissionais de segurança de TI
precisam pensar como os invasores. Com uma compreensão mais profunda da abordagem metodológica utilizada
por esses agentes mal-intencionados em sua missão, as empresas podem identificar maneiras de fortalecer suas
defesas. A cadeia de ataque, uma versão simplificada da "cadeia da morte cibernética", descreve os eventos que
conduzem às fases de um ataque, e que nelas ocorrem.
1. Pesquisa
Obtenção de um panorama completo de um ambiente:
rede, endpoint, móvel e virtual, incluindo as tecnologias
implantadas para proteger o ambiente.
2. Gravação
Criação de malware direcionado e que reconhece
o contexto.
3. Teste
Garantia de que o malware funciona como o planejado,
especificamente de maneira que possa escapar das
ferramentas de segurança implantadas.
4. Execução
Navegação através da rede estendida, reconhecendo
o ambiente, escapando da detecção e movendo-se
lateralmente até atingir o alvo.
5. Cumprimento da missão
Coleta de dados, criação de interrupção ou causar destruição.
Instantâneo de malware:
tendências observadas em 2013
Especialistas em segurança da Cisco executam pesquisa e
análises contínuas de tráfego de malware e outras ameaças
descobertas, que podem oferecer uma percepção sobre o possível
comportamento criminoso e uma ajuda na detecção de ameaças.
FIGURA 18
Principais categorias de malware

Essa figura mostra as principais categorias de malware. Os cavalos de troia são o malware mais comum, seguidos
pelo adware. Fonte: Sourcefire (soluções ClamAV e FireAMP)
64% 20% 8% 4% 4%
Cavalo de troia
Adware
Worm
Virus
Downloader
Dropper (0%)
FIGURA 19
Principais famílias de malware para Windows

Essa figura mostra as principais famílias de malware para Windows. A maior, Trojan.Onlinegames, abrange
principalmente ladrões de senhas. Ela foi detectada pela solução de antivírus ClamAV da Sourcefire. Fonte:
Sourcefire (solução ClamAV)
41% 14% 11% 10% 10% 7% 4% 3%

Multiplug
(Adware)
Onlinegames
Syfro
Megasearch
Zeusbot
Gamevance
Blackhole
Hupigon
Spyeye (>1%)
FIGURA 20
10 principais categorias de hosts de malware na web, 2013

Esta figura mostra os hosts de malware mais frequentes de acordo com a pesquisa da Cisco TRAC/SIO.
45%
40%
35%
Não classificado
30% Outro
25%
20%
15% Negócios e indústria
Infraestrutura
10% Hospedagem na Web
Anúncios
Computadores e Internet
5% Compras
Notícias
Máquinas de pesquisa e portais
0 Comunidades online
Mês
FIGURA 21
Categorias de malware, por porcentagem e total

de encontros, 2013
27% 23% 22% 17% 5% 3%

Construtores
Cavalos de Troia com
iFrames
e explorações
várias finalidades
Cavalos de Troia
para roubo de dados
Downloader
e dropper
Ransomware
e scareware
Worms e vírus
e ferramentas de hackers
(1%)
(1%)
SMS, phishing
e likejacking
A pesquisa da Cisco TRAC/SIO durante 2013 mostra que cavalos de troia com várias
finalidades foram os malwares mais frequentemente encontrados, com 27% do total de
encontros. Scripts mal-intencionados, como explorações e iframes, foram a segunda
categoria mais frequentemente encontrada, com 23%. Cavalos de troia para roubos de dados,
como ladrões de senha e backdoors, compunham 22% do total de encontros de malware na
web, com cavalos de troia de downloaders e dropper em quarto lugar com 17% do total de
encontros (consulte a Figura 21).
O declínio contínuo em hosts e endereços IP exclusivos de malware (30% de declínio entre

janeiro de 2013 e setembro de 2013) sugere que o malware esteja sendo concentrado em
um número menor de hosts e de endereços IP (Figura 22). (Obs.: um endereço IP pode
atender sites de vários domínios). À medida que o número de hosts diminui (mesmo com
os malwares permanecendo estáveis), o valor e a reputação desses hosts se tornam mais
importantes, já que bons hosts ajudam os criminosos a cumprirem seus objetivos.
FIGURA 22
Hosts e endereços IP exclusivos de malware, 2013

60.000 Único
host
50.000 Único
IP
40.000
30.000
20.000
10.000
0
Mês
Nenhum oásis de "watering

holes" para empresas Alvos primários:
verticais do setor
atacadas
Uma maneira de os agentes mal-
intencionados distribuirem malware
para empresas em verticais de Empresas em verticais de alta
setor específicos é através do
uso de ataques do tipo "watering lucratividade, como o setor de farmácia
hole". Como um grande predador e química e de fabricação de eletrônicos,
observando sua presa, os criminosos
cibernéticos que buscam atacar
têm as maiores taxas de encontros
um grupo específico (por exemplo, de malware na web, de acordo com a
pessoas que trabalham no setor de pesquisa da Cisco TRAC/SIC.
aviação) monitoram quais sites esse
grupo frequenta, infectam um ou mais A taxa aumenta ou diminui à medida que o valor dos bens e
sites com malware e depois esperam
serviços de um vertical específico aumenta ou diminui.
que pelo menos um usuário no
grupo-alvo acesse esse site e fique Os pesquisadores da Cisco TRAC/SIO observaram um
comprometido. aumento notável no encontro com malwares no setor
Um ataque do tipo "watering hole" é de agricultura e mineração, antes um setor relativamente
essencialmente uma exploração de de baixo risco. Eles atribuem o aumento em encontros
confiança, pois sites legítimos são
com malware desse setor a criminosos cibernéticos que
utilizados. Ele é também uma forma
de phishing. No entanto, enquanto o
aproveitam tendências como a redução de recursos
phishing é direcionado a indivíduos de metais preciosos e interrupções no fornecimento de
selecionados, os "watering holes" alimentos relacionadas ao clima.
são projetados para comprometer
grupos de pessoas com interesses Também continuam a aumentar os encontros com malware
em comum. Os ataques do tipo no setor de eletrônicos. Os especialistas em segurança da
"watering hole" não discernem seus Cisco relatam que malwares direcionados a esse vertical
alvos: qualquer um que visite um site geralmente são projetados para ajudar os agentes a obter
infectado corre risco. acesso à propriedade intelectual, que eles por sua vez usam
No final de abril, um ataque do tipo para obter vantagem competitiva ou vender para quem
"watering hole" foi iniciado a partir de pagar mais.
páginas específicas que hospedam
conteúdo relacionado a energia Para determinar taxas de encontro com malware específicos
nuclear no site do Departamento do setor, os pesquisadores da Cisco TRAC/SIO comparam
de Trabalho dos EUA.16 Depois, a a média da taxa de encontros de todas as empresas que se
partir do início de maio de 2013,
conectam através do proxy do Cisco Cloud Web Security
pesquisadores da Cisco TRAC/SIO
observaram outro ataque do tipo com a média da taxa de encontros de todas as empresas
em um setor específico que se conectam através do proxy
Continua na próxima página do serviço. Uma taxa de encontro do setor acima de 100%
"watering hole" originário de vários reflete um risco maior que o normal para encontros com
outros sites focados no setor de malwares na web, o passo que uma taxa menor que 100%
energia e petróleo. Similaridades,
reflete um risco menor. Por exemplo, uma empresa com
incluindo a criação específica de
uma exploração usada em ambos os
taxa de encontro de 170% tem um risco de 70% maior que
ataques, deu crédito à possibilidade a média. Da mesma maneira, uma empresa com taxa de
de que os dois ataques estavam encontro de 70% tem um risco de 30% menor que a média.
relacionados. A pesquisa da Cisco
TRAC/SIO também indicou que FIGURA 23
muitos dos sites usaram o mesmo Risco do setor e encontros
web designer e provedor de
de malware na web, 2013
hospedagem. Isso poderia implicar
que o comprometimento inicial foi
0 100% 200% 300% 400% 500% 600% 700%
devido a credenciais roubadas ou que
sofreram phishing desse provedor.17 Contabilidade
Agricultura e mineração
Proteger os usuários contra esses
Automotivo
ataques envolve manter máquinas
Aviação
e navegadores da web totalmente
Atividades bancárias e financeiras
corrigidos para minimizar o número
Caridades e ONGs
de vulnerabilidades que um agressor
possa explorar. Garantir que o tráfego Clubes e organizações
web é filtrado e verificado em relação Educação
a malware antes de ser entregue Eletrônicos
ao navegador do usuário é também Energia, petróleo e gás
essencial. Engenharia e construção

Entretenimento
Alimentos e bebidas
Governo
Serviços de saúde
Aquecimento, encanamento e A/C
TI e telecomunicações
Industrial
Seguro
Jurídico
Fabricação
Mídia e publicidade
Farmácia e química
Serviços profissionais
Imobiliária e gestão de terras
Varejo e atacado
Transporte e remessa
Viagem e lazer
Serviços de utilidade pública
Fraturas em um ecossistema
frágil
Os criminosos cibernéticos estão aprendendo que aproveitar o
poder da infraestrutura de Internet produz muito mais benefícios
que o simples ganho de acesso a computadores individuais.
A mudança mais recente nas explorações mal-intencionadas é a obtenção de acesso
a servidores de hospedagem na web, nameservers e data centers, com o objetivo de
aproveitar o enorme poder de processamento e largura de banda que eles oferecem. Através
dessa abordagem, as explorações podem atingir muitos mais usuários de computador
desavisados e ter um impacto muito maior nas empresas alvejadas, independentemente do
objetivo ser fazer uma declaração política, enfraquecer um adversário ou gerar receita.
FIGURA 24
Estratégia de infecção de alta eficiência
Website
comprometido
Website Website
comprometido comprometido
Website Website
comprometido comprometido
Servidor de hospedagem comprometido
Em essência, essa tendência de ter como alvo a infraestrutura de Internet significa que não se
pode confiar na base da própria web. Os métodos usados para obter acesso raiz a servidores
do host são variados e incluem táticas como cavalos de troia em estações de trabalho de
gerenciamento que roubam credenciais de login de servidor, vulnerabilidades em ferramentas
de gerenciamento de terceiros usadas nos servidores e tentativas de login com força bruta
(consulte a página 53). Vulnerabilidades desconhecidas no próprio software de servidor pode
também fornecer vias de acesso.
Um servidor do host comprometido pode infectar milhares de sites e proprietários de sites

em todo o mundo (Figura 24).
Sites hospedados em servidores comprometidos agem como um redirecionador (o

intermediário na cadeia de infecção) e como um repositório de malware. Em vez de muitos
sites comprometidos carregarem malware de apenas alguns domínios mal-intencionados
(uma relação de muitos para poucos), a relação agora se tornou de muitos para muitos,
dificultando os esforços para desativá-los.
Nameservers de domínio são alvos principais nessa nova linhagem de ataque e os métodos
exatos ainda estão sob investigação. Há indicação que, além de sites individuais e servidores
do host, os nameservers em certos provedores de hospedagem também estão sendo
comprometidos. Os pesquisadores de segurança da Cisco dizem que essa tendência de
ataque à infraestrutura de Internet muda o panorama das ameaças, pois fornece aos criminosos
cibernéticos o controle sobre uma parte da própria base da web que não é insignificante.
[ "O crime cibernético se tornou muito lucrativo e uma mercadoria que precisa de uma
infraestrutura poderosa para se manter à tona", diz Gavin Reid, diretor de inteligência de
ameaças da Cisco. "Ao comprometer servidores do host e data centers, os agressores não
só ganham acesso a grandes quantidades de largura de banda, como também ao benefício
de tempo de atividade contínuo desses recursos". ]
"O crime cibernético se tornou tão lucrativo

que precisa de uma infraestrutura potente
para se manter à tona".
Gavin Reid, diretor de inteligência de ameaças da Cisco
Ligando os pontos: DarkLeech e Linux/CDorked

A campanha de ataque do DarkLeech relatada pela Cisco em 201318 ressalta como o
comprometimento de servidores do host pode servir como trampolim para uma campanha
maior. Estima-se que os ataques do DarkLeech comprometeram, em um curto período
de tempo, pelo menos 20.00019 sites legítimos em todo o mundo que usam o software
de servidor de HTTP Apache. Os sites foram infectados com um backdoor Secure Shell
Daemon (SSHD) que permitiu que os agressores remotos carregassem e configurassem
módulos mal-intencionados do Apache. O comprometimento permite que os agressores
injetem iframes (elementos de HTML) dinamicamente em tempo real nos sites hospedados,
que fornecem o código explorado e outros conteúdos mal-intencionados através do kit de
exploração Blackhole.
Como as injeções de iframe do DarkLeech ocorrem apenas no momento de uma visita no

site, sinais da infecção podem não ser imediatamente aparentes. Além disso, para evitar a
detecção do comprometimento, os criminosos usam uma variedade sofisticada de critérios
FIGURA 25
Comprometimentos do servidor DarkLeech por país, 2013

,5% ,5% Dinamarca

Irlanda
1% Lituânia
10% 1% Holanda
Reino Unido
1% 9% Alemanha
2% Bélgica
3% Canadá França 1%
,5% Chipre Japão
58% Estados Unidos 2% Espanha ,5% Turquia ,5%

Malásia
2% Itália
2%
1% Suíça Tailândia
1%
Austrália
,5% Outros 2% Cingapura

condicionais, por exemplo, injetar o iframe apenas se o visitante chegar de uma página de
resultados de mecanismo de pesquisa, não injetar o iframe se o endereço IP do visitante
corresponder ao do proprietário do site ou provedor de hospedagem, e injetar o iframe
apenas uma vez a cada 24 horas para visitantes individuais.
A investigação da Cisco TRAC/SIO revelou que os comprometimentos do DarkLeech se

estenderam por tudo o mundo; países com o maior número de provedores de hospedagem
naturalmente enfrentaram a maior taxa de infecção.
Os pesquisadores da Cisco SIO/TRAC consultaram milhares de servidores comprometidos

para determinar a distribuição das versões de software de servidor afetadas.
Em abril de 2013, foi detectado outro backdoor mal-intencionado que infectou centenas de
servidores que executam software de servidor HTTP Apache. O Linux/CDorked20 substituiu o
binário HTTPD em versões do Apache instaladas no cPanel. Backdoors similares direcionados
a Nginx e Lighttpd foram também descobertos. Tão seletivo quanto o DarkLeech em seus
FIGURA 26
Resposta de servidores comprometidos pelo DarkLeech

0.5% Apache/CentOS
2% Apache/2.2.8
7% Apache/2.2.22
8% Apache/2.2.3 RedHat
39% Apache-unspecified
43% Apache/2.2.3 CentOS

métodos de ataque, o CDorked também usa critérios condicionais para injetar dinamicamente
iframes em sites hospedados no servidor afetado. Qualquer visitante navegando em um site
afetado recebe então conteúdo mal-intencionado de outro site mal-intencionado, onde um kit
de ferramentas de crimeware tenta comprometer ainda mais o PC do usuário.21
Um recurso exclusivo do Linux/CDorked é que ele se desloca pelos domínios do site em

24 horas, em média. Poucos sites comprometidos são usados por tanto tempo. Assim,
mesmo se um domínio de malware for relatado, os agressores não estarão mais lá. Também,
com o Linux/CDorked, os provedores de hospedagem são alterados frequentemente (a cada
duas semanas), deslocando-se pelos hosts comprometidos para evitar
detecção. Nameservers comprometidos nos mesmos provedores
de hospedagem permitem que agentes mal-intencionados
passem de host para host sem perder controle de domínios
durante a transição. Assim que estiverem em um novo host, CDorked
os agressores começam a percorrer ciclicamente os novos e o DarkLeech parecem
domínios, usando frequentemente nomes de domínios com fazer parte de uma
erros de digitação em uma tentativa de parecer legítimo a
22
estratégia muito maior
observadores casuais.
e mais complexa.
A análise de padrões de tráfego com CDorked da Cisco
TRAC/SIO sugere uma conexão com o DarkLeech. O URL de
referência especialmente codificado empregado pelo CDorked
denota especificamente tráfego do DarkLeech. Mas essa não é a
peculiaridade mais interessante sobre o malware: tanto o CDorked quanto o DarkLeech
parecem fazer parte de uma estratégia muito maior e mais complexa.
"A sofisticação desses comprometimentos sugere que criminosos cibernéticos obtiveram

controle significativo sobre milhares de sites e vários servidores do host, incluindo
nameservers empregados por esses hosts", diz Gavin Reid, diretor de inteligência de
ameaças da Cisco. "Combinado com a recente enxurrada de ataques de login forçado
contra sites individuais, parece que estamos testemunhando uma mudança de maré, onde a
infraestrutura da web está sendo usada de uma forma que pode ser descrita apenas como
um botnet muito grande e poderoso. Esse überbot pode ser usado para enviar spam, distribuir
malware e iniciar ataques DDoS em uma escala jamais vista".
Tráfego mal-intencionado,
frequentemente um sinal
de ataques direcionados,
detectados em todas as redes
corporativas
De acordo com a análise da Cisco das tendências de inteligência
de ameaças, o tráfego mal-intencionado é visível em 100%
das redes corporativas. Isso significa que há evidência de que
criminosos sofisticados ou outros agentes penetraram nessas
redes e podem estar operando sem serem detectados por
grandes períodos de tempo.
Todas as empresas devem supor que foram hackeadas, ou pelo menos concordar que não é
uma questão de "se elas serão alvo de um ataque" e sim "quando" e "por quanto tempo".
[ Em um projeto recente que examina as consultas de DNS (Domain Name Service) originadas
de dentro de redes corporativas, os especialistas em inteligência de ameaças da Cisco
descobriram que em todos os casos, as empresas mostraram evidências de que suas redes
foram abusadas ou comprometidas (Figura 27). Por exemplo, 100% das redes empresariais
analisadas pela Cisco tiveram tráfego para sites que hospedam malware, enquanto 92%
mostraram tráfego para páginas web sem conteúdo, que geralmente hospedam atividade mal-
intencionada. 96% das redes examinadas mostraram tráfego para servidores sequestrados. ]
A Cisco detectou também tráfego para sites militares ou públicos dentro de empresas que
geralmente não fazem negócios com esses setores, além de tráfego para sites de áreas
geográficas de alto risco, como países sob embargo comercial dos Estados Unidos. A
Cisco observou que tais sites podem ser usados devido à alta reputação geral desfrutada
por empresas públicas ou governamentais. O tráfego a esses sites pode não ser um sinal
definitivo de um comprometimento, mas para empresas que não negociam normalmente com
o governo ou militares, tal tráfego pode indicar que as redes foram comprometidas. Como
consequência, os criminosos podem utilizá-las para violar sites e redes desses setores.
Apesar de seus melhores esforços para manter suas redes livres de ameaças mal-
intencionadas, todas as empresas que a Cisco examinou durante 2013 mostraram evidência
de tráfego suspeito. O tráfego identificado através de consultas de DNS pode fornecer
forte IoCs e vale a pena ser investigado por empresas que desejem impedir esses agentes
de ameaças, que são difíceis de serem identificados, em suas redes. É um método para
aumentar a visibilidade da movimentação de criminosos que são geralmente muito difíceis de
serem localizados.
FIGURA 27
A penetração do tráfego mal-intencionado
100%
Conexões a domínios que são sites conhecidos
Malware de alto risco de ameaças de malware ou vetores de ameaças.
100%
Tráfego suspeito e excessivo para lugares que
Governo e Forças Armadas não são geralmente contatados pelo público.
96%
Conexões a infraestruturas sequestradas
Infraestrutura sequestrada conhecidas ou sites comprometidos.
92%
Conexões a sites vazios que podem ter
Sites sem conteúdo códigos para injetar malware em sistemas.
FTP suspeito Conexões inesperadas em sites de FTP irregulares. 88%

79%
Conexões de dentro de uma organização a
VPN suspeita sites de VPN suspeitos.
Educação através
71%
Conexões a universidades em locais suspeitos, servindo
de ameaças como pontos de pivô para outros tipos de malware.
50%
Volume muito alto de tentativas de se conectar
Pornografia a sites pornográficos conhecidos.
RECURSO ESPECIAL DA PESQUISA DE SEGURANÇA DA CISCO:

Novas peculiaridades do bitsquatting e novas maneiras de impedir ataques
Cybersquatting, a prática de registrar nomes de domínios que são idênticos ou muito semelhantes a uma marca
distinta, tem sido há muito tempo uma ferramenta de criminosos online. Recentemente, o "bitsquatting," o registro
de nomes de domínio que são diferentes do domínio original por apenas um dígito binário, se tornou outra maneira
de redirecionar tráfego de Internet a sites que hospedam malware ou fraudes.
O bitsquatting é uma forma de cybersquatting que tem como alvo erros de bit na memória do computador. Um
erro de memória ocorre sempre que um ou mais bits que são lidos da memória mudam do estado em que foram
previamente escritos. Esses erros na memória podem ocorrer devido a muitos fatores, incluindo raios cósmicos
(partículas de alta energia que atingem a Terra com uma frequência de 10.000 por metro quadrado por segundo), um
dispositivo utilizado fora de seus parâmetros ambientais recomendados, defeitos de fabricação e mesmo explosões
nucleares de baixa potência.
Ao alterar um único bit, um domínio como "twitter.com" pode se tornar um domínio de bitsquat "twitte2.com". Um
agressor pode simplesmente registrar um domínio de bitsquat, aguardar que um erro de memória ocorra e depois
interceptar tráfego de Internet.
Pesquisadores de segurança acreditam que ataques de bitsquatting são mais prováveis de ocorrer em nomes de
domínios resolvidos com frequência, já que esses domínios têm mais probabilidade de aparecerem na memória
quando erros de bit ocorrerem. No entanto, uma recente pesquisa da Cisco previu que domínios anteriormente
não considerados "populares" o bastante para ataques produzirão, na realidade, quantidades úteis de tráfego de
bitsquat. Isso porque a quantidade de memória por dispositivo e o número de dispositivos conectados à Internet
estão aumentando; de acordo com as estimativas da Cisco, serão 37 bilhões de "coisas inteligentes" conectadas à
Internet até 2020.23
Vetores de ataque de bitsquatting

A Cisco TRAC/SIO identificou novos vetores de ataque de bitsquatting, incluindo:
• Bitsquatting delimitador de subdomínio: de acordo com a sintaxe aceita para rótulos de nomes de domínio, os
únicos caracteres válidos em um nome de domínio são A-Z, a-z, 0-9 e o hífen. No entanto, ao verificar domínios
de bitsquat, limitar a busca a esses caracteres negligencia um importante caractere que é também válido dentro
de nomes de domínio: o ponto. Uma nova técnica de bitsquatting conta com erros de bit que resultam em uma
letra "n" (binário 01101110) se transformando em um ponto "." (binário 00101110) e vice-versa.
• Delimitadores de subdomínio, onde o "n" se transforma em ".": em uma variação da técnica acima, se um nome de
domínio de segundo nível contiver a letra "n" e houver dois ou mais caracteres após a letra "n", então este será um
possível bitsquat. Por exemplo, "windowsupdate.com" se transformaria em "dowsupdate.com."
• Bitsquats delimitadores de URL: um contexto popular para nomes de domínio está dentro de um URL. Dentro de
um URL comum, caracteres de barra, como "/" agem como delimitadores, separando o esquema do nome do host
do caminho do URL. O caractere de barra (binário 00101111) pode, através da mudança de um bit, se tornar a letra
"o" (binário 01101111) e vice-versa.

Prevenção de ataques de bitsquatting: criação de um RPZ de bitsquat

As duas técnicas de atenuação que são comumente usadas para evitar bitsquatting têm seu lugar no arsenal de
segurança, mas nenhum dos métodos é ideal:
• Usar memória de correção de erros (ECC): toda a base de dispositivos instalados deveria
ser atualizada em todo o mundo, simultaneamente, para tornar essa solução eficaz.
• Registrar os domínios de bitsquat para que nenhum terceiro possa registrá-lo: isso nem
sempre é possível, pois muitos domínios de bitsquat populares já foram registrados.
Dependendo do tamanho do nome de domínio, isso também pode ser caro.
A boa notícia é que essas técnicas de atenuação não são as únicas que um profissional de segurança pode implantar
para proteger os usuários de direcionar acidentalmente de maneira errada o tráfego de Internet. Com adoção
suficiente, as novas atenuações poderiam eliminar o problema de bitsquatting quase completamente.
Por exemplo, zonas de política de resposta (RPZs) são uma opção de configuração desde o BIND versão 9.8.1
e existe uma correção para versões anteriores do BIND. (O BIND é um software de DNS de Internet amplamente
utilizado). Os RPZs são arquivos de zona local que permitem que o resolvedor DNS responda a solicitações
específicas de DNS dizendo que o nome de domínio não existe (NXDOMAIN), redirecionando o usuário a um "jardim
murado" (uma plataforma fechada), ou outras possibilidades.
Para atenuar os efeitos de erros de um bit dos usuários de um resolvedor DNS, o administrador do resolvedor pode
criar um RPZ que protege contra bitsquats de nomes de domínio frequentemente resolvidos ou apenas para uso
interno. Por exemplo, o RPZ pode ser configurado de forma que quaisquer solicitações feitas ao resolvedor DNS para
variantes de bitsquat desses domínios receberão uma resposta NXDOMAIN, "corrigindo" silenciosamente erros de
bit sem nenhum trabalho por parte do cliente que enfrentou o erro de bit.24
Setor
Investigadores da Cisco SIO elevam a discussão em torno das
tendências do setor que se estendem além da telemetria da Cisco.
53 Relatório de Segurança Anual da Cisco de 2014 Setor
Tentativas de login forçado,

uma das táticas favoritas para
comprometer sites
Embora tentativas de login forçado não sejam de maneira alguma
uma nova tática dos criminosos cibernéticos, sua utilização
triplicou na primeira metade de 2013.
No curso da investigação, pesquisadores com Cisco TRAC/SIO descobriram um hub de
dados usado para alimentar tais ações. Ele incluía 8,9 milhões combinações de nomes
de usuários e possíveis senhas, incluindo senhas fortes — não apenas a variedade
"password123", que é fácil de ser quebrada. Credenciais de usuários roubadas ajudam a
manter essa lista e outras como ela, bem estocadas.
FIGURA 28
Como as tentativas de login forçado funcionam
O PC entra em contato com um O PC busca nomes de site O PC ataca o site usando várias
"controle e comando" e baixa alvo a partir do "controle e explorações CMS/tentativas de
um cavalo de Troia. comando". login com força bruta
Quando bem-sucedido, o PC Os websites afetados então se As futuras vítimas recebem

carrega o bot PHP e outros tornam transmissores de spam. o downloader e o ciclo se repete.
scripts para o website
recém-comprometido.
[ Os alvos principais de tentativas de login forçado são plataformas de sistemas de

gerenciamento de conteúdo (CMS) amplamente utilizadas, como WordPress e Joomla.
Tentativas bem-sucedidas de obter acesso autorizado através de um CMS dão aos
agressores a capacidade de carregar backdoors PHP (pré-processador de hipertexto)
e outros scripts mal-intencionados em sites comprometidos. Em alguns casos, o
comprometimento pode permitir que agressores encontrem um caminho a um servidor do
host, que pode ser então comandado ] (Figura 28).
Considerando a existência de mais de 67 milhões de sites WordPress em todo o mundo

e que os publicadores estão usando a plataforma para criar blogs, sites de notícias, sites
de empresas, revistas, redes sociais, sites de esportes, etc., não é
nenhuma surpresa que muitos criminosos online têm como objetivo
obter acesso através desse CMS.25 A Drupal, uma plataforma de
CMS em rápido crescimento, também foi alvo nesse ano; por
exemplo, em maio, os usuários foram avisados a trocarem Muitos criminosos
suas senhas, pois "acesso não autorizado [à Drupal] foi
online têm como
efetuado através de software de terceiros na infraestrutura
do servidor Drupal.org".26
objetivo ganhar acesso
através de CMS.
Mas não é apenas a popularidade desses sistemas que
os tornam alvos desejáveis. Muitos desses sites (embora
ativos) têm sido em grande número abandonados por seus
proprietários. Há provavelmente milhões de blogs abandonados
e domínios comprados inativos, e muitos deles agora pertencem a
criminosos cibernéticos. Os especialistas de segurança da Cisco preveem que o problema só
irá piorar à medida que mais e mais pessoas em mercados emergentes de Internet em todo o
mundo criam blogs ou sites, apenas para deixá-los definhar mais tarde.
A ampla utilização de plugins, que são projetados para ampliar as funções de um CMS
e potencializar vídeos, animações e jogos, também está provando ser uma dádiva para
malfeitores que procuram obter acesso não autorizado à plataformas como WordPress e
Joomla. Muitos comprometimentos de CMS observados pelos pesquisadores da Cisco em
2013 podem ser rastreados a plugins escritos na linguagem de script web PHP que foi mal
projetada, sem nenhuma preocupação com a segurança.
Ataques DDoS: o
AMPLIFICAÇÃO DE DNS:
Técnicas de atenuação
[Ataques lançados através da
amplificação de DNS continuarão
sendo uma preocupação em 2014, que era velho voltou
a ser novidade
de acordo com especialistas de
segurança da Cisco. A Open Resolver
Project (openresolverproject.org)
relata que em outubro de 2013, 28
milhões de "open resolvers" na
Ataques DDoS (Distributed Denial of
Internet representavam uma "ameaça Service), que podem interromper o tráfego
significativa". (Considere que o
ataque DDoS do Spamhaus de 300
de entrada e saída dos sites atacados e
Gbps usou apenas 30.000 open paralisar ISPs (provedores de serviços de
resolvers).] Internet), têm aumentado em volume e
Se um resolvedor estiver aberto, isso gravidade.
significa que ele não está filtrando
para onde está enviando respostas. Como os ataques DDoS têm sido considerados "notícias
O DNS usa protocolo UDP, que não antigas" em termos de técnicas de crime cibernético,
tem estado, o que significa que uma
muitas empresas estavam confiantes de que as medidas
solicitação pode ser feita em nome de
outra parte. Essa parte então recebe de segurança implantadas poderiam fornecer proteção
uma quantidade maior de tráfego. Por adequada. Mas essa confiança foi abalada por ataques
isso, identificar "open resolvers" (e DDoS de grande escala em 2012 e 2013, incluindo a
efetuar ações para fechá-los) é algo Operação Ababil, que teve como alvo várias instituições
com que o setor terá que lidar por financeiras, com provável motivação política.27
algum tempo no futuro.
As empresas podem reduzir a "Ataques DDoS devem ser uma das principais preocupações
chance de um ataque lançado por de segurança para as empresas no setor público e privado
amplificação de DNS de várias em 2014", diz John N. Stewart, vice-presidente sênior e
maneiras, incluindo implementar a chefe de segurança da Cisco. "Espera-se que as campanhas
melhor prática em vigor (BPC) de futuras sejam ainda mais extensas e que durem por períodos
força-tarefa de engenharia 38 para
mais longos. Empresas, especialmente aquelas que operam
evitar ser a fonte de ataques. Essa
BPC recomenda que os provedores ou têm interesse em setores que já são alvos principais, como
upstream de conectividade IP filtrem serviços financeiros e de energia, precisam se perguntar:
pacotes que entram em suas redes "podemos ser resilientes contra um ataque DDoS?"
de clientes downstream e descartem
quaisquer pacotes que tiverem um Uma nova peculiaridade: alguns ataques DDoS estão
endereço de origem não alocado a sendo provavelmente usados para ocultar outras atividades
nefastas, como fraudes eletrônicas, antes, durante ou após
uma campanha. (Consulte "DarkSeoul," página 57).
Esses ataques podem sobrecarregar as equipes do
esse cliente.30 A BPC foi criada em banco, impedir notificações de transferências a clientes
coautoria pela Cisco, que oferece e que eles denunciem fraudes. E, no momento que uma
diretrizes sobre implantação de uRPF
instituição se recuperar de tal evento, ela não poderá
e sua execução.31
recuperar suas perdas financeiras. Um desses ataques,
Outra técnica de atenuação é que ocorreu em 24 de dezembro de 2012, teve como alvo
configurar todos os servidores DNS
uma instituição financeira regional da Califórnia e "ajudou a
autorizados para usar limitação de
taxa. O nameserver autorizado, que distrair os funcionários do banco da tomada de uma conta
serve o domínio de uma empresa, online de um de seus clientes, dando aos ladrões mais de
é geralmente aberto a todas as US$900.000".28
solicitações. A limitação de taxa
de resposta DNS (DNS RRL) é um O conhecimento para comprometer servidores do host, que
recurso que pode ser ajustado para se aprofunda cada vez mais rapidamente, apenas tornará
evitar que um servidor DNS responda mais fácil para que criminosos cibernéticos lancem ataques
à mesma pergunta da mesma DDoS e roubem das empresas atacadas (consulte "Fraturas
entidade muitas vezes, protegendo
em um ecossistema frágil", página 43). Ao comandar
assim a empresa de ser usada
como um intermediário em ataques
uma parte da infraestrutura da Internet, os agentes mal-
DDoS. O DNS RRL é habilitado em intencionados podem tirar vantagem de grandes quantidades
servidores DNS e é uma maneira de largura de banda, que oferecem a eles uma posição para
de um administrador de servidor lançar qualquer número de campanhas importantes. Isso
limitar a eficácia da utilização de um já está acontecendo: em agosto 2013, o governo chinês
servidor por agressores em ataques
informou que o maior ataque DDoS já enfrentado desligou a
de amplificação. A limitação de taxa
de resposta DNS é um recurso mais
Internet chinesa por cerca de quatro horas.29
recente e não é comportado por Até mesmo spammers estão usando ataques DDoS
todos os servidores DNS; no entanto,
para contra-atacar empresas que eles creem que estão
ela é comportada pelo ISC BIND, um
servidor DNS popular. atrapalhando sua geração de receita. Em março de 2013,
a organização sem fins lucrativos Spamhaus (que rastreia
Além disso, todos os servidores DNS
recursivos precisam ser considerados
spammers e criou a lista de bloqueio Spamhaus, um
com uma lista de controle de diretório de endereços IP suspeitos) foi alvo de um ataque
acesso (ACL), para que eles possam DDoS que desligou temporariamente seu site e reduziu o
responder apenas a consultas de tráfego de Internet em todo o mundo. Alegou-se que os
hosts em sua própria rede. Um agressores eram afiliados ao CyberBunker, um provedor
ACL mal gerenciado pode ser um
de hospedagem com sede na Holanda com termos de uso
fator primário em ataques DNS,
especialmente em grandes servidores
permissivos, e o STOPhaus, que expressou publicamente
com grandes quantidades de largura sua antipatia pelas atividades do Spamhaus. O ataque DDoS
de banda disponível. Essa técnica ocorreu após o amplamente utilizado serviço Spamhaus
ter incluído o CyberBunker em sua lista negra. Em uma
aparente retaliação, spammers suspeitos tentaram colocar o
Spamhaus off-line através de um ataque DDoS.
também ajuda a reduzir as chances Esse incidente de DDoS empregou um ataque de

de se tornar um intermediário em um amplificação de DNS, que explora open resolvers de DNS
ataque DDoS.
que respondem até mesmo consultas fora de sua faixa de IP.
"Como há discussão no setor de Ao enviar a um open resolver uma consulta deliberadamente
segurança em torno de se permitir formada e muito pequena com um embuste de endereço
que nameservers autorizados
de origem do alvo, os agressores conseguem evocar
desativem serviços a entidades que
se tornam intermediários em ataques uma resposta significativamente maior ao alvo planejado.
DDoS, as empresas devem empregar Depois que as tentativas iniciais de colocar o Spamhaus
as técnicas de atenuação simples off-line falharam, os agressores empregaram um ataque
descritas acima", diz Gavin Reid, de amplificação de DNS direcionado à Camada 1 e outros
diretor de inteligência de ameaças da provedores upstream do SpamHaus.
Cisco.
Para obter mais informações sobre
DarkSeoul
as melhores práticas de DNS,
consulte "Melhores práticas de DNS,
proteções de rede e identificação de
ataques": http://www.cisco.com/web/
about/security/intelligence/dns-bcp.
Como observado em "Ataques DDoS: o
html. que era velho voltou a ser novidade", o
novo foco dos criminosos cibernéticos e o
crescimento rápido do conhecimento em
comprometer servidores do host estão
apenas facilitando lançar ataques DDoS e
roubar as empresas.
Os pesquisadores de segurança da Cisco alertam que as
campanhas futuras de DDoS terão mais probabilidade de
causar interrupções e danos mais significativos, incluindo
prejuízo financeiro, devido ao roubo.
Os ataques direcionados do DarkSeoul de março de 2013

envolveram um malware "apagador" destinado a destruir
dados nos discos rígidos de dezenas de milhares de PCs
e servidores. Os ataques foram direcionados a instituições
financeiras e empresas de mídia na Coreia do Sul, com o
payload definido para ser ativado ao mesmo tempo. No
entanto, o malware apagador parece ser apenas uma faceta
do ataque. Ao mesmo tempo em que o malware foi disparado,
o site do provedor de rede coreano LG U+ foi desfigurado
e as redes de outras empresas atacadas começaram a cair,
recursos não reproduzíveis no malware apagador.32
Alguns acreditam que os ataques foram resultado de uma guerra cibernética instituída pela
Coreia do Norte para causar uma interrupção econômica à Coreia do Sul ou um ato de
sabotagem por outra nação. Mas existe a possibilidade de que os ataques do DarkSeoul
tiveram como objetivo ocultar ganhos financeiros.33
Os pesquisadores de segurança ainda estão tentando compreender esses ataques e

descobrir quem foi responsável por eles, porém, as evidências indicam que os planos do
DarkSeoul podem ter sido colocados em prática desde 2011. Nesse ano, o FBI (Federal
Bureau of Investigation) dos EUA emitu o primeiro alerta sobre o surgimento de cavalos de
troia bancários projetados para ocultar a transferência de fundos fraudulentos das contas
das vítimas.34 Depois, em 2013, a empresa de segurança RSA relatou uma nova linhagem
de criminosos cibernéticos construindo uma campanha de cavalo de troia sofisticada que
poderia iniciar um ataque em um dia programado e tentar "sacar o máximo possível de
contas comprometidas, antes que suas operações fossem interrompidas por sistemas de
segurança".35 E, na véspera de natal de 2012, ladrões online usaram um ataque DDoS como
disfarce enquanto roubavam de uma instituição financeira regional da Califórnia,36
Um binário de malware identificado nos ataques do DarkSeoul, que teve como alvo empresas
de mídia e instituições financeiras, é um cavalo de troia bancário que teve como alvo
específico os clientes dos mesmos bancos coreanos, de acordo com os investigadores da
Cisco TRAC/SIO. Esse fato, junto com o cronograma de tendências de crime cibernético que
levaram ao DarkSeoul, indica que a campanha pode ter sido roubo disfarçado de outra coisa.
Ransomware
[ Ao longo de 2013, os agressores foram se afastando cada

vez mais de infecções conduzidas por botnet tradicionais Ao longo de 2013,
em PCs. Parte dessa mudança incluiu o aumento de uso
os agressores foram se
de ransomware como payload final de malware de sites
comprometidos, e-mails mal-intencionados e cavalos de troia afastando cada vez mais
de downloaders. Ransomware é uma categoria de malware de infecções conduzidas
que evita a operação normal de sistemas infectados até que por botnet tradicionais
uma taxa prescrita seja paga. ]
em PCs.
O ransomware fornece um fluxo difícil de rastrear, embora
direito, aos agressores sem exigir o uso de serviços arrendados
intermediários, como aqueles fornecidos pelos botnets tradicionais. Os
agressores mimetizam economias locais legítimas que assistiram a um aumento significativo
em direito de propriedade exclusivo, como resultado de perdas de emprego e revezes
econômicos, mas a motivação dos criminosos cibernéticos é a perda da disponibilidade de

botnet e kits de exploração acessíveis devido a derrubadas.
No outono de 2013, um novo tipo de ransomware, apelidado de CryptoLocker, começou a

criptografar arquivos das vítimas com uma combinação de pares de chave de 2048-bit RSA e
AES-256, considerados impossíveis de serem quebrados. Além disso, o CryptoLocker move
arquivos além da máquina local para incluir tipos de arquivo correspondentes em qualquer
unidade mapeada que possa ser gravada. Mediante a conclusão da rotina de criptografia,
as vítimas veem uma série de caixas de diálogo que fornecem instruções detalhadas
para pagamento do resgate (Figura 29). Apresenta-se também uma contagem regressiva
instruindo a vítima a pagar dentro de um tempo específico (variando de 30 a 100 horas). O
diálogo alerta também que se o resgate não for pago no tempo alocado, a chave privada será
excluída do servidor de controle e comando, o que fará com que a chance de descriptografar
os arquivos seja perdida.
O CryptoLocker surgiu em meados de outubro, possivelmente em resposta à perda dos kits

de exploração Blackhole e Cool, após a prisão do autor alegado dessas estruturas.
FIGURA 29
Instruções de resgate do CryptoLocker

A falta de talentos de segurança

e lacunas das soluções
[ A sofisticação da tecnologia e das táticas usadas por criminosos
online (e suas tentativas contínuas de violar a segurança da rede
e roubar dados) superaram a capacidade dos profissionais de TI e
segurança de enfrentarem as ameaças. A maioria das empresas
não tem as pessoas ou sistemas para monitorar suas redes
constantemente e para determinar como elas são infiltradas. ]
A falta de talentos de segurança piora o problema: mesmo com
orçamentos generosos, os CISOs lutam para contratar pessoas
com habilidades de segurança atualizadas. Estima-se que
até 2014, ainda faltarão mais de um milhão de profissionais OS CISOs lutam para
de segurança em todo o mundo ao setor. Os profissionais
contratar pessoas com
de segurança com conhecimentos em ciências de dados
também são escassos; compreender e analisar dados de habilidades de segurança
segurança pode ajudar a melhorar o alinhamento com os atualizadas.
objetivos comerciais. (Consulte o apêndice na página 68,
"As empresas de segurança precisam de cientistas de dados:
ferramentas introdutórias de análise dados para profissionais de
segurança")
A nuvem como um novo

perímetro
Como os CISOs contam aos especialistas de segurança da Cisco
(consulte a página 18), mover quantidades cada vez maiores de
dados empresariais importantes à nuvem é uma preocupação de
segurança crescente.
A revolução da nuvem diz Michael Fuhrman, vice-presidente de engenharia da Cisco, é
comparável ao aumento de soluções na web no final dos anos 1990.
"Foi uma mudança radical no uso empresarial da nova tecnologia

e, ao mesmo tempo, assistimos a um aumento nos ataques
online dos criminosos", diz Fuhrman. "Hoje, a mudança radical
O crescimento da
vem da nuvem. Não só as empresas hospedam muitos
de seus aplicativos essenciais na nuvem, como também computação em nuvem é
elas usam a nuvem para consumir e analisar informações inegável e não pode ser
empresariais essenciais". freada.
O crescimento da computação em nuvem é inegável e não
pode ser freada. A Cisco projetou que o tráfego de rede em
nuvem aumentará mais de três vezes até 2017.37
[ De 2014 em diante, os profissionais de segurança podem esperar ver

perímetros corporativos inteiros mudando para a nuvem. Essas bordas de rede passaram pelo
processo de se tornarem muito menos bem definidas nos anos recentes. Mas, com tantos
aplicativos e tantos dados na nuvem, as empresas estão perdendo rapidamente a capacidade
de ver quem e o que está entrando e saindo das fronteiras corporativas, e que tipo de ações
estão efetuando. ]
A transição para a nuvem muda o jogo, pois ela redefine onde os dados são armazenados,
movido e acessados, criando oportunidades maiores para os agressores.
Colaborando ainda mais com o medo de ceder o controle de dados à nuvem, temos a falta de
informações sobre como os fornecedores de nuvem defendem seus produtos contra violações
de segurança. Frequentemente, as empresas não perguntam o suficiente sobre o que está
contido nos níveis de acordo de serviços de seus fornecedores, ou com qual frequência os
fornecedores atualizam seu software de segurança ou corrigem suas vulnerabilidades.
As empresas precisam de garantias que um fornecedor de nuvem esteja usando as

ferramentas e estratégias mais sofisticadas disponíveis para frustrar ataques, ou para detectá-
los e impedi-los quando estiverem em andamento. Para as equipes de segurança, a decisão
de avançar frequentemente se resume a uma pergunta: "que controles devo procurar em um
provedor para confiar a ele o gerenciamento e a proteção dos meus dados?"
No outro lado do muro, os provedores de nuvem lutam para identificar e implantar

um conjunto gerenciável de controles mapeados a um número cada vez maior de
regulamentos internacionais, que são necessários para lidar com um ambiente de
ameaças cada vez mais hostil.
"Ao escolher fornecedores de segurança e infraestrutura essencial, compramos

frequentemente com base em qualificações e reputação técnicas", diz John N. Stewart,
vice-presidente sênior e chefe de segurança da Cisco. "Ultimamente, o processo e a
abordagem de segurança em evolução do fornecedor também se tornaram fatores cada vez
mais importantes".
Coincidentemente, as poucas coisas que tornam a nuvem uma ameaça (como o local fora
do perímetro da rede e o aumento do uso da nuvem para dados essenciais da empresa)
podem permitir que as empresas tomem decisões de segurança mais precisas e quase
em tempo real. Com mais tráfego passando pela nuvem, as soluções de segurança que
também dependem da nuvem podem analisar esse tráfego de maneira rápida e fácil, e obter
essa informação complementar. Além disso, para empresas menores ou com restrições
orçamentárias, um serviço de nuvem bem protegido e gerenciado pode oferecer mais
proteções de segurança do que os próprios servidores e firewalls da empresa.
"Ao escolher fornecedores de segurança e

infraestrutura essencial, compramos frequentemente
nos baseando em qualificações e reputação
técnicas. Ultimamente, o processo e a abordagem de
segurança em evolução do fornecedor também se
tornaram fatores cada vez mais importantes".
John N. Stewart, vice-presidente sênior e chefe de segurança da Cisco
Recomendações
Mais empresas estão lutando para solidificar uma visão de segurança
apoiada por uma estratégia eficaz que usa novas tecnologias, simplifica
sua arquitetura e operações e fortalece suas equipes de segurança.
64 Relatório de Segurança Anual da Cisco de 2014 Recomendações
Objetivos para 2014:

verificação de confiabilidade e
melhoria de visibilidade
Hoje, em um ambiente onde o nível de confiança associado à
uma rede ou dispositivo deve ser avaliado dinamicamente, as
empresas enfrentam modelos de segurança fragmentados que
oferecem aplicações de política inconsistentes, inteligência de
ameaças isolada e uma proliferação de fornecedores e produtos a
serem gerenciados.
As conexões entre empresas, os dados e os ataques avançados lançados por agentes mal-
intencionados são simplesmente complexos demais para um único dispositivo enfrentar.
E a maioria das empresas não tem o pessoal de segurança com o conhecimento e a
experiência necessários para ajudá-los a adaptar seus modelos de segurança aos desafios (e
oportunidades) apresentados pela computação em nuvem, mobilidade e outras maneiras de
fazer negócios, impulsionadas por avanços tecnológicos.
No ano passado, empresas de todos os tipos lutaram para compreender como poderiam
adotar a inovação sem criar novas brechas de segurança ou aprofundar as que já existiam.
O ano de 2013 também colocou o problema da confiança em primeiro plano. Agora, há
uma maior probabilidade de que usuários de todos os tipos questionem a confiabilidade da
tecnologia com que eles contam todos os dias, seja no trabalho ou em sua vida pessoal.
Dessa maneira, é muito importante que os fornecedores de tecnologia ajudem a garantir
aos clientes a segurança como prioridade em seus processos de fabricação e estejam
preparados para apoiar essas garantias.
["Estamos em uma transição de mercado onde a confiança é importante e o processo e a

tecnologia devem ser características integrais do design do produto de um fornecedor para
atender às necessidades das ameaças atuais", diz o chefe de segurança da Cisco John N.
Stewart. "A promessa de uma empresa é insuficiente. As empresas precisam de verificação
através de produtos certificados, processos de desenvolvimento integrados, tecnologia
inovadora e posição de respeito no setor. As empresas também precisam tornar uma
prioridade contínua, a verificação da confiabilidade dos produtos tecnológicos que utilizam e
dos fornecedores que os fornecem". ]
Melhorar o alinhamento entre as operações de segurança e os objetivos empresariais é

também uma medida importante para o fortalecimento da segurança empresarial. Em um
clima de recursos limitados e orçamentos baixos, esse alinhamento pode ajudar os CISOs e
outros executivos de segurança na empresa a identificarem os principais riscos e as corretas
abordagens de atenuação. Parte desse processo é aceitar o fato de que nem todos os
recursos corporativos podem ser totalmente protegidos, o tempo todo. "Cheguem a um
acordo sobre o que é mais importante do ponto de vista da segurança cibernética", diz Gavin
Reid, diretor da inteligência de ameaças da Cisco. "É uma abordagem mais produtiva do que
esperar encontrar uma poção mágica que possa curar tudo".
Para enfrentar os desafios de segurança de frente, as empresas precisam examinar seu

modelo de segurança como um todo e ter visibilidade em todo o contínuo do ataque:
• Antes de um ataque: para defender sua rede, as empresas precisam saber o que ela
contém: dispositivos, sistemas operacionais, serviços, aplicativos, usuários, etc. Além disso,
eles precisam implantar controles de acesso, aplicar políticas de segurança e bloquear
aplicativos e acesso geral a ativos cruciais. No entanto, as políticas e controles são apenas
uma pequena peça de um panorama maior. Essas medidas podem ajudar a reduzir a área
de superfície de ataque, mas haverá sempre lacunas que os agressores encontrarão e
explorarão para atingir seus objetivos.
• Durante um ataque:as empresas precisam lidar com uma ampla variedade de vetores de
ataque com soluções que operam em todos os lugares em que uma ameaça possa se
manifestar — na rede, em endpoints, de dispositivos móveis e em ambientes virtuais. Com
soluções eficazes implantadas, os profissionais de segurança estarão melhor posicionados
para bloquear ameaças e ajudar a defender o ambiente.
• Após um ataque: invariavelmente, muitos ataques serão bem sucedidos. Isso significa que
as empresas precisam ter um plano formal implantado que as permitirá determinar o escopo
do dano, conter o evento, remediar e trazer as operações para dentro da normalidade o
mais rápido possível.
[ "Os agressores e suas ferramentas avançaram para escapar das defesas tradicionais. A
realidade é que não se trata mais de saber se os agressores serão bem-sucedidos e
sim, quando", diz Marty Roesch, arquiteto-chefe de segurança do Grupo de segurança da
Cisco. "Uma abordagem à segurança focada em ameaças e concentrada na visibilidade é
necessária para proteger os usuários durante todo o processo de ataque—antes, durante e
depois de um ataque". ]
Como os serviços ajudam a atender aos desafios de segurança

Com uma superfície maior de ataque, a maior proliferação e sofisticação de modelos de ataque e o crescimento da
complexidade dentro da rede, mais empresas estão lutando para solidificar uma visão de segurança que utiliza novas
tecnologias, simplifica sua arquitetura e operações, e fortalece sua equipe.
A falta de talentos de segurança, discutida na página 60, complica esses problemas. Além disso, o setor de
segurança está inovando muito rápido e as empresas não conseguem seguir esse ritmo para adotar e operacionalizar
essas novas ferramentas.
Encontrar o talento certo para lidar da forma correta com o panorama de segurança em evolução pode ser um
desafio. Trazer recursos externos complementares pode não só reduzir custos, como também permitir que a
empresa libere recursos para focar em outras prioridades mais importantes.
Fortalecimento da cadeia onde ela se enfraquece

Evitar ameaças é de suma importância para manter a segurança cibernética. Por isso, com mais criminosos online
mudando seu foco para o comprometimento da infraestrutura de Internet, em vez de computadores individuais, os
especialistas em segurança da Cisco recomendam que ISPs e empresas de hospedagem assumam um papel mais
ativo em ajudar a proteger a integridade da Internet.
Identificar ameaças de difícil detecção, como o DarkLeech e Linux/CDorked (consulte a página 45) exige muito mais
"capacidade de resposta humana" por parte dos provedores de hospedagem. Tal capacidade de resposta inclui a
investigação completa de relatórios dos usuários e levá-los a sério. Os provedores também precisam estabelecer
melhores controles para se certificarem de que podem verificar a integridade das instalações de sistema operacional
de seus servidores. Os investigadores da Cisco dizem que com malwares furtivos, como o CDorked, as equipes de
segurança não tem como saber se o binário foi substituído, se um controle não tiver já sido implantado para verificar
a integridade da instalação.
Sistemas de usuários individuais são suscetíveis a serem comprometidos, mas o enfraquecimento na cadeia
geralmente começa muito antes de uma ameaça atingi-la. Agora, com mais frequência, o ataque acontece no meio
da cadeia, que é o motivo pelo qual os provedores precisam estar mais conscientizados sobre possíveis ameaças
que atacam a infraestrutura da Internet.
Apêndice
68 Relatório de Segurança Anual da Cisco de 2014 Apêndice
As empresas de segurança
precisam de cientistas de
dados
Ferramentas introdutórias de análise dados para profissionais de
segurança
As equipes do chefe de segurança (CSO) estão coletando uma quantidade sem precedentes
de dados e a inteligência capturada nesses dados é valiosa demais para ficar sem ser
utilizada. A análise dos dados pertinentes à segurança proporciona dicas sobre as atividades
dos agressores e dá uma percepção acionável sobre como frustrar ataques.
A análise de dados não é novidade ao profissional de segurança. Há também uma expectativa

entre os profissionais de segurança de que os registros serão gerados e rotulados. Testadores
de penetração criam um registro da investigação após uma avaliação. Projetistas de sistemas
operacionais implantam subsistemas de auditoria. Desenvolvedores de
aplicativos projetam aplicativos que gerenciam logs.
Independentemente de como os registros são chamados, uma Os profissionais

coisa é certa: os profissionais de segurança têm uma grande de segurança têm
quantidade de dados e analisar esses dados pode levar a uma grande quantidade
descobertas importantes.
de dados e analisar esses
Embora a análise dados, por si só, não seja novidade, a dados pode levar
evolução do panorama da segurança teve um impacto no a descobertas
processo da análise de dados.
importantes.
• O grande volume de dados gerados é impressionante.
• A frequência com a qual a análise de dados de ad hoc é necessária
está aumentando.
• Relatórios padronizados, embora úteis, são insuficientes.

Felizmente, a barreira de entrada dos profissionais de segurança à análise de dados, mesmo

nesse ambiente mais complexo, é pequena—e o ecossistema de ferramentas de análises de
dados é muito rico. A seguir, encontra-se um resumo de algumas ferramentas disponíveis
gratuitamente que os profissionais podem utilizar para iniciar a análise de dados.
Análise de tráfego com Wireshark e Scapy

Duas ferramentas que se sobressaem na realização de análise de tráfego são Wireshark
e Scapy. O Wireshark dispensa apresentações. O Scapy é uma ferramenta baseada no
Python que pode ser usada como um módulo do Python ou interativamente para elaborar ou
inspecionar tráfego.
O farto conjunto de ferramentas de linha de comando e dissecadores de protocolos do

Wireshark o tornam indispensável. Por exemplo, com o uso do campo de filtro de exibição tcp.
stream do Wireshark, um arquivo pcap que contém vários streams TCP pode ser quebrado
em arquivos menores, cada um deles contendo todos os pacotes que pertencem a um único
stream TCP.
A Figura A1 mostra esse comando que imprime o índice de stream TCP dos cinco primeiros
pacotes TCP em traffic_sample.pcap.
FIGURA A1
O comando tshark para extrair o índice tcp.stream
tshark -r traffic_sample.pcap -T fields -e tcp.stream tcp | head -n 5
tshark é uma das tcp.stream refere-se ao campo

ferramentas da linha de de índice de stream dos filtros de
comando do Wireshark. exibição TCP.
Com esse conhecimento, uma pessoa pode escrever um script que dividirá traffic_sample.
pcap em arquivos pcap individuais:
$ cat ~/bin/uniq_stream.sh
#!/bin/bash
function getfile_name() {
orig_name=$1
stream=$2
file_name="$(echo $orig_name | cut -d’.’ -f1)"
file_name+="-${stream}.pcap"
echo "${file_name}"
return 0
}
streams=$(tshark -r ${1} -T fields -e tcp.stream | sort -un | tr ‘\n’ ‘ ‘)
for x in ${streams}
do
file_name=$(getfile_name ${1} ${x})
echo "Creating ${file_name}..."
tshark -r ${1} -w $file_name tcp.stream eq ${x}
done
$
O script cria um único arquivo pcap para cada um dos 147 streams TCP em traffic_sample.
pcap. Agora é mais fácil fazer análises mais detalhadas em cada stream TCP. Observe
que pacotes que não são TCP de traffic_sample.pcap não estarão em nenhum dos novos
arquivos pcap:
$ /bin/uniq_stream.sh traffic_sample.pcap
Creating traffic_sample-1.pcap...
…
…
O Scapy tem seus próprios pontos fortes. Desde o seu desenvolvimento em Python, todos
os recursos da linguagem Python e outras ferramentas Python podem ser usadas. O snippet
a seguir demonstra como o Scapy faz uso da sobrecarga do operador de forma que a
elaboração de tráfego pode ser feita de maneira rápida e intuitiva.
# scapy
>>> dns_query = IP()/UDP()/DNS()
>>> from socket import gethostbyname,gethostname
>>> dns_query[IP].src = gethostbyname(gethostname())
>>> dns_query[IP].dst = "8,8.8,8"
>>> import random
>>> random.seed()
>>> dns_query[UDP].sport = random.randint(0, 2**16)
>>> dns_query[DNS].id = random.randint(0, 2**16)
>>> dns_query[DNS].qdcount = 1
>>> dns_query[DNS].qd = DNSQR(qname="www.cisco.com")
>>> scapy.sendrecv.sr1(dns_query)
>>> response = scapy.sendrecv.sr1(dns_query)
Begin emission:
............Finished to send 1 packets.
.*
Received 14 packets, got 1 answers, remaining 0 packets
>>> response[DNS].ar[DNSRR].rdata
‘64.102.255.44’
>>>
Este exemplo mostra como os pacotes podem ser construídos e como o tráfego ao vivo
pode ser analisado. No entanto, o Scapy pode ser usado para analisar arquivos pcap com a
mesma facilidade.
Análise de dados CSV

Valores separados por vírgula (CSV) é um formato popular para troca de dados. Muitas
ferramentas (incluindo o tshark) permitem que o usuário exporte dados em formato CSV.
Normalmente, os profissionais de segurança usam programas de planilhas, como o Excel,
para analisar dados CSV. Também é frequentemente possível usar ferramentas de linha de
comando como grep, cut, sed, awk, uniq e sort.
Considere a utilização de csvkit como alternativa. O Csvkit fornece vários utilitários que
facilitam o processamento de dados CSV a partir da linha de comando. Examine o arquivo
CSV a seguir e observe como é fácil encontrar todas as linhas que têm o host tty.example.org
na coluna src:
$ head -n 3 tcp_data.csv
src,srcport,dst,dstport
"tty.example.org","51816","vex.example.org","443"
"vex.example.org","443","tty.example.org","51816"
$ csvgrep -n tcp_data.csv
1: src
2: srcport
3: dst
4: dstport
$ csvgrep -c 1 -r ‘tty\.example\.org’ tcp_data.csv | head -n 5

src,srcport,dst,dstport
tty.example.org,51816,vex.example.org,443
tty.example.org,51816,vex.example.org,443
tty.example.org,51427,paz.example.org,5222
tty.example.org,51767,bid.example.org,80
O Csvkit inclui uma série de utilitários. O Csvstat é especialmente útil, pois ele computa
automaticamente várias estatísticas. Por exemplo, é fácil calcular a frequência dos cinco
principais hosts src:
$ csvstat -c 1 tcp_data.csv
1. src
<type ‘unicode’>
Nulls: False
Unique values: 55
5 most frequent values:
tty.example.org: 2866
lad.example.org: 1242
bin.example.org: 531
trw.example.org: 443
met.example.org: 363
Max length: 15
Row count: 6896
Matplotlib, Pandas, IPython e outros

Um amplo conjunto de ferramentas de análise e visualização de dados em Python está
disponível. Um local excelente para descobrir essas ferramentas é o site SciPy (http://www.
scipy.org). Os pacotes Matplotlib, pandas e IPython são especificamente interessantes:
• O Matplotlib possibilita visualização fácil e simples.

• Pandas oferecem ferramentas para manipular e examinar dados brutos.
• O IPython traz recursos ao interpretador Python que facilitam a análise interativa de dados.
O exemplo a seguir demonstra como os profissionais de segurança podem usar essas três
ferramentas para representar graficamente os principais hosts src em tcp_data.csv:
In [3]: df = read_csv("/Users/shiva/tmp/data_analysis/tcp_data.csv")
In [4]: df
Out[4]:
<class ‘pandas.core.frame.DataFrame’>
Int64Index: 6896 entries, 0 to 6895
Data columns (total 4 columns):
src 6896 non-null values
srcport 6896 non-null values
dst 6896 non-null values
dstport 6896 non-null values
dtypes: int64(2), object(2)
In [5]: df[‘src’].value_counts()[0:10]
Out[5]:
tty.example.org 2866
lad.example.org 1242
bin.example.org 531
trw.example.org 443
met.example.org 363
gee.example.org 240
gag.example.org 126
and.example.org 107
cup.example.org 95
chi.example.org 93
dtype: int64
In [6]: df[‘src’].value_counts()[0:10].plot(kind="bar")
Out[6]: <matplotlib.axes.AxesSubplot at 0x8479c30>
FIGURA A2
Gráfico gerado usando Plot ()
3000
2500
2000
1500
1000
500
0
tty.example.org
lad.example.org
bin.example.org
trw.example.org
met.example.org
gee.example.org
gag.example.org
and.example.org
chi.example.org
cup.example.org
A beleza dos pandas é a maneira que eles permitem a exploração dos dados pelos usuários.
Por exemplo, pouco esforço é necessário para encontrar o número de srcports únicos que
ty.example.org conecta de cada combinação dst e dstport exclusiva, com que ele se comunica:
In [229]: tty_df = df[df.src == "tty.example.org"]
In [230]: num_ports = lambda x: len(set(x))
In [231]: pivot_table(tty_df, rows=[‘dst’,‘dstport’], values=‘srcport’, aggfunc=num_ports)
Out[231]:
dst dstport
add.example.org 80 2
ala.example.org 80 3
and.example.org 80 1
auk.example.org 80 2
bid.example.org 80 1
…
Iniciar a análise de dados

Os exemplos nas páginas anteriores mal são só para ter uma ideia da atual situação e não
fazem justiça às ferramentas referenciadas. No entanto, eles são suficientes para que os
profissionais de segurança comecem a executar análises de dados significativas.
Os CSOs precisam fazer com que seus profissionais de segurança ajam como cientistas.
A análise dos dados disponíveis produzirá percepções que não seriam possíveis de
outra maneira. Ao longo do tempo, a intuição sobre quais partes dos dados explorar será
desenvolvida. Algumas empresas podem até mesmo descobrir que elas podem se beneficiar
de ter cientistas de dados dedicados em suas equipes.
Sobre o Cisco SIO

78 Relatório de Segurança Anual da Cisco de 2014 Sobre o Cisco SIO
Cisco SIO
Gerenciar e proteger as redes distribuídas e ágeis de hoje
tornou-se um desafio cada vez mais difícil.
Os criminosos online continuam a explorar a confiança dos usuários em aplicações e
dispositivos de consumo, aumentando o risco para as empresas e funcionários. A segurança
tradicional, baseada em camadas de produtos e no uso de vários filtros, não é suficiente para
a defesa contra a mais recente geração de malwares, que se espalha rapidamente, tem alvos
mundiais e usa vários vetores para se propagar.
A Cisco se mantém à frente das mais novas ameaças, usando a inteligência de ameaças
em tempo real do Cisco Security Intelligence Operations (SIO). O Cisco SIO é o maior
ecossistema mundial de segurança em nuvem, usando mais de 75 terabits de feeds de
dados ao vivo recolhidos das soluções de e-mail, web, firewall e do sistema de prevenção a
invasões (IPS) da Cisco.
O Cisco SIO avalia e processa os dados, categoriza automaticamente

ameaças e cria regras usando mais de 200 parâmetros. Os
pesquisadores de segurança também coletam e fornecem
informações sobre eventos de segurança que têm potencial de
A segurança
impacto generalizado sobre redes, aplicativos e dispositivos. tradicional não é
As regras são transferidas de forma dinâmica aos dispositivos suficiente para se
de segurança da Cisco de cada três a cinco minutos. defender contra a
A equipe da Cisco SIO também publica as melhores práticas geração mais recente
de segurança, além de orientações táticas para bloquear de malwares.
ameaças. A Cisco está empenhada em oferecer soluções
completas de segurança que sejam integradas, adequadas,
abrangentes e eficazes, que permitam uma segurança holística
para empresas em todo o mundo. Com a Cisco, as empresas podem
economizar tempo com pesquisas sobre ameaças e vulnerabilidades, concentrando-se mais
em uma abordagem proativa da segurança.
Para saber mais sobre inteligência de alerta precoce, análise de ameaças e vulnerabilidades e
sobre as comprovadas soluções de atenuação da Cisco, acesse: www.cisco.com/go/sio.
Notas finais
1 Para obter mais informações sobre a evolução abrangente, consulte "The Nexus of Devices, Clouds, and Applications" no
Relatório de Segurança Anual da Cisco de 2013: https://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf.
2 Ibid.
3
No More Chewy Centers: Introducing The Zero Trust Model Of Information Security, por John Kindervag, Forrester,
Nov. 12, 2012.
4 "Timeline of Edward Snowden’s Revelations," Al Jazeera America: http://america.aljazeera.com/articles/multimedia/timeline-

edward-snowden-revelations.html.
5 "NSA collecting phone records of millions of Verizon customers daily", por Glenn Greenwald, The Guardian, Jun. 5, 2013:
http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order.
6 GCHQ: Government Communications Headquarters, uma agência de inteligência britânica.
7 "O NSA se infiltra em links para os data centers do Yahoo e Google em todo o mundo, diz os documentos de Snowden",
por Barton Gellman e Ashkan Soltani, 30 de outubro de 2013, The Washington Post: http://www.washingtonpost.com/world/
national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/
e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html.
8 Para obter mais informações, consulte "Cisco Secure Development Life cycle (CSDL)": http://www.cisco.com/web/about/
security/cspo/csdl/index.html.
9 Ibid.
10
A Cisco define a Internet de Todas as Coisas como "a próxima onda de crescimento drástico da Internet que virá através da
confluência de pessoas, processos, dados e coisas".
"Massive Spam and Malware Campaign Following the Boston Tragedy", Cisco Security Blog, 17 de abril de 2013:
11
http://blogs.cisco.com/security/massive-spam-and-malware-campaign-following-the-boston-tragedy/.
12
Ibid.
13
Ibid.
14
Página "sobre" do site do Java: http://www.java.com/pt_BR/about/.
15
Saiba mais sobre a "evolução abrangente", consulte o Relatório de Segurança Anual da Cisco de 2013: http://www.cisco.
com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf.
16
"Department of Labor Watering Hole Attack Confirmed to be 0-Day with Possible Advanced Reconnaissance Capabilities",
por Craig Williams, Cisco Security Blog, 4 de maio de 2013: http://blogs.cisco.com/security/department-of-labor-watering-
hole-attack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/.
17
"Watering-Hole Attacks Target Energy Sector", por Emmanuel Tacheau, Cisco Security Blog, 18 de setembro de 2013:
http://blogs.cisco.com/security/watering-hole-attacks-target-energy-sector/.
18
"Apache DarkLeech Compromises", por Mary Landesman, Cisco Security Blog, 2 de abirl de 2013: http://blogs.cisco.com/
security/apache-DarkLeech-compromises/.
19
"Ongoing malware attack targeting Apache hijacks 20,000 sites", por Dan Goodin, Ars Technica, 2 de abril de 2013:
http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/.
20
"Linux/CDorked FAQS", por Mary Landesman, Cisco Security Blog, 1 de maio de 2013: http://blogs.cisco.com/security/
linuxcdorked-faqs/.
21
"DarkLeech Apache Attacks Intensify", por Matthew J. Schwartz, InformationWeek, 30 de abril de 2013:
http://www.informationweek.com/security/attacks/DarkLeech-apache-attacks-intensify/240153922.
22
Typosquatting é a prática de registrar nomes de domínio que tem apenas um caractere diferente de um nome de domínio
popular.
23
"Thanks to IoE, the next decade looks positively ‘nutty’", por Dave Evans, Cisco Platform Blog, 12 de fevereiro de 2013:
http://blogs.cisco.com/news/thanks-to-ioe-the-next-decade-looks-positively-nutty/.

24
Para obter mais informações sobre estratégias de atenuação de bitsquatting, leia o white paper da Cisco, Examining the
Bitsquatting Attack Surface, 2013: http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_
Surface-whitepaper.pdf.
25
"WordPress Sites in the World" e "A Look at Activity Across WordPress.com", WordPress.com:
http://en.wordpress.com/stats/.
26
"Important Security Update: Reset Your Drupal.org Password", Drupal.org, 29 de maio de 2013:
https://drupal.org/news/130529SecurityUpdate.
27
Um relatório detalhado dos padrões e payloads da campanha Operation Ababil pode ser encontrado em "Cisco Event
Response: Distributed Denial of Service Attacks on Financial Institutions": http://www.cisco.com/web/about/security/
intelligence/
ERP-financial-DDoS.html.
28
"DDoS Attack on Bank Hid $900,000 Cyberheist", por Brian Krebs, blog KrebsonSecurity , 19 de fevereiro de 2013:
http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.
29
"Chinese Internet Hit by Attack Over Weekend", por Paul Mozer, China Real Time Report, WSJ.com, 26 de agosto de 2013:
http://blogs.wsj.com/chinarealtime/2013/08/26/chinese-internet-hit-by-attack-over-weekend/.
30
Fonte: Wikipedia: "Ingress Filtering": http://en.wikipedia.org/wiki/Ingress_filtering.
"Understanding Unicast Reverse Path Forwarding", website da Cisco: http://www.cisco.com/web/about/security/intelligence/

31
unicast-rpf.html.
32
"Your Hard Drive Will Self-Destruct at 2 p.m.: Inside the South Korean Cyberattack", por Sean Gallagher, Ars Technica, 20 de
março de 2013: http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-korean-
cyber-attack/.
33
"Thoughts on DarkSeoul: Data Sharing and Targeted Attackers", por Seth Hanford, Cisco Security Blog, 27 de março de
2013:
http://blogs.cisco.com/tag/darkseoul/.
34
Ibid.
35
"Cyber Gang Seeks Botmasters to Wage Massive Wave of Trojan Attacks Against U.S. Banks", por Mor Ahuvia, RSA, 4 de
outubro de 2012: https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-
s-banks/.
36
"DDoS Attack on Bank Hid $900,000 Cyberheist", por Brian Krebs, blog KrebsonSecurity , 19 de fevereiro de 2013:
http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.
37
"Cisco projects data center-cloud traffic to triple by 2017", ZDNet, 15 de outubro de 2013: http://www.zdnet.com/cisco-
projects-data-center-cloud-traffic-to-triple-by-2017-7000021985/.
Sede - América Sede - Ásia e Pacífico Sede - Europa
Cisco Systems, Inc. Cisco Systems (USA) Pte. Ltd. Cisco Systems International
San Jose, CA Cingapura BV Amsterdam,
Holanda
A Cisco possui mais de 200 escritórios no mundo todo. Os endereços, números de telefones e fax estão disponíveis no site da
Cisco: www.cisco.com/go/offices.
Todo conteúdo é Copyright © 2011–2014 Cisco Systems, Inc. Todos os direitos reservados. Este documento contém informações
públicas da Cisco. Cisco e o logotipo Cisco são marcas comerciais da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados
Unidos e em outros países. Uma lista das marcas registradas da Cisco pode ser encontrada em www.cisco.com/go/trademarks.
As marcas de terceiros citadas pertencem a seus respectivos proprietários. O uso do termo "parceiro" não implica uma relação de
sociedade entre a Cisco e qualquer outra empresa. (012114 v1)

Sc-01casr2014 Cte Lig PT-BR 35330 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Sc-01casr2014 Cte Lig PT-BR 35330 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Relatório de Segurança

Anual da Cisco de 2014

As investigações de empresas multinacionais mostram evidências de comprometimento interno. O tráfego suspeito

• Maior área de superfície de ataque

• Ataques contra a infraestrutura têm como alvo recursos

• Agentes mal-intencionados estão usando aplicativos confiáveis

• Indicadores de comprometimento sugerem que as

Esta seção destaca como um modelo de segurança

Como a Cisco avalia o panorama das ameaças

• 93 bilhões de e-mails são inspecionados todos os dias através da solução de e-mail

• 200.000 endereços IP são avaliados diariamente

• 4,5 bilhões de e-mails são bloqueados todos os dias

Sobre o Cisco SIO.. ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Sobre este documento Software recomendado

Novas maneiras de fazer

[ Embora tendências como a computação em nuvem e a mobilidade

A rede do crime cibernético está se ampliando, se fortalecendo e opera

sustentadores de infraestrutura (os "intermediários"). No topo estão os inovadores técnicos,

Os criminosos cibernéticos geralmente têm objetivos comerciais claros ao lançar suas

A hierarquia do crime cibernético

Oportunistas não técnicos / usuários de crimeware como serviço

No entanto, em 2013, a confiança, em geral, sofreu um revés. O catalisador: Edward

As revelações de Snowden à imprensa até o momento incluem detalhes sobre o programa

Essas e outras revelações de Snowden sobre práticas de vigilância do governo desgastaram

Esses problemas combinados criam e exacerbam as lacunas de segurança que permitem

1 |Maior área de superfície de ataque

A anatomia de uma ameaça moderna

Rede pública Perímetro Data center

2 |Proliferação e sofisticação do modelo de ataque

"Onde residem nossos dados importantes?" e "como

3 | Complexidade das ameaças e soluções

As vulnerabilidades das empresas estão aumentando, pois as

• Monitorar e analisar continuamente arquivos e identificar comportamento

• Ajudar as empresas a expandir a aplicação de políticas, aumentando a

• Acelerar o tempo de detecção já que assim é possível visualizar mais tráfego.

Os agentes mal-intencionados procurarão e explorarão qualquer ponto fraco de segurança na

O desenvolvimento de sistemas confiáveis significa construir a segurança do zero, desde o

Principais preocupações As tecnologias não permanecem imutáveis, nem os

Continuação da página anterior

Confiança nos fornecedores

Para saber mais sobre as práticas dos sistemas confiáveis

Também é notável o aumento significativo de novos alertas em comparação com alertas

Totais acumulados de alertas anuais, 2010-2013

Mais atenção ao desenvolvimento de softwares seguros pode ajudar a construir a confiança

Categorias de ameaças comuns rastreadas pelo Cisco IntelliShield

CWE-78: injeções de comandos de SO

CWE-89: injeção de SQL

CWE-362: condições de corrida

CWE-255 gerenciamento de credenciais

8 CWE: informações insuficientes

CWE-189: erros numéricos

O volume de spam está caindo,

Spam da maratona de Boston

HTML fonte de uma mensagem de spam da explosão na maratona de Boston

<iframe width="640" height="360"

<iframe width="640" height="360"

<iframe width="640" height="360"

Spam de acordo com os números

Volume global de spam, 2013

Tendências de volume, 2013

25 Estados Unidos Itália

Principais temas de mensagens de spam em todo o mundo

Ataques mal-intencionados gerados através de PDF,