Escolar Documentos
Profissional Documentos
Cultura Documentos
Resumo executivo
O problema da confiança
O uso excessivo da confiança é um modo comum de operação dos agressores online e
outros agentes mal-intencionados. Eles se aproveitam da confiança dos usuários depositada
em sistemas, aplicativos e nas pessoas e empresas com quem interagem com frequência. E
essa tática funciona: há ampla evidência de que os intrusos estão inventando novos métodos
para integrar malware em redes, permanecendo sem serem detectados por longos períodos,
e para roubar dados e prejudicar sistemas essenciais.
Utilizando métodos que vão desde o roubo de senhas e credenciais com o uso da
manipulação social até infiltrações furtivas e ocultas executadas em minutos, os agentes
mal-intencionados continuam a se aproveitar da confiança pública, trazendo consequências
danosas a todos os atingidos. No entanto, o problema de confiança vai além de criminosos
que se aproveitam de vulnerabilidades ou que atacam usuários através da manipulação social:
ela enfraquece a confiança nas empresas públicas e privadas.
As redes atuais estão enfrentando duas formas de desgaste de confiança. Uma é o declínio
da confiança do cliente na integridade dos produtos. A outra é a evidência
crescente de que agentes mal-intencionados estão derrotando
os mecanismos de confiança. Desta forma, é questionada a a Agentes
eficácia das garantias de rede e aplicativos, da autenticação e
mal-intencionados
das arquiteturas de autorização.
continuam a inovar as
Neste relatório, a Cisco oferece dados e percepções
maneiras de explorar
sobre as principais preocupações de segurança, como
mudanças em malware, tendências em vulnerabilidades a confiança pública
e a ressurgência de ataques DDoS (distributed denial-of- com consequências
service). O relatório examina também campanhas direcionadas bastante danosas.
a empresas, grupos e setores específicos, além da sofisticação
crescente daqueles que tentam roubar informações confidenciais.
O relatório é finalizado com recomendações para o exame holístico de
modelos de segurança e a obtenção de visibilidade em todo o processo de ataque: antes,
durante e após um ataque.
3 Relatório de Segurança Anual da Cisco de 2014
Principais descobertas
As três principais descobertas do Relatório de Segurança Anual da Cisco de 2014 estão abaixo:
Ataques contra a infraestrutura têm como alvo recursos significativos em toda a Internet.
• E xplorações mal-intencionadas estão obtendo acesso a servidores de hospedagem na web, nameservers e em
data centers. Isso sugere a formação de überbots que procuram ativos de alta reputação e com muitos recursos.
• E rros de buffer são a ameaça principal, com 21% das categorias de ameaça de Enumeração de pontos fracos
comuns (CWE, Common Weakness Enumeration).
•O
s encontros com malware estão se deslocando para os setores de fabricação de eletrônicos e de agricultura e
mineração, com uma taxa de encontro médio seis vezes maior que a média as verticais do setor.
Agentes mal-intencionados estão usando aplicativos confiáveis para se aproveitar de lacunas na segurança do
perímetro.
• O spam continua com sua tendência de queda, embora a proporção de spam mal-intencionado permaneça
constante.
•O
Java compreende 91% das explorações na web; 76% das empresas que usam os serviços Cisco Web Security
executam o Java 6, uma versão de fim de ciclo, sem suporte.
• Ataques do tipo "watering hole" têm como objetivo sites específicos relacionados a um determinado setor para
distribuir malware.
Conteúdo do relatório
O Relatório de Segurança Anual da Cisco de 2014 apresenta
percepções sobre segurança em quatro áreas principais:
Confiança
Todas as empresas devem se preocupar em encontrar o
equilíbrio certo entre confiança, transparência e privacidade,
pois há muito em jogo. Nessa área, abordamos três
pressões que tornam ainda mais desafiadoras as tentativas
dos profissionais de segurança em ajudar suas empresas a
atingir esse equilíbrio:
Inteligência de ameaças
Usando o maior conjunto de telemetria de detecções
disponível, a Cisco e a Sourcefire analisaram e reuniram
percepções sobre segurança do ano passado:
Setor
Nesta seção, os investigadores do Cisco Security
Intelligence Operations (SIO) elevam a discussão em
torno das tendências do setor que se estendem além da
telemetria da Cisco, embora ainda afetem as práticas de
segurança—desde tentativas de login forçado, atividade de
DDoS de grande escala e esforços de ransomware até a
crescente dependência na nuvem, falta de talentos na área
de segurança e outras preocupações.
Recomendações
As empresas enfrentam um aumento no número de ataques,
na proliferação e sofisticação de tipos de ataque e da
complexidade dentro da rede. Muitas sentem dificuldades
em solidificar uma visão de segurança sustentada por uma
estratégia eficaz que usa novas tecnologias, simplifica a
arquitetura e as operações, e fortalece suas equipes de
segurança.
• 16 bilhões de solicitações web são inspecionadas todos os dias através do Cisco Cloud
Web Security
Conteúdo
Confiança.. . . . . . . . . . . . . . . . . . . ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Novas maneiras de fazer negócios, novas lacunas de segurança.................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Um desgaste da confiança.. . . . ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Principais desafios de segurança para 2014........................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Sistemas confiáveis e transparentes................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Inteligência de ameaças................................................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Alertas de ameaças em crescimento.................................................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
O volume de spam está caindo, mas o spam mal-intencionado é ainda uma ameaça. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Explorações da web: Java lidera o grupo.. ............................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
BYOD e mobilidade: amadurecimento dos dispositivos beneficiam o crime cibernético. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Ataques direcionados: o desafio de desalojar "visitantes" persistentes e difundidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Instantâneo de malware: tendências observadas em 2013........................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Alvos primários: verticais do setor...................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Fraturas em um ecossistema frágil..................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Tráfego mal-intencionado, frequentemente um sinal de ataques direcionados, detectados em todas
as redes corporativas. . . . . . . . . . . .......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Setor.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Tentativas de login forçado, uma das táticas favoritas para comprometer sites.. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Ataques DDoS: o que era velho voltou a ser novidade............................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
DarkSeoul.. . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
A falta de talentos na área de segurança e as lacunas nas soluções............... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
A nuvem como um novo perímetro.................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Recomendações.. . . . .......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Objetivos para 2014: verificação da confiabilidade e melhoria da visibilidade...... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Apêndice.. . . . . . . . . . . . . . . . . . . .......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
As empresas de segurança precisam de cientistas de dados.. ..................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Confiança
Todas as empresas devem se preocupar em encontrar o
equilíbrio certo entre confiança, transparência e privacidade,
pois há muito em jogo.
9 Relatório de Segurança Anual da Cisco de 2014 Confiança
[ Muitos agentes na chamada "economia paralela" também enviam malware de vigilância para
coletar informações sobre um ambiente, incluindo a tecnologia de segurança implantada, para
que possam direcionar seus ataques. Esse reconhecimento anterior à exploração é uma forma
dos criadores de malware se certificarem de que eles funcionarão. Uma vez integrados em
uma rede, o malware avançado que eles projetaram pode se comunicar com servidores de
controle e comando externamente e se disseminar lateralmente por toda a infraestrutura para
cumprir sua missão, seja ela o roubo de dados vitais ou a interrupção de sistemas essenciais. ]
FIGURA 1
Inovadores
técnicos
Revendedores /
mantenedores de infraestrutura
Um desgaste da confiança
Ameaças com a intenção de se aproveitar da confiança
dos usuários nos sistemas, em aplicativos e das pessoas
e de empresas que eles conhecem, são agora acessórios
permanentes no mundo cibernético.
Disseque quase qualquer esquema e no centro haverá algum abuso de confiança: malware
enviado a usuários que navegam legitimamente por sites populares. E-mails de spam que
parecem ter sido enviados por empresas conhecidas, mas que contêm links para sites mal-
intencionados. Aplicativos móveis de terceiros infiltrados por malware e baixados de lojas
online populares. Informantes que usam privilégios de acesso a informações para roubar
propriedade intelectual dos empregadores.
Talvez devesse haver uma suposição, por parte de todos os usuários, de que não se pode
confiar em nada no mundo cibernético. E os profissionais de segurança
deveriam prestar um serviço às suas empresas, ao não confiar em
tráfegos de rede3—ou ter plena fé nas práticas de segurança
dos fornecedores ou cadeias de fornecimento que viabilizam
Deveria haver uma
tecnologia à empresa. Porém, as empresas dos setores
público e privado, usuários individuais e até mesmo nações suposição, por parte de
querem ainda ter a garantia de poder confiar nas tecnologias todos os usuários, de
fundamentais de que dependem todos os dias. que não se pode confiar
Essa necessidade de confiança na segurança ajudou a em nada no mundo
avançar ainda mais os Critérios comuns para avaliação cibernético.
da segurança da tecnologia da informação (Common
Criteria), a linguagem e a estrutura que permitem às agências
governamentais e outros grupos a definição das exigências que os
produtos de tecnologia devem cumprir para garantir sua confiabilidade. Hoje,
26 países, incluindo os Estados Unidos, estão participando do Common Criteria Recognition
Arrangement (Acordo de reconhecimento de critérios comuns), um acordo multilateral que
possibilita o reconhecimento mútuo de produtos avaliados pelos governos participantes.
Principais desafios de
segurança para 2014
[ À medida que a confiança se desgasta, e se torna mais difícil
definir quais sistemas e relacionamentos são realmente confiáveis,
as empresas enfrentam várias situações importantes que
enfraquecem sua capacidade de lidar com a segurança:
1 | Maior área de superfície de ataque
2 | Proliferação e sofisticação do modelo de ataque
3 | Complexidade das ameaças e soluções ]
Essas ameaças e esses riscos são examinados em mais detalhes nas páginas a seguir.
13 Relatório de Segurança Anual da Cisco de 2014 Confiança
Os dados são o prêmio que a maioria dos inimigos querem obter através de suas campanhas,
pois eles são essencialmente dinheiro. Se os dados tiverem qualquer "valor de mercado",
seja a propriedade intelectual de uma grande corporação ou os dados de saúde de um
indivíduo, eles serão desejados e, desta forma, estarão em risco. Se o valor do alvo é maior
que o risco de comprometê-lo, ele será hackeado. Até mesmo as pequenas empresas estão
correndo o risco de serem hackeadas. A maioria das empresas, de pequeno e grande porte,
foi comprometida e nem mesmo sabe disso: 100% das redes empresariais analisadas pela
Cisco têm tráfego vindo de sites que hospedam malware.
FIGURA 2
Internet e
Campus Empresa
aplicativos de nuvem
A anatomia de uma ameaça moderna, esboçada na Figura 2, ressalta como o objetivo final
de muitas campanhas de crimes cibernético é atingir o data center e
extrair dados valiosos. Neste exemplo, uma ação mal-intencionada
ocorre em um dispositivo fora da rede corporativa. Ela causa um
infecção, que se move para uma rede de campus. Essa rede
serve como um trampolim para a rede empresarial e depois a
O objetivo final
ameaça chega ao tesouro: o data center. de muitas campanhas
Em função da expansão da área de superfície de ataque e
de crimes cibernéticos
ataque de dados de alto valor por hackers, os especialistas é atingir o data center
em segurança da Cisco recomendam que as empresas e extrair dados
procurem responder a duas importantes perguntas em importantes.
2014: "aonde nossos dados essenciais residem?" e "como
podemos criar um ambiente seguro para proteger esses
dados, especialmente quando novos modelos empresariais, como a
computação em nuvem e mobilidade, nos deixam com pouco controle sobre eles?"
As empresas se tornaram o foco dos ataques direcionados. Esses ataques são muito difíceis
de serem detectados, permanecem nas redes por longos períodos e reúnem recursos de
rede para lançar ataques em outros locais.
Para cobrir todo a sequência do ataque, as empresas precisam lidar com uma ampla variedade
de vetores de ataque com soluções que operam em todos os lugares em que a ameaça
possa se manifestar: na rede, em endpoints, em dispositivos móveis e em ambientes virtuais.
Com a complexidade das ameaças e soluções correspondentes no nível mais alto já registrado,
as empresas precisam repensar sua estratégia de segurança. Em vez de depender de soluções
pontuais, elas podem minimizar a complexidade integrando continuamente a segurança na
própria malha da rede, para que a rede possa:
A mudança rumo aos serviços de nuvem e à mobilidade está colocando uma carga maior
de segurança nos endpoints e dispositivos móveis que, em alguns casos, poderão nunca
tocar a rede corporativa. O fato é que os dispositivos móveis apresentam riscos à segurança
quando são usados para acessar recursos da empresa; eles se conectam
facilmente com serviços de nuvem e computadores de terceiros com
posturas de segurança que são possivelmente desconhecidas e
que estão fora do controle da empresa. Além disso, o malware
Os dispositivos
para dispositivos móveis está crescendo rapidamente, o que
aumenta ainda mais os riscos. Dada a falta de até mesmo móveis introduzem
uma visibilidade básica, a maioria das equipes de segurança riscos à segurança
de TI não tem os recursos necessários para identificar as quando são usados
possíveis ameaças a esses dispositivos.
para acessar recursos
Abordagens avançadas, como a contínua disponibilidade de da empresa.
recursos, desempenharão uma função maior no tratamento de
malware avançado através de análises de big data que agregam
dados e eventos em toda a rede estendida para proporcionar maior
visibilidade, até mesmo depois de um arquivo ter sido movido na rede ou
entre endpoints. É diferente da segurança de endpoint em um momento específico, que
verifica arquivos em um determinado período para determinar uma disposição de malware.
O malware avançado pode escapar dessa verificação para estabelecer-se rapidamente em
endpoints e se espalhar pelas redes.
Sistemas confiáveis e
transparentes
Em função da maior área de superfície de ataque, do crescimento da
proliferação e sofisticação do modelo de ataque e da complexidade
das ameaças e soluções, precisamos confiar nas informações
que consumimos, junto com os sistemas que as fornecem,
independentemente de como acessamos os serviços em rede.
A criação de um ambiente de rede verdadeiramente seguro se torna ainda mais complexa,
à medida que governos e empresas investem em mobilidade, colaboração, computação
em nuvem e outras formas de virtualização. Esses recursos ajudam a melhorar a resiliência,
aumentar a eficiência e reduzir custos, mas também podem introduzir riscos adicionais.
17 Relatório de Segurança Anual da Cisco de 2014 Confiança
A segurança dos processos de fabricação que criam produtos de TI está agora também em
risco, com produtos falsificados e adulterados se tornando um problema crescente. Como
resultado, os líderes governamentais e corporativos atuais identificam de forma esmagadora
a segurança cibernética e problemas relacionados à confiança como as principais
preocupações. A pergunta que os profissionais de segurança deveriam se fazer é: o que
faríamos de maneira diferente se soubéssemos que um comprometimento fosse iminente?
Sistemas confiáveis, no entanto, não devem ser confundidos com imunidade a ataques
externos. Os clientes e usuários de TI desempenham uma função importante para manter a
eficácia de sistemas confiáveis, ao afastar tentativas de corromper suas operações. Isso inclui
a instalação de atualizações e correções focadas em segurança dentro do prazo, vigilância
constante no reconhecimento de comportamento anormal do sistema e contramedidas
eficazes contra ataques.
18 Relatório de Segurança Anual da Cisco de 2014 Confiança
e tempo finitos que lhe são alocados. diz John N. Stewart, vice-presidente sênior e chefe de
Por exemplo, a nuvem se tornou segurança da Cisco. "Mas o atributo mais importante é a
uma maneira econômica e ágil para
transparência do fornecedor".
gerenciar armazéns de dados que
não param de crescer, mas ela cria A compensação por mais transparência é menos
mais preocupações aos CISOs. Os privacidade, mas o equilíbrio correto pode ser obtido através
CEOs e a diretoria veem a nuvem
de cooperação, o que leva a maiores oportunidades para
como uma panaceia para eliminar
hardware caro. Eles querem os alinhar a inteligência de ameaças com as melhores práticas
benefícios de descarregar dados na de segurança. Todas as empresas devem se preocupar em
nuvem e esperam que o CISO faça encontrar o equilíbrio certo entre confiança, transparência e
isso acontecer, com segurança e privacidade, pois há muito em jogo.
rapidamente.
Inteligência de
ameaças
Com o uso do maior conjunto de telemetria de detecções, a
Cisco e a Sourcefire analisaram e reuniram as percepções sobre
segurança do ano passado.
21 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
Alertas de ameaças em
crescimento
As vulnerabilidades e ameaças relatadas pelo Cisco IntelliShield®
mostraram um crescimento constante em 2013: em outubro de
2013, os totais anuais cumulativos de alerta aumentaram em 14%
a cada ano desde 2012 (Figura 3).
Os alertas em outubro de 2013 estavam em seu nível mais elevado desde que o IntelliShield
começou a registrá-los em maio de 2000.
FIGURA 3
7000 2013
2012
6000
2011
5000 2010
4000
3000
2000
1000
0
Jan. Fev. Mar. Abr. Mai. Jun. Jul. Ago. Set. Out. Nov. Dez.
Mês
22 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
FIGURA 4
Alertas
1000
novos e atualizados, 2013
320
800
278
293
291
256
281
600
212
211
221
224
517
215
437
400
391
386
387
366
347
333
324
Atualizado
303
Alerta
286
200 Novo
Alerta
de ameaça
0
Jan. Fev. Mar. Abr. Mai. Jun. Jul. Ago. Set. Out. Nov.
Mês
23 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
FIGURA 5
1 5 9
CWE-119: erros de buffer CWE-264: permissões, privilégios CWE: erro de design
e controle de acesso
2 CWE-310: problemas com criptografia
Outros alertas Intellishield 6
(atividade, problemas, CRR, AMB) CWE-200: vazamento/divulgação de informações CWE-287: problemas com autenticação
3 7 CWE-352: Cross-Site
CWE-399: erros de gerenciamento de recursos CWE-79: Cross-Site Scripting (XSS) Request Forgery (CSRF, Falsificação de
solicitação entre sites)
4 8
CWE-20: validação de entrada CWE-94: injeção de código CWE-22: path traversal
CWE-16: configuração
CWE: outros
6 2
4 3
24 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
FIGURA 6
FIGURA 7
FIGURA 8
160
140
120
Bilhões por dia
100
80
60
40
20
0
Jan. Fev. Mar. Abr. Mai. Jun. Jul. Ago. Set. Out.
Mês
FIGURA 9
República da Espanha
Coreia
20
Volume em porcentagem
China
15
10
0
Jan. Fev. Mar. Abr. Mai. Jun. Jul. Ago. Set. Out.
Mês
27 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
FIGURA 10
1. 2. 3.
Depósito bancário/notificações Compra de produto online Foto anexada
de pagamento Confirmação de compra de produto, Fotos mal-intencionadas anexadas.
Notificações de depósitos, transferências, solicitação de ordem de compra,
pagamentos, cheque devolvido, alerta de orçamento, avaliação.
fraude.
4. 5. 6.
Avisos de envio Encontros online Impostos
Faturas, entrega ou recolhimento, Sites de encontros online. Documentos tributários, reembolsos,
rastreamento. relatórios, informações de débito,
preenchimento online da declaração do
imposto de renda.
7. 8. 9.
Facebook Vale-presente ou cupom PayPal
Status da conta, atualizações, Alertas de várias lojas Atualização de conta, confirmação,
notificações, software de segurança. (Apple foi a mais popular). notificação de pagamento, contestação
de pagamento.
28 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
Explorações da web:
Java lidera o grupo
De todas as ameaças na Web que enfraquecem a segurança, as
vulnerabilidades na linguagem de programação Java continuam a
ser o alvo mais frequentemente explorado por criminosos online,
de acordo com os dados da Cisco.
As explorações no Java ultrapassam as detectadas em Flash ou documentos Adobe PDF, que
são também vetores populares para atividade criminosa (Figura 11).
Os dados da Sourcefire, agora parte da Cisco, também mostram que as explorações do Java
compõem a ampla maioria (91%) dos indicadores de comprometimento (IoCs) monitorados
pela solução FireAMP da Sourcefire para análise e proteção avançada de malware (Figura 12).
O FireAMP detecta comprometimentos ao vivo em endpoints e depois registra o software que
causou tal comprometimento.
FIGURA 11
16%
14%
12% PDF
10% Flash
8% Java
6%
4%
2%
0
Jan. Fev. Mar. Abr. Mai. Jun. Jul. Ago. Set. Out. Nov.
Mês
29 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
Para ameaças como explorações do Java, o problema mais significativo enfrentado pelos
profissionais de segurança é a maneira como o malware entra em seu ambiente de rede
e onde eles deveriam concentrar os esforços para minimizar a infecção. Ações individuais
podem não parecer mal-intencionadas, mas seguir uma cadeia de eventos pode nos
esclaracer de onde vem o malware. O encadeamento de eventos é a capacidade de conduzir
uma análise retrospectiva sobre os dados que conectam o caminho tomado pelos agentes
mal-intencionados para contornar a segurança de perímetro e se infiltrar na rede.
Os IoCs podem sozinhos demonstrar que acessar um dado site é seguro. Por sua vez, a
inicialização do Java pode ser uma ação segura, como pode ser a inicialização de um arquivo
executável. No entanto, uma empresa está em risco se um usuário visitar um site com uma
injeção de iframe, que depois inicializa o Java; o Java então baixa um arquivo executável e
esse arquivo executa ações mal-intencionadas.
FIGURA 12
2%
Microsoft Word
3% 1%
Microsoft Excel Microsoft PowerPoint
3%
Adobe Reader
91%
Comprometimento do Java
30 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
O Java fornece uma superfície de ataque grande demais para que os criminosos ignorem.
A tendência é que eles construam soluções que executem explorações em ordem.
Por exemplo, eles tentam primeiramente violar uma rede ou roubar dados usando as
vulnerabilidades mais fáceis e mais conhecidas antes de passar a outros métodos. Na maioria
dos casos, o Java é a exploração que os criminosos escolhem para começar, pois ele traz o
melhor retorno de investimento.
• Quando for prático, desativar o Java em navegadores em toda a rede pode evitar que essas
explorações sejam iniciadas.
• Uma lista priorizada de dispositivos potencialmente comprometidos pode ser gerada usando
IoCs para correlacionar inteligência de malware (mesmo aparentemente eventos benignos) e
para identificar uma infecção de dia zero sem assinaturas de antivírus existentes.
A atualização para a versão mais recente do Java também pode ajudar a contornar as
vulnerabilidades. De acordo com a pesquisa da Cisco TRAC/SIO, 90% dos clientes da Cisco
usam uma versão do Java 7 Runtime Environment, a versão mais atual do programa. Isso
é bom do ponto de vista da segurança, já que essa versão provavelmente oferece maior
proteção contra vulnerabilidades.
31 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
No entanto, a pesquisa da Cisco TRAC/SIO mostra também que 76% das empresas que
usam soluções da Cisco usam também o Java 6 Runtime Environment, além do Java 7.
O Java 6 é uma versão anterior que atingiu seu fim de vida e não tem mais suporte. As
empresas frequentemente usam ambas as versões do Java Runtime Environment, pois
diferentes aplicativos podem depender de diferentes versões para executar o código Java.
No entanto, com mais de três quartos das empresas pesquisadas pela Cisco utilizando uma
solução em fim de vida com vulnerabilidades que nunca serão corrigidas publicamente, os
criminosos têm ampla oportunidade de explorarem os pontos fracos.
Em 2013, os encontros com malware Java na web atingiram um pico em abril, com 14% de
todo o malware encontrado na web. Esses encontros caíram a seu ponto mais baixo em
maio e junho de 2013, com cerca de 6% e 5% de todos os encontros com malware na web,
respectivamente (Figura 13).
(No início desse ano, a Oracle anunciou que não publicaria mais atualizações do SE do Java 6
em seu site de download público, apesar de atualizações existentes do SE do Java 6 estarem
disponíveis no Java Archive na Oracle Technology Network).
Se profissionais de segurança, que têm tempo limitado para lutar contra explorações web,
decidirem focar a maior parte de sua atenção no Java, eles poderão colocar seus recursos no
lugar certo.
FIGURA 13
14%
14,00%
12%
12,25%
10%
9,50%
8%
9,00%
7,50%
7,50%
6%
6,75%
6,50%
6,25%
6,00%
5,00%
4%
2%
0
Jan. Fev. Mar. Abr. Mai. Jun. Jul. Ago. Set. Out. Nov.
Mês
32 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
BYOD e mobilidade:
amadurecimento dos dispositivos
beneficia o crime cibernético
Os criminosos cibernéticos e seus alvos compartilham um desafio
comum: ambos estão tentando descobrir como usar da melhor
maneira a tendência de BYOD e mobilidade para obter vantagem
empresarial.
Duas coisas parecem estar ajudando os criminosos a obter uma vantagem. Primeiro, a
maturação das plataformas móveis. Os especialistas em segurança da Cisco observam que
quanto mais os smartphones, tablets e outros dispositivos têm desempenho semelhante ao de
computadores de mesa e laptops tradicionais, mais fácil se torna projetar malware para eles.
Todavia, nem todo malware para dispositivos móveis é projetado para atacar dispositivos
específicos. Muitos encontros envolvem phishing, likejacking, ou outros ardis de engenharia
social, ou redirecionamentos forçados a sites diferentes dos esperados. Uma análise dos
agentes de usuário pela Cisco TRAC/SIO revela que os usuários de Android, com 71%, têm as
mais altas taxas de encontro com todas as formas de malware distribuídos na web, seguidos
pelos usuários de iPhone da Apple, com 14% de todos os encontros com malware (Figura 14).
Com 43,8%, Andr/Qdplugin-A foi o malware para dispositivos móveis mais frequentemente
encontrado, de acordo com a pesquisa da Cisco TRAC/SIO. Encontros comuns se deram
através de cópias reempacotadas de aplicativos legítimos distribuídos através de mercados
não oficiais (Figura 15).
34 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
FIGURA 14
100%
80%
60%
40%
20%
0
Android
iPhone
iPad
BlackBerry
Nokia
Symbian
iPod
Huawei
Windows
Telefone
Motorola
Playstation
Nook
Zune WP
Kindle
Windows CE
FIGURA 15
50%
40%
30%
20%
10%
0
Andr/NewyearL-B
Andr/SmsSpy-J
Andr/SMSSend-B
Andr/Spy-AAH
Plangton.a
Trojan.AndroidOS.
AndroidOS.
Wooboo.a
Andr/DroidRt-A
Andr/Gmaster-E
Trojan-SMS.AndroidOS.
Agent.ao
Andr/DroidRt-C
Andr/Qdplugin-A
35
u
n gF
Ku
oid
FIGURA 16
r
ja nD
Tro
dr.
An
on
.Pl ank t
ojan
16%
e An dr.Tr
ak (1%)
n .O pf e
ja .Zson
.Tro r ojan
ndr.T
98%
A ndr A
(1%)
jan.K min
14%
ndr.Tro
(1%) A
Andr.SMSSend
proporcionalmente. Fonte: Sourcefire
r ix t y
nserve Tro jan.G ones
rojan.A (1%) A ndr.
Andr.T
11%
.Fa keTimer
(>1%) Andr.Trojan
(>1%) Andr.Trojan.Badnews
Andr.Exploit.Gingerbreak
10%
(>1%) Andr.Trojan.G ingerMas
ter
7%
A ndr.E x plo (>1%) A ndr.Tr
it.Ratc ojan.Chuli
6%
(>1%) A n
dr.Tr ojan.OB
Relatório de Segurança Anual da Cisco de 2014
B C. E x
p l o i t. A ad
4%
ndr
(>1%)
And A ndr.T
4%
r.E xp rojan. A
ck p o s
l o i t.E
xplo (>1%) ts
And id
4%
r.Tro And r.Troj
ja n.S t an .TG Lo
4%
And els (>1% ad er
r.Tr ) An
3%
oj a dr.Tr
Ad n.G ojan
ein .Ro g
3%
nr. (>1%
An T roj imi ) An ueSP
Push
3%
dr. a n. dr.T
Tro Dro roja
An n.N o
Principais famílias de malware Android observadas em 2013
id D
An d r.Tr
jan
.A rea tCo
m pa
d o mL
7%
dr d tible
(2 r j a igh
% .Tr
o
n.G t
(2 ) A
%) j a o
n d n. A l d d r
An r.T nd ea
dr r r m
.Tr ojan orat
oj .
a n Pj a
p
Inteligência de ameaças
.Y
ZH p s
C
Obs.: o SMSSend foi responsável por 98% de todo o malware para Android; os 2% restantes são mostrados
36 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
Ataques direcionados:
o desafio de desalojar
"visitantes" persistentes e
difundidos
São grandes as chances de que ataques direcionados já tenham
se infiltrado em suas redes.
E como eles se alojam dentro de uma rede, eles tendem a ficar por ali, roubando dados
sem serem detectados ou usando recursos de rede como "pivô" e depois atacando outras
entidades (para mais informações sobre uso de pivôs, consulte página 18). O dano vai além
do roubo de dados ou interrupção de negócios: a confiança entre parceiros e clientes pode ir
embora se esses ataques não forem desalojados das redes na hora certa.
FIGURA 17
A cadeia de ataque
Para compreender a gama de ameaças atuais e defender eficazmente a rede, os profissionais de segurança de TI
precisam pensar como os invasores. Com uma compreensão mais profunda da abordagem metodológica utilizada
por esses agentes mal-intencionados em sua missão, as empresas podem identificar maneiras de fortalecer suas
defesas. A cadeia de ataque, uma versão simplificada da "cadeia da morte cibernética", descreve os eventos que
conduzem às fases de um ataque, e que nelas ocorrem.
1. Pesquisa
Obtenção de um panorama completo de um ambiente:
rede, endpoint, móvel e virtual, incluindo as tecnologias
implantadas para proteger o ambiente.
2. Gravação
Criação de malware direcionado e que reconhece
o contexto.
3. Teste
Garantia de que o malware funciona como o planejado,
especificamente de maneira que possa escapar das
ferramentas de segurança implantadas.
4. Execução
Navegação através da rede estendida, reconhecendo
o ambiente, escapando da detecção e movendo-se
lateralmente até atingir o alvo.
5. Cumprimento da missão
Coleta de dados, criação de interrupção ou causar destruição.
38 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
Instantâneo de malware:
tendências observadas em 2013
Especialistas em segurança da Cisco executam pesquisa e
análises contínuas de tráfego de malware e outras ameaças
descobertas, que podem oferecer uma percepção sobre o possível
comportamento criminoso e uma ajuda na detecção de ameaças.
FIGURA 18
64% 20% 8% 4% 4%
Cavalo de troia
Adware
Worm
Virus
Downloader
Dropper (0%)
FIGURA 19
Syfro
Megasearch
Zeusbot
Gamevance
Blackhole
Hupigon
Spyeye (>1%)
39 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
FIGURA 20
45%
40%
35%
Não classificado
30% Outro
25%
20%
Infraestrutura
10% Hospedagem na Web
Anúncios
Computadores e Internet
5% Compras
Notícias
Máquinas de pesquisa e portais
0 Comunidades online
Jan. Fev. Mar. Abr. Mai. Jun. Jul. Ago. Set. Out. Nov.
Mês
FIGURA 21
iFrames
e explorações
várias finalidades
Cavalos de Troia
para roubo de dados
Downloader
e dropper
Ransomware
e scareware
Worms e vírus
e ferramentas de hackers
(1%)
(1%)
SMS, phishing
e likejacking
40 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
A pesquisa da Cisco TRAC/SIO durante 2013 mostra que cavalos de troia com várias
finalidades foram os malwares mais frequentemente encontrados, com 27% do total de
encontros. Scripts mal-intencionados, como explorações e iframes, foram a segunda
categoria mais frequentemente encontrada, com 23%. Cavalos de troia para roubos de dados,
como ladrões de senha e backdoors, compunham 22% do total de encontros de malware na
web, com cavalos de troia de downloaders e dropper em quarto lugar com 17% do total de
encontros (consulte a Figura 21).
FIGURA 22
60.000 Único
host
50.000 Único
IP
40.000
30.000
20.000
10.000
0
Jan. Fev. Mar. Abr. Mai. Jun. Jul. Ago. Set. Out. Nov.
Mês
41 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
"watering hole" originário de vários reflete um risco maior que o normal para encontros com
outros sites focados no setor de malwares na web, o passo que uma taxa menor que 100%
energia e petróleo. Similaridades,
reflete um risco menor. Por exemplo, uma empresa com
incluindo a criação específica de
uma exploração usada em ambos os
taxa de encontro de 170% tem um risco de 70% maior que
ataques, deu crédito à possibilidade a média. Da mesma maneira, uma empresa com taxa de
de que os dois ataques estavam encontro de 70% tem um risco de 30% menor que a média.
relacionados. A pesquisa da Cisco
TRAC/SIO também indicou que FIGURA 23
muitos dos sites usaram o mesmo Risco do setor e encontros
web designer e provedor de
de malware na web, 2013
hospedagem. Isso poderia implicar
Fonte: relatórios da Cisco Cloud Web Security
que o comprometimento inicial foi
0 100% 200% 300% 400% 500% 600% 700%
devido a credenciais roubadas ou que
sofreram phishing desse provedor.17 Contabilidade
Agricultura e mineração
Proteger os usuários contra esses
Automotivo
ataques envolve manter máquinas
Aviação
e navegadores da web totalmente
Atividades bancárias e financeiras
corrigidos para minimizar o número
Caridades e ONGs
de vulnerabilidades que um agressor
possa explorar. Garantir que o tráfego Clubes e organizações
Fraturas em um ecossistema
frágil
Os criminosos cibernéticos estão aprendendo que aproveitar o
poder da infraestrutura de Internet produz muito mais benefícios
que o simples ganho de acesso a computadores individuais.
A mudança mais recente nas explorações mal-intencionadas é a obtenção de acesso
a servidores de hospedagem na web, nameservers e data centers, com o objetivo de
aproveitar o enorme poder de processamento e largura de banda que eles oferecem. Através
dessa abordagem, as explorações podem atingir muitos mais usuários de computador
desavisados e ter um impacto muito maior nas empresas alvejadas, independentemente do
objetivo ser fazer uma declaração política, enfraquecer um adversário ou gerar receita.
FIGURA 24
Website
comprometido
Website Website
comprometido comprometido
Website Website
comprometido comprometido
Servidor de hospedagem comprometido
44 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
Em essência, essa tendência de ter como alvo a infraestrutura de Internet significa que não se
pode confiar na base da própria web. Os métodos usados para obter acesso raiz a servidores
do host são variados e incluem táticas como cavalos de troia em estações de trabalho de
gerenciamento que roubam credenciais de login de servidor, vulnerabilidades em ferramentas
de gerenciamento de terceiros usadas nos servidores e tentativas de login com força bruta
(consulte a página 53). Vulnerabilidades desconhecidas no próprio software de servidor pode
também fornecer vias de acesso.
Nameservers de domínio são alvos principais nessa nova linhagem de ataque e os métodos
exatos ainda estão sob investigação. Há indicação que, além de sites individuais e servidores
do host, os nameservers em certos provedores de hospedagem também estão sendo
comprometidos. Os pesquisadores de segurança da Cisco dizem que essa tendência de
ataque à infraestrutura de Internet muda o panorama das ameaças, pois fornece aos criminosos
cibernéticos o controle sobre uma parte da própria base da web que não é insignificante.
[ "O crime cibernético se tornou muito lucrativo e uma mercadoria que precisa de uma
infraestrutura poderosa para se manter à tona", diz Gavin Reid, diretor de inteligência de
ameaças da Cisco. "Ao comprometer servidores do host e data centers, os agressores não
só ganham acesso a grandes quantidades de largura de banda, como também ao benefício
de tempo de atividade contínuo desses recursos". ]
FIGURA 25
2%
1% Suíça Tailândia
1%
Austrália
condicionais, por exemplo, injetar o iframe apenas se o visitante chegar de uma página de
resultados de mecanismo de pesquisa, não injetar o iframe se o endereço IP do visitante
corresponder ao do proprietário do site ou provedor de hospedagem, e injetar o iframe
apenas uma vez a cada 24 horas para visitantes individuais.
Em abril de 2013, foi detectado outro backdoor mal-intencionado que infectou centenas de
servidores que executam software de servidor HTTP Apache. O Linux/CDorked20 substituiu o
binário HTTPD em versões do Apache instaladas no cPanel. Backdoors similares direcionados
a Nginx e Lighttpd foram também descobertos. Tão seletivo quanto o DarkLeech em seus
FIGURA 26
0.5% Apache/CentOS
2% Apache/2.2.8
7% Apache/2.2.22
8% Apache/2.2.3 RedHat
39% Apache-unspecified
métodos de ataque, o CDorked também usa critérios condicionais para injetar dinamicamente
iframes em sites hospedados no servidor afetado. Qualquer visitante navegando em um site
afetado recebe então conteúdo mal-intencionado de outro site mal-intencionado, onde um kit
de ferramentas de crimeware tenta comprometer ainda mais o PC do usuário.21
Tráfego mal-intencionado,
frequentemente um sinal
de ataques direcionados,
detectados em todas as redes
corporativas
De acordo com a análise da Cisco das tendências de inteligência
de ameaças, o tráfego mal-intencionado é visível em 100%
das redes corporativas. Isso significa que há evidência de que
criminosos sofisticados ou outros agentes penetraram nessas
redes e podem estar operando sem serem detectados por
grandes períodos de tempo.
Todas as empresas devem supor que foram hackeadas, ou pelo menos concordar que não é
uma questão de "se elas serão alvo de um ataque" e sim "quando" e "por quanto tempo".
[ Em um projeto recente que examina as consultas de DNS (Domain Name Service) originadas
de dentro de redes corporativas, os especialistas em inteligência de ameaças da Cisco
descobriram que em todos os casos, as empresas mostraram evidências de que suas redes
foram abusadas ou comprometidas (Figura 27). Por exemplo, 100% das redes empresariais
analisadas pela Cisco tiveram tráfego para sites que hospedam malware, enquanto 92%
mostraram tráfego para páginas web sem conteúdo, que geralmente hospedam atividade mal-
intencionada. 96% das redes examinadas mostraram tráfego para servidores sequestrados. ]
A Cisco detectou também tráfego para sites militares ou públicos dentro de empresas que
geralmente não fazem negócios com esses setores, além de tráfego para sites de áreas
geográficas de alto risco, como países sob embargo comercial dos Estados Unidos. A
Cisco observou que tais sites podem ser usados devido à alta reputação geral desfrutada
por empresas públicas ou governamentais. O tráfego a esses sites pode não ser um sinal
definitivo de um comprometimento, mas para empresas que não negociam normalmente com
o governo ou militares, tal tráfego pode indicar que as redes foram comprometidas. Como
consequência, os criminosos podem utilizá-las para violar sites e redes desses setores.
49 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
Apesar de seus melhores esforços para manter suas redes livres de ameaças mal-
intencionadas, todas as empresas que a Cisco examinou durante 2013 mostraram evidência
de tráfego suspeito. O tráfego identificado através de consultas de DNS pode fornecer
forte IoCs e vale a pena ser investigado por empresas que desejem impedir esses agentes
de ameaças, que são difíceis de serem identificados, em suas redes. É um método para
aumentar a visibilidade da movimentação de criminosos que são geralmente muito difíceis de
serem localizados.
FIGURA 27
100%
Conexões a domínios que são sites conhecidos
Malware de alto risco de ameaças de malware ou vetores de ameaças.
100%
Tráfego suspeito e excessivo para lugares que
Governo e Forças Armadas não são geralmente contatados pelo público.
96%
Conexões a infraestruturas sequestradas
Infraestrutura sequestrada conhecidas ou sites comprometidos.
92%
Conexões a sites vazios que podem ter
Sites sem conteúdo códigos para injetar malware em sistemas.
Educação através
71%
Conexões a universidades em locais suspeitos, servindo
de ameaças como pontos de pivô para outros tipos de malware.
50%
Volume muito alto de tentativas de se conectar
Pornografia a sites pornográficos conhecidos.
50 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças
A boa notícia é que essas técnicas de atenuação não são as únicas que um profissional de segurança pode implantar
para proteger os usuários de direcionar acidentalmente de maneira errada o tráfego de Internet. Com adoção
suficiente, as novas atenuações poderiam eliminar o problema de bitsquatting quase completamente.
Por exemplo, zonas de política de resposta (RPZs) são uma opção de configuração desde o BIND versão 9.8.1
e existe uma correção para versões anteriores do BIND. (O BIND é um software de DNS de Internet amplamente
utilizado). Os RPZs são arquivos de zona local que permitem que o resolvedor DNS responda a solicitações
específicas de DNS dizendo que o nome de domínio não existe (NXDOMAIN), redirecionando o usuário a um "jardim
murado" (uma plataforma fechada), ou outras possibilidades.
Para atenuar os efeitos de erros de um bit dos usuários de um resolvedor DNS, o administrador do resolvedor pode
criar um RPZ que protege contra bitsquats de nomes de domínio frequentemente resolvidos ou apenas para uso
interno. Por exemplo, o RPZ pode ser configurado de forma que quaisquer solicitações feitas ao resolvedor DNS para
variantes de bitsquat desses domínios receberão uma resposta NXDOMAIN, "corrigindo" silenciosamente erros de
bit sem nenhum trabalho por parte do cliente que enfrentou o erro de bit.24
52 Relatório de Segurança Anual da Cisco de 2014
Setor
Investigadores da Cisco SIO elevam a discussão em torno das
tendências do setor que se estendem além da telemetria da Cisco.
53 Relatório de Segurança Anual da Cisco de 2014 Setor
FIGURA 28
O PC entra em contato com um O PC busca nomes de site O PC ataca o site usando várias
"controle e comando" e baixa alvo a partir do "controle e explorações CMS/tentativas de
um cavalo de Troia. comando". login com força bruta
A ampla utilização de plugins, que são projetados para ampliar as funções de um CMS
e potencializar vídeos, animações e jogos, também está provando ser uma dádiva para
malfeitores que procuram obter acesso não autorizado à plataformas como WordPress e
Joomla. Muitos comprometimentos de CMS observados pelos pesquisadores da Cisco em
2013 podem ser rastreados a plugins escritos na linguagem de script web PHP que foi mal
projetada, sem nenhuma preocupação com a segurança.
55 Relatório de Segurança Anual da Cisco de 2014 Setor
Ataques DDoS: o
AMPLIFICAÇÃO DE DNS:
Técnicas de atenuação
[Ataques lançados através da
amplificação de DNS continuarão
sendo uma preocupação em 2014, que era velho voltou
a ser novidade
de acordo com especialistas de
segurança da Cisco. A Open Resolver
Project (openresolverproject.org)
relata que em outubro de 2013, 28
milhões de "open resolvers" na
Ataques DDoS (Distributed Denial of
Internet representavam uma "ameaça Service), que podem interromper o tráfego
significativa". (Considere que o
ataque DDoS do Spamhaus de 300
de entrada e saída dos sites atacados e
Gbps usou apenas 30.000 open paralisar ISPs (provedores de serviços de
resolvers).] Internet), têm aumentado em volume e
Se um resolvedor estiver aberto, isso gravidade.
significa que ele não está filtrando
para onde está enviando respostas. Como os ataques DDoS têm sido considerados "notícias
O DNS usa protocolo UDP, que não antigas" em termos de técnicas de crime cibernético,
tem estado, o que significa que uma
muitas empresas estavam confiantes de que as medidas
solicitação pode ser feita em nome de
outra parte. Essa parte então recebe de segurança implantadas poderiam fornecer proteção
uma quantidade maior de tráfego. Por adequada. Mas essa confiança foi abalada por ataques
isso, identificar "open resolvers" (e DDoS de grande escala em 2012 e 2013, incluindo a
efetuar ações para fechá-los) é algo Operação Ababil, que teve como alvo várias instituições
com que o setor terá que lidar por financeiras, com provável motivação política.27
algum tempo no futuro.
As empresas podem reduzir a "Ataques DDoS devem ser uma das principais preocupações
chance de um ataque lançado por de segurança para as empresas no setor público e privado
amplificação de DNS de várias em 2014", diz John N. Stewart, vice-presidente sênior e
maneiras, incluindo implementar a chefe de segurança da Cisco. "Espera-se que as campanhas
melhor prática em vigor (BPC) de futuras sejam ainda mais extensas e que durem por períodos
força-tarefa de engenharia 38 para
mais longos. Empresas, especialmente aquelas que operam
evitar ser a fonte de ataques. Essa
BPC recomenda que os provedores ou têm interesse em setores que já são alvos principais, como
upstream de conectividade IP filtrem serviços financeiros e de energia, precisam se perguntar:
pacotes que entram em suas redes "podemos ser resilientes contra um ataque DDoS?"
de clientes downstream e descartem
quaisquer pacotes que tiverem um Uma nova peculiaridade: alguns ataques DDoS estão
endereço de origem não alocado a sendo provavelmente usados para ocultar outras atividades
nefastas, como fraudes eletrônicas, antes, durante ou após
uma campanha. (Consulte "DarkSeoul," página 57).
Continua na próxima página
Esses ataques podem sobrecarregar as equipes do
56 Relatório de Segurança Anual da Cisco de 2014 Setor
esse cliente.30 A BPC foi criada em banco, impedir notificações de transferências a clientes
coautoria pela Cisco, que oferece e que eles denunciem fraudes. E, no momento que uma
diretrizes sobre implantação de uRPF
instituição se recuperar de tal evento, ela não poderá
e sua execução.31
recuperar suas perdas financeiras. Um desses ataques,
Outra técnica de atenuação é que ocorreu em 24 de dezembro de 2012, teve como alvo
configurar todos os servidores DNS
uma instituição financeira regional da Califórnia e "ajudou a
autorizados para usar limitação de
taxa. O nameserver autorizado, que distrair os funcionários do banco da tomada de uma conta
serve o domínio de uma empresa, online de um de seus clientes, dando aos ladrões mais de
é geralmente aberto a todas as US$900.000".28
solicitações. A limitação de taxa
de resposta DNS (DNS RRL) é um O conhecimento para comprometer servidores do host, que
recurso que pode ser ajustado para se aprofunda cada vez mais rapidamente, apenas tornará
evitar que um servidor DNS responda mais fácil para que criminosos cibernéticos lancem ataques
à mesma pergunta da mesma DDoS e roubem das empresas atacadas (consulte "Fraturas
entidade muitas vezes, protegendo
em um ecossistema frágil", página 43). Ao comandar
assim a empresa de ser usada
como um intermediário em ataques
uma parte da infraestrutura da Internet, os agentes mal-
DDoS. O DNS RRL é habilitado em intencionados podem tirar vantagem de grandes quantidades
servidores DNS e é uma maneira de largura de banda, que oferecem a eles uma posição para
de um administrador de servidor lançar qualquer número de campanhas importantes. Isso
limitar a eficácia da utilização de um já está acontecendo: em agosto 2013, o governo chinês
servidor por agressores em ataques
informou que o maior ataque DDoS já enfrentado desligou a
de amplificação. A limitação de taxa
de resposta DNS é um recurso mais
Internet chinesa por cerca de quatro horas.29
recente e não é comportado por Até mesmo spammers estão usando ataques DDoS
todos os servidores DNS; no entanto,
para contra-atacar empresas que eles creem que estão
ela é comportada pelo ISC BIND, um
servidor DNS popular. atrapalhando sua geração de receita. Em março de 2013,
a organização sem fins lucrativos Spamhaus (que rastreia
Além disso, todos os servidores DNS
recursivos precisam ser considerados
spammers e criou a lista de bloqueio Spamhaus, um
com uma lista de controle de diretório de endereços IP suspeitos) foi alvo de um ataque
acesso (ACL), para que eles possam DDoS que desligou temporariamente seu site e reduziu o
responder apenas a consultas de tráfego de Internet em todo o mundo. Alegou-se que os
hosts em sua própria rede. Um agressores eram afiliados ao CyberBunker, um provedor
ACL mal gerenciado pode ser um
de hospedagem com sede na Holanda com termos de uso
fator primário em ataques DNS,
especialmente em grandes servidores
permissivos, e o STOPhaus, que expressou publicamente
com grandes quantidades de largura sua antipatia pelas atividades do Spamhaus. O ataque DDoS
de banda disponível. Essa técnica ocorreu após o amplamente utilizado serviço Spamhaus
ter incluído o CyberBunker em sua lista negra. Em uma
aparente retaliação, spammers suspeitos tentaram colocar o
Spamhaus off-line através de um ataque DDoS.
Continua na próxima página
57 Relatório de Segurança Anual da Cisco de 2014 Setor
DarkSeoul
as melhores práticas de DNS,
consulte "Melhores práticas de DNS,
proteções de rede e identificação de
ataques": http://www.cisco.com/web/
about/security/intelligence/dns-bcp.
Como observado em "Ataques DDoS: o
html. que era velho voltou a ser novidade", o
novo foco dos criminosos cibernéticos e o
crescimento rápido do conhecimento em
comprometer servidores do host estão
apenas facilitando lançar ataques DDoS e
roubar as empresas.
Os pesquisadores de segurança da Cisco alertam que as
campanhas futuras de DDoS terão mais probabilidade de
causar interrupções e danos mais significativos, incluindo
prejuízo financeiro, devido ao roubo.
Alguns acreditam que os ataques foram resultado de uma guerra cibernética instituída pela
Coreia do Norte para causar uma interrupção econômica à Coreia do Sul ou um ato de
sabotagem por outra nação. Mas existe a possibilidade de que os ataques do DarkSeoul
tiveram como objetivo ocultar ganhos financeiros.33
Um binário de malware identificado nos ataques do DarkSeoul, que teve como alvo empresas
de mídia e instituições financeiras, é um cavalo de troia bancário que teve como alvo
específico os clientes dos mesmos bancos coreanos, de acordo com os investigadores da
Cisco TRAC/SIO. Esse fato, junto com o cronograma de tendências de crime cibernético que
levaram ao DarkSeoul, indica que a campanha pode ter sido roubo disfarçado de outra coisa.
Ransomware
FIGURA 29
A transição para a nuvem muda o jogo, pois ela redefine onde os dados são armazenados,
movido e acessados, criando oportunidades maiores para os agressores.
Colaborando ainda mais com o medo de ceder o controle de dados à nuvem, temos a falta de
informações sobre como os fornecedores de nuvem defendem seus produtos contra violações
de segurança. Frequentemente, as empresas não perguntam o suficiente sobre o que está
contido nos níveis de acordo de serviços de seus fornecedores, ou com qual frequência os
fornecedores atualizam seu software de segurança ou corrigem suas vulnerabilidades.
62 Relatório de Segurança Anual da Cisco de 2014 Setor
Coincidentemente, as poucas coisas que tornam a nuvem uma ameaça (como o local fora
do perímetro da rede e o aumento do uso da nuvem para dados essenciais da empresa)
podem permitir que as empresas tomem decisões de segurança mais precisas e quase
em tempo real. Com mais tráfego passando pela nuvem, as soluções de segurança que
também dependem da nuvem podem analisar esse tráfego de maneira rápida e fácil, e obter
essa informação complementar. Além disso, para empresas menores ou com restrições
orçamentárias, um serviço de nuvem bem protegido e gerenciado pode oferecer mais
proteções de segurança do que os próprios servidores e firewalls da empresa.
Recomendações
Mais empresas estão lutando para solidificar uma visão de segurança
apoiada por uma estratégia eficaz que usa novas tecnologias, simplifica
sua arquitetura e operações e fortalece suas equipes de segurança.
64 Relatório de Segurança Anual da Cisco de 2014 Recomendações
No ano passado, empresas de todos os tipos lutaram para compreender como poderiam
adotar a inovação sem criar novas brechas de segurança ou aprofundar as que já existiam.
O ano de 2013 também colocou o problema da confiança em primeiro plano. Agora, há
uma maior probabilidade de que usuários de todos os tipos questionem a confiabilidade da
tecnologia com que eles contam todos os dias, seja no trabalho ou em sua vida pessoal.
Dessa maneira, é muito importante que os fornecedores de tecnologia ajudem a garantir
aos clientes a segurança como prioridade em seus processos de fabricação e estejam
preparados para apoiar essas garantias.
• Antes de um ataque: para defender sua rede, as empresas precisam saber o que ela
contém: dispositivos, sistemas operacionais, serviços, aplicativos, usuários, etc. Além disso,
eles precisam implantar controles de acesso, aplicar políticas de segurança e bloquear
aplicativos e acesso geral a ativos cruciais. No entanto, as políticas e controles são apenas
uma pequena peça de um panorama maior. Essas medidas podem ajudar a reduzir a área
de superfície de ataque, mas haverá sempre lacunas que os agressores encontrarão e
explorarão para atingir seus objetivos.
• Durante um ataque:as empresas precisam lidar com uma ampla variedade de vetores de
ataque com soluções que operam em todos os lugares em que uma ameaça possa se
manifestar — na rede, em endpoints, de dispositivos móveis e em ambientes virtuais. Com
soluções eficazes implantadas, os profissionais de segurança estarão melhor posicionados
para bloquear ameaças e ajudar a defender o ambiente.
• Após um ataque: invariavelmente, muitos ataques serão bem sucedidos. Isso significa que
as empresas precisam ter um plano formal implantado que as permitirá determinar o escopo
do dano, conter o evento, remediar e trazer as operações para dentro da normalidade o
mais rápido possível.
[ "Os agressores e suas ferramentas avançaram para escapar das defesas tradicionais. A
realidade é que não se trata mais de saber se os agressores serão bem-sucedidos e
sim, quando", diz Marty Roesch, arquiteto-chefe de segurança do Grupo de segurança da
Cisco. "Uma abordagem à segurança focada em ameaças e concentrada na visibilidade é
necessária para proteger os usuários durante todo o processo de ataque—antes, durante e
depois de um ataque". ]
66 Relatório de Segurança Anual da Cisco de 2014 Recomendações
Apêndice
68 Relatório de Segurança Anual da Cisco de 2014 Apêndice
As empresas de segurança
precisam de cientistas de
dados
Ferramentas introdutórias de análise dados para profissionais de
segurança
As equipes do chefe de segurança (CSO) estão coletando uma quantidade sem precedentes
de dados e a inteligência capturada nesses dados é valiosa demais para ficar sem ser
utilizada. A análise dos dados pertinentes à segurança proporciona dicas sobre as atividades
dos agressores e dá uma percepção acionável sobre como frustrar ataques.
A Figura A1 mostra esse comando que imprime o índice de stream TCP dos cinco primeiros
pacotes TCP em traffic_sample.pcap.
FIGURA A1
Com esse conhecimento, uma pessoa pode escrever um script que dividirá traffic_sample.
pcap em arquivos pcap individuais:
$ cat ~/bin/uniq_stream.sh
#!/bin/bash
function getfile_name() {
orig_name=$1
stream=$2
file_name="$(echo $orig_name | cut -d’.’ -f1)"
file_name+="-${stream}.pcap"
echo "${file_name}"
return 0
}
for x in ${streams}
do
file_name=$(getfile_name ${1} ${x})
echo "Creating ${file_name}..."
tshark -r ${1} -w $file_name tcp.stream eq ${x}
done
$
O script cria um único arquivo pcap para cada um dos 147 streams TCP em traffic_sample.
pcap. Agora é mais fácil fazer análises mais detalhadas em cada stream TCP. Observe
que pacotes que não são TCP de traffic_sample.pcap não estarão em nenhum dos novos
arquivos pcap:
$ /bin/uniq_stream.sh traffic_sample.pcap
Creating traffic_sample-1.pcap...
Creating traffic_sample-2.pcap...
…
…
Creating traffic_sample-146.pcap...
Creating traffic_sample-147.pcap...
71 Relatório de Segurança Anual da Cisco de 2014 Apêndice
O Scapy tem seus próprios pontos fortes. Desde o seu desenvolvimento em Python, todos
os recursos da linguagem Python e outras ferramentas Python podem ser usadas. O snippet
a seguir demonstra como o Scapy faz uso da sobrecarga do operador de forma que a
elaboração de tráfego pode ser feita de maneira rápida e intuitiva.
# scapy
>>> random.seed()
>>> dns_query[DNS].qdcount = 1
>>> scapy.sendrecv.sr1(dns_query)
Begin emission:
.*
>>> response[DNS].ar[DNSRR].rdata
‘64.102.255.44’
>>>
Este exemplo mostra como os pacotes podem ser construídos e como o tráfego ao vivo
pode ser analisado. No entanto, o Scapy pode ser usado para analisar arquivos pcap com a
mesma facilidade.
72 Relatório de Segurança Anual da Cisco de 2014 Apêndice
Considere a utilização de csvkit como alternativa. O Csvkit fornece vários utilitários que
facilitam o processamento de dados CSV a partir da linha de comando. Examine o arquivo
CSV a seguir e observe como é fácil encontrar todas as linhas que têm o host tty.example.org
na coluna src:
$ head -n 3 tcp_data.csv
src,srcport,dst,dstport
"tty.example.org","51816","vex.example.org","443"
"vex.example.org","443","tty.example.org","51816"
$ csvgrep -n tcp_data.csv
1: src
2: srcport
3: dst
4: dstport
O Csvkit inclui uma série de utilitários. O Csvstat é especialmente útil, pois ele computa
automaticamente várias estatísticas. Por exemplo, é fácil calcular a frequência dos cinco
principais hosts src:
$ csvstat -c 1 tcp_data.csv
1. src
<type ‘unicode’>
Nulls: False
Unique values: 55
5 most frequent values:
tty.example.org: 2866
lad.example.org: 1242
bin.example.org: 531
trw.example.org: 443
met.example.org: 363
Max length: 15
O exemplo a seguir demonstra como os profissionais de segurança podem usar essas três
ferramentas para representar graficamente os principais hosts src em tcp_data.csv:
In [3]: df = read_csv("/Users/shiva/tmp/data_analysis/tcp_data.csv")
In [4]: df
Out[4]:
<class ‘pandas.core.frame.DataFrame’>
Int64Index: 6896 entries, 0 to 6895
Data columns (total 4 columns):
src 6896 non-null values
srcport 6896 non-null values
dst 6896 non-null values
dstport 6896 non-null values
dtypes: int64(2), object(2)
In [5]: df[‘src’].value_counts()[0:10]
Out[5]:
tty.example.org 2866
lad.example.org 1242
bin.example.org 531
trw.example.org 443
met.example.org 363
gee.example.org 240
gag.example.org 126
and.example.org 107
cup.example.org 95
chi.example.org 93
dtype: int64
In [6]: df[‘src’].value_counts()[0:10].plot(kind="bar")
Out[6]: <matplotlib.axes.AxesSubplot at 0x8479c30>
75 Relatório de Segurança Anual da Cisco de 2014 Apêndice
FIGURA A2
3000
2500
2000
1500
1000
500
0
tty.example.org
lad.example.org
bin.example.org
trw.example.org
met.example.org
gee.example.org
gag.example.org
and.example.org
chi.example.org
cup.example.org
A beleza dos pandas é a maneira que eles permitem a exploração dos dados pelos usuários.
Por exemplo, pouco esforço é necessário para encontrar o número de srcports únicos que
ty.example.org conecta de cada combinação dst e dstport exclusiva, com que ele se comunica:
In [229]: tty_df = df[df.src == "tty.example.org"]
In [230]: num_ports = lambda x: len(set(x))
In [231]: pivot_table(tty_df, rows=[‘dst’,‘dstport’], values=‘srcport’, aggfunc=num_ports)
Out[231]:
dst dstport
add.example.org 80 2
ala.example.org 80 3
and.example.org 80 1
auk.example.org 80 2
bid.example.org 80 1
…
76 Relatório de Segurança Anual da Cisco de 2014 Apêndice
Os CSOs precisam fazer com que seus profissionais de segurança ajam como cientistas.
A análise dos dados disponíveis produzirá percepções que não seriam possíveis de
outra maneira. Ao longo do tempo, a intuição sobre quais partes dos dados explorar será
desenvolvida. Algumas empresas podem até mesmo descobrir que elas podem se beneficiar
de ter cientistas de dados dedicados em suas equipes.
77 Relatório de Segurança Anual da Cisco de 2014
Cisco SIO
Gerenciar e proteger as redes distribuídas e ágeis de hoje
tornou-se um desafio cada vez mais difícil.
Os criminosos online continuam a explorar a confiança dos usuários em aplicações e
dispositivos de consumo, aumentando o risco para as empresas e funcionários. A segurança
tradicional, baseada em camadas de produtos e no uso de vários filtros, não é suficiente para
a defesa contra a mais recente geração de malwares, que se espalha rapidamente, tem alvos
mundiais e usa vários vetores para se propagar.
A Cisco se mantém à frente das mais novas ameaças, usando a inteligência de ameaças
em tempo real do Cisco Security Intelligence Operations (SIO). O Cisco SIO é o maior
ecossistema mundial de segurança em nuvem, usando mais de 75 terabits de feeds de
dados ao vivo recolhidos das soluções de e-mail, web, firewall e do sistema de prevenção a
invasões (IPS) da Cisco.
Para saber mais sobre inteligência de alerta precoce, análise de ameaças e vulnerabilidades e
sobre as comprovadas soluções de atenuação da Cisco, acesse: www.cisco.com/go/sio.
79 Relatório de Segurança Anual da Cisco de 2014
Notas finais
1 Para obter mais informações sobre a evolução abrangente, consulte "The Nexus of Devices, Clouds, and Applications" no
Relatório de Segurança Anual da Cisco de 2013: https://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf.
2 Ibid.
3
No More Chewy Centers: Introducing The Zero Trust Model Of Information Security, por John Kindervag, Forrester,
Nov. 12, 2012.
5 "NSA collecting phone records of millions of Verizon customers daily", por Glenn Greenwald, The Guardian, Jun. 5, 2013:
http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order.
7 "O NSA se infiltra em links para os data centers do Yahoo e Google em todo o mundo, diz os documentos de Snowden",
por Barton Gellman e Ashkan Soltani, 30 de outubro de 2013, The Washington Post: http://www.washingtonpost.com/world/
national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/
e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html.
8 Para obter mais informações, consulte "Cisco Secure Development Life cycle (CSDL)": http://www.cisco.com/web/about/
security/cspo/csdl/index.html.
9 Ibid.
10
A Cisco define a Internet de Todas as Coisas como "a próxima onda de crescimento drástico da Internet que virá através da
confluência de pessoas, processos, dados e coisas".
"Massive Spam and Malware Campaign Following the Boston Tragedy", Cisco Security Blog, 17 de abril de 2013:
11
http://blogs.cisco.com/security/massive-spam-and-malware-campaign-following-the-boston-tragedy/.
12
Ibid.
13
Ibid.
14
Página "sobre" do site do Java: http://www.java.com/pt_BR/about/.
15
Saiba mais sobre a "evolução abrangente", consulte o Relatório de Segurança Anual da Cisco de 2013: http://www.cisco.
com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf.
16
"Department of Labor Watering Hole Attack Confirmed to be 0-Day with Possible Advanced Reconnaissance Capabilities",
por Craig Williams, Cisco Security Blog, 4 de maio de 2013: http://blogs.cisco.com/security/department-of-labor-watering-
hole-attack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/.
17
"Watering-Hole Attacks Target Energy Sector", por Emmanuel Tacheau, Cisco Security Blog, 18 de setembro de 2013:
http://blogs.cisco.com/security/watering-hole-attacks-target-energy-sector/.
18
"Apache DarkLeech Compromises", por Mary Landesman, Cisco Security Blog, 2 de abirl de 2013: http://blogs.cisco.com/
security/apache-DarkLeech-compromises/.
19
"Ongoing malware attack targeting Apache hijacks 20,000 sites", por Dan Goodin, Ars Technica, 2 de abril de 2013:
http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/.
20
"Linux/CDorked FAQS", por Mary Landesman, Cisco Security Blog, 1 de maio de 2013: http://blogs.cisco.com/security/
linuxcdorked-faqs/.
21
"DarkLeech Apache Attacks Intensify", por Matthew J. Schwartz, InformationWeek, 30 de abril de 2013:
http://www.informationweek.com/security/attacks/DarkLeech-apache-attacks-intensify/240153922.
22
Typosquatting é a prática de registrar nomes de domínio que tem apenas um caractere diferente de um nome de domínio
popular.
23
"Thanks to IoE, the next decade looks positively ‘nutty’", por Dave Evans, Cisco Platform Blog, 12 de fevereiro de 2013:
http://blogs.cisco.com/news/thanks-to-ioe-the-next-decade-looks-positively-nutty/.
80 Relatório de Segurança Anual da Cisco de 2014
24
Para obter mais informações sobre estratégias de atenuação de bitsquatting, leia o white paper da Cisco, Examining the
Bitsquatting Attack Surface, 2013: http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_
Surface-whitepaper.pdf.
25
"WordPress Sites in the World" e "A Look at Activity Across WordPress.com", WordPress.com:
http://en.wordpress.com/stats/.
26
"Important Security Update: Reset Your Drupal.org Password", Drupal.org, 29 de maio de 2013:
https://drupal.org/news/130529SecurityUpdate.
27
Um relatório detalhado dos padrões e payloads da campanha Operation Ababil pode ser encontrado em "Cisco Event
Response: Distributed Denial of Service Attacks on Financial Institutions": http://www.cisco.com/web/about/security/
intelligence/
ERP-financial-DDoS.html.
28
"DDoS Attack on Bank Hid $900,000 Cyberheist", por Brian Krebs, blog KrebsonSecurity , 19 de fevereiro de 2013:
http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.
29
"Chinese Internet Hit by Attack Over Weekend", por Paul Mozer, China Real Time Report, WSJ.com, 26 de agosto de 2013:
http://blogs.wsj.com/chinarealtime/2013/08/26/chinese-internet-hit-by-attack-over-weekend/.
30
Fonte: Wikipedia: "Ingress Filtering": http://en.wikipedia.org/wiki/Ingress_filtering.
unicast-rpf.html.
32
"Your Hard Drive Will Self-Destruct at 2 p.m.: Inside the South Korean Cyberattack", por Sean Gallagher, Ars Technica, 20 de
março de 2013: http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-korean-
cyber-attack/.
33
"Thoughts on DarkSeoul: Data Sharing and Targeted Attackers", por Seth Hanford, Cisco Security Blog, 27 de março de
2013:
http://blogs.cisco.com/tag/darkseoul/.
34
Ibid.
35
"Cyber Gang Seeks Botmasters to Wage Massive Wave of Trojan Attacks Against U.S. Banks", por Mor Ahuvia, RSA, 4 de
outubro de 2012: https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-
s-banks/.
36
"DDoS Attack on Bank Hid $900,000 Cyberheist", por Brian Krebs, blog KrebsonSecurity , 19 de fevereiro de 2013:
http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.
37
"Cisco projects data center-cloud traffic to triple by 2017", ZDNet, 15 de outubro de 2013: http://www.zdnet.com/cisco-
projects-data-center-cloud-traffic-to-triple-by-2017-7000021985/.
Sede - América Sede - Ásia e Pacífico Sede - Europa
Cisco Systems, Inc. Cisco Systems (USA) Pte. Ltd. Cisco Systems International
San Jose, CA Cingapura BV Amsterdam,
Holanda
A Cisco possui mais de 200 escritórios no mundo todo. Os endereços, números de telefones e fax estão disponíveis no site da
Cisco: www.cisco.com/go/offices.
Todo conteúdo é Copyright © 2011–2014 Cisco Systems, Inc. Todos os direitos reservados. Este documento contém informações
públicas da Cisco. Cisco e o logotipo Cisco são marcas comerciais da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados
Unidos e em outros países. Uma lista das marcas registradas da Cisco pode ser encontrada em www.cisco.com/go/trademarks.
As marcas de terceiros citadas pertencem a seus respectivos proprietários. O uso do termo "parceiro" não implica uma relação de
sociedade entre a Cisco e qualquer outra empresa. (012114 v1)