3. 2013 Cisco A 2 nnual Security Report
Vivendo no mundo
atual do sistema
“any-to-any”.
4. 3
Os criminosos cibernéticos estão se beneficiando do cenário de ataques atual, o
qual encontra-se em rápida expansão e bastante presente no mundo do sistema
“any-to-any”, no qual as pessoas fazem uso de qualquer dispositivo para acessar
aplicativos empresariais em ambientes de rede que utilizam serviços em nuvem
descentralizados. O relatório de segurança anual da Cisco® de 2013 destaca as
tendências globais com base em dados do mundo real e oferece conhecimentos
e análises que ajudam empresas e governos a melhorarem sua segurança no
futuro. O relatório combina pesquisa especializada com inteligência de segurança
agregados pela Cisco com enfoque em dados coletados durante o ano fiscal de
2012.
6. 5
A relação de dispositivos, nuvens e aplicativos 6
Multiplicação de endpoints 12
Os serviços estão presentes em muitas nuvens 18
A mistura entre uso corporativo e pessoal 22
A Geração Y e o local de trabalho
Big Data 28
Um bom negócio para as empresas de hoje
Estado da exploração 32
O perigo se esconde em lugares surpreendentes
Ameaças em evolução 50
Novos métodos, mesmas explorações
Envio de Spam sempre presente 58
Perspectiva de segurança para 2013 70
Sobre a Cisco Security Intelligence Operations 74
7. 2013 Cisco A 6 nnual Security Report
A relação
entre
dispositivos,
nuvens e
aplicativos
8. 7
O mundo do sistema any-to-any e a
Internet de Todas as Coisas são uma
evolução em termos de conectividade
e colaboração que se desdobra
rapidamente. A relação entre dispositivos,
nuvens e aplicativos.
Embora essa evolução não seja inesperada,
as empresas podem estar despreparadas
para a realidade de navegação no mundo
"any-to-any" — pelo menos de uma
perspectiva de segurança.
"O ponto principal da questão relacionada
ao sistema de computação distribuída any-to-
any é que alcançamos rapidamente o
ponto em que é cada vez menos provável
que um usuário acesse uma empresa por
meio de uma rede corporativa," diz Chris
Young, vice-presidente sênior do Grupo
de segurança e governo da Cisco. “Cada
vez mais, o foco volta-se para a cultura
de qualquer dispositivo em qualquer local
vindo de qualquer instanciação de rede.
Os dispositivos habilitados para acessar a
Internet — smartphones, tablets e muitos
outros — tentam conectar aplicações que
poderiam ser executadas em qualquer
lugar, inclusive em uma nuvem de software
como serviço (SaaS), em uma nuvem
particular ou em uma nuvem híbrida.”
Ao mesmo tempo, outra evolução está a
caminho — um movimento contínuo em
direção da formação da "Internet de todas
as coisas - The Internet of Everything".
Essa é a conexão inteligente de:
• Pessoas: redes sociais, centros
populacionais e entidades digitais
• Processos: sistemas e processos
comerciais
• Dados: World wide web e informações
• Coisas: mundo físico, dispositivos e
objetos
“Cada vez mais, o foco volta-se para
a cultura de qualquer dispositivo em
qualquer local vindo de qualquer
instanciação de rede. Dispositivos
com acesso à Internet — smartphones,
tablets e outros — tentam se conectar a
aplicativos que podem ser executados
em qualquer lugar."
Chris Young, Vice-Presidente Sênior do
grupo de segurança e governo da Cisco
9. 2013 Cisco A 8 nnual Security Report
A Internet de Todas as Coisas baseia-se
na “Internet das coisas”1 que
adicionando a inteligência de rede
permite a convergência, a orquestração
e a visibilidade por meio de sistemas
previamente diferenciados. As conexões
da Internet de Todas as Coisas não
representam apenas dispositivos móveis
ou laptops e desktops, mas também um
número cada vez maior de conexões de
máquina para máquina (M2M) que ficam
conectadas on-line todos os dias. Essas
“coisas” são objetos aos quais não damos
muita importância, que geralmente usamos
todos os dias e nem imaginamos que
possam estar conectados — como um
sistema de aquecimento doméstico, uma
turbina eólica ou um carro.
A Internet de Todas as Coisas com
certeza é uma condição futura, mas que
não está tão distante quando a questão
do any-to-any é considerada. Enquanto
isso ela irá criar desafios de segurança
para as empresas, mas também trará
novas oportunidades. “Coisas incríveis
acontecerão com o crescimento da
Internet de Todas as Coisas”, diz Nancy
Cam-Winget, engenheira renomada da
Cisco. “O crescimento e a convergência
de pessoas, processos, dados e coisas
na Internet tornará as conexões em rede
mais importantes e valiosas do que nunca.”
Além disso, a Internet de Todas as Coisas
criará novos recursos, experiências mais
valiosas e oportunidades econômicas
sem precedentes para países, negócios e
indivíduos."
Como a nuvem
compromete a segurança
O desafio de proteger uma grande
variedade de aplicações, dispositivos e
usuários — seja no contexto do sistema
"any-to-any" ou da Internet de Todas as
Coisas — é dificultado pela popularidade da
nuvem como meio de gerenciar sistemas
corporativos. De acordo com dados
reunidos pela Cisco, espera-se que o
tráfego de data centers em termos globais
seja quadruplicado nos próximos cinco
anos, e o componente de crescimento mais
rápido será a nuvem. Em 2016, o tráfego
global em nuvem corresponderá a dois
terços do tráfego total de data centers.
“O aumento do número de pessoas,
processos, dados e coisas na Internet, e
sua convergência, tornará as conexões
em rede mais importantes e valiosas do
que nunca.”
Nancy Cam-Winget, engenheira renomada
da Cisco
Espera-se que o tráfego global de data
centers seja quadruplicado nos próximos
cinco anos, e o componente de
crescimento mais rápido serão os dados
em nuvem. Em 2016, o tráfego global em
nuvem corresponderá a dois terços do
tráfego total do data centers.
10. 9
Soluções de segurança fragmentadas,
como a aplicação de firewalls a uma
borda de rede instável, não protegem
dados que atualmente se movimentam
constantemente entre dispositivos, redes
e nuvens. Mesmo entre os data centers —
que agora abrigam as "joias da coroa" (big
data) das empresas — a virtualização torna-se
mais a regra do que a exceção. Abordar
desafios de segurança difundidos pela
virtualização e pela nuvem requer repensar
posturas de segurança para refletir sobre
este novo paradigma — controles com base
em perímetro e modelos antigos de acesso
e contenção precisam ser alterados para
proteger o novo modelo de negócios.
Funcionários conectados e
privacidade de dados
Outro fator comprometedor na equação
any-to-any são os funcionários jovens e
móveis. Este grupo acredita que é capaz
de fazer negócios onde quer que esteja
e com qualquer dispositivo que tenha
em mãos. Em destaque no Relatório de
segurança anual da Cisco de 2013 estão as
descobertas do Relatório Cisco Connected
World Technology 2012, que foram
reunidas na pesquisa realizada em 2011
sobre as novas atitudes que estudantes
universitários e jovens profissionais em
todo o mundo têm em relação ao trabalho,
à tecnologia e à segurança.
O último estudo se concentra ainda mais
nas atitudes desses funcionários em
relação à segurança, com enfoque especial
na privacidade e em quanto e com que
Outro fator comprometedor na equação
do sistema de computação distribuída
any-to-any são os funcionários jovens e
móveis. Este grupo acredita que é capaz
de fazer negócios onde quer que esteja
usando qualquer dispositivo que tenha
em mãos.
frequência uma empresa pode interferir no
desejo do funcionário de usar livremente a
Internet no trabalho. O estudo do Relatório
Cisco Connected World Technology 2012
também analisa se a privacidade on-line
ainda é algo com que todos os usuários se
preocupam ativamente.
Análise de dados e
tendências mundiais de
segurança
O Relatório de segurança anual da Cisco
de 2013 inclui uma análise profunda de
tendências de malware e spam da Web,
com base em pesquisas realizadas pela
Cisco. Enquanto muitos que operam na
"economia paralela" têm concentrado seus
esforços no desenvolvimento de técnicas
cada vez mais sofisticadas, a pesquisa
da Cisco deixa claro que os criminosos
cibernéticos frequentemente adotam
métodos bem conhecidos e básicos para
comprometer os usuários.
O aumento de ataques de negação de
serviço distribuído (DDoS) no último ano
é apenas um exemplo da tendência "o
11. 2013 Cisco A 10 nnual Security Report
"Vemos algumas mudanças incômodas no ambiente de ameaças com que se
deparam governos, empresas e sociedades.”
John N. Stewart, vice-presidente sênior e chefe de segurança da Cisco.
antigo agora é novidade" em se tratando
de crimes cibernéticos. Por vários anos, os
ataques de DDoS — que podem paralisar
provedores de serviços de Internet (ISPs)
e afetar o tráfego para e de sites visados
— não tiveram muita importância na lista de
prioridades de segurança de TI para muitas
empresas. Entretanto, campanhas recentes
de várias empresas famosas — incluindo
instituições financeiras dos EUA2 — servem
como lembrete de que qualquer ameaça
à segurança cibernética pode causar uma
interrupção significativa e até mesmo
um dano irreparável, caso a organização
não esteja preparada para isso. Portanto,
ao criar planos de gerenciamento de
continuidade de negócios, as empresas
devem considerar como reagiriam e se
recuperariam de um evento cibernético
prejudicial — caso um evento se torne um
ataque DDoS direcionado à empresa, um
importante recurso de fabricação ativado
pela Internet de repente ficar off-line, um
ataque a diversos estágios avançados por
um criminoso oculto ou algo nunca visto
antes.
"Enquanto a discussão de segurança de TI
sofreu mais que sua cota de alarmismo nos
último anos, vemos algumas mudanças
perturbadoras no ambiente de ameaças
que governos, empresas e sociedades
enfrentam," diz John N. Stewart, vice-presidente
sênior e chefe de segurança
da Cisco. "O crime cibernético já não é
mais um mero um aborrecimento ou mais
uma despesa feita quando fechamos
negócios. Abordamos um ponto decisivo
em que as perdas econômicas geradas
pelo crime cibernético ameaçam suplantar
os benefícios econômicos criados pela
tecnologia da informação. Está claro que
precisamos de novas ideias e de um novo
enfoque para reduzir o dano que o crime
cibernético causa no bem-estar mundial.”
13. 2013 Cisco A 12 nnual Security Report
Multiplicação
de endpoints
14. 13
A evolução do sistema "any-to-any"
já envolve bilhões de dispositivos
conectados à Internet; em 2012, o
número destes dispositivos no mundo
subiu para mais de 9 bilhões.3
Considerando que atualmente menos de
1% das coisas no mundo físico estão
conectadas, resta um vasto potencial para
“conectar o não conectado.”4 Estima-se
que com uma Internet que já tenha uma
projeção de 50 bilhões de “coisas”
conectadas a ela, o número de conexões
aumentará para 13.311.666.640.184.600
em 2020. Adicionar apenas mais uma
"coisa" conectada à Internet (50 bilhões +
1) aumentará o número de conexões em
mais 50 bilhões.5
Quanto às “coisas” que finalmente
compreenderão o “todas as coisas,” estas
variarão de smartphones e sistemas de
aquecimento doméstico a turbinas eólicas
e carros. Dave Evans, futurista-chefe
do grupo de soluções de negócios de
Internet da Cisco, explica assim o conceito
da multiplicação de terminais: “Num
futuro próximo, quando seu carro estiver
conectado à Internet de Todas as Coisas, o
número de coisas na Internet simplesmente
aumentará em um. Pense nos vários outros
elementos com os quais seu carro poderia
se conectar— outros carros, semáforos,
sua casa, equipe de serviços, relatórios de
meteorologia, sinais de alerta e até mesmo
a própria rodovia.”6
“Num futuro próximo, quando seu carro
estiver conectado à Internet de Todas
as Coisas, o número de coisas na
Internet simplesmente aumentará em
um. Pense nos vários outros elementos
com os quais seu carro poderia se
conectar— outros carros, semáforos,
sua casa, equipe de serviços, relatórios
de meteorologia, sinais de alerta e até
mesmo a própria rodovia.”
David Evans, futurista-chefe da Cisco
15. 2013 Cisco A 14 nnual Security Report
Figura 1: A Internet de Todas as Coisas
A Internet de Todas as Coisas é a conexão inteligente de pessoas, processos, dados e
coisas.
De pessoas para
máquina (P2M)
De pessoas para
pessoas (P2P)
Residência Móvel
De máquina para
máquina (M2M)
Pessoas
Dados
Processo
Coisas
Negócios
Na Internet de Todas as Coisas, as conexões são os fatores mais importantes. Os tipos
de conexões, não o número, são o que criam valor entre pessoas, processos, dados e
coisas.
16. 15
Na Internet de Todas as Coisas, as
conexões são os fatores mais importantes.
Os tipos de conexões, não o número,
são o que criam valor entre pessoas,
processos, dados e coisas. Por fim, o
número de conexões reduzirá o número de
coisas.7 A explosão de novas conexões,
que já faz parte da Internet de Todas as
Coisas, é impulsionada principalmente
pelo desenvolvimento cada vez maior
de dispositivos habilitados por IP, como
também pelo aumento da disponibilidade
mundial de banda larga e do advento do
IPv6. Os riscos de segurança criados
pela Internet de Todas as Coisas não se
relacionam apenas à multiplicação de
endpoints any-to-any que nos aproxima
diariamente de um mundo ainda mais
conectado, mas também à oportunidade
de agentes maliciosos utilizarem ainda mais
incursões para comprometer usuários,
redes e dados. As próprias novas conexões
criarão riscos porque irão gerar ainda mais
dados em movimento que precisam ser
protegidos em tempo real — incluindo os
volumes crescentes de big data que as
empresas continuarão a coletar, armazenar
e analisar.
“A Internet de Todas as Coisas ganha
forma rapidamente, portanto o
profissional de segurança precisa pensar
em como mudar seu enfoque da simples
proteção de endpoints e do perímetro
de rede".
Chris Young, Vice-Presidente Sênior do
grupo de segurança e governo da Cisco
“A Internet de Todas as Coisas ganha
forma rapidamente, portanto o profissional
de segurança precisa pensar em como
mudar seu enfoque da simples proteção
de endpoints e do perímetro de rede," diz
Chris Young. “Haverá muitos dispositivos,
conexões e tipos de conteúdo e aplicativos
— e esse número só irá crescer. Neste
panorama, a própria rede se torna parte
do paradigma de segurança que permite
que as empresas estendam a política e o
controle sobre os ambientes de rede."
17. 2013 Cisco A 16 nnual Security Report
Atualização da consumerização de TI da Cisco
A multiplicação de endpoints é um fenômeno que a Cisco conhece bem em sua própria organização de
70.000 funcionários em todo o mundo Desde a formalização da prática de consumerização de TI há dois
anos, a empresa presenciou uma taxa de crescimento de 79% no número de dispositivos móveis em uso
na empresa.
O relatório de segurança anual da Cisco de 20118 analisou primeiro a jornada de consumerização de TI
em desenvolvimento na Cisco, a qual faz parte da ampla e contínua transição da organização para tornar-se
uma “empresa virtual.” No momento, a Cisco alcança o último estágio de sua planejada jornada, que
durará vários anos. A Cisco será cada vez mais uma empresa independente de locais e serviços e ainda
assim seus dados estarão seguros.9
Em 2012, a Cisco adicionou cerca de 11.000 smartphones e tablets em toda a empresa — ou
aproximadamente 1.000 novos dispositivos com acesso à Internet por mês. “No final de 2012, havia quase
60.000 smartphones e tablets em uso na organização — incluindo quase 14.000 iPads — e todos eles
faziam parte da tendência de consumerização (BYO, bring your own),” diz Brett Belding, gerente sênior de
supervisão da Cisco IT Mobility Services. “Os dispositivos móveis na Cisco agora fazem parte da tendência
de consumerização (BYO, bring your own), ponto.”
O tipo de dispositivo que teve o maior aumento em sua utilização na Cisco foi o iPad da Apple. "É
fascinante pensar que há três anos este produto nem mesmo existia," diz Belding. “Agora há mais de
14.000 iPads sendo usados na Cisco todos os dias por nossos funcionários para uma variedade de
atividades — relacionadas tanto ao uso pessoal quanto ao trabalho. E os funcionários estão usando iPads
além de seus smartphones.”
Quanto aos smartphones, o número de iPhones da Apple em uso na Cisco quase triplicou em um período
de dois anos, quase atingindo a marca de 28.600 aparelhos. Os dispositivos RIM BlackBerry, Google
Android e Microsoft Windows também estão incluídos no programa consumerização de TI da Cisco. Os
funcionários optam por trocar o acesso a dados corporativos em seu dispositivo pessoal mediante acordo
sobre controles de segurança. Por exemplo, usuários que desejam verificar e-mails e calendários em seus
dispositivos precisam obter o perfil de segurança da Cisco, o qual aplica recursos como limpeza remota,
criptografia e senha.
“Comportamos mais dispositivos do que antes e ,ao mesmo tempo, temos tido o
menor número de casos de suporte. Nosso objetivo é que algum dia um funcionário
possa simplesmente trazer qualquer dispositivo para usar o Cisco Identity Services
Engine (ISE) e configurar nossas principais ferramentas de colaboração de WebEx,
incluindo Meeting Center, Jabber e WebEx Social.”
Brett Belding, gerente sênior responsável pela supervisão do Cisco IT Mobility Services
18. 17
Figura 2: desenvolvimento de dispositivos móveis da Cisco
PLATAFORMA
iPhone
iPad
BlackBerry
Android
Outros
TOTAL
DEZ
2010
DEZ
2011
DEZ
2012
Desde o princípio o apoio social tem sido um componente fundamental do programa de consumerização
de TI da Cisco. "Nos apoiamos fortemente na [plataforma de colaboração corporativa] WebEx Social como
nossa plataforma de sustentação para a consumerização de TI e ela nos rende grandes dividendos," diz
Belding. “Comportamos mais dispositivos do que antes e ,ao mesmo tempo, temos tido o menor número
de casos de suporte. Nosso objetivo é que um dia um funcionário possa simplesmente trazer qualquer
dispositivo para usar o Cisco Identity Services Engine (ISE) e configurar nossas principais ferramentas de
colaboração da WebEx, incluindo Meeting Center, Jabber e WebEx Social.”
A próxima etapa da consumerização de TI na Cisco, de acordo com Belding, é melhorar ainda mais a
segurança com o aumento da visibilidade e do controle sobre todas as atividade e dispositivos, tanto na
rede física quanto na infraestrutura virtual, além de aprimorar a experiência do usuário. "Preocupar-se com
a experiência do usuário é a tendência principal da consumerização de TI," diz Belding. “Tentamos aplicar
este conceito à nossa organização. Temos que fazer isso. Acho que atualmente estamos testemunhando
uma "TI-zação" dos usuários. Antes eles perguntavam, "Posso usar este dispositivo no trabalho?" Agora
eles dizem, "Entendo que você precisa manter a empresa segura, mas não interfira
na minha experiência de usuário.’”
19. 2013 Cisco A 18 nnual Security Report
Os serviços
estão
presentes em
muitas nuvens
20. 19
O tráfego mundial de dados está em
ascensão. De acordo com o Cisco
Global Cloud Index, espera-se que o
tráfego mundial de data centers seja
quadruplicado nos próximos cinco
anos. Ele aumentará a uma taxa de
crescimento anual composta (CAGR) de
31% entre 2011 e 2016.10
Deste enorme aumento, o componente
com crescimento mais rápido são os dados
em nuvem O tráfego global em nuvem
aumentará seis vezes nos próximos cinco
anos, crescendo a uma taxa de 44% de
2011 a 2016. Na verdade, o tráfego em
nuvem corresponderá a dois terços do
tráfego total de data centers em 2016.11
Esta explosão do tráfego em nuvem
levanta questões sobre a habilidade das
empresas gerenciarem estas informações.
Na nuvem, as linhas de controle não são
claras: uma empresa pode posicionar redes
de segurança em torno de seus dados de
nuvem quando não possui e opera o data
center? Como ferramentas de segurança
básica, como firewalls e softwares antivírus,
podem ser aplicadas quando a borda de
rede não pode ser definida?
Não importa quantas questões de
segurança sejam levantadas, é claro
que cada vez mais empresas adotam os
benefícios das nuvens — e aquelas que o
O tráfego global em nuvem aumentará
seis vezes nos próximos cinco anos,
crescendo a uma taxa de 44% de 2011
a 2016.
21. 2013 Cisco A 20 nnual Security Report
fizeram provavelmente não retornarão a
um modelo privado de data center. Embora
as oportunidades da nuvem apresentadas
para empresas sejam muitas, — incluindo
economias de custos, maior colaboração
da força de trabalho, produtividade
e emissão de carbono reduzida — os
possíveis riscos de segurança que as
empresas enfrentam como resultado da
transferência de dados de negócios e
processos para a nuvem incluem:
Hipervisores
Se comprometido, este software que
cria e executa máquinas virtuais poderia
causar um ataque de hackers em massa
ou comprometer dados relacionados a
vários servidores — apresentando a mesma
facilidade de gerenciamento e acesso
que a virtualização oferece a um hacker
bem-sucedido. Um hipervisor malicioso
(controlado por “hyperjacking”) pode obter
controle total de um servidor.12
Custo reduzido de entrada
A virtualização reduziu o custo de entrada
para oferecer serviços como um servidor
virtual privado (VPS). Comparado a
modelos de data center com base em
hardware, observamos um crescimento
rápido, barato e uma infraestrutura
facilmente disponível para atividades
criminosas. Por exemplo, há vários
serviços de VPS disponíveis para compra
instantânea (com a possibilidade de
compra usando Bitcoin ou outros tipos
de pagamento difíceis de rastrear) que
são destinados ao submundo do crime. A
virtualização tornou a infraestrutura muito
mais barata e fácil de ser disponibilizada
— com pouca ou nenhuma verificação das
atividades.
“Dissociação” de aplicações
virtualizadas
Como as aplicações virtualizadas são
dissociadas dos recursos físicos que usam,
fica mais difícil para as empresas aplicarem
abordagens de segurança tradicionais.
Provedores de TI buscam minimizar os
custos com uma oferta bastante flexível
em que os recursos podem ser movidos
conforme necessário — em contraste com
o grupo de segurança que busca reunir
serviços com esta postura de segurança e
os mantém longe de outros que podem ser
menos seguros.
Um hipervisor malicioso (controlado por
“hyperjacking”) pode obter controle total
de um servidor.12
22. 21
"A virtualização e a computação em
nuvem criam problemas iguais aos da
consumerização de TI (BYOD), mas
totalmente reformulados," diz Joe Epstein,
antigo CEO da Virtuata, uma empresa
adquirida pela Cisco em 2012 que
disponibiliza recursos inovadores para
proteger informações virtuais em nível
de máquina em data centers e ambientes
de nuvem. "Aplicativos e dados de alto
valor atualmente são movidos em torno
do data center. O conceito de cargas de
trabalho virtuais deixam as empresas
desconfortáveis. No ambiente virtual, como
você sabe que pode confiar no que está
executando? A resposta é que você não
tem sido capaz disso até agora — e essa
incerteza tem sido o principal obstáculo
para a adoção da nuvem."
Mas Epstein observou que é cada vez
mais difícil para as empresas ignorarem
a virtualização e a nuvem. “O mundo
compartilhará tudo,” ele diz. “Tudo será
virtualizado e compartilhado. Não fará
sentido continuar executando apenas data
centers privados. As nuvens híbridas estão
onde a TI está.”
“A virtualização e a computação em
nuvem criam problemas assim como
os da consumerização de TI, mas
totalmente reformulados... Aplicativos
e dados de alto valor movem-se
atualmente em torno do data center.”
Joe Epstein, antigo CEO
da Virtuata
A resposta para estes desafios crescentes
de nuvem e virtualização é a segurança
adaptativa e responsiva. Neste caso,
a segurança deve ser um elemento
programável integrado de forma contínua
na estrutura do data center subjacente,
de acordo com Epstein. Além disso, a
segurança precisa ser criada na fase de
design, ao invés de ser imposta na fase de
pós-implementação.
23. 2013 Cisco A 22 nnual Security Report
Mistura de
negócios e
uso pessoal
A Geração Y e o local
de trabalho
24. 23
Os funcionários modernos —
principalmente os jovens da “Geração
Y” — querem liberdade para navegar
na Internet não apenas quando e
como querem, mas também com os
dispositivos de sua escolha. Entretanto,
eles não querem que essas liberdades
sejam infringidas por seus chefes, o que
prenuncia uma situação de tensão para
profissionais de segurança.
De acordo com o estudo do Relatório Cisco
Connected World Technology 2012, dois
terços dos entrevistados acreditam que os
chefes não deveriam rastrear as atividades
on-line dos funcionários em dispositivos
da empresa. Em resumo, eles acham que
os chefes não deveriam monitorar seu
comportamento. Apenas cerca de um
terço (34%) dos funcionários entrevistados
disse que não se importaria se os chefes
rastreassem seu comportamento on-line.
Apenas um em cinco entrevistados disse
que seus chefes rastreiam suas atividades
on-line em dispositivos da empresa,
enquanto 46% disseram que seus chefes
não rastreiam as atividades. Descobertas
do último estudo Connected World também
mostram que a Geração Y tem fortes
opiniões sobre os chefes rastrearem a
atividade on-line dos funcionários — mesmo
aqueles que relataram que trabalham em
empresas onde isso não ocorre.
Apenas um em cinco entrevistados
disse que seus chefes rastreiam suas
atividades on-line em dispositivos da
empresa, enquanto 46% disseram
que seus chefes não rastreiam as
atividades.
25. 2013 Cisco A 24 nnual Security Report
Parece haver uma divergência entre o
que os funcionários acham que podem
fazer com os dispositivos fornecidos pela
empresa e quais políticas o setor de TI
realmente dita sobre o uso pessoal, o que
aumenta ainda mais os desafios para os
profissionais de segurança. Quatro dos
10 entrevistados disseram que devem
usar dispositivos fornecidos pela empresa
para atividades de trabalho, enquanto um
quarto disse que tem permissão para usar
os dispositivos da empresa para atividades
não relacionadas ao trabalho. Entretanto,
90% dos profissionais de TI entrevistados
disseram que têm de fato políticas que
proíbem que dispositivos fornecidos pela
empresa sejam usados para atividades on-line
pessoais — apesar de 38% saber que
os funcionários quebram políticas e usam
dispositivos para atividades pessoais além
das atividades relacionadas ao trabalho.
(É possível encontrar mais informações
sobre a perspectiva da Cisco em relação a
estes desafios de consumerização de TI na
página 16.)
Privacidade e geração Y
De acordo com o Relatório Cisco
Connected World Technology 2012 a
Geração Y aceitou o fato de que, graças
à Internet, a privacidade pessoal pode
ser algo ultrapassado. 90% dos jovens
consumidores entrevistados disseram que
a era da privacidade está ultrapassada
e acreditam que não podem controlar
a privacidade de suas informações. Um
terço dos entrevistados relatou que não
se preocupa com os dados que são
armazenados e capturados sobre eles.
Em geral, a Geração Y também acredita
que sua identidade on-line é diferente
de sua identidade off-line. 40% disseram
que estas identidades geralmente são
diferentes dependendo da atividade
em questão, enquanto 36% acreditam
que estas identidades são totalmente
diferentes. Apenas 8% acreditam que estas
identidades são iguais.
Jovens consumidores também têm grandes
expectativas de que os sites respeitarão
a privacidade de suas informações,
geralmente sentindo-se mais seguros
em compartilhar dados com as principais
mídias sociais ou sites comunitários
devido ao anonimato que o número
expressivo de usuários proporciona. Entre
os entrevistados, 46% disseram esperar
que determinados sites mantenham suas
informações seguras, enquanto 17%
Parece haver uma divergência entre
o que os funcionários acreditam que
podem fazer com os dispositivos
disponibilizados pela empresa e
quais políticas o setor de TI realmente
dita sobre o uso pessoal desses
dispositivos.
26. 25
afirmaram acreditar que a maioria dos
sites mantenha a privacidade de suas
informações. Entretanto, 29% disseram
não acreditar que os sites mantenham
a privacidade de suas informações e se
preocupam com segurança e roubo de
identidade. Compare o conceito acima
com a ideia de compartilhar dados com um
empregador que entende o contexto de
quem eles são e o que fazem.
“A Geração Y está iniciando no mercado
de trabalho e trazendo novas práticas e
atitudes relacionadas à informação e à
segurança. Essa geração acredita no fim
da privacidade — ou seja, que na prática
ela não existe —, e é com base nesse
paradigma que as empresas devem
trabalhar. Esse conceito é alarmante
para as gerações anteriores que estão
no mercado de trabalho atual", diz Adam
Philpott, diretor da EMEAR Security Sales
da Cisco. “As empresas podem, entretanto,
disponibilizar treinamentos sobre a
segurança de informações, alertando seus
funcionários sobre os riscos envolvidos,
e oferecer orientações sobre como
compartilhar melhor as informações e
usufruir das ferramentas on-line que fazem
parte da área de segurança de dados”.
“A Geração Y está iniciando no
mercado de trabalho e trazendo
novas práticas e atitudes
relacionadas à informação e à
segurança. Essa geração acredita
no fim da privacidade — ou seja,
que na prática ela não existe —,
e é com base nesse paradigma
que as empresas devem trabalhar.
Esse conceito é alarmante para as
gerações anteriores que estão no
mercado de trabalho atual".
Adam Philpott, diretor da EMEAR
Security Sales
27. 2013 Cisco A 26 nnual Security Report
Por que as empresas precisam propagar informações
que gerem conhecimento sobre a desinformação das
mídias sociais
por Jean Gordon Kocienda,
analista de ameaças mundiais da Cisco
As mídias sociais têm sido um grande benefício para muitas empresas. A capacidade de estabelecer
conexões diretamente com clientes e outros públicos com o uso do Twitter e do Facebook ajudou
muitas empresas a criar o reconhecimento da marca por meio da interação social on-line.
O lado negativo desta comunicação direta super rápida é que as mídias sociais podem permitir que
informações imprecisas e enganosas sejam espalhadas a uma velocidade incrível. Não é difícil imaginar
um cenário em que um terrorista coordena ataques em terra usando tweets enganosos com a intenção
de obstruir rodovias e linhas telefônicas, ou enviar pessoas para caminhos perigosos. Por exemplo: o
governo da Índia bloqueou centenas de sites e textos controlados13 em uma tentativa de restaurar a
calma na parte nordeste do país depois que fotos e mensagens de texto foram postadas. Os rumores
incitaram pânico em milhares de trabalhadores migrantes, que sobrecarregaram estações de trem e
ônibus.
Campanhas de desinformação de mídia social também têm afetado os preços de mercado. Uma
informação roubada da página da Reuters no Twitter relatou que o Exército Livre da Síria tinha
sucumbido em Alepo. Alguns dias depois, um feed de notícias do Twitter foi comprometido e um
suposto diplomata russo publicou no site que o presidente sírio Bashar Al-Assad estava morto. Antes
dessas contas serem desacreditadas, o preço do petróleo nos mercados internacionais disparou.14
Profissionais de segurança precisam estar em alerta para estas publicações de mídia social de rápida
propagação e possivelmente prejudiciais, especialmente se essas publicações forem direcionadas à
própria empresa — é necessário uma ação rápida para defender as redes contra malwares, advertir os
funcionários sobre tentativas de phishing (roubo de identidade), reencaminhar uma entrega ou oferecer
consultoria sobre segurança aos funcionários. Os executivos de segurança desejam evitar a todo custo
alertar gerentes sobre notícias de última hora que podem vir a ser uma farsa.
A primeira defesa que temos contra notícias fabricadas é confirmá-las através de várias fontes.
Antigamente, os jornalistas faziam isso por nós. Quando líamos ou ouvíamos uma notícia, ela já havia
sido confirmada. Atualmente, assim como nós, muitos jornalistas obtêm suas histórias de fontes como
o Twitter, e se vários de nós acreditarmos na mesma história, podemos facilmente confundir re-tweets
com a confirmação do fato.
Para as notícias de última hora que exigem ação rápida, a melhor aposta pode ser usar o antigo “teste
da primeira impressão.” Se a história parecer artificial, pense duas vezes antes de repeti-la ou citá-la.15
28. 27
Para as notícias de última hora que exigem ação rápida, a melhor aposta pode ser
usar o antigo “teste da primeira impressão.” Se a história parecer artificial, pense duas
vezes antes de repeti-la ou citá-la.
29. 2013 Cisco A 28 nnual Security Report
Big data
Um bom negócio
para as empresas de
hoje
30. 29
No mundo dos negócios, "big data" é
o assunto do momento — além disso, a
possibilidade de obter material analítico
valioso por meio dos vastos volumes de
informações que as empresas coletam,
geram e armazenam tem tido bastante
visibilidade.
O relatório Cisco Connected World
Technology 2012 analisou o impacto da
tendência do big data em empresas — e
mais especificamente, em suas equipes
de TI. De acordo com as descobertas do
estudo, aproximadamente três quartos
(74%) das empresas em todo o mundo
coletam e armazenam dados, e os
administradores usam a análise de big data
para a tomada de decisões de negócios.
Além disso, sete entre dez entrevistados
do setor de TI relataram que o big data
será uma prioridade estratégica para suas
empresas e equipes no próximo ano.
O desenvolvimento ou surgimento da
mobilidade, da nuvem, da virtualização,
da multiplicação de endpoints e de outras
tendências de rede, abrirá caminho para
um uso ainda maior de big data e de
oportunidades analíticas com foco para
negócios. Mas há preocupações em torno
da segurança do big data. As descobertas
do estudo do Connected World mostram
que um terço dos entrevistados (32%)
acredita que o big data compromete os
requisitos de segurança e proteção de
dados e redes porque há muitos dados e
muitas formas de acessá-los. Em resumo,
o big data aumenta os vetores e ângulos
que equipes de segurança empresarial — e
soluções de segurança — devem proteger.
Aproximadamente 74% das organizações
em todo o mundo coletam e armazenam
dados, e os administradores usam a
análise de big data para a tomada de
decisões de negócios.
31. 2013 Cisco A 30 nnual Security Report
A Coreia (45%), a Alemanha (42%), os
Estados Unidos (40%) e o México (40%)
têm as mais altas porcentagens de
entrevistados do setor de TI que acreditam
que o big data compromete a segurança.
Para garantir a segurança, a maioria dos
entrevistados do setor de TI — mais de dois
terços (68%) — acredita que toda a equipe
desse setor deve participar da preparação
de estratégias e da administração dos
esforços que envolvem o big data em
suas empresas. Gavin Reid, diretor de
pesquisa de ameaças da Cisco Security
Intelligence Operations, diz “O big data
não compromete a segurança — ele a
torna possível. Na Cisco coletamos e
armazenamos 2,6 trilhões de registros
todos os dias — isso forma a plataforma
de onde podemos iniciar a detecção e o
controle de incidentes.”
Há obstáculos que impedem a adoção
de soluções projetadas para ajudar
as empresas a gerenciar melhor e
a extrair todo o potencial do grande
volume de dados (big data) que geram.
Os entrevistados apontaram a falta de
orçamento, de tempo para estudar o big
data, de soluções apropriadas, de equipes
de TI e de profissionais especializados
nesse setor. Um entre quatro entrevistados
em todo o mundo (23%) disse que a falta
de mão de obra especializada e de pessoal
foi um fator inibidor para que sua empresa
usasse o big data de forma eficiente.
Isso indica a necessidade de que mais
profissionais iniciantes no mercado de
trabalho sejam treinados nesta área.
Da mesma forma, a nuvem é o fator de
sucesso do big data de acordo com 50%
dos entrevistados do setor de TI para o
estudo Connected World. Eles acreditam
que suas empresas precisam trabalhar
em planos e implantações de nuvem para
tornar o big data um negócio rentável
em todo o mundo. Essa percepção teve
destaque na China (78%) e na Índia
(76%), onde mais de três entre quatro
entrevistados acreditavam que havia uma
dependência da nuvem antes do big data
realmente se tornar um sucesso. Como
resultado, em alguns casos o estudo indica
Coreia, Alemanha, Estados Unidos
e México possuem as mais altas
porcentagens de entrevistados do setor
de TI que acreditam que o big data
complica a segurança.
Há obstáculos que impedem a adoção
de soluções que são especificamente
projetadas para ajudar as empresas
a gerenciar melhor e a extrair todo o
potencial do grande volume de dados
(big data) que geram. Os entrevistados
apontaram a falta de orçamento, de
tempo para estudar o big data, de
soluções apropriadas, de equipes de TI
e de profissionais especializados nesse
setor.
32. 31
que a adoção da nuvem afetará a taxa de
adoção — e os benefícios — dos esforços
relacionados ao big data.
Mais da metade dos entrevistados gerais
do setor de TI também confirmou que as
discussões sobre o big data em suas
empresas ainda não são produtivas. Isso
não é surpreendente se considerarmos que
apenas agora o mercado tenta entender
como aproveitar, analisar e usar de forma
estratégica o big data. Em alguns países,
entretanto, discussões sobre big data
resultam em decisões significativas sobre
estratégia, direção e soluções. China
(82%), México (67%), Índia (63%) e
Argentina (57%) lideram neste ponto. Mais
da metade dos entrevistados destes países
afirmam que as discussões sobre big data
em suas empresas estão bem
encaminhadas — e geram ações e
resultados sólidos.
Três entre cinco entrevistados do setor
de TI do relatório Mundo conectado 2012
acreditam que o big data pode ajudar os
países e suas economias a se tornarem
mais competitivos no mercado mundial.
Em alguns países, entretanto, discussões
sobre big data resultam em decisões
significativas sobre estratégia, direção
e soluções. China, México, Índia e
Argentina lideram neste ponto. Mais
da metade dos entrevistados desses
países afirmam que discussões sobre
big data em suas empresas estão bem
encaminhadas — e geram ações e
resultados sólidos.
33. 2013 Cisco A 32 nnual Security Report
Estado da
exploração
O perigo se
esconde em lugares
surpreendentes
34. 33
Muitos profissionais de segurança — e
certamente uma grande comunidade
de usuários on-line — têm ideias pré-concebidas
sobre quais os possíveis locais
em que as pessoas podem se deparar com
um perigoso malware da Web.
De modo geral, acredita-se que os sites
que promovem atividades criminosas
— como sites de venda de produtos
farmacêuticos ilegais ou de produtos de
luxo falsificados — têm mais chance de
hospedar um malware. Nossos dados
revelam a verdade sobre este conceito
ultrapassado. No cenário atual das
ameaças cibernéticas as ocorrências de
malware na Web geralmente não são
produto de sites de conteúdo duvidoso.
"As ocorrências de malware da Web
aparecem em todos os locais visitados
pelos usuários da Internet — incluindo os
mais conceituados sites, os quais são
visitados com frequência, mesmo que
seja com o intuito de conduzir negócios,"
diz Mary Landesman, pesquisadora de
segurança sênior da Cisco. "Na verdade,
sites de empresas e indústrias são uma das
três principais categorias visitadas quando
uma ocorrência de malware é encontrada.
Obviamente os sites de negócios não
são projetados para serem nocivos. Os
perigos, entretanto, frequentemente estão
em anúncios exploratórios bem visíveis
que são distribuídos para sites legítimos
ou em hackers que visam comunidades de
usuários nos sites comuns mais usados.
Além disso, sites infectados por malware
são predominantes em muitos países
e regiões — não apenas em um ou dois
países, o que distorce a noção de que sites
de alguns países podem hospedar mais
conteúdo malicioso que outros. “A Web é o
mecanismo de disponibilização de malware
mais impressionante que já vimos até hoje.
Ela supera até mesmo o worm ou os vírus
mais produtivos em sua capacidade de
atingir — e infectar — um público em massa
silenciosamente e com eficiência," diz
Landesman. “As empresas precisam de
proteção, mesmo se bloquearem os sites
Os perigos estão frequentemente
escondidos em anúncios on-line de
cunho exploratório de alta visibilidade.
35. 2013 Cisco A 34 nnual Security Report
Figura 3: riscos de acordo com o tamanho da empresa
Até 2,5 vezes mais riscos de encontrar malware da Web em grandes organizações.
Risk by Company Size
Número de funcionários
250 ou menos
251–500
501–1000
1001–2500
2501–5000
5001–10.000
10.001–25.000
Mais de 25.000
Todas as empresas — independente do tamanho — enfrentam um risco significativo
de descobertas de malware da Web. Toda empresa deve concentrar-se nos
fundamentos da proteção de sua rede e propriedade intelectual.
36. 35
de conteúdo duvidoso mais comuns, com
um foco ainda mais preciso na inspeção e
na análise.”
Descobertas de malware
por tamanho da empresa
As empresas maiores (com mais de 25.000
funcionários) têm um risco 2,5 vezes maior
de encontrar malware do que empresas
pequenas. Este risco elevado pode ser
causado por uma maior propriedade
intelectual de alto valor. Por isso as grandes
empresas são um alvo mais frequente.
Enquanto empresas pequenas possuem
menos ocorrências de malware da Web por
usuário, é importante observar que todas as
empresas — independentemente do tamanho
— enfrentam um risco significativo de
ocorrências de malware. Toda empresa deve
concentrar-se nos fundamentos da proteção
de sua rede e propriedade intelectual.
Descobertas de malware
por país
A pesquisa da Cisco mostra uma mudança
significativa no panorama mundial para as
ocorrências de malware da Web por país
em 2012. A China, que foi a segunda da
lista de ocorrências de malware da Web em
2011, caiu drasticamente seis posições em
2012. A Dinamarca e a Suécia agora estão
no terceiro e quarto lugar, respectivamente.
Os Estados Unidos permaneceram no
topo do ranking em 2012, assim como em
2011, com 33% de todas as ocorrências
de malware por meio de sites hospedados
nesse país.
Mudanças na localização geográfica
entre 2011 e 2012 provavelmente
refletem mudanças tanto na detecção
quanto nos hábitos do usuário. Por
exemplo, "malvertising", ou o malware
disponibilizado através de anúncios on-line,
tiveram uma função mais significativa
nas descobertas de malware da Web
em 2012 do que em 2011. Vale lembrar
que descobertas de malware da Web
ocorrem com mais frequência através
da navegação normal em sites legítimos
que podem ter sido comprometidos ou
estão apresentando anúncios maliciosos
involuntários. Um anúncio malicioso pode
afetar qualquer site, independente de sua
origem.
Em geral, os dados geográficos de 2012
demonstram que a Web pode causar
infestações de forma uniforme — ao
contrário das percepções de que apenas
um ou dois países sejam responsáveis
por hospedar malware da Web ou de
que qualquer país esteja mais seguro
que outro. Assim como a disponibilização
de conteúdo dinâmico da Web 2.0
permite a monetização de sites em todo
o mundo, também é possível facilitar
a disponibilização de malware da Web
mundialmente.
Claro, há uma diferença distinta entre
onde uma descoberta de malware da Web
ocorre e onde o malware realmente está
hospedado. Em malvertising, por exemplo,
a descoberta normalmente ocorre
quando visitamos um site legítimo e com
boa reputação que por acaso apresenta
um anúncio de terceiros. Entretanto, o
37. 2013 Cisco A 36 nnual Security Report
Figura 4: ocorrências de malware da Web por país
Um terço de todas as ocorrências de malware da Web foram encontradas em domínios
hospedados nos Estados Unidos.
GANHOS DE 2011 DECLÍNIO DE 2011
Estados Unidos
4,07%
Reino
Unido
1,95%
Irlanda
2,27%
Alemanha
33,14%
Holanda
6,11%
1
38. 37
9,79%
Rússia
9,55%
Dinamarca
2,63%
Turquia
9,27%
Suécia
2
5,65%
China
4
3
6
5
8
7
10
9
Em geral, os dados geográficos de 2012 demonstram que a Web pode causar
infestações de forma uniforme — ao contrário das percepções de que apenas um ou
dois países sejam responsáveis por hospedar malware da Web ou de que qualquer
país esteja mais seguro que outro.
39. 2013 Cisco A 38 nnual Security Report
Figura 5: principais tipos de malware da Web
Descobertas de malware do software Android cresceram 2.577% em 2012, apesar de que
os malwares de aparelhos móveis compreendem uma pequena porcentagem do total de
ocorrências de malware da Web.
Exploração de 9,8%
Roubo de
Informações 3,4%
Baixador 1,1%
Worm 0,89%
Vírus 0,48%
Dispositivo móvel 0,42%
Scareware 0,16%
Ransomware 0,058%
Mal script/iframe 83,4%
Kit de malware/hacker 0,057%
Android Growth
Crescimento do Android: 2577%
JAN FEV MAR ABR MAI JUN JUL AGO SET OCT NOV DEZ
40. 39
malware destinado para distribuição está
hospedado em um domínio completamente
diferente. Como os dados da Cisco são
baseados no local da ocorrência, eles
não tem relação alguma com a origem
do malware. Por exemplo, a popularidade
elevada das mídias sociais e dos sites de
entretenimento na Dinamarca e na Suécia,
juntamente com os riscos de malvertising,
é altamente responsável pelo aumento das
ocorrências de sites hospedados nessas
regiões, mas este não é um indicativo da
origem real do malware.
Principais tipos de malware
da Web em 2012
Os malwares do software Android
cresceram substancialmente mais rápido
que qualquer outra forma de malware
disponibilizado através da Web. Uma
tendência importante, pois foi relatado
que o Android possui a maior participação
de mercado de dispositivos móveis do
mundo. É importante observar que as
descobertas de malware para dispositivos
móveis compreenderam apenas 0,5%
de todas as descobertas de malware
em 2012, com o Android obtendo mais
de 95% de todas essas descobertas de
malware da Web. Além disso, em 2012
ocorreu o surgimento do primeiro botnet de
Android documentado em livre circulação,
o que indica que os desenvolvimentos de
malware para dispositivos móveis em 2013
precisam de muita atenção.
Enquanto alguns especialistas afirmam que
o Android é uma "grande ameaça" ou que
deve ser o enfoque principal das equipes
de segurança corporativa em 2013 — os
dados reais mostram o contrário. Conforme
observado acima, o malware da Web para
dispositivos móveis, em geral, compõe
menos de 1% do total de ocorrências —
número distante do cenário "apocalíptico"
que muitos detalham. O impacto da
consumerização de TI e da proliferação
de dispositivos não pode ser ignorado.
No entanto, a maior preocupação das
empresas devem ser ameaças, tais como a
perda de dados acidental, devendo garantir
que os funcionários não "vasculhem" ou
façam "jailbreak" em seus dispositivos,
instalando apenas aplicações de canais
de distribuição oficiais e confiáveis. Caso
os usuários optem por não usar mais as
lojas de aplicativos móveis oficiais, eles
devem ter certeza de que, antes de fazer
o download, conhecem e confiam no autor
do aplicativo e podem provar que o código
não foi violado.
Quando analisamos de modo mais amplo o
panorama de malwares da Web, não nos
surpreendemos com o fato de que scripts e
iFrames maliciosos corresponderam a 83%
das ocorrências achadas em 2012. Embora
seja relativamente compatível com o ano
anterior, é uma descoberta sobre a qual
vale a pena discutir. Estes tipos de ataques
frequentemente representam códigos
maliciosos em webpages "confiáveis" que
podem ser visitadas por usuários todos os
dias — o que significa que um invasor é
capaz de comprometer os usuários sem
mesmo levantar suspeitas.
41. 2013 Cisco A 40 nnual Security Report
As explorações ficam em segundo lugar,
com 10% do número total de ocorrências
de malware no ano passado. Entretanto,
estes dados são em grande parte um
resultado de onde o bloqueio ocorreu em
comparação com a concentração real de
explorações na Web. Por exemplo, 83%
de scripts maliciosos e iFrame ocultos são
bloqueios que ocorrem em um estágio
anterior, antes do acontecimento de
qualquer exploração. Por isso, podem
artificialmente diminuir o número de
explorações observadas.
As explorações ainda são uma
grande causa das infecções via Web
e sua presença continuada enfatiza a
necessidade de os fornecedores adotarem
as melhores práticas de segurança nos
ciclos de vida de seus produtos. As
organizações devem se concentrar na
segurança como parte do design e do
processo de desenvolvimento do produto,
com divulgações de vulnerabilidade
oportunas e ciclos de correção imediatos/
regulares. As empresas e os usuários
também precisam ser orientados a respeito
dos riscos de segurança associados ao uso
de produtos que não são mais respaldados
pelos fornecedores. Isso também é
essencial para que as empresas possam
manter um processo de gerenciamento das
principais vulnerabilidades e para que os
usuários possam manter seu hardware e
software atualizados.
Entre os cinco principais estão os ladrões
de informações, com 3,5% do total de
descobertas de malware da Web em 2012,
baixadores (1,1%) e worms (0,8%). Mais
uma vez, estes números são um reflexo
de onde o bloqueio ocorre, geralmente no
ponto em que o script ou iFrame malicioso
é encontrado pela primeira vez. Como
resultado, estes números não refletem o
número real de ladrões de informações,
baixadores ou worms que são distribuídos
através da Web.
Principais tipos de conteúdo
de malware
Criadores de malware buscam
constantemente maximizar seu retorno
sobre o investimento (ROI) encontrando
maneiras de atingir o maior número de
possíveis vítimas com o menor esforço
e, quando possível, se aproveitam de
tecnologias de plataforma cruzada. Para
estes fins, kits de ferramentas geralmente
distribuem explorações em uma ordem
específica. Assim que uma exploração
de sucesso for distribuída, não será
possível fazer tentativas de nenhuma
outra exploração. A alta concentração
de pacotes de exploração do software
Java—87% do total de explorações da
Web— mostra que são feitas tentativas
de inserção dessas vulnerabilidades
anteriormente a outros tipos de pacotes
de exploração. Isso demonstra também
que os invasores estão obtendo sucesso
usando os pacotes de exploração do
software Java. Além disso, com mais de 3
bilhões de dispositivos executando Java,16
a tecnologia representa um caminho aberto
para que hackers escalem seus ataques
através de várias plataformas
42. 41
Figura 6: principais tipos de conteúdo de malware para 2012
Explorações de Java corresponderam a 87% do total de explorações da Web.
J F M A M J J A S O N D
Tipos de conteúdo explorado
J F M A M J J A S O N D
Aplicação
Texto
Imagem
Vídeo
Áudio
Mensagem
Java
PDF
Flash
Active-X
100%
80%
60%
40%
20%
0%
100%
80%
60%
40%
20%
0%
Aplicação
65.05%
Texto
33.81%
Imagem
1.09%
Vídeo
0.05%
Áudio
0.01%
Mensagem
0.00%
Tipos dos principais conteúdos mensais
Total dos principais tipos de conteúdo
A alta concentração de pacotes de exploração do software Java mostra que são
feitas tentativas de inserção dessas vulnerabilidades anteriormente a outros tipos
de pacotes de exploração. Isso demonstra também que os invasores estão obtendo
sucesso usando os pacotes de exploração do software Java.
43. 2013 Cisco A 42 nnual Security Report
Figura 7: categoria dos principais sites
Sites de compras on-line são 21 vezes mais propensos a disponibilizar conteúdo malicioso
que sites de software falsificado.
Observação: A categoria “conteúdo dinâmico” está no topo da lista da Cisco dos principais
locais Top para Site probabilidade Category for de Web infecções Malware de malware. Encounter
Esta categoria inclui sistemas de
disponibilização de conteúdo, como estatísticas da Web, análise de sites e outros conteúdos de
terceiros não relacionados a publicidade.
Jogos 6,51%
Hospedagem
de sites
4,98%
Mecanismos de
busca e portais
4,53%
Computadores
e Internet 3,57%
Compras 3,57%
Viagem 3,00%
Comunidades on-line 2,66%
Entretenimento 2,57%
Armazenamento e
backup on-line 2,27%
Notícias 2,18%
Esportes e divertimentos
2,10%
Serviços de transferência
de arquivos 1,50%
SaaS e B2B
Educação
1,17%
E-mail 1,40%
baseado
na Web
1,37%
Transporte
1,11%
Saúde e
nutrição
0,97%
Conteúdo dinâmico
Propagandas e CDN 18,30%
Negócios e 16,81%
indústria 8,15%
44. 43
Duas outras plataformas cruzadas —
PDF e Flash — levaram o segundo e o
terceiro lugares na análise da Cisco
dos principais tipos de conteúdo para
distribuição de malware. Apesar de o
Active X ainda estar sendo explorado, os
pesquisadores da Cisco têm observado um
uso constantemente baixo da tecnologia
como um veículo para malware. Entretanto,
conforme observado anteriormente em
relação ao Java, números menores de
certos tipos de explorações são em grande
parte uma reflexão da ordem em que foram
feitas as tentativas de exploração.
Ao analisar conteúdo de mídia, os dados da
Cisco revelam quase o dobro de malware
com base em imagem em comparação
do que em vídeos que não são em Flash.
Entretanto, isso deve-se em parte, à forma
como os navegadores lidam com tipos de
conteúdo declarado e aos esforços dos
invasores para manipular estes controles
declarando tipos de conteúdo errados.
Além disso, sistemas de comando e
controle de malware frequentemente
distribuem informações do servidor através
de comentários escondidos em arquivos de
imagem comuns.
Principal categoria de site
Conforme mostram os dados da Cisco,
a ideia de que infecções de malware
resultam mais comumente de sites
"arriscados", como os de software
falsificado, é um engano. A análise da
Cisco indica que a grande maioria das
ocorrências de malware da Web ocorrem
por meio da navegação comum em sites
populares. Em outras palavras, a maioria
das ocorrências acontece nos locais
mais visitados pelos usuários— onde eles
acreditam serem sites seguros.
Em segundo lugar na lista estão os
anúncios on-line, que correspondem a 16%
do total de descobertas de malware da
Web. A publicação de anúncios é um meio
comum de monetizar sites, portanto um
único anúncio malicioso distribuído dessa
maneira pode causar um impacto negativo
e de alto impacto.
A grande maioria das descobertas de
malware da Web ocorrem por meio da
navegação comum em sites populares.
Em outras palavras, a maioria das
descobertas acontece nos lugares mais
visitados pelos usuários— e que pensam
ser seguros.
45. 2013 Cisco A 44 nnual Security Report
Analisando os outros colocados na lista
de categorias de sites em que foram
encontradas ocorrências de malware, os
sites de empresas e indústrias—os quais
incluem tudo, desde sites corporativos a
recursos humanos e serviços de frete—
ficaram em terceiro lugar. Jogos on-line
estão em quarto lugar, seguidos por sites
de hospedagem da Web e os mecanismos
de busca ficaram em quinto e sexto
lugares, respectivamente. As 20 principais
categorias de site não contam com os
sites normalmente considerados como
maliciosos. Há uma mistura saudável de
tipos de site populares e legítimos, como
compras on-line (nº 8), notícias (nº13) e
aplicativos de SaaS/business-to-business
(nº 16).
Os criminosos cibernéticos prestaram
muita atenção aos hábitos modernos de
navegação para expor o maior número de
pessoas possível aos malwares da Web.
Onde os usuários on-line estiverem, os
criadores de malware os seguirão e se
aproveitarão de sites confiáveis através do
comprometimento direto ou de redes de
distribuição de terceiros.
Aplicativos populares por
acessos
As mudanças em como as pessoas usam
seu tempo on-line aumentam o terreno
para que criminosos cibernéticos lancem
explorações. Empresas de todos os
portes estão adotando as mídias sociais
e o compartilhamento de vídeos on-line.
A maioria das marcas tem presença no
Facebook e no Twitter e muitos estão
integrando as mídias sociais em seus
próprios produtos. A medida que estes
destinos da Web vão atraindo o público de
modo massivo e vão sendo incorporados
dentro das configurações empresariais,
mais oportunidades de distribuição de
malware vão sendo criadas.
De acordo com o Cisco Application Visibility
and Control (AVC), a grande maioria (91%)
das solicitações da Web foi dividida entre
mecanismos de busca (36%), sites de
vídeo on-line (22%), redes de anúncios
(13%) e redes sociais (20%).
Os criminosos cibernéticos prestaram
muita atenção aos hábitos modernos
de navegação para expor o maior
número de pessoas possível aos
malwares da Web.
Empresas de todos os portes estão
adotando as mídias sociais e o
compartilhamento de vídeos on-line. A
maioria das marcas tem presença no
Facebook e no Twitter e muitos estão
integrando as mídias sociais em seus
próprios produtos.
46. 45
Figura 8: aplicativos populares por acessos
As mídias sociais e o compartilhamento de vídeos on-line mudaram o modo como os
funcionários dispõem de seu horário de trabalho — expondo novas vulnerabilidades.
9% Mecanismo
36%
de pesquisa
Se os dados nos principais sites visitados na Internet estão correlacionados à
categoria mais perigosa de sites, os mesmos locais em que os usuários on-line têm a
maior exposição a malwares, como mecanismos de busca, estão entre as principais
áreas que guiam às ocorrências de malware da Web.
Se os dados nos principais sites visitados
na Internet estão correlacionados à
categoria mais perigosa de sites, os
mesmos locais em que os usuários on-line
têm a maior exposição a malwares, como
mecanismos de busca, estão entre as
principais áreas que guiam às ocorrências
de malware da Web. Esta correlação
mostra mais uma vez que os criadores de
malware estão concentrados em maximizar
seu ROI — e, portanto, centralizarão seus
esforços nos lugares onde o número de
usuários e a facilidade de exposição são
maiores.
Anúncios
Rede Social
Outros
20%
13%
22%
Vídeo on-line
Top Web Applications by Hits
47. 2013 Cisco A 46 nnual Security Report
When Gothic Horror Gives Birth to Malware
de Kevin W. Hamlen
Professor Associado, Departamento de Ciências da Computação da Universidade do Texas,
Dallas
A camuflagem do malware é uma ameaça emergente que profissionais de segurança enfrentarão cada vez
mais. Enquanto a maioria dos malwares usam mutação ou ofuscação para diversificar e tornar a aplicação
de engenharia reversa mais difícil, o malware com auto-camuflagem é ainda mais furtivo, misturando-se
com o software específico já presente em cada sistema infectado por esse tipo de malware. Isso
pode enganar as defesas que procuram por anomalias de software com descompactação de tempo de
execução ou código criptografado, que frequentemente expõem malwares mais convencionais.
A última tecnologia de malware de auto-camuflagem — apropriadamente apelidada de Frankenstein17
— é um produto de nossa pesquisa deste ano no Cyber Security Research and Education Center na
Universidade do Texas, em Dallas. Assim como a história fictícia do cientista louco no romance de terror
de Mary Shelley, o “malware Frankenstein” cria mutantes que roubam partes de corpos (ou seja, códigos)
de outros softwares e as une para criar variantes exclusivas de si mesmo. Cada Frankenstein mutante
é, portanto, composto totalmente de um software não anômalo e de aparência benigna, não executa
descompactação de tempo de execução ou criptografia suspeita e tem acesso a um conjunto sempre em
expansão de transformações de códigos dos vários programas que ele encontra.
Sorrateiramente, o Frankenstein dá vida às suas criações usando uma variedade de técnicas extraídas
de teorias de compiladores e análises de programas. Primeiro, os binários da vítima são examinados
em busca de pequenas sequências de bites que decodificam sequências de instruções possivelmente
úteis, chamadas de gadgets. Em seguida, um pequeno interpretador abstrato infere os possíveis efeitos
semânticos de cada gadget descoberto. É aplicada uma pesquisa retroativa para descobrir sequências de
gadgets que, quando executadas em ordem, têm o efeito de implementar o comportamento malicioso da
carga útil do malware.
Assim como a história fictícia do cientista louco no romance de terror de Mary Shelley,
o “malware Frankenstein” cria mutantes que roubam partes de corpos
(ou seja, códigos) de outros softwares e as une para criar variantes exclusivas de si
mesmo.
48. 47
Em geral, nossa pesquisa sugere que malwares de última geração podem cada vez
mais evitar mutações simples com base em criptografia e compactação em favor de
ofuscações binárias metamórficas avançadas, como as usadas pelo Frankenstein.
Cada sequência descoberta é finalmente montada para formar um novo mutante. Na prática, o
Frankenstein descobre mais de 2.000 gadgets por segundo, acumulando mais de 100.000 dos binários de
apenas duas ou três vítimas em menos de cinco segundos. Com um conjunto tão grande de gadgets à sua
disposição, os mutantes resultantes raramente compartilham alguma sequência de instruções comuns;
cada uma delas, portanto, parece exclusiva.
Em geral, nossa pesquisa sugere que malwares de última geração podem cada vez mais evitar mutações
simples com base em criptografia e compactação em favor de ofuscações binárias metamórficas
avançadas, como as usadas pelo Frankenstein. Essas ofuscações são fáceis de implementar, apoiam
a propagação rápida e são eficientes para ocultar o malware das fases de análise estática da maioria
dos mecanismos de detecção de malware. Para enfrentar esta tendência, os defensores precisarão
desenvolver algumas das mesmas tecnologias usadas para desenvolver o Frankenstein, que incluem
análise estática com base em semântica ao invés de sintática, extração de recursos e assinaturas
semânticas derivadas do aprendizado de máquina,18 em vez da análise puramente manual.
Este artigo relata uma pesquisa apoiada em parte pelo prêmio nº 1054629 da National
Science Foundation (NSF) e pelos EUA. Prêmio FA9550-10-1-0088. da Air Force Office of
Scientific Research (AFOSR) Qualquer opinião, descoberta, conclusão ou recomendação
externada são do autor e não necessariamente reflete a da NSF ou da AFOSR.
17 Vishwath Mohan e Kevin W. Hamlen. “Frankenstein: Stitching Malware from Benign Binaries.” In. Proceedings
of the USENIX Workshop on Offensive Technologies (WOOT), pp. 77-84, agosto de 2012.
18 Mohammad M. Masud, Tahseen M. Al-Khateeb, Kevin W. Hamlen, Jing Gao, Latifur Khan, Jiawei Han e Bhavani
Thuraisingham. “Cloud-based” Malware Detection for Evolving Data Streams. 311 ACM Transactions on
Management Information Systems (TMIS), 2(3), outubro de 2011.
49. 2013 Cisco A 48 nnual Security Report
Análise de Total vulnerabilidade Reamp Novo Total e Reamp ameaças Novo de Total 2012
Reamp Novo
O gráfico de categorias de vulnerabilidades e 403 ameaças 237 mostra 166 um 403
aumento significativo no total de
ameaças — em 2012, o número de ameaças aumentou 19,8% com relação ao ano de 2011. Esse aumento
400 176 224 803
acentuado das ameaças aplica uma forte pressão na capacidade de as empresas manterem os sistemas
de gerenciamento de vulnerabilidades atualizados 501 e 276 corrigidos 225 — 1304
especialmente com a mudança para
ambientes virtuais.
475 229 246 1779
404 185 219 2183
As empresas também estão tentando adotar um uso maior de softwares open-source e de terceiros a
serem incluídos em seus produtos e ambientes. 472 "Uma 221 única 251 vulnerabilidade 2655
nas soluções open-source
ou de terceiros pode impactar uma grande variedade 453 213 de sistemas 240 3108
em todo o ambiente, o que torna difícil
a identificação e a correção ou a atualização de 474 todos 226 esses 248 sistemas,” 3582
diz Jeff Shipley, gerente da Cisco
Security Research and Operations.
441 234 207 4023
Quanto aos tipos de ameaças, o maior grupo 558 é o de 314 ameaças 244 ao 4581
gerenciamento de recursos; isso
geralmente inclui vulnerabilidades de negação 357 de serviço, 195 162 ameaças 4938
à validação de entradas como erros
de injeção SQL e criação de script de site cruzado 363 e 178 fluxos 185 de buffer 5301
que resultam na negação de serviço.
A preponderância de ameaças semelhantes de anos anteriores, combinada com a elevação acentuada
nas ameaças, indica que o segmento de segurança precisa se preparar melhor para a detecção e a
manipulação dessas vulnerabilidades.
As Cisco IntelliShield Alert Urgency Ratings refletem o nível da atividade de ameaças relacionadas a
vulnerabilidades específicas. O aumento substancial nas taxas de urgência de nível 3 indica que mais
vulnerabilidades 8000
realmente estão sendo exploradas. Isso aconteceu provavelmente por causa do aumento
na publicidade 7000
que liberou explorações por pesquisadores ou ferramentas de teste e a incorporação
dessas explorações 6000
nos kits de ferramentas de ataque. Esses dois fatores permitem que mais explorações
5000
fiquem disponíveis 4000
e sejam usadas livremente por hackers e grupos criminosos.
3000
As Cisco IntelliShield Alert Severity Ratings refletem o grau do impacto das explorações de
2000
vulnerabilidades 1000
bem-sucedidas. As taxas de gravidade também mostram um aumento notável nas
ameaças de nível 3 — pelas mesmas razões indicadas acima em relação à pronta disponibilidade de
ferramentas de exploração
Figura 9: taxas de urgência e gravidade
Números de alertas
mensais de 2012
Números de alertas
mensais de 2011
Números de alertas
mensais de 2010
Janeiro
Fevereiro
Março
Abril
Maio
Junho
Julho
Agosto
Setembro
Outubro
Novembro
Dezembro
417 259 158 417
430 253 177 847
518 324 194 1364
375 167 208 1740
322 174 148 2062
534 294 240 2596
422 210 212 3018
541 286 255 3559
357 167 190 3916
418 191 227 4334
476 252 224 4810
400 203 197 5210
552 344 208 552
551 317 234 1103
487 238 249 1590
524 306 218 2114
586 343 243 2700
647 389 258 3347
514 277 237 3861
591 306 285 4452
572 330 242 5024
517 280 237 5541
375 175 200 5916
376 183 193 6292
5210 2780 2430 5301 2684 2617 6292 3488 2804
0
2010 2011 2012
J F M A M J J A S O N D
2010 2011 2012
Classicação Classicação
Gravidade >=3
Gravidade >=4
Gravidade >=5
Urgência >=3
Urgência >=4
Urgência >=5
0 10 20 30 40 50 60 0 500 1000 1500 2000
50. 49
Figura 10: categorias de vulnerabilidades e ameaças
Números de alertas
mensais de 2012
Números de alertas
mensais de 2011
Números de alertas
mensais de 2010
Janeiro
Fevereiro
Março
Abril
Maio
Junho
Julho
Agosto
Setembro
Outubro
Novembro
Dezembro
Total Reamp Novo Total Reamp Novo Total Reamp Novo
417 259 158 417
430 253 177 847
518 324 194 1364
375 167 208 1740
322 174 148 2062
534 294 240 2596
422 210 212 3018
541 286 255 3559
357 167 190 3916
418 191 227 4334
476 252 224 4810
400 203 197 5210
403 237 166 403
400 176 224 803
501 276 225 1304
475 229 246 1779
404 185 219 2183
472 221 251 2655
453 213 240 3108
474 226 248 3582
441 234 207 4023
558 314 244 4581
357 195 162 4938
363 178 185 5301
552 344 208 552
551 317 234 1103
487 238 249 1590
524 306 218 2114
586 343 243 2700
647 389 258 3347
514 277 237 3861
591 306 285 4452
572 330 242 5024
517 280 237 5541
375 175 200 5916
376 183 193 6292
5210 2780 2430 5301 2684 2617 6292 3488 2804
8000
7000
6000
5000
4000
3000
2000
1000
0
2010 2011 2012
J F M A M J J A S O N D
"Uma única vulnerabilidade nas soluções open-source ou de terceiros pode impactar
uma grande variedade de sistemas em todo o ambiente, o que torna 2010 difícil 2011 a
2012
identificação Classie cação a correção ou a atualização de todos Classiesses cação
sistemas”.
Gravidade >=3
Jeff Shipley, gerente da Cisco Security Research and Operations.
Gravidade >=4
Gravidade >=5
Urgência >=3
Urgência >=4
Urgência >=5
0 10 20 30 40 50 60 0 500 1000 1500 2000
51. 2013 Cisco A 50 nnual Security Report
Ameaças em
evolução
Novos métodos,
mesmas explorações
52. 51
Hoje em dia, não importa qual
exploração cibernética é escolhida —
contanto que o método selecionado aja
com eficiência.
Isso não quer dizer que os agentes
na economia paralela não continuam
comprometidos com a criação de
ferramentas e técnicas ainda mais
sofisticadas para afetar usuários, infectar
redes, roubar dados confidenciais, entre
muitos outros objetivos. Em 2012, no
entanto, houve uma tendência que tentava
resgatar os "bons e velhos" malwares
para descobrir novas maneiras de criar
interrupções ou evadir proteções de
segurança corporativa.
Os ataques DDoS são um exemplo
importante — várias grandes instituições
financeiras dos Estados Unidos foram alvos
famosos de duas campanhas importantes
e relacionadas lançadas por grupos de
hacktivistas estrangeiros nos últimos seis
meses de 2012 (para análise detalhada,
consulte a seção tendências de ataques
de negação de serviço distribuídos em
2012). Alguns especialistas em segurança
avisam que esses eventos são apenas
o início e que os "hacktivistas, redes
criminosas organizadas e até mesmo
Estados-nação, serão os responsáveis"19
por esses ataques no futuro, trabalhando
tanto de forma colaborativa como de forma
independente.
“Nós estamos percebendo no DDoS
uma tendência na qual os invasores
acrescentam contexto adicional ao site
alvo do ataque para que a interrupção
se torne mais significativa," diz Gavin
Reid, diretor da Threat Research for Cisco
Security Intelligence Operations, "Em vez
de fazer um fluxo SYN, agora, o DDoS
tenta manipular um aplicativo específico da
empresa — o que possivelmente provocará
um conjunto de danos em cascata, no caso
de falha.”
Em 2012 houve uma tendência que
tentava resgatar os "bons e velhos"
malwares para descobrir novas maneiras
de criar interrupções ou evadir proteções
de segurança corporativa.
53. 2013 Cisco A 52 nnual Security Report
Embora as empresas possam acreditar-se
adequadamente protegidas contra a
ameaça do DDoS, muito provavelmente
suas redes não poderiam ser defendidas
contra os tipos de ataques implacáveis e
em alto volume testemunhados em 2012.
"Mesmo contra adversários sofisticados —
mas medianos—, a "modernidade"' atual
na segurança de rede é frequentemente
ultrapassada de forma significativa," diz
Gregory Neal Akers, Vice-Presidente
Sênior do Advanced Security Initiatives
Group da Cisco.
Outra tendência na comunidade de
crimes cibernéticos gira em torno da
"democratização" de ameaças. Vemos
cada vez mais que atualmente as
ferramentas e técnicas — e a inteligência
sobre como explorar vulnerabilidades —
são "amplamente compartilhadas" na
economia paralela. “Recursos de táticas de
espionagem se desenvolveram muito," diz
Akers. “Agora vemos mais especialização
e colaboração entre agentes maliciosos".
É uma linha de produção de ameaças:
alguém desenvolve um bug, outra pessoa
cria o malware, outra projeta o componente
de engenharia social e assim por diante."
A criação de poderosas ameaças que
os ajudarão a obter acesso ao grande
volume de ativos de alto valor encontrados
na rede é um dos motivos pelos quais o
criminosos cibernéticos estão combinando
suas expertises com mais frequência.
Mas, na comunidade de crimes virtuais,
como em qualquer empresa do mundo
real que terceiriza suas tarefas, eficiência e
redução de custos estão entre os principais
estimuladores da abordagem "criar uma
ameaça". O "talento autônomo" contratado
para essas tarefas normalmente anuncia
suas habilidades e paga taxas para a ampla
comunidade de crimes cibernéticos por
intermédio de mercados on-line secretos.
"Mesmo contra adversários sofisticados —
mas medianos—, a "modernidade" atual
da segurança de rede é frequentemente
ultrapassada de forma significativa."
Gregory Neal Akers, vice-presidente sênior
do Advanced Security Initiatives Group da
Cisco
54. 53
Ataques de amplificação e reflexão
Ataques de amplificação e reflexão de DNS20 utilizam resolvedores recursivos de sistema de
nomes de domínio (DNS) ou servidores oficiais de DNS para aumentar o volume de tráfego
de ataques enviados a uma vítima. Ao falsificar21 mensagens de solicitação de DNS, esses
ataques escondem a verdadeira fonte do ataque e enviam consultas de DNS que retornam
mensagens de resposta de DNS 1.000 a 10.000% maiores que a mensagem de solicitação
de DNS. Esses tipos de perfis de ataque são comumente observados durante ataques 22
DDoS.
As empresas participam inadvertidamente desses ataques ao deixar resolvedores
recursivos abertos pela Internet. Eles podem detectar os ataques usando várias
ferramentas23 e tecnologias de telemetria 24 de fluxo que podem ajudar a proteger 25 seu
servidor DNS ou mensagens de resposta26 de DNS com limite de taxa.
Tendências ataques de negação de serviço distribuídos
em 2012
A análise a seguir é derivada do repositório do Arbor Networks ATLAS, que compreende
dados mundiais reunidos a partir de várias origens, de 240 ISPs, tráfego de monitoração de
pico de 37,8 Tbps.27
Os tamanhos dos ataques continuam a ser uma tendência ascendente
Em geral, houve um aumento no tamanho médio de ataques no ano passado. Houve um
aumento de 27% em volume de ataques (de 1.23 Gbps em 2011 para 1.57 Gbps em 2012) e
um aumento de 15% nos pacotes por segundo usados em ataques (de 1,33 Mpps em 2011
para 1,54 Mpps em 2012).
Demografia dos ataques
As três principais fontes de ataques monitoradas, depois de remover 41% de fontes para as
quais não há atribuição devido ao anonimato de dados, são a China (17,8%), Coreia do Sul
(12,7%) e Estados Unidos (8%).
Os maiores ataques
O maior ataque monitorado foi medido em 100,84 Gbps e durou aproximadamente 20
minutos (a fonte do ataque é desconhecida devido ao anonimato de dados). O maior ataque
monitorado em pps correspondente foi medido em 82,36 Gbps e durou aproximadamente
24 minutos (a fonte do ataque é desconhecida devido ao anonimato de dados).
55. 2013 Cisco A 54 nnual Security Report
Figura 11: evasões do Sistema de Prevenção de Intrusos (IPS)
Protocolo de controle de transmissão, Src Porta: 32883 (32883), Dst
DCE RPC Bind, Fragmento: Único, FragLen: 820, Call: 0
Versão: 5
Versão (inferior): 0
Tipo de Pacote: bind (11)
 Sinalizadores do pacote: 0x03
 Representação de dados: 10000000
Comprimento do fragmento.: 820
Comprimento autorizado: 0
ID de chamada: 0
Transm. máx. de frag.: 5.840
Recup. máx. de frag.: 5.840
Grupo de assoc.: 0x00000000
Número de itens de contexto: 18
 ID de contexto: 0
Número de itens de transm.: 1
 UUID da interface: c681d4c7-7f36-33aa-6cb8-535560c3f0e9
 ID de contexto: 1
Número de itens transf.: 1
 Interface UUID: 2ec29c7e-6d49-5e67-9d6f-4c4a37a87355
A Cisco Security Research and Operations mantém vários laboratórios de malware
para observar o tráfego de elementos maliciosos na prática. O malware é liberado
intencionalmente nesses laboratórios para garantir se os dispositivos de segurança
são eficientes; os computadores também são deixados intencionalmente vulneráveis
e expostos à Internet.
56. 55
Armamento de técnicas
modernas de evasão
Criminosos cibernéticos desenvolvem
constantemente novas técnicas para
passar por dispositivos de segurança. Os
pesquisadores da Cisco observam de
forma cautelosa as novas técnicas e o
"armamento" de técnicas bem conhecidas.
A Cisco Security Research and Operations
mantém vários laboratórios de malware
para observar o tráfego de elementos
maliciosos na prática. O malware é liberado
intencionalmente nesses laboratórios para
garantir se os dispositivos de segurança
são eficientes; os computadores também
são deixados intencionalmente vulneráveis
e expostos à Internet.
Durante esse teste, a tecnologia Cisco
Intrusion Prevention System (IPS) detecta
um ataque bem conhecido à Chamada
de Procedimento Remoto da Microsoft
(MSRPC). Uma análise cuidadosa
determinou que o ataque utiliza uma tática
de evasão de malware nunca vista em uma
tentativa de passar pelos dispositivos de
segurança.28 A evasão enviou vários IDs de
contexto de ligação dentro da solicitação
de ligação inicial. Este tipo de ataque
pode evadir proteções a menos que o IPS
monitore e determine quais IDs foram bem-sucedidas.
Criminosos cibernéticos desenvolvem
constantemente novas técnicas para
passar por dispositivos de segurança.
Os pesquisadores da Cisco observam
de forma cautelosa as novas técnicas
e o "armamento" de técnicas bem
conhecidas.
57. 2013 Cisco A 56 nnual Security Report
Estudo de caso
Operação Ababil
Durante setembro e outubro de 2012, a Cisco e a Arbor Networks monitoraram uma campanha de ataques
de DDoS direcionada e muito séria conhecida como "Operação Ababil", que tinha como alvo instituições
financeiras com base nos EUA. Os ataques a DDoS foram premeditados, concentrados, anunciados
e executados à risca. Os invasores foram capazes de deixar vários sites financeiros importantes
indisponíveis para clientes legítimos por minutos — e nas ocorrências mais graves, por horas. Durante
os eventos, vários grupos assumiram a responsabilidade pelos ataques. Pelo menos um grupo alegou
estar protestando contra a legislação de direitos autorais e de propriedade intelectual nos Estados
Unidos. Outros divulgaram seu envolvimento como uma resposta a um vídeo publicado no YouTube que
apresentava conteúdo ofensivo para uma parcela de muçulmanos.
Do ponto de vista de segurança cibernética, a Operação Ababil é notável porque aproveitou aplicativos
da Web e servidores de hospedagem comuns que são tão populares quanto vulneráveis. Outro fator óbvio
e incomum usado nessa séries de ataques foi que ataques simultâneos, em alta largura de banda, foram
lançados contra várias empresas do mesmo setor (financeiro).
Como é observado frequentemente no setor de segurança, o antigo torna-se atual novamente.
Em 18 de setembro de 2012, o "Cyber Fighters of Izz ad-Din al-Qassam" postou no Pastebin29 fazendo
um apelo aos muçulmanos para que atacassem instituições financeiras e plataformas de negociação de
commodities. As ameaças e alvos específicos foram expostos perante o mundo durante quatro semanas
consecutivas. A cada semana, novas ameaças junto a novos alvos foram seguidos por ações ocorridas nos
horários e datas indicados. Na quinta semana, o grupo parou de nomear alvos, mas deixou claro que as
campanhas continuariam. Conforme prometido, as campanhas recomeçaram no começo de dezembro de
2012, mais uma vez tendo como alvo várias grandes instituições financeiras dos EUA.
A fase 2 da Operação Ababil também foi anunciada no Pastebin.30 Ao invés de infectar máquinas, uma
variedade de aplicativos da Web de PHP, incluindo o Sistema de Gerenciamento de Conteúdo Joomla,
serviram como os principais robôs da campanha. Além disso, muitos sites do WordPress, frequentemente
usando o plug-in TimThumb desatualizado, foram comprometidos mais ou menos ao mesmo tempo. Os
invasores também tiveram como alvo servidores sem manutenção que hospedavam esses aplicativos e
carregaram webshells de PHP para desenvolver mais ferramentas de ataque. O conceito de "comando
e controle" não foi aplicado da maneira típica. Os invasores conectaram-se a ferramentas diretamente
ou usaram servidores, scripts e proxies intermediários. Durante os eventos cibernéticos em setembro e
outubro de 2012, uma grande quantidade de arquivos e ferramentas com base em PHP foram usados, não
apenas o “tsoknoproblembro” (conhecido como “Brobot”) relatado. A segunda fase da atividade também
utilizou ferramentas de ataque atualizadas como o Brobot v2.
A Operação Ababil desenvolveu uma combinação de ferramentas com vetores que atacam a camada de
aplicações em HTTP, HTTPS e DNS com tráfego de ataque volumétrico em uma variedade de protocolos
TCP, UDP, ICMP e outros protocolos IP. A análise da Cisco mostrou que a maioria dos pacotes foram
enviados para TCP/UDP porta 53 (DNS) ou 80 (HTTP). Enquanto o tráfego em UDP porta 53 e TCP portas
53 e 80 representam um tráfego normalmente válido, pacotes destinados para UDP porta 80 representam
uma anomalia geralmente não usada por aplicações.
Um relatório detalhado dos padrões e cargas úteis da campanha da Operação Ababil pode ser encontrado
no Resposta ao evento da Cisco: Ataques de negação de serviço distribuídos em instituições financeiras.31
58. 57
Lições aprendidas
Embora eles representem uma parte fundamental de qualquer portfólio de segurança de rede, os
dispositivos IPS e de firewall dependem de uma inspeção de tráfego stateful. As técnicas da camada de
aplicativos usadas na campanha da Operação Ababil derrubaram facilmente as tabelas de estados e, em
vários casos, fizeram com que elas falhassem. A tecnologia inteligente de mitigação de DDoS foi uma das
medidas preventivas eficientes utilizadas.
Os serviços de segurança gerenciados e os provedores de serviço da Internet (ISPs) têm seus limites.
Durante um típico ataque DDoS, acredita-se que os ataques volumétricos devem ser combatidos na rede.
Para as campanhas da camada de aplicativos implantadas mais próximas às vítimas, eles devem ser
tratados no data center ou na "borda do cliente". Como várias empresas foram alvejadas simultaneamente,
os centros de depuração de rede ficaram sobrecarregados.
É fundamental manter o hardware e o software atualizados nos dispositivos de mitigação de DDoS. As
implantações mais antigas nem sempre estão aptas a combater as ameaças mais recentes. Também é
importante ter a capacidade certa nos locais certos. Ser capaz de mitigar um grande ataque é inútil se o
tráfego não puder ser canalizado para o local onde a tecnologia foi implantada.
Embora a mitigação de ataques de DDos em nuvem ou de rede geralmente apresente uma largura de
banda muito mais elevada, as soluções implantadas localmente oferecem um melhor tempo de reação
contra os ataques, além de melhor controle e visibilidade sobre eles. A combinação dos dois cria uma
solução mais completa.
Em conjunto com tecnologias de DDoS em nuvem e de rede, e como parte do material de apoio produzido
para os eventos da Operação Ababil, a Cisco resumiu as tecnologias de detecção e mitigação no
Identifying and Mitigating the Distributed Denial of Service Attacks Targeting Financial Institutions Applied
Mitigation Bulletin.32 Essas técnicas incluem o uso de filtro da Lista de controle de acesso de trânsito
(tACL), análise de dados de NetFlow e unicast Reverse Path Forwarding (uRPF). Além disso, há várias
melhores práticas que devem ser regularmente revisadas, testadas e implementadas que ajudarão muito
as empresas a se prepararem e a reagirem a eventos de rede. Uma biblioteca com conteúdo sobre essas
melhores práticas pode ser encontrada no Cisco SIO Tactical Resources33 e no Service Provider Security
Best Practices.34
59. 2013 Cisco A 58 nnual Security Report
Envio de
spam sempre
presente
60. 59
Os volumes de spam estão continuamente
em declínio em todo o mundo, de acordo
com uma pesquisa da Cisco, mas o
spam ainda é uma ferramenta prática
para muitos criminosos cibernéticos, que
o veem como uma maneira eficiente
e conveniente de expor os usuários a
malwares e para possibilitar uma ampla
gama de golpes.
Entretanto, apesar da percepção de que
o malware é normalmente desenvolvido
através de anexos de e-mail de spam, a
pesquisa da Cisco mostra que atualmente
muito poucos spammers utilizam esse
método; ao invés disso, lançam mão
de links maliciosos no e-mail como um
mecanismo de distribuição muito mais
eficiente.
O spam é algo menos "disperso" que
no passado, com muito mais spammers
preferindo como alvo grupos específicos
de usuários na esperança de gerar retornos
financeiros mais altos. Marcas famosas de
empresas farmacêuticas, relógios de luxo e
eventos como a temporada fiscal, estão no
topo da lista das coisas mais promovidas
por spammers em suas campanhas. Com
o tempo, os spammers aprenderam que
a maneira mais rápida de atrair cliques e
compras — e de gerar lucro — é promover
marcas falsificadas e se aproveitar de
eventos atuais que atraem a atenção de
grandes grupos de usuários.
Tendências mundiais de
spam
Desde as retiradas de botnet em grande
escala de 2010, os spans enviados em
altos volumes não são tão eficientes
como antes e os spammers aprenderam
isso e mudaram sua tática. Existe uma
clara evolução que segue na direção
de campanhas menores e com maior
direcionamento, baseadas em eventos
mundiais e em subconjuntos específicos
de usuários. Grandes volumes de spam
também têm maior probabilidade de ser
61. 2013 Cisco A 60 nnual Security Report
Figura 12: tendências mundiais de spam
Os volumes de spam global estão abaixo de 18%, com a maioria dos spammers mantendo
horários comerciais em fins de semanas.
GANHOS DE 2011 DECLÍNIO DE 2011
Estados Unidos
3,88%
Rússia
2,72%
Polônia
3,60%
Arábia Saudita
Brasil
11,38%
3,60%
7
2 English
79% Chinês
Rússia
5%
Catalão
3%
Japonês
3%
Dinamarquês
2%
Francês
1%
Romeno
1%
Espanhol
1%
Alemão
1%
1%
Spam Language
62. 61
4,60%
4 3
2,94%
Taiwan
4,00%
Vietnã
4,19%
China
12,3%
Índia
Coreia
10
9
8
6
5
1
Grandes volumes de spam têm maior probabilidade de ser observados por
provedores de e-mail, que os encerrarão antes que seu objetivo possa ser concluído.
63. 2013 Cisco A 62 nnual Security Report
observados por provedores de e-mail, que
os encerrarão antes que seu objetivo possa
ser concluído.
Em 2011, os volumes gerais de spam
mundiais ficaram abaixo de 18%. Isso está
longe da queda radical de volume observada
em 2010, seguinte às retiradas de botnet,
mas a diminuição da tendência ainda é
considerada como um avanço positivo.
Os spammers continuam concentrados
na minimização de esforços enquanto
maximizam o impacto. De acordo com a
pesquisa da Cisco, o volume de spans
caiu 25% nos finais de semana, quando
os usuários muitas vezes não acessam
e-mails. O volume de spans subiu nos
níveis mais altos nas terças e quartas-feiras
— uma média de 10% mais alto que
em outros dias da semana. Essa atividade
reforçada no meio da semana e volumes
mais baixos no final de semana permitem
que spammers vivam "vidas normais".
Isso também oferece a eles tempo
para investir na criação de campanhas
adaptadas com base em eventos mundiais
no começo da semana que os ajudarão a
gerar uma taxa de resposta mais alta.
Em 2012 houve vários exemplos de
spammers que usaram notícias sobre
eventos mundiais — e até grandes tragédias
— para tirarem proveito dos usuários.
Durante a supertempestade Sandy, por
exemplo, os pesquisadores da Cisco
identificaram um golpe de ação de "bump
and dump" com base em uma campanha
de spam. Utilizando uma mensagem de
e-mail pré-existente que fazia um apelo
às pessoas para que elas investissem
em penny stocks (ações de baixo valor)
voltadas para a exploração de recursos
naturais, os spammers começaram
a anexar às mensagens manchetes
sensacionalistas sobre a supertempestade
Sandy. Um aspecto incomum dessa
campanha é que os spammers utilizaram
endereços IP exclusivos para enviar um
lote de spam — e não ativaram esses
endereços desde então.
Origem do spam
No mundo do spam, alguns países
permanecem nas mesmas posições
enquanto outros mudaram notavelmente
suas classificações. Em 2012, a Índia
permaneceu no topo do ranking como
uma fonte mundial de spans. Os Estados
Unidos subiram da sexta posição em 2011,
para a segunda em 2012. Completando
os cinco principais países originadores de
spam estão a Coreia (na terceira posição),
a China (na quarta posição) e o Vietnã (na
quinta posição).
Em 2012 houve vários exemplos de
spammers que usaram notícias sobre
eventos mundiais — e até grandes
tragédias — para tirarem proveito sobre
os usuários.
64. 63
Figura 13: origem do spam
A Índia mantêm a liderança de spans e os Estados Unidos dispararam para a segunda
posição.
menos de 18%
DECLÍNIO DE 2011 PARA 2012
mais de 10% SEGUNDA-FEIRA
menos de 25%
TERÇA-FEIRA
QUARTA-FEIRA
QUINTA-FEIRA
SEXTA-FEIRA
SÁBADO
DOMINGO
GANHOS NA METADE
DA SEMANA
DECLÍNIO PARA FINS DE
SEMANA
VOLUMES DE SPAM
JAN 28, 2013 200 pm
De modo geral, a maioria dos spammers
concentra seus esforços na criação de
mensagens de spam que apresentam os
idiomas falados pelos mais frequentes
usuários de e-mails. De acordo com a
pesquisa da Cisco, o principal idioma para
mensagens de spam em 2012 foi o inglês,
seguido pelo russo, catalão, japonês e
dinamarquês. É importante observar que
há diferenças entre a origem de envio
do spam e os idiomas que são usados
na mensagem de spam; por exemplo,
enquanto a Índia foi o país número um
em origem de spans em 2012, os dialetos
locais não se classificaram entre os 10
principais em termos de idiomas usados
em spam enviado da Índia. O mesmo foi
observado para Coreia, Vietnã e China.
65. 2013 Cisco A 64 nnual Security Report
Email Attachments
Figura 14: anexos de e-mail
Apenas 3% dos spans possuem anexos em comparação com 25% de e-mails válidos,
mas anexos de spam são 18% maiores.
Only 3% of Spam has an Attachment, versus 25% of Valid Email
E-mail de spam E-mail válido
3% 25%
Anexos de spam são 18% maiores
18%
Figura 15: spam de IPv6
Embora os e-mails com base em IPv6 permaneçam representando uma porcentagem muito
pequena do tráfego geral, eles estão crescendo com o aumento de usuários de e-mails
migrando para uma infraestrutura com o IPv6 habilitado.
Aumento de e-mails por IPv6: 862%
Aumento de spans por IPv6: 171%
IPv6 Spam
JUN JUL AGO SET OUT NOV DEZ
66. 65
Anexos de e-mail
O spam foi considerado por muito tempo
como um mecanismo de disponibilização
de malware, especialmente quando um
anexo está envolvido. Mas uma pesquisa
recente da Cisco sobre o uso de anexos
de e-mail em campanhas de spam, mostra
que esta percepção pode ser um mito.
Apenas 3% do total de spans possui um
anexo, contra 25% de e-mails válidos. Nos
raros casos em que uma mensagem de
spam não inclui um anexo, ela é em média
de 18% maior que um anexo normal que
seria incluído em um e-mail válido. Como
resultado, esses anexos tendem a ser
contrastantes.
Nos e-mails modernos, os links reinam.
Os spammers projetam suas campanhas
para convencer os usuários a visitarem os
sites onde podem comprar produtos ou
serviços (geralmente duvidosos). Uma vez
ali, as informações pessoais dos usuários
são coletadas, com frequência sem seu
conhecimento, ou eles são comprometidos
de alguma outra maneira.
De acordo com a análise "Marcas
Falsificadas", exibida posteriormente nesta
seção, foi revelado que a maioria dos spans
são originados em grupos que buscam
vender um conjunto de mercadorias de
marcas famosas muito específico - de
relógios de luxo a produtos farmacêuticos
- os quais, na maior parte dos casos, são
falsos.
Spam de IPv6
Embora os e-mails com base em IPv6
permaneçam representando uma
porcentagem muito pequena do tráfego
geral, eles estão crescendo com o
aumento de usuários de e-mails migrando
para uma infraestrutura com o IPv6
habilitado.
No entanto, apesar do volume geral de
e-mails crescer rapidamente, esse não é o
caso dos spans de IPv6. Isso sugere que
os spammers estão evitando o tempo e os
gastos despendidos com a migração para
o novo padrão da Internet. Não há uma
necessidade que estimule os spammers
- e praticamente nenhum ou mesmo zero
benefícios - para que seja feita tamanha
mudança no momento atual. Devido ao
esgotamento dos endereços IPv4 e ao
crescimento explosivo do uso do IPv6,
impulsionado pelos dispositivos móveis e
pela comunicação M2M, prevê-se que os
spammers atualizem sua infraestrutura e
agilizem seus esforços.
Nos e-mails modernos, os links reinam. Os spammers projetam suas campanhas
para convencer os usuários a visitarem os sites onde podem comprar produtos ou
serviços. Uma vez ali, as informações pessoais dos usuários são coletadas, com
frequência sem seu conhecimento, ou eles são comprometidos de alguma outra
maneira.
67. 2013 Cisco A 66 nnual Security Report
Figura 16: marcas falsificadas
Os spammers têm Spoofed como Brands alvo produtos for Spam
farmacêuticos, relógios de luxo e temporadas
fiscais.
Medicamentos prescritos
Relógios de luxo
Cartão de crédito
Análises de negócios
Redes prossionais
Transferência nanceira eletrônica
Software de contabilidade
Rede social
Associações de prossionais
Companhia aérea
Correio
Perda de peso
Organização governamental
Software do Windows
Empresa de celular
Classicados on-line
Impostos
Hormônio de crescimento humano
Notícias
Serviços de pagamento eletrônico
Cartões
Carros de luxo
Serviços de folha de pagamento
5% 50% 100%
JAN FEV MAR ABR MAY JUN JUL AGO SET OUT NOV DEZ
Visualização do consumidor
do Windows 8
Spans relacionados a aparelhos celulares
coincide com o lançamento do iPhone 5
Spans relacionados a redes sociais
prossionais
Software de contabilidade durante
a temporada scal dos EUA