Académique Documents
Professionnel Documents
Culture Documents
Resumo executivo
O problema da confiana
O uso excessivo da confiana um modo comum de operao dos agressores online e
outros agentes mal-intencionados. Eles se aproveitam da confiana dos usurios depositada
em sistemas, aplicativos e nas pessoas e empresas com quem interagem com frequncia. E
essa ttica funciona: h ampla evidncia de que os intrusos esto inventando novos mtodos
para integrar malware em redes, permanecendo sem serem detectados por longos perodos,
e para roubar dados e prejudicar sistemas essenciais.
Utilizando mtodos que vo desde o roubo de senhas e credenciais com o uso da
manipulao social at infiltraes furtivas e ocultas executadas em minutos, os agentes
mal-intencionados continuam a se aproveitar da confiana pblica, trazendo consequncias
danosas a todos os atingidos. No entanto, o problema de confiana vai alm de criminosos
que se aproveitam de vulnerabilidades ou que atacam usurios atravs da manipulao social:
ela enfraquece a confiana nas empresas pblicas e privadas.
As redes atuais esto enfrentando duas formas de desgaste de confiana. Uma o declnio
da confiana do cliente na integridade dos produtos. A outra a evidncia
crescente de que agentes mal-intencionados esto derrotando
os mecanismos de confiana. Desta forma, questionada a a
Agentes
eficcia das garantias de rede e aplicativos, da autenticao e
mal-intencionados
das arquiteturas de autorizao.
continuam a inovar as
maneiras de explorar
a confiana pblica
com consequncias
bastante danosas.
Principais descobertas
As trs principais descobertas do Relatrio de Segurana Anual da Cisco de 2014 esto abaixo:
Agentes mal-intencionados esto usando aplicativos confiveis para se aproveitar de lacunas na segurana do
permetro.
O spam continua com sua tendncia de queda, embora a proporo de spam mal-intencionado permanea
constante.
O
Java compreende 91% das exploraes na web; 76% das empresas que usam os servios Cisco Web Security
executam o Java 6, uma verso de fim de ciclo, sem suporte.
Ataques do tipo "watering hole" tm como objetivo sites especficos relacionados a um determinado setor para
distribuir malware.
Contedo do relatrio
O Relatrio de Segurana Anual da Cisco de 2014 apresenta
percepes sobre segurana em quatro reas principais:
Confiana
Todas as empresas devem se preocupar em encontrar o
equilbrio certo entre confiana, transparncia e privacidade,
pois h muito em jogo. Nessa rea, abordamos trs
presses que tornam ainda mais desafiadoras as tentativas
dos profissionais de segurana em ajudar suas empresas a
atingir esse equilbrio:
Inteligncia de ameaas
Usando o maior conjunto de telemetria de deteces
disponvel, a Cisco e a Sourcefire analisaram e reuniram
percepes sobre segurana do ano passado:
Setor
Nesta seo, os investigadores do Cisco Security
Intelligence Operations (SIO) elevam a discusso em
torno das tendncias do setor que se estendem alm da
telemetria da Cisco, embora ainda afetem as prticas de
seguranadesde tentativas de login forado, atividade de
DDoS de grande escala e esforos de ransomware at a
crescente dependncia na nuvem, falta de talentos na rea
de segurana e outras preocupaes.
Recomendaes
As empresas enfrentam um aumento no nmero de ataques,
na proliferao e sofisticao de tipos de ataque e da
complexidade dentro da rede. Muitas sentem dificuldades
em solidificar uma viso de segurana sustentada por uma
estratgia eficaz que usa novas tecnologias, simplifica a
arquitetura e as operaes, e fortalece suas equipes de
segurana.
Esta seo destaca como um modelo de segurana
voltado especificamente para as ameaas permite que os
responsveis pela segurana da rede enfrentem o ataque
do comeo ao fim, em todos os vetores de ataque, e que
respondam a todo o instante de maneira contnua: antes,
durante e aps um ataque.
Contedo
Confiana.. . . . . . . . . . . . . . . . . . . ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Novas maneiras de fazer negcios, novas lacunas de segurana.................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Um desgaste da confiana.. . . . ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Principais desafios de segurana para 2014........................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Sistemas confiveis e transparentes................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Inteligncia de ameaas................................................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Alertas de ameaas em crescimento.................................................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
O volume de spam est caindo, mas o spam mal-intencionado ainda uma ameaa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Exploraes da web: Java lidera o grupo.. ............................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
BYOD e mobilidade: amadurecimento dos dispositivos beneficiam o crime ciberntico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Ataques direcionados: o desafio de desalojar "visitantes" persistentes e difundidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Instantneo de malware: tendncias observadas em 2013........................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Alvos primrios: verticais do setor...................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Fraturas em um ecossistema frgil..................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Trfego mal-intencionado, frequentemente um sinal de ataques direcionados, detectados em todas
as redes corporativas. . . . . . . . . . . .......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Setor.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Tentativas de login forado, uma das tticas favoritas para comprometer sites.. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Ataques DDoS: o que era velho voltou a ser novidade............................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
DarkSeoul.. . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
A falta de talentos na rea de segurana e as lacunas nas solues............... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
A nuvem como um novo permetro.................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Recomendaes.. . . . .......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Objetivos para 2014: verificao da confiabilidade e melhoria da visibilidade...... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Apndice.. . . . . . . . . . . . . . . . . . . .......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
As empresas de segurana precisam de cientistas de dados.. ..................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Software recomendado
Procure por esse cone para abrir o recurso de localizao no Adobe Acrobat.
Confiana
Todas as empresas devem se preocupar em encontrar o
equilbrio certo entre confiana, transparncia e privacidade,
pois h muito em jogo.
Confiana
10
Confiana
[ Muitos agentes na chamada "economia paralela" tambm enviam malware de vigilncia para
FIGURA 1
Inovadores
tcnicos
Revendedores /
mantenedores de infraestrutura
11
Confiana
Um desgaste da confiana
Ameaas com a inteno de se aproveitar da confiana
dos usurios nos sistemas, em aplicativos e das pessoas
e de empresas que eles conhecem, so agora acessrios
permanentes no mundo ciberntico.
Disseque quase qualquer esquema e no centro haver algum abuso de confiana: malware
enviado a usurios que navegam legitimamente por sites populares. E-mails de spam que
parecem ter sido enviados por empresas conhecidas, mas que contm links para sites malintencionados. Aplicativos mveis de terceiros infiltrados por malware e baixados de lojas
online populares. Informantes que usam privilgios de acesso a informaes para roubar
propriedade intelectual dos empregadores.
Talvez devesse haver uma suposio, por parte de todos os usurios, de que no se pode
confiar em nada no mundo ciberntico. E os profissionais de segurana
deveriam prestar um servio s suas empresas, ao no confiar em
trfegos de rede3ou ter plena f nas prticas de segurana
dos fornecedores ou cadeias de fornecimento que viabilizam
Deveria haver uma
tecnologia empresa. Porm, as empresas dos setores
suposio, por parte de
pblico e privado, usurios individuais e at mesmo naes
todos os usurios, de
querem ainda ter a garantia de poder confiar nas tecnologias
fundamentais de que dependem todos os dias.
que no se pode confiar
em nada no mundo
Essa necessidade de confiana na segurana ajudou a
avanar ainda mais os Critrios comuns para avaliao
ciberntico.
da segurana da tecnologia da informao (Common
Criteria), a linguagem e a estrutura que permitem s agncias
governamentais e outros grupos a definio das exigncias que os
produtos de tecnologia devem cumprir para garantir sua confiabilidade. Hoje,
26 pases, incluindo os Estados Unidos, esto participando do Common Criteria Recognition
Arrangement (Acordo de reconhecimento de critrios comuns), um acordo multilateral que
possibilita o reconhecimento mtuo de produtos avaliados pelos governos participantes.
No entanto, em 2013, a confiana, em geral, sofreu um revs. O catalisador: Edward
Snowden. O ex-contratado do governo norte-americano vazou informaes confidenciais
para o The Guardian, um jornal britnico; informaes que ele obteve enquanto trabalhava em
uma misso da Agncia Nacional de Segurana dos EUA (NSA).4
12
Confiana
Principais desafios de
segurana para 2014
[ medida que a confiana se desgasta, e se torna mais difcil
definir quais sistemas e relacionamentos so realmente confiveis,
as empresas enfrentam vrias situaes importantes que
enfraquecem sua capacidade de lidar com a segurana:
1 | Maior rea de superfcie de ataque
2 | Proliferao e sofisticao do modelo de ataque
3 | Complexidade das ameaas e solues ]
Esses problemas combinados criam e exacerbam as lacunas de segurana que permitem
que agentes mal-intencionados lancem exploraes mais rpido do que o tempo levado pelas
empresas para resolverem seus pontos fracos de segurana.
Essas ameaas e esses riscos so examinados em mais detalhes nas pginas a seguir.
13
Confiana
FIGURA 2
Internet e
aplicativos de nuvem
Campus
Empresa
Rede pblica
Permetro
Data center
14
Confiana
A anatomia de uma ameaa moderna, esboada na Figura 2, ressalta como o objetivo final
de muitas campanhas de crimes ciberntico atingir o data center e
extrair dados valiosos. Neste exemplo, uma ao mal-intencionada
ocorre em um dispositivo fora da rede corporativa. Ela causa um
infeco, que se move para uma rede de campus. Essa rede
O objetivo final
serve como um trampolim para a rede empresarial e depois a
de muitas campanhas
ameaa chega ao tesouro: o data center.
de crimes cibernticos
15
Confiana
Solues que
estejam atuando em
um determinado momento
no conseguem responder
infinidade de tecnologias
e estratgias utilizadas
por agentes malintencionados.
Com a complexidade das ameaas e solues correspondentes no nvel mais alto j registrado,
as empresas precisam repensar sua estratgia de segurana. Em vez de depender de solues
pontuais, elas podem minimizar a complexidade integrando continuamente a segurana na
prpria malha da rede, para que a rede possa:
16
Confiana
A mudana rumo aos servios de nuvem e mobilidade est colocando uma carga maior
de segurana nos endpoints e dispositivos mveis que, em alguns casos, podero nunca
tocar a rede corporativa. O fato que os dispositivos mveis apresentam riscos segurana
quando so usados para acessar recursos da empresa; eles se conectam
facilmente com servios de nuvem e computadores de terceiros com
posturas de segurana que so possivelmente desconhecidas e
que esto fora do controle da empresa. Alm disso, o malware
Os dispositivos
para dispositivos mveis est crescendo rapidamente, o que
mveis introduzem
aumenta ainda mais os riscos. Dada a falta de at mesmo
uma visibilidade bsica, a maioria das equipes de segurana
riscos segurana
de TI no tem os recursos necessrios para identificar as
quando so usados
possveis ameaas a esses dispositivos.
Sistemas confiveis e
transparentes
Em funo da maior rea de superfcie de ataque, do crescimento da
proliferao e sofisticao do modelo de ataque e da complexidade
das ameaas e solues, precisamos confiar nas informaes
que consumimos, junto com os sistemas que as fornecem,
independentemente de como acessamos os servios em rede.
A criao de um ambiente de rede verdadeiramente seguro se torna ainda mais complexa,
medida que governos e empresas investem em mobilidade, colaborao, computao
em nuvem e outras formas de virtualizao. Esses recursos ajudam a melhorar a resilincia,
aumentar a eficincia e reduzir custos, mas tambm podem introduzir riscos adicionais.
17
Confiana
A segurana dos processos de fabricao que criam produtos de TI est agora tambm em
risco, com produtos falsificados e adulterados se tornando um problema crescente. Como
resultado, os lderes governamentais e corporativos atuais identificam de forma esmagadora
a segurana ciberntica e problemas relacionados confiana como as principais
preocupaes. A pergunta que os profissionais de segurana deveriam se fazer : o que
faramos de maneira diferente se soubssemos que um comprometimento fosse iminente?
Os agentes mal-intencionados procuraro e exploraro qualquer ponto fraco de segurana na
cadeia de fornecimento de tecnologia. Vulnerabilidades e backdoors intencionais em produtos de
tecnologia podem, em ltima anlise, proporcion-los o "acesso total". Backdoors tm sido um
problema de segurana h bastante tempo e deveriam ser uma preocupao para as empresas,
pois elas existem exclusivamente para ajudar a facilitar atividades clandestinas ou criminosas.
O desenvolvimento de sistemas confiveis significa construir a segurana do zero, desde o
incio at o trmino do ciclo de vida de um produto. O ciclo Cisco Secure
Development Life (CSDL)8 prescreve uma metodologia que pode
ser repetida e medida, que foi projetada para incorporar a
Os agentes
segurana do produto no estgio de concepo, atenuar as
vulnerabilidades durante o desenvolvimento e aumentar a
mal-intencionados
resilincia de produtos em funo de um ataque.
procuraro e exploraro
Sistemas confiveis fornecem a base de uma abordagem de
qualquer ponto fraco
melhoria contnua segurana, que antev e antecipa novas
de segurana na cadeia
ameaas. Tais infraestruturas no s protegem informaes
de fornecimento de
essenciais, como tambm ajudam a evitar interrupes de
tecnologia.
servios essenciais. Produtos confiveis respaldados por
fornecedores confiveis permitem que seus usurios minimizem os
custos e os dano de reputao resultantes do abuso de informaes,
interrupes de servio e violaes de informaes.
Sistemas confiveis, no entanto, no devem ser confundidos com imunidade a ataques
externos. Os clientes e usurios de TI desempenham uma funo importante para manter a
eficcia de sistemas confiveis, ao afastar tentativas de corromper suas operaes. Isso inclui
a instalao de atualizaes e correes focadas em segurana dentro do prazo, vigilncia
constante no reconhecimento de comportamento anormal do sistema e contramedidas
eficazes contra ataques.
18
Principais preocupaes
para 2014 dos CISOs de hoje
medida que chefes de segurana
de informaes (CISOs) pesquisam
o panorama de ameaas atual, eles
enfrentam a presso crescente
para proteger terabytes de dados,
cumprir regulamentos rigorosos de
conformidade e avaliar os riscos
de se trabalhar com fornecedores
terceirizadosfazendo tudo isso com
oramentos em reduo e equipes
reduzidas de TI. Os CISOs tm muito
mais tarefas e ameaas complexas
e sofisticadas para gerenciar. Os
principais estrategistas de segurana
dos servios de segurana da Cisco,
que aconselham os CISOs sobre
abordagens de segurana para suas
organizaes, oferecem essa lista
de preocupaes e desafios mais
urgentes para 2014:
Gerenciamento de conformidade
A preocupao mais universal entre
CISOs pode ser a necessidade de
proteger seus dados que residem
em uma rede cada vez mais porosa,
enquanto gastam recursos de
alto valor com a conformidade. A
conformidade isolada no igual
a ser seguro; simplesmente um
patamar mnimo que foca nas
necessidades de um ambiente
especial regulado. A segurana,
enquanto isso, uma abordagem que
engloba tudo que abrange todas as
atividades comerciais.
Confiana na nuvem
OS CISOs devem tomar decises
sobre como gerenciar informaes
com segurana com os oramentos
Continua na prxima pgina
Confiana
19
Confiana
20
Inteligncia de
ameaas
Com o uso do maior conjunto de telemetria de deteces, a
Cisco e a Sourcefire analisaram e reuniram as percepes sobre
segurana do ano passado.
21
Inteligncia de ameaas
Alertas de ameaas em
crescimento
As vulnerabilidades e ameaas relatadas pelo Cisco IntelliShield
mostraram um crescimento constante em 2013: em outubro de
2013, os totais anuais cumulativos de alerta aumentaram em 14%
a cada ano desde 2012 (Figura 3).
Os alertas em outubro de 2013 estavam em seu nvel mais elevado desde que o IntelliShield
comeou a registr-los em maio de 2000.
Tambm notvel o aumento significativo de novos alertas em comparao com alertas
atualizados, conforme o rastreamento pelo IntelliShield (Figura 4). Fornecedores e pesquisadores
de tecnologia esto descobrindo um nmero cada vez maior de novas vulnerabilidades (Figura
6) e essas descobertas so o resultado de uma nfase maior na utilizao de um ciclo de vida
de desenvolvimento altamente seguro, alm de melhorias na segurana em seus prprios
produtos. O elevado nmero de novas vulnerabilidades tambm pode ser um sinal de que os
fornecedores esto examinando o cdigo de seus produtos e corrigindo problemas antes que
os produtos sejam lanados e suas vulnerabilidades exploradas.
FIGURA 3
2013
2012
6000
2011
5000
2010
4000
3000
2000
1000
0
Jan.
Fev.
Mar.
Abr.
Mai.
Jun.
Jul.
Ms
Ago.
Set.
Out.
Nov.
Dez.
22
Inteligncia de ameaas
FIGURA 4
320
Alertas
novos e atualizados, 2013
1000
291
517
347
391
286
324
366
303
333
386
400
387
437
215
224
221
211
212
600
256
281
293
278
800
Novo
Alerta
de ameaa
200
Atualizado
Alerta
Jan.
Fev.
Mar.
Abr.
Mai.
Jun.
Ms
Jul.
Ago.
Set.
Out.
Nov.
23
Inteligncia de ameaas
FIGURA 5
7
2
5
4
24
Inteligncia de ameaas
Os spammers atacam
o desejo das pessoas
por mais informaes
na sequncia de um
grande evento.
25
Inteligncia de ameaas
FIGURA 6
FIGURA 7
26
Inteligncia de ameaas
FIGURA 8
120
100
80
60
40
20
0
Jan.
Fev.
Mar.
Abr.
Mai.
Jun.
Jul.
Ago.
Set.
Out.
Ms
FIGURA 9
Volume em porcentagem
25
20
Estados Unidos
Itlia
Repblica da
Coreia
Espanha
China
15
10
Jan.
Fev.
Mar.
Abr.
Mai.
Jun.
Ms
Jul.
Ago.
Set.
Out.
27
Inteligncia de ameaas
FIGURA 10
1.
Depsito bancrio/notificaes
de pagamento
2.
Compra de produto online
3.
Foto anexada
4.
Avisos de envio
5.
Encontros online
6.
Impostos
7.
Facebook
8.
Vale-presente ou cupom
9.
PayPal
28
Inteligncia de ameaas
Exploraes da web:
Java lidera o grupo
De todas as ameaas na Web que enfraquecem a segurana, as
vulnerabilidades na linguagem de programao Java continuam a
ser o alvo mais frequentemente explorado por criminosos online,
de acordo com os dados da Cisco.
As exploraes no Java ultrapassam as detectadas em Flash ou documentos Adobe PDF, que
so tambm vetores populares para atividade criminosa (Figura 11).
Os dados da Sourcefire, agora parte da Cisco, tambm mostram que as exploraes do Java
compem a ampla maioria (91%) dos indicadores de comprometimento (IoCs) monitorados
pela soluo FireAMP da Sourcefire para anlise e proteo avanada de malware (Figura 12).
O FireAMP detecta comprometimentos ao vivo em endpoints e depois registra o software que
causou tal comprometimento.
FIGURA 11
10%
Flash
8%
Java
6%
4%
2%
0
Jan.
Fev.
Mar.
Abr.
Mai.
Jun.
Ms
Jul.
Ago.
Set.
Out.
Nov.
29
Inteligncia de ameaas
Para ameaas como exploraes do Java, o problema mais significativo enfrentado pelos
profissionais de segurana a maneira como o malware entra em seu ambiente de rede
e onde eles deveriam concentrar os esforos para minimizar a infeco. Aes individuais
podem no parecer mal-intencionadas, mas seguir uma cadeia de eventos pode nos
esclaracer de onde vem o malware. O encadeamento de eventos a capacidade de conduzir
uma anlise retrospectiva sobre os dados que conectam o caminho tomado pelos agentes
mal-intencionados para contornar a segurana de permetro e se infiltrar na rede.
Os IoCs podem sozinhos demonstrar que acessar um dado site seguro. Por sua vez, a
inicializao do Java pode ser uma ao segura, como pode ser a inicializao de um arquivo
executvel. No entanto, uma empresa est em risco se um usurio visitar um site com uma
injeo de iframe, que depois inicializa o Java; o Java ento baixa um arquivo executvel e
esse arquivo executa aes mal-intencionadas.
FIGURA 12
2%
Microsoft Word
3%
Microsoft Excel
3%
Adobe Reader
91%
Comprometimento do Java
1%
Microsoft PowerPoint
30
Inteligncia de ameaas
Quando for prtico, desativar o Java em navegadores em toda a rede pode evitar que essas
exploraes sejam iniciadas.
analisar arquivos aps eles sua entrada na rede podem detectar retrospectivamente e
impedir ameaas que parecem seguras, mas que exibem comportamento mal-intencionado
posteriormente.
Uma lista priorizada de dispositivos potencialmente comprometidos pode ser gerada usando
A atualizao para a verso mais recente do Java tambm pode ajudar a contornar as
vulnerabilidades. De acordo com a pesquisa da Cisco TRAC/SIO, 90% dos clientes da Cisco
usam uma verso do Java 7 Runtime Environment, a verso mais atual do programa. Isso
bom do ponto de vista da segurana, j que essa verso provavelmente oferece maior
proteo contra vulnerabilidades.
31
Inteligncia de ameaas
No entanto, a pesquisa da Cisco TRAC/SIO mostra tambm que 76% das empresas que
usam solues da Cisco usam tambm o Java 6 Runtime Environment, alm do Java 7.
O Java 6 uma verso anterior que atingiu seu fim de vida e no tem mais suporte. As
empresas frequentemente usam ambas as verses do Java Runtime Environment, pois
diferentes aplicativos podem depender de diferentes verses para executar o cdigo Java.
No entanto, com mais de trs quartos das empresas pesquisadas pela Cisco utilizando uma
soluo em fim de vida com vulnerabilidades que nunca sero corrigidas publicamente, os
criminosos tm ampla oportunidade de explorarem os pontos fracos.
Em 2013, os encontros com malware Java na web atingiram um pico em abril, com 14% de
todo o malware encontrado na web. Esses encontros caram a seu ponto mais baixo em
maio e junho de 2013, com cerca de 6% e 5% de todos os encontros com malware na web,
respectivamente (Figura 13).
(No incio desse ano, a Oracle anunciou que no publicaria mais atualizaes do SE do Java 6
em seu site de download pblico, apesar de atualizaes existentes do SE do Java 6 estarem
disponveis no Java Archive na Oracle Technology Network).
Se profissionais de segurana, que tm tempo limitado para lutar contra exploraes web,
decidirem focar a maior parte de sua ateno no Java, eles podero colocar seus recursos no
lugar certo.
FIGURA 13
6,50%
6,00%
4%
5,00%
7,50%
9,00%
6,75%
6%
7,50%
8%
9,50%
10%
6,25%
12%
12,25%
14,00%
14%
2%
0
Jan.
Fev.
Mar.
Abr.
Mai.
Jun.
Ms
Jul.
Ago.
Set.
Out.
Nov.
32
Inteligncia de ameaas
BYOD e mobilidade:
amadurecimento dos dispositivos
beneficia o crime ciberntico
Os criminosos cibernticos e seus alvos compartilham um desafio
comum: ambos esto tentando descobrir como usar da melhor
maneira a tendncia de BYOD e mobilidade para obter vantagem
empresarial.
Duas coisas parecem estar ajudando os criminosos a obter uma vantagem. Primeiro, a
maturao das plataformas mveis. Os especialistas em segurana da Cisco observam que
quanto mais os smartphones, tablets e outros dispositivos tm desempenho semelhante ao de
computadores de mesa e laptops tradicionais, mais fcil se torna projetar malware para eles.
Segundo, o uso crescentes de aplicativos mveis. Quando os usurios baixam aplicativos
mveis, eles esto colocando um cliente leve no endpoint e baixando cdigo. Outro desafio:
muitos usurios baixam aplicativos mveis regularmente sem pensar na segurana.
Enquanto isso, as equipes de segurana de hoje esto s voltas com
um problema considervel: como proteger qualquer usurio, em
qualquer dispositivo, localizado em qualquer lugar e acessando
qualquer aplicativo ou recurso.15 A tendncia de BYOD apenas
Muitos usurios
complica esses esforos. difcil gerenciar todos esses tipos
baixam aplicativos
de equipamentos, especialmente com um oramento de TI
mveis regularmente
limitado. Em um ambiente de BYOD, o CISO precisa ter a
sem pensar
certeza de que a sala de dados rigorosamente controlada.
na segurana.
33
Inteligncia de ameaas
Todavia, nem todo malware para dispositivos mveis projetado para atacar dispositivos
especficos. Muitos encontros envolvem phishing, likejacking, ou outros ardis de engenharia
social, ou redirecionamentos forados a sites diferentes dos esperados. Uma anlise dos
agentes de usurio pela Cisco TRAC/SIO revela que os usurios de Android, com 71%, tm as
mais altas taxas de encontro com todas as formas de malware distribudos na web, seguidos
pelos usurios de iPhone da Apple, com 14% de todos os encontros com malware (Figura 14).
Os pesquisadores da Cisco TRAC/SIO tambm relataram a evidncia de esforos para
monetizar os comprometimentos de Android durante 2013, incluindo lanamentos de adware
e spyware relacionados com empresas de pequeno e mdio porte (SME).
Com 43,8%, Andr/Qdplugin-A foi o malware para dispositivos mveis mais frequentemente
encontrado, de acordo com a pesquisa da Cisco TRAC/SIO. Encontros comuns se deram
atravs de cpias reempacotadas de aplicativos legtimos distribudos atravs de mercados
no oficiais (Figura 15).
34
Inteligncia de ameaas
FIGURA 14
80%
60%
40%
20%
Windows CE
Kindle
Zune WP
Nook
Playstation
Motorola
Windows
Telefone
Huawei
iPod
Symbian
Nokia
BlackBerry
iPad
iPhone
Android
FIGURA 15
40%
30%
20%
10%
Andr/DroidRt-C
Trojan-SMS.AndroidOS.
Agent.ao
AndroidOS.
Wooboo.a
Andr/Gmaster-E
Andr/DroidRt-A
Trojan.AndroidOS.
Plangton.a
Andr/Spy-AAH
Andr/SMSSend-B
Andr/SmsSpy-J
Andr/NewyearL-B
Andr/Qdplugin-A
An
Tro
dr.
ja
98%
11%
14%
16%
Andr.SMSSend
10%
7%
6%
4%
4%
4%
4%
3%
r.Tr
oj a
xplo
els
l o i t.E
n.S t
r.E xp
r.Tro
ja
And
ndr
id
it.Ratc
p l o i t. A
A ndr.E x plo
B C. E x
And
Andr.Exploit.Gingerbreak
nserve
n.G
ein
nr.
imi
T
roj
An
a n.
dr.
Dro
Tro
An
id D
jan
d
rea
r
.A
An
.Tr
mL
dr d
o
d
j
igh
r
a
(2
.Tr
n.G
t
%
o
(2 ) A
j
o
a
%)
n d n. A l d d r
ea
An r.T
nd
m
r
r
dr
.Tr ojan orat
oj
.
a n Pj a
p
.Y
ZH p s
C
Ad
rojan.A
Andr.T
ak
O pf
.
n
ja
ix t y
(>1%
) An
dr.Tr
tCo
ts
m pa
tible
Push
ad er
ueSP
.TG Lo
.Ro g
n.N o
ojan
r.Troj
an
dr.T
roja
(>1%
) An
ad
ck p o s
ojan.OB
(>1%)
A ndr.T
rojan. A
(>1%)
And
(>1%) A n
dr.Tr
(>1%) A ndr.Tr
ojan.Chuli
(>1%) Andr.Trojan.Badnews
keTimer
jan.G ones
min
.Fa
(>1%) Andr.Trojan
Tro
(1%) A ndr.
jan.K
ndr.Tro
(1%) A
on
.Zson
ank t
r ojan
ndr.T
dr.Tr
A
(1%)
An
(1%)
.Pl
ojan
And
oid
gF
.Tro
ndr
r
nD
n
Ku
35
Inteligncia de ameaas
FIGURA 16
Obs.: o SMSSend foi responsvel por 98% de todo o malware para Android; os 2% restantes so mostrados
proporcionalmente. Fonte: Sourcefire
3%
3%
7%
36
Inteligncia de ameaas
Ataques direcionados:
o desafio de desalojar
"visitantes" persistentes e
difundidos
So grandes as chances de que ataques direcionados j tenham
se infiltrado em suas redes.
E como eles se alojam dentro de uma rede, eles tendem a ficar por ali, roubando dados
sem serem detectados ou usando recursos de rede como "piv" e depois atacando outras
entidades (para mais informaes sobre uso de pivs, consulte pgina 18). O dano vai alm
do roubo de dados ou interrupo de negcios: a confiana entre parceiros e clientes pode ir
embora se esses ataques no forem desalojados das redes na hora certa.
Ataques direcionados ameaam a propriedade intelectual, os dados de clientes e as
informaes confidenciais do governo. Seus criadores usam ferramentas sofisticadas
que contornam a infraestrutura de segurana de uma empresa. Os
criminosos se esforam muito para se certificar de que essas
brechas no sejam detectadas, usando mtodos que resultam
em "indicadores de comprometimento" quase imperceptveis,
Criminosos
ou IoCs. Sua abordagem metdica para entrar nas redes e
efetuar sua misso envolve uma "cadeia de ataque", a cadeia
se esforam muito
de eventos conduzida atravs das fases de um ataque.
para certificar-se de que
Uma vez que esses ataques direcionados encontram um
lugar na rede para se esconder, eles efetuam suas tarefas
sem problemas e geralmente as conduzem sem serem
notados.
essas brechas no
sejam detectadas
37
Inteligncia de ameaas
FIGURA 17
A cadeia de ataque
Para compreender a gama de ameaas atuais e defender eficazmente a rede, os profissionais de segurana de TI
precisam pensar como os invasores. Com uma compreenso mais profunda da abordagem metodolgica utilizada
por esses agentes mal-intencionados em sua misso, as empresas podem identificar maneiras de fortalecer suas
defesas. A cadeia de ataque, uma verso simplificada da "cadeia da morte ciberntica", descreve os eventos que
conduzem s fases de um ataque, e que nelas ocorrem.
1. Pesquisa
2. Gravao
3. Teste
4. Execuo
5. Cumprimento da misso
38
Inteligncia de ameaas
Instantneo de malware:
tendncias observadas em 2013
Especialistas em segurana da Cisco executam pesquisa e
anlises contnuas de trfego de malware e outras ameaas
descobertas, que podem oferecer uma percepo sobre o possvel
comportamento criminoso e uma ajuda na deteco de ameaas.
FIGURA 18
4% 4%
Downloader
Worm
Dropper (0%)
8%
Adware
Cavalo de troia
20%
Virus
64%
FIGURA 19
Spyeye (>1%)
3%
Hupigon
4%
Blackhole
7%
Gamevance
10%
Zeusbot
10%
Megasearch
11%
Syfro
14%
Multiplug
(Adware)
Onlinegames
41%
39
Inteligncia de ameaas
FIGURA 20
No classificado
Outro
30%
25%
20%
15%
Negcios e indstria
Infraestrutura
Hospedagem na Web
Anncios
Computadores e Internet
Compras
Notcias
Mquinas de pesquisa e portais
Comunidades online
10%
5%
0
Jan.
Fev.
Mar.
Abr.
Mai.
Jun.
Jul.
Ago.
Set.
Out.
Nov.
Ms
FIGURA 21
3%
(1%)
SMS, phishing
e likejacking
(1%)
Construtores
e ferramentas de hackers
5%
Worms e vrus
Ransomware
e scareware
17%
Downloader
e dropper
22%
Cavalos de Troia
para roubo de dados
23%
iFrames
e exploraes
27%
40
Inteligncia de ameaas
A pesquisa da Cisco TRAC/SIO durante 2013 mostra que cavalos de troia com vrias
finalidades foram os malwares mais frequentemente encontrados, com 27% do total de
encontros. Scripts mal-intencionados, como exploraes e iframes, foram a segunda
categoria mais frequentemente encontrada, com 23%. Cavalos de troia para roubos de dados,
como ladres de senha e backdoors, compunham 22% do total de encontros de malware na
web, com cavalos de troia de downloaders e dropper em quarto lugar com 17% do total de
encontros (consulte a Figura 21).
O declnio contnuo em hosts e endereos IP exclusivos de malware (30% de declnio entre
janeiro de 2013 e setembro de 2013) sugere que o malware esteja sendo concentrado em
um nmero menor de hosts e de endereos IP (Figura 22). (Obs.: um endereo IP pode
atender sites de vrios domnios). medida que o nmero de hosts diminui (mesmo com
os malwares permanecendo estveis), o valor e a reputao desses hosts se tornam mais
importantes, j que bons hosts ajudam os criminosos a cumprirem seus objetivos.
FIGURA 22
nico
host
50.000
nico
IP
40.000
30.000
20.000
10.000
0
Jan.
Fev.
Mar.
Abr.
Mai.
Jun.
Ms
Jul.
Ago.
Set.
Out.
Nov.
41
Inteligncia de ameaas
Alvos primrios:
verticais do setor
Empresas em verticais de alta
lucratividade, como o setor de farmcia
e qumica e de fabricao de eletrnicos,
tm as maiores taxas de encontros
de malware na web, de acordo com a
pesquisa da Cisco TRAC/SIC.
A taxa aumenta ou diminui medida que o valor dos bens e
servios de um vertical especfico aumenta ou diminui.
Os pesquisadores da Cisco TRAC/SIO observaram um
aumento notvel no encontro com malwares no setor
de agricultura e minerao, antes um setor relativamente
de baixo risco. Eles atribuem o aumento em encontros
com malware desse setor a criminosos cibernticos que
aproveitam tendncias como a reduo de recursos
de metais preciosos e interrupes no fornecimento de
alimentos relacionadas ao clima.
Tambm continuam a aumentar os encontros com malware
no setor de eletrnicos. Os especialistas em segurana da
Cisco relatam que malwares direcionados a esse vertical
geralmente so projetados para ajudar os agentes a obter
acesso propriedade intelectual, que eles por sua vez usam
para obter vantagem competitiva ou vender para quem
pagar mais.
Para determinar taxas de encontro com malware especficos
do setor, os pesquisadores da Cisco TRAC/SIO comparam
a mdia da taxa de encontros de todas as empresas que se
conectam atravs do proxy do Cisco Cloud Web Security
com a mdia da taxa de encontros de todas as empresas
em um setor especfico que se conectam atravs do proxy
do servio. Uma taxa de encontro do setor acima de 100%
42
Inteligncia de ameaas
100%
200%
300%
400%
500%
600%
700%
43
Inteligncia de ameaas
Fraturas em um ecossistema
frgil
Os criminosos cibernticos esto aprendendo que aproveitar o
poder da infraestrutura de Internet produz muito mais benefcios
que o simples ganho de acesso a computadores individuais.
A mudana mais recente nas exploraes mal-intencionadas a obteno de acesso
a servidores de hospedagem na web, nameservers e data centers, com o objetivo de
aproveitar o enorme poder de processamento e largura de banda que eles oferecem. Atravs
dessa abordagem, as exploraes podem atingir muitos mais usurios de computador
desavisados e ter um impacto muito maior nas empresas alvejadas, independentemente do
objetivo ser fazer uma declarao poltica, enfraquecer um adversrio ou gerar receita.
FIGURA 24
Website
comprometido
Website
comprometido
Website
comprometido
Website
comprometido
Website
comprometido
Servidor de hospedagem comprometido
44
Inteligncia de ameaas
Em essncia, essa tendncia de ter como alvo a infraestrutura de Internet significa que no se
pode confiar na base da prpria web. Os mtodos usados para obter acesso raiz a servidores
do host so variados e incluem tticas como cavalos de troia em estaes de trabalho de
gerenciamento que roubam credenciais de login de servidor, vulnerabilidades em ferramentas
de gerenciamento de terceiros usadas nos servidores e tentativas de login com fora bruta
(consulte a pgina 53). Vulnerabilidades desconhecidas no prprio software de servidor pode
tambm fornecer vias de acesso.
Um servidor do host comprometido pode infectar milhares de sites e proprietrios de sites
em todo o mundo (Figura 24).
Sites hospedados em servidores comprometidos agem como um redirecionador (o
intermedirio na cadeia de infeco) e como um repositrio de malware. Em vez de muitos
sites comprometidos carregarem malware de apenas alguns domnios mal-intencionados
(uma relao de muitos para poucos), a relao agora se tornou de muitos para muitos,
dificultando os esforos para desativ-los.
Nameservers de domnio so alvos principais nessa nova linhagem de ataque e os mtodos
exatos ainda esto sob investigao. H indicao que, alm de sites individuais e servidores
do host, os nameservers em certos provedores de hospedagem tambm esto sendo
comprometidos. Os pesquisadores de segurana da Cisco dizem que essa tendncia de
ataque infraestrutura de Internet muda o panorama das ameaas, pois fornece aos criminosos
cibernticos o controle sobre uma parte da prpria base da web que no insignificante.
[ "O crime ciberntico se tornou muito lucrativo e uma mercadoria que precisa de uma
infraestrutura poderosa para se manter tona", diz Gavin Reid, diretor de inteligncia de
ameaas da Cisco. "Ao comprometer servidores do host e data centers, os agressores no
s ganham acesso a grandes quantidades de largura de banda, como tambm ao benefcio
de tempo de atividade contnuo desses recursos". ]
45
Inteligncia de ameaas
FIGURA 25
,5%
,5% Dinamarca
10%
1% Holanda
Irlanda
Reino Unido
3% Canad
58% Estados Unidos
1%
2%
Blgica
Frana
9% Alemanha
1%
,5% Chipre
2% Espanha
Japo
,5% Turquia
,5%
Malsia
2% Itlia
1% Sua
,5% Outros
1% Litunia
2%
Tailndia
1%
Austrlia
2% Cingapura
46
Inteligncia de ameaas
condicionais, por exemplo, injetar o iframe apenas se o visitante chegar de uma pgina de
resultados de mecanismo de pesquisa, no injetar o iframe se o endereo IP do visitante
corresponder ao do proprietrio do site ou provedor de hospedagem, e injetar o iframe
apenas uma vez a cada 24 horas para visitantes individuais.
A investigao da Cisco TRAC/SIO revelou que os comprometimentos do DarkLeech se
estenderam por tudo o mundo; pases com o maior nmero de provedores de hospedagem
naturalmente enfrentaram a maior taxa de infeco.
Os pesquisadores da Cisco SIO/TRAC consultaram milhares de servidores comprometidos
para determinar a distribuio das verses de software de servidor afetadas.
Em abril de 2013, foi detectado outro backdoor mal-intencionado que infectou centenas de
servidores que executam software de servidor HTTP Apache. O Linux/CDorked20 substituiu o
binrio HTTPD em verses do Apache instaladas no cPanel. Backdoors similares direcionados
a Nginx e Lighttpd foram tambm descobertos. To seletivo quanto o DarkLeech em seus
FIGURA 26
0.5% Apache/CentOS
2% Apache/2.2.8
7% Apache/2.2.22
8% Apache/2.2.3 RedHat
39% Apache-unspecified
47
Inteligncia de ameaas
mtodos de ataque, o CDorked tambm usa critrios condicionais para injetar dinamicamente
iframes em sites hospedados no servidor afetado. Qualquer visitante navegando em um site
afetado recebe ento contedo mal-intencionado de outro site mal-intencionado, onde um kit
de ferramentas de crimeware tenta comprometer ainda mais o PC do usurio.21
Um recurso exclusivo do Linux/CDorked que ele se desloca pelos domnios do site em
24 horas, em mdia. Poucos sites comprometidos so usados por tanto tempo. Assim,
mesmo se um domnio de malware for relatado, os agressores no estaro mais l. Tambm,
com o Linux/CDorked, os provedores de hospedagem so alterados frequentemente (a cada
duas semanas), deslocando-se pelos hosts comprometidos para evitar
deteco. Nameservers comprometidos nos mesmos provedores
de hospedagem permitem que agentes mal-intencionados
passem de host para host sem perder controle de domnios
CDorked
durante a transio. Assim que estiverem em um novo host,
e o DarkLeech parecem
os agressores comeam a percorrer ciclicamente os novos
domnios, usando frequentemente nomes de domnios com
fazer parte de uma
22
erros de digitao em uma tentativa de parecer legtimo a
estratgia muito maior
observadores casuais.
e mais complexa.
48
Inteligncia de ameaas
Trfego mal-intencionado,
frequentemente um sinal
de ataques direcionados,
detectados em todas as redes
corporativas
De acordo com a anlise da Cisco das tendncias de inteligncia
de ameaas, o trfego mal-intencionado visvel em 100%
das redes corporativas. Isso significa que h evidncia de que
criminosos sofisticados ou outros agentes penetraram nessas
redes e podem estar operando sem serem detectados por
grandes perodos de tempo.
Todas as empresas devem supor que foram hackeadas, ou pelo menos concordar que no
uma questo de "se elas sero alvo de um ataque" e sim "quando" e "por quanto tempo".
[ Em um projeto recente que examina as consultas de DNS (Domain Name Service) originadas
49
Inteligncia de ameaas
Apesar de seus melhores esforos para manter suas redes livres de ameaas malintencionadas, todas as empresas que a Cisco examinou durante 2013 mostraram evidncia
de trfego suspeito. O trfego identificado atravs de consultas de DNS pode fornecer
forte IoCs e vale a pena ser investigado por empresas que desejem impedir esses agentes
de ameaas, que so difceis de serem identificados, em suas redes. um mtodo para
aumentar a visibilidade da movimentao de criminosos que so geralmente muito difceis de
serem localizados.
FIGURA 27
100%
100%
Infraestrutura sequestrada
96%
92%
FTP suspeito
88%
VPN suspeita
79%
Educao atravs
de ameaas
71%
Pornografia
50%
50
Inteligncia de ameaas
51
Inteligncia de ameaas
52
Setor
Investigadores da Cisco SIO elevam a discusso em torno das
tendncias do setor que se estendem alm da telemetria da Cisco.
53
Setor
FIGURA 28
Quando bem-sucedido, o PC
carrega o bot PHP e outros
scripts para o website
recm-comprometido.
54
Setor
atravs de CMS.
55
AMPLIFICAO DE DNS:
Tcnicas de atenuao
Setor
Ataques DDoS: o
que era velho voltou
a ser novidade
Ataques DDoS (Distributed Denial of
Service), que podem interromper o trfego
de entrada e sada dos sites atacados e
paralisar ISPs (provedores de servios de
Internet), tm aumentado em volume e
gravidade.
Como os ataques DDoS tm sido considerados "notcias
antigas" em termos de tcnicas de crime ciberntico,
muitas empresas estavam confiantes de que as medidas
de segurana implantadas poderiam fornecer proteo
adequada. Mas essa confiana foi abalada por ataques
DDoS de grande escala em 2012 e 2013, incluindo a
Operao Ababil, que teve como alvo vrias instituies
financeiras, com provvel motivao poltica.27
"Ataques DDoS devem ser uma das principais preocupaes
de segurana para as empresas no setor pblico e privado
em 2014", diz John N. Stewart, vice-presidente snior e
chefe de segurana da Cisco. "Espera-se que as campanhas
futuras sejam ainda mais extensas e que durem por perodos
mais longos. Empresas, especialmente aquelas que operam
ou tm interesse em setores que j so alvos principais, como
servios financeiros e de energia, precisam se perguntar:
"podemos ser resilientes contra um ataque DDoS?"
Uma nova peculiaridade: alguns ataques DDoS esto
sendo provavelmente usados para ocultar outras atividades
nefastas, como fraudes eletrnicas, antes, durante ou aps
uma campanha. (Consulte "DarkSeoul," pgina 57).
Esses ataques podem sobrecarregar as equipes do
56
Setor
57
Setor
DarkSeoul
Como observado em "Ataques DDoS: o
que era velho voltou a ser novidade", o
novo foco dos criminosos cibernticos e o
crescimento rpido do conhecimento em
comprometer servidores do host esto
apenas facilitando lanar ataques DDoS e
roubar as empresas.
Os pesquisadores de segurana da Cisco alertam que as
campanhas futuras de DDoS tero mais probabilidade de
causar interrupes e danos mais significativos, incluindo
prejuzo financeiro, devido ao roubo.
Os ataques direcionados do DarkSeoul de maro de 2013
envolveram um malware "apagador" destinado a destruir
dados nos discos rgidos de dezenas de milhares de PCs
e servidores. Os ataques foram direcionados a instituies
financeiras e empresas de mdia na Coreia do Sul, com o
payload definido para ser ativado ao mesmo tempo. No
entanto, o malware apagador parece ser apenas uma faceta
do ataque. Ao mesmo tempo em que o malware foi disparado,
o site do provedor de rede coreano LG U+ foi desfigurado
e as redes de outras empresas atacadas comearam a cair,
recursos no reproduzveis no malware apagador.32
58
Setor
Alguns acreditam que os ataques foram resultado de uma guerra ciberntica instituda pela
Coreia do Norte para causar uma interrupo econmica Coreia do Sul ou um ato de
sabotagem por outra nao. Mas existe a possibilidade de que os ataques do DarkSeoul
tiveram como objetivo ocultar ganhos financeiros.33
Os pesquisadores de segurana ainda esto tentando compreender esses ataques e
descobrir quem foi responsvel por eles, porm, as evidncias indicam que os planos do
DarkSeoul podem ter sido colocados em prtica desde 2011. Nesse ano, o FBI (Federal
Bureau of Investigation) dos EUA emitu o primeiro alerta sobre o surgimento de cavalos de
troia bancrios projetados para ocultar a transferncia de fundos fraudulentos das contas
das vtimas.34 Depois, em 2013, a empresa de segurana RSA relatou uma nova linhagem
de criminosos cibernticos construindo uma campanha de cavalo de troia sofisticada que
poderia iniciar um ataque em um dia programado e tentar "sacar o mximo possvel de
contas comprometidas, antes que suas operaes fossem interrompidas por sistemas de
segurana".35 E, na vspera de natal de 2012, ladres online usaram um ataque DDoS como
disfarce enquanto roubavam de uma instituio financeira regional da Califrnia,36
Um binrio de malware identificado nos ataques do DarkSeoul, que teve como alvo empresas
de mdia e instituies financeiras, um cavalo de troia bancrio que teve como alvo
especfico os clientes dos mesmos bancos coreanos, de acordo com os investigadores da
Cisco TRAC/SIO. Esse fato, junto com o cronograma de tendncias de crime ciberntico que
levaram ao DarkSeoul, indica que a campanha pode ter sido roubo disfarado de outra coisa.
Ransomware
Ao longo de 2013,
os agressores foram se
afastando cada vez mais
de infeces conduzidas
por botnet tradicionais
em PCs.
59
Setor
FIGURA 29
60
Setor
61
Setor
permetros corporativos inteiros mudando para a nuvem. Essas bordas de rede passaram pelo
processo de se tornarem muito menos bem definidas nos anos recentes. Mas, com tantos
aplicativos e tantos dados na nuvem, as empresas esto perdendo rapidamente a capacidade
de ver quem e o que est entrando e saindo das fronteiras corporativas, e que tipo de aes
esto efetuando. ]
A transio para a nuvem muda o jogo, pois ela redefine onde os dados so armazenados,
movido e acessados, criando oportunidades maiores para os agressores.
Colaborando ainda mais com o medo de ceder o controle de dados nuvem, temos a falta de
informaes sobre como os fornecedores de nuvem defendem seus produtos contra violaes
de segurana. Frequentemente, as empresas no perguntam o suficiente sobre o que est
contido nos nveis de acordo de servios de seus fornecedores, ou com qual frequncia os
fornecedores atualizam seu software de segurana ou corrigem suas vulnerabilidades.
62
Setor
63
Recomendaes
Mais empresas esto lutando para solidificar uma viso de segurana
apoiada por uma estratgia eficaz que usa novas tecnologias, simplifica
sua arquitetura e operaes e fortalece suas equipes de segurana.
64
Recomendaes
65
Recomendaes
Antes de um ataque: para defender sua rede, as empresas precisam saber o que ela
contm: dispositivos, sistemas operacionais, servios, aplicativos, usurios, etc. Alm disso,
eles precisam implantar controles de acesso, aplicar polticas de segurana e bloquear
aplicativos e acesso geral a ativos cruciais. No entanto, as polticas e controles so apenas
uma pequena pea de um panorama maior. Essas medidas podem ajudar a reduzir a rea
de superfcie de ataque, mas haver sempre lacunas que os agressores encontraro e
exploraro para atingir seus objetivos.
Durante um ataque:as empresas precisam lidar com uma ampla variedade de vetores de
ataque com solues que operam em todos os lugares em que uma ameaa possa se
manifestar na rede, em endpoints, de dispositivos mveis e em ambientes virtuais. Com
solues eficazes implantadas, os profissionais de segurana estaro melhor posicionados
para bloquear ameaas e ajudar a defender o ambiente.
Aps um ataque: invariavelmente, muitos ataques sero bem sucedidos. Isso significa que
as empresas precisam ter um plano formal implantado que as permitir determinar o escopo
do dano, conter o evento, remediar e trazer as operaes para dentro da normalidade o
mais rpido possvel.
[ "Os agressores e suas ferramentas avanaram para escapar das defesas tradicionais. A
realidade que no se trata mais de saber se os agressores sero bem-sucedidos e
sim, quando", diz Marty Roesch, arquiteto-chefe de segurana do Grupo de segurana da
Cisco. "Uma abordagem segurana focada em ameaas e concentrada na visibilidade
necessria para proteger os usurios durante todo o processo de ataqueantes, durante e
depois de um ataque". ]
66
Recomendaes
67
Apndice
68
Apndice
As empresas de segurana
precisam de cientistas de
dados
Ferramentas introdutrias de anlise dados para profissionais de
segurana
As equipes do chefe de segurana (CSO) esto coletando uma quantidade sem precedentes
de dados e a inteligncia capturada nesses dados valiosa demais para ficar sem ser
utilizada. A anlise dos dados pertinentes segurana proporciona dicas sobre as atividades
dos agressores e d uma percepo acionvel sobre como frustrar ataques.
A anlise de dados no novidade ao profissional de segurana. H tambm uma expectativa
entre os profissionais de segurana de que os registros sero gerados e rotulados. Testadores
de penetrao criam um registro da investigao aps uma avaliao. Projetistas de sistemas
operacionais implantam subsistemas de auditoria. Desenvolvedores de
aplicativos projetam aplicativos que gerenciam logs.
Independentemente de como os registros so chamados, uma
coisa certa: os profissionais de segurana tm uma grande
quantidade de dados e analisar esses dados pode levar a
descobertas importantes.
Embora a anlise dados, por si s, no seja novidade, a
evoluo do panorama da segurana teve um impacto no
processo da anlise de dados.
Os profissionais
de segurana tm
uma grande quantidade
de dados e analisar esses
dados pode levar
a descobertas
importantes.
69
Apndice
FIGURA A1
70
Apndice
Com esse conhecimento, uma pessoa pode escrever um script que dividir traffic_sample.
pcap em arquivos pcap individuais:
$ cat ~/bin/uniq_stream.sh
#!/bin/bash
function getfile_name() {
orig_name=$1
stream=$2
file_name+="-${stream}.pcap"
echo "${file_name}"
return 0
}
streams=$(tshark -r ${1} -T fields -e tcp.stream | sort -un | tr \n )
for x in ${streams}
do
done
$
O script cria um nico arquivo pcap para cada um dos 147 streams TCP em traffic_sample.
pcap. Agora mais fcil fazer anlises mais detalhadas em cada stream TCP. Observe
que pacotes que no so TCP de traffic_sample.pcap no estaro em nenhum dos novos
arquivos pcap:
$ /bin/uniq_stream.sh traffic_sample.pcap
Creating traffic_sample-1.pcap...
Creating traffic_sample-2.pcap...
Creating traffic_sample-146.pcap...
Creating traffic_sample-147.pcap...
71
Apndice
O Scapy tem seus prprios pontos fortes. Desde o seu desenvolvimento em Python, todos
os recursos da linguagem Python e outras ferramentas Python podem ser usadas. O snippet
a seguir demonstra como o Scapy faz uso da sobrecarga do operador de forma que a
elaborao de trfego pode ser feita de maneira rpida e intuitiva.
# scapy
>>> dns_query = IP()/UDP()/DNS()
>>> from socket import gethostbyname,gethostname
>>> dns_query[IP].src = gethostbyname(gethostname())
>>> dns_query[IP].dst = "8,8.8,8"
>>> import random
>>> random.seed()
>>> dns_query[UDP].sport = random.randint(0, 2**16)
>>> dns_query[DNS].id = random.randint(0, 2**16)
>>> dns_query[DNS].qdcount = 1
>>> dns_query[DNS].qd = DNSQR(qname="www.cisco.com")
>>> scapy.sendrecv.sr1(dns_query)
>>> response = scapy.sendrecv.sr1(dns_query)
Begin emission:
............Finished to send 1 packets.
.*
Received 14 packets, got 1 answers, remaining 0 packets
>>> response[DNS].ar[DNSRR].rdata
64.102.255.44
>>>
Este exemplo mostra como os pacotes podem ser construdos e como o trfego ao vivo
pode ser analisado. No entanto, o Scapy pode ser usado para analisar arquivos pcap com a
mesma facilidade.
72
Apndice
1: src
2: srcport
3: dst
4: dstport
73
Apndice
O Csvkit inclui uma srie de utilitrios. O Csvstat especialmente til, pois ele computa
automaticamente vrias estatsticas. Por exemplo, fcil calcular a frequncia dos cinco
principais hosts src:
$ csvstat -c 1 tcp_data.csv
1. src
<type unicode>
Nulls: False
Unique values: 55
5 most frequent values:
tty.example.org: 2866
lad.example.org: 1242
bin.example.org: 531
trw.example.org: 443
met.example.org: 363
Max length: 15
Row count: 6896
74
Apndice
O exemplo a seguir demonstra como os profissionais de segurana podem usar essas trs
ferramentas para representar graficamente os principais hosts src em tcp_data.csv:
In [3]: df = read_csv("/Users/shiva/tmp/data_analysis/tcp_data.csv")
In [4]: df
Out[4]:
<class pandas.core.frame.DataFrame>
Int64Index: 6896 entries, 0 to 6895
Data columns (total 4 columns):
src 6896 non-null values
srcport 6896 non-null values
dst 6896 non-null values
dstport 6896 non-null values
dtypes: int64(2), object(2)
In [5]: df[src].value_counts()[0:10]
Out[5]:
tty.example.org 2866
lad.example.org 1242
bin.example.org 531
trw.example.org 443
met.example.org 363
gee.example.org 240
gag.example.org 126
and.example.org 107
cup.example.org 95
chi.example.org 93
dtype: int64
In [6]: df[src].value_counts()[0:10].plot(kind="bar")
Out[6]: <matplotlib.axes.AxesSubplot at 0x8479c30>
75
Apndice
FIGURA A2
2500
2000
1500
1000
500
chi.example.org
cup.example.org
and.example.org
gag.example.org
gee.example.org
met.example.org
trw.example.org
bin.example.org
lad.example.org
tty.example.org
A beleza dos pandas a maneira que eles permitem a explorao dos dados pelos usurios.
Por exemplo, pouco esforo necessrio para encontrar o nmero de srcports nicos que
ty.example.org conecta de cada combinao dst e dstport exclusiva, com que ele se comunica:
Out[231]:
dst dstport
add.example.org 80 2
ala.example.org 80 3
and.example.org 80 1
auk.example.org 80 2
bid.example.org 80 1
76
Apndice
77
78
Cisco SIO
Gerenciar e proteger as redes distribudas e geis de hoje
tornou-se um desafio cada vez mais difcil.
Os criminosos online continuam a explorar a confiana dos usurios em aplicaes e
dispositivos de consumo, aumentando o risco para as empresas e funcionrios. A segurana
tradicional, baseada em camadas de produtos e no uso de vrios filtros, no suficiente para
a defesa contra a mais recente gerao de malwares, que se espalha rapidamente, tem alvos
mundiais e usa vrios vetores para se propagar.
A Cisco se mantm frente das mais novas ameaas, usando a inteligncia de ameaas
em tempo real do Cisco Security Intelligence Operations (SIO). O Cisco SIO o maior
ecossistema mundial de segurana em nuvem, usando mais de 75 terabits de feeds de
dados ao vivo recolhidos das solues de e-mail, web, firewall e do sistema de preveno a
invases (IPS) da Cisco.
O Cisco SIO avalia e processa os dados, categoriza automaticamente
ameaas e cria regras usando mais de 200 parmetros. Os
pesquisadores de segurana tambm coletam e fornecem
A segurana
informaes sobre eventos de segurana que tm potencial de
tradicional no
impacto generalizado sobre redes, aplicativos e dispositivos.
As regras so transferidas de forma dinmica aos dispositivos
suficiente para se
de segurana da Cisco de cada trs a cinco minutos.
defender contra a
A equipe da Cisco SIO tambm publica as melhores prticas
gerao mais recente
de segurana, alm de orientaes tticas para bloquear
de malwares.
ameaas. A Cisco est empenhada em oferecer solues
completas de segurana que sejam integradas, adequadas,
abrangentes e eficazes, que permitam uma segurana holstica
para empresas em todo o mundo. Com a Cisco, as empresas podem
economizar tempo com pesquisas sobre ameaas e vulnerabilidades, concentrando-se mais
em uma abordagem proativa da segurana.
Para saber mais sobre inteligncia de alerta precoce, anlise de ameaas e vulnerabilidades e
sobre as comprovadas solues de atenuao da Cisco, acesse: www.cisco.com/go/sio.
79
Notas finais
1 Para obter mais informaes sobre a evoluo abrangente, consulte "The Nexus of Devices, Clouds, and Applications" no
Relatrio de Segurana Anual da Cisco de 2013: https://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf.
2 Ibid.
3
No More Chewy Centers: Introducing The Zero Trust Model Of Information Security, por John Kindervag, Forrester,
Nov. 12, 2012.
4 "Timeline of Edward Snowdens Revelations," Al Jazeera America: http://america.aljazeera.com/articles/multimedia/timelineedward-snowden-revelations.html.
5 "NSA collecting phone records of millions of Verizon customers daily", por Glenn Greenwald, The Guardian, Jun. 5, 2013:
http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order.
6
7 "O NSA se infiltra em links para os data centers do Yahoo e Google em todo o mundo, diz os documentos de Snowden",
por Barton Gellman e Ashkan Soltani, 30 de outubro de 2013, The Washington Post: http://www.washingtonpost.com/world/
national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/
e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html.
8 Para obter mais informaes, consulte "Cisco Secure Development Life cycle (CSDL)": http://www.cisco.com/web/about/
security/cspo/csdl/index.html.
9 Ibid.
10
11
12
13
14
15
16
17
18
19
20
21
22
23
A Cisco define a Internet de Todas as Coisas como "a prxima onda de crescimento drstico da Internet que vir atravs da
confluncia de pessoas, processos, dados e coisas".
"Massive Spam and Malware Campaign Following the Boston Tragedy", Cisco Security Blog, 17 de abril de 2013:
http://blogs.cisco.com/security/massive-spam-and-malware-campaign-following-the-boston-tragedy/.
Ibid.
Ibid.
"Department of Labor Watering Hole Attack Confirmed to be 0-Day with Possible Advanced Reconnaissance Capabilities",
por Craig Williams, Cisco Security Blog, 4 de maio de 2013: http://blogs.cisco.com/security/department-of-labor-wateringhole-attack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/.
"Watering-Hole Attacks Target Energy Sector", por Emmanuel Tacheau, Cisco Security Blog, 18 de setembro de 2013:
http://blogs.cisco.com/security/watering-hole-attacks-target-energy-sector/.
"Apache DarkLeech Compromises", por Mary Landesman, Cisco Security Blog, 2 de abirl de 2013: http://blogs.cisco.com/
security/apache-DarkLeech-compromises/.
"Ongoing malware attack targeting Apache hijacks 20,000 sites", por Dan Goodin, Ars Technica, 2 de abril de 2013:
http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/.
"Linux/CDorked FAQS", por Mary Landesman, Cisco Security Blog, 1 de maio de 2013: http://blogs.cisco.com/security/
linuxcdorked-faqs/.
"DarkLeech Apache Attacks Intensify", por Matthew J. Schwartz, InformationWeek, 30 de abril de 2013:
http://www.informationweek.com/security/attacks/DarkLeech-apache-attacks-intensify/240153922.
Typosquatting a prtica de registrar nomes de domnio que tem apenas um caractere diferente de um nome de domnio
popular.
"Thanks to IoE, the next decade looks positively nutty", por Dave Evans, Cisco Platform Blog, 12 de fevereiro de 2013:
http://blogs.cisco.com/news/thanks-to-ioe-the-next-decade-looks-positively-nutty/.
80
24
Para obter mais informaes sobre estratgias de atenuao de bitsquatting, leia o white paper da Cisco, Examining the
Bitsquatting Attack Surface, 2013: http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_
Surface-whitepaper.pdf.
25
26
27
28
29
30
31
32
33
34
35
36
37
"WordPress Sites in the World" e "A Look at Activity Across WordPress.com", WordPress.com:
http://en.wordpress.com/stats/.
"Important Security Update: Reset Your Drupal.org Password", Drupal.org, 29 de maio de 2013:
https://drupal.org/news/130529SecurityUpdate.
Um relatrio detalhado dos padres e payloads da campanha Operation Ababil pode ser encontrado em "Cisco Event
Response: Distributed Denial of Service Attacks on Financial Institutions": http://www.cisco.com/web/about/security/
intelligence/
ERP-financial-DDoS.html.
"DDoS Attack on Bank Hid $900,000 Cyberheist", por Brian Krebs, blog KrebsonSecurity , 19 de fevereiro de 2013:
http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.
"Chinese Internet Hit by Attack Over Weekend", por Paul Mozer, China Real Time Report, WSJ.com, 26 de agosto de 2013:
http://blogs.wsj.com/chinarealtime/2013/08/26/chinese-internet-hit-by-attack-over-weekend/.
Fonte: Wikipedia: "Ingress Filtering": http://en.wikipedia.org/wiki/Ingress_filtering.
Ibid.
"Cyber Gang Seeks Botmasters to Wage Massive Wave of Trojan Attacks Against U.S. Banks", por Mor Ahuvia, RSA, 4 de
outubro de 2012: https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-us-banks/.
"DDoS Attack on Bank Hid $900,000 Cyberheist", por Brian Krebs, blog KrebsonSecurity , 19 de fevereiro de 2013:
http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.
"Cisco projects data center-cloud traffic to triple by 2017", ZDNet, 15 de outubro de 2013: http://www.zdnet.com/ciscoprojects-data-center-cloud-traffic-to-triple-by-2017-7000021985/.
Sede - Amrica
Cisco Systems, Inc.
San Jose, CA
Sede - Europa
Cisco Systems International
BV Amsterdam,
Holanda
A Cisco possui mais de 200 escritrios no mundo todo. Os endereos, nmeros de telefones e fax esto disponveis no site da
Cisco: www.cisco.com/go/offices.
Todo contedo Copyright 20112014 Cisco Systems, Inc. Todos os direitos reservados. Este documento contm informaes
pblicas da Cisco. Cisco e o logotipo Cisco so marcas comerciais da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados
Unidos e em outros pases. Uma lista das marcas registradas da Cisco pode ser encontrada em www.cisco.com/go/trademarks.
As marcas de terceiros citadas pertencem a seus respectivos proprietrios. O uso do termo "parceiro" no implica uma relao de
sociedade entre a Cisco e qualquer outra empresa. (012114 v1)