ACR Relatorio Anual de Seguranca Cibernetica PDF

Conteúdo
Resumo executivo............................................. 3
Parte I: O cenário do ataque............................. 6
A evolução do malware ........................................................ 6
Tráfego da Web mal-intencionado criptografado ................. 9
As ameaças de e-mail .......................................................14
Táticas de evasão sandbox ................................................22
Abuso dos serviços em nuvem e
outros recursos legítimos....................................................24
Ataques à IoT e ao DDoS....................................................31
Vulnerabilidades e correção de falhas ................................38
Parte II: O cenário do defensor....................... 46

O custo dos ataques ..........................................................46
Desafios e obstáculos ........................................................47
Complexidade criada pelos fornecedores
na orquestração .................................................................48
Impacto: Exposição a críticas devido a
violações e maior risco de perda ........................................50
Serviços: Como lidar com pessoas e políticas,
bem como tecnologias........................................................53
Expectativas: Investimento em
tecnologia e treinamento ....................................................54
Conclusão........................................................ 57
Sobre a Cisco.................................................. 60
Anexo............................................................... 65
2 Relatório Anual de Segurança Cibernética da Cisco de 2018 | Índice

Resumo executivo
E se os defensores pudessem prever o futuro? Se fossem capazes de prever um
ataque, eles poderiam impedi-lo ou, pelo menos, minimizar o impacto e garantir a
segurança dos bens mais valiosos. A questão é: os defensores podem ver além do
horizonte. Há muitas pistas; algumas delas óbvias.
Os adversários já têm a experiência e as ferramentas 2. Os adversários estão se tornando cada vez mais
necessárias para derrubar infraestruturas e sistemas adeptos à evasão e transformando em armas os
essenciais e incapacitar regiões inteiras. Mas quando surgem serviços em nuvem e outras tecnologias utilizadas
notícias sobre ataques digitais impactantes e destrutivos para fins legítimos.
(como os que ocorreram na Ucrânia, por exemplo, ou em Além de desenvolver ameaças que podem evadir
outros lugares do mundo), os profissionais de segurança ambientes de sandboxing cada vez mais sofisticados
podem pensar inicialmente: “O mercado, a região ou o (página 22), os agentes mal-intencionados estão
ambiente tecnológico de nossa empresa não foi alvo, então, ampliando a adoção da criptografia para evadir a
provavelmente não corremos risco.” detecção (página 9). O propósito da criptografia é
ampliar a segurança, mas ela também proporciona aos
No entanto, ao ignorar o que pode parecer uma campanha
agentes mal-intencionados uma ferramenta poderosa
distante ou ao permitir que o caos dos embates diários com
para ocultar a atividade de comando e controle (C2) que
os invasores consuma toda sua atenção, os defensores não
oferece a eles mais tempo para causar os danos.
conseguem reconhecer a velocidade e a escala em que os
defensores estão acumulando e refinando seu armamento Os criminosos cibernéticos estão adotando também
cibernético. canais de C2 que dependem de serviços de Internet
legítimos, como Google, Dropbox e GitHub (consulte
Há anos a Cisco vem alertando os defensores sobre o a página 24). Essa prática torna o tráfego de malware
aumento das atividades criminosas digitais em todo o mundo. quase impossível de identificar.
Neste nosso relatório anual mais recente de segurança
Além disso, muitos invasores estão lançando diversas
cibernética, apresentamos dados e análises de pesquisadores
campanhas de um único domínio (página 26) para
de ameaças da Cisco e de vários de nossos parceiros de
obter o melhor retorno sobre seus investimentos. Eles
tecnologia sobre o comportamento dos invasores observado
também estão reutilizando recursos de infraestrutura,
nos últimos 12 a 18 meses. Muitos dos tópicos analisados no
como endereços de e-mail do inscrito, números de
relatório estão agrupados em três temas:
sistemas autônomos (ASN) e servidores de nomes.
1. Os adversários estão alçando o malware a níveis de 3. Os adversários estão explorando as brechas na

sofisticação e impacto sem precedentes. segurança que, muitas vezes, surgem com a Internet
das Coisas (IoT) e a utilização de serviços em nuvem.
A evolução do malware (página 6) foi um dos
desenvolvimentos mais importantes no cenário de Os defensores estão implantando dispositivos de IoT
ataques de 2017. O surgimento dos criptoworms em um ritmo rápido, mas muitas vezes prestam pouca
de ransomware pela rede elimina a necessidade atenção à segurança desses sistemas. Dispositivos de
do elemento humano para lançar campanhas de IoT não corrigidos e não monitorados dão aos invasores
ransomware. E para alguns adversários, o prêmio não a oportunidade de se infiltrarem em redes (página 34).
é o resgate, mas a destruição dos sistemas e dados, As empresas que têm dispositivos de IoT suscetíveis a
como provou o Nyetya (malware limpador disfarçado ataques também parecem desmotivadas para acelerar
de ransomware) (consulte a página 6). O malware de a remediação, segundo a pesquisa (página 42). Essas
autopropagação é perigoso e pode derrubar a Internet, empresas provavelmente têm muito mais dispositivos de IoT
segundo os pesquisadores de ameaças da Cisco. vulneráveis nos ambientes de TI do que sabem.
3 Relatório Anual de Segurança Cibernética da Cisco de 2018 | Resumo executivo

Enquanto isso, botnets de IoT estão se expandindo •• Adotar ferramentas de monitoramento do processo
junto com a IoT e tornando-se mais maduros e de endpoint de próxima geração.
automatizados. À medida que se ampliam, os invasores •• Acessar dados e processos precisos e oportuno da
os utilizam para lançar ataques de negação de serviço inteligência de ameaças que permitem que esses dados
distribuído (DDoS) mais avançados (página 31). sejam incorporados ao monitoramento da segurança e a
Os invasores também estão tirando proveito da eventos de segurança.
dificuldade das equipes de segurança em defender os •• Realizar análises mais profundas e avançadas.
ambientes de IoT e de nuvem. Um motivo é a falta de
•• Verificar e aplicar procedimentos de resposta de
clareza em torno de quem é o responsável por proteger
segurança.
os ambientes (consulte a página 42).
•• Fazer backup de dados e testar procedimentos de
Recomendação para defensores restauração: processos críticos em um mundo de worms
Quando os adversários inevitavelmente atacarem suas de ransomware pela rede e armas digitais destrutivas que
empresas, os defensores estarão preparados? E com que mudam rapidamente.
velocidade eles conseguirão se recuperar? As descobertas •• Verificar a eficiência de testes de tecnologias de
do Estudo comparativo dos recursos de segurança da segurança de terceiros para reduzir os riscos de ataques
Cisco de 2018, que fornece informações sobre as práticas à cadeia de fornecimento.
de segurança de mais de 3.600 entrevistados em 26 países,
•• Realizar varredura de segurança de microsserviços,
mostram que os defensores têm muitos desafios a superar
serviços em nuvem e sistemas de administração de
(consulte a página 46).
aplicativos.
Mesmo assim, os defensores descobrirão que fazer melhorias •• Revisar sistemas de segurança e explorar o uso de
de segurança estratégica e aderir a melhores práticas dados analíticos de SSL (e, se possível, descriptografia
comuns pode reduzir a exposição a novos riscos, diminuir de SSL).
o progresso dos invasores e oferecer mais visibilidade do
Os defensores também devem considerar a adoção de
cenário de ameaças. Eles devem considerar o seguinte:
tecnologias de segurança avançadas que incluem recursos
•• Implementar ferramentas de defesa de primeira linha que de aprendizagem de máquina e inteligência artificial. Com
podem ser escaladas, como plataformas de segurança o malware escondendo sua comunicação dentro do tráfego
da nuvem. da Web criptografado, e invasores internos enviando dados
•• Confirmar que seguem as políticas e práticas corporativas confidenciais através de sistemas corporativos em nuvem,
para corrigir falhas no aplicativo, sistema e dispositivo. as equipes de segurança precisam de ferramentas eficientes
para impedir ou detectar o uso de criptografia para esconder
•• Empregar a segmentação de rede para ajudar a reduzir
a atividade mal-intencionada.
exposições de outbreak.
Sobre o relatório
O Relatório Anual de Segurança Cibernética da Cisco de 2018 apresenta nossos avanços mais recentes no setor de segurança
projetados para ajudar as empresas e os usuários a se defenderem contra ataques. Também analisamos técnicas e estratégias que os
criminosos usam para violar essas defesas e escapar da detecção.
O relatório também destaca as principais descobertas do Estudo comparativo de recursos de segurança da Cisco de 2018, que examina
os procedimentos de segurança de empresas e a percepção que elas têm de suas condições técnicas para se defenderem contra ataques.
4 Relatório Anual de Segurança Cibernética da Cisco de 2018 | Resumo executivo

Parte I:
O cenário de ataques
Parte I: O cenário de ataques
Os adversários estão alçando o malware a níveis de sofisticação e impacto
sem precedentes. O número crescente e os diversos tipos e linhas de malware
perpetuam o caos no cenário de ataque ao minar os esforços dos defensores para
ganhar e manter posições contra as ameaças.
A EVOLUÇÃO DO MALWARE
Um dos mais importantes desdobramentos no cenário de ataques em 2017 foi a evolução do ransomware. O
surgimento dos worms de ransomware pela rede elimina a necessidade do elemento humano para lançar campanhas
de ransomware. E para alguns adversários, o prêmio não é o resgate, mas a destruição de sistemas e dados.
Esperamos ver mais atividades como essa no ano que vem.
Eles estão por aí: os defensores devem se preparar para enfrentar novas ameaças de
rede autopropagadas em 2018
Em 2017, os adversários tornaram o ransomware ainda mais estimam que cerca de 312 pagamentos de resgate foram
perigoso, embora isso tenha sido esperado. Após a campanha feitos. Como comparação, o kit de exploração Angler, quando
SamSam de março de 20161 (o primeiro ataque em grande escala estava ativo, estava ganhando aproximadamente US$ 100
que usou o vetor da rede para espalhar ransomware, eliminando milhões por ano como um negócio global.
assim o usuário do processo de infecção), pesquisadores de
O WannaCry não rastreou os danos criptografados causados aos
ameaças da Cisco sabiam que seria apenas uma questão de
usuários afetados e os pagamentos feitos por eles. A quantidade
tempo antes de agentes de ameaças encontrarem uma maneira
de usuários que receberam chaves de descriptografia depois
de automatizar essa técnica. Os invasores tornariam o malware
de fazer um pagamento também é desconhecida. (O WannaCry
ainda mais potente ao combiná-lo com recursos semelhantes ao
ainda está se propagando, e os usuários continuam a pagar
worm para causar danos generalizados.
resgates. Tudo em vão.) Devido ao desempenho muito baixo
Essa evolução do malware foi rápida. Em maio de 2017, do WannaCry como ransomware, o governo dos EUA e muitos
o WannaCry (um ransomware cryptoworm) surgiu e se pesquisadores de segurança acreditam que o componente de
espalhou como fogo por toda a Internet.2 Para se propagar, resgate é efetivamente uma cortina de fumaça para esconder o
ele aproveitou uma vulnerabilidade de segurança do Microsoft verdadeiro propósito do WannaCry: limpar dados.
Windows chamada EternalBlue, que foi vazada pelo grupo de
O Nyetya (também conhecido como NotPetya) surgiu em
hackers Shadow Brokers em meados de abril de 2017.
junho de 2017.3 Este malware limpador também mascarou-
O WannaCry já havia recebido mais de US$ 143.000 através se como ransomware e também usou a vulnerabilidade da
de pagamentos de bitcoin até o momento em que as carteiras execução remota do código conhecida como "EternalBlue",
foram sacadas. Considerando o desenrolar do ataque e após bem como a vulnerabilidade da execução remota do código
calcular o valor originalmente pago pelo bitcoin às carteiras "EternalRomance" (também vazada pelos Shadow Brokers)
em US$ 93.531, os pesquisadores de ameaças da Cisco e outros vetores que envolvem a coleta de credenciais
1 SamSam: O Doutor Já Vai Te Atender, Assim Que Pagar O Resgate, blog do Cisco Talos, março de 2016: blog.talosintelligence.com/2016/03/samsam-ransomware.html.
2 O Jogador 3 Entrou no Jogo: Diga Olá para O “WannaCry”, blog do Cisco Talos, maio de 2017: blog.talosintelligence.com/2017/05/wannacry.html.
3 Nova Variante de Ransomware “Nyetya” Compromete Sistemas em Todo o Mundo, blog do Cisco Talos, junho de 2017: blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html.
6 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

não relacionados ao lançamento do Shadow Brokers.4 Ponto fraco da segurança: a cadeia de fornecimento
O Nyetya foi implantado através de sistemas de atualização A campanha Nyetya também foi um ataque à cadeia de
de software para um pacote de software fiscal, usado por fornecimento, um dos muitos ataques que os pesquisadores
mais de 80% das empresas na Ucrânia e instalado em mais de ameaças da Cisco observaram em 2017. Um motivo
de 1 milhão de computadores.5 A delegacia de crimes de pro sucesso do Nyetya em infectar tantas máquinas tão
informática da Ucrânia confirmou que ele afetou mais de rapidamente é que os usuários não viram uma atualização
2000 empresas ucranianas.6 automática de software como um risco à segurança ou, em
alguns casos, nem perceberam que estavam recebendo
Antes do surgimento do ransomware autopropagado, o
atualizações mal-intencionadas.
malware era distribuído de três maneiras: por drive-by
download, e-mail ou mídia física, como dispositivos de Outro ataque de cadeia de fornecimento, que ocorreu em
memória USB mal-intencionados. Todos os métodos exigiam setembro de 2017, envolveu os servidores de download
algum tipo de interação humana para infectar um dispositivo usados por um fornecedor de software para distribuir um
ou sistema com ransomware. Com o emprego desses novos pacote de software legítimo, conhecido como o CCleaner.7
vetores por parte dos invasores, uma estação de trabalho Os binários do CCleaner, que continham um backdoor com
ativa e não corrigida por patch é tudo o que eles precisam cavalo de Troia, foram assinados usando um certificado
para lançar uma campanha de ransomware na rede. válido, o que deu aos usuários a falsa confiança de que o
software que eles estavam usando era seguro. Os agentes
Profissionais de segurança podem ver os worms como um
por trás dessa campanha tinham por alvo as principais
"velho" tipo de ameaça, porque o número de CVEs (Common
empresas de tecnologia que usavam o software, seja de
Vulnerabilities and Exposures, vulnerabilidades e exposições
forma legitima ou como parte da sombra de TI.
comuns) diminuíram, enquanto os parâmetros de segurança
de produto melhoraram. No entanto, malware autopropagado Ataques de cadeia de fornecimento parecem estar
não só é uma ameaça relevante, mas também tem o potencial aumentando em velocidade e complexidade. Eles podem
para derrubar a Internet, de acordo com os investigadores de afetar computadores em grande escala e podem persistir
ameaças da Cisco. O WannaCry e o Nyetya são apenas uma por meses ou mesmo anos. Os defensores devem estar
amostra do que está por vir, portanto os defensores devem cientes dos riscos potenciais do uso de software ou hardware
se preparar. de empresas que não têm procedimentos de segurança
responsáveis. Procure fornecedores que emitem CVEs,
Embora o WannaCry e o Nyetya pudessem ter sido evitados
são rápidos para lidar com vulnerabilidades e se esforçam
ou terem seus impactos reduzidos, se as empresas
consistentemente para garantir que seus sistemas de
tivessem utilizado as melhores práticas se segurança básica,
compilação não podem ser comprometidos. Além disso, os
como corrigir as vulnerabilidades por patch, estabelecer
usuários devem dedicar um tempo para fazer a varredura
os processos e as políticas adequados para resposta a
no software novo antes de baixá-lo, para verificar que não
incidentes e empregar a segmentação de rede, tudo seria
contém malware.
diferente.
A segmentação de rede de software que não é apoiada por
Para obter mais dicas sobre como enfrentar a ameaça dos
uma prática de segurança abrangente pode ajudar a conter
worms de ransomware automatizados na rede, leia De volta
o dano causado pelos ataques de cadeia de fornecimento,
ao básico: Defesa contra worms na era do Ransomware no
impedindo-os de se espalharem por toda a empresa.
blog do Cisco Talos.
4 Ibid.
5 Ukraine scrambles to contain new cyber threat after ‘NotPetya’ attack, by Jack Stubbs and Matthias Williams, Reuters, julho de 2017:
reuters.com/article/us-cyber-attack-ukraine-backdoor/ukraine-scrambles-to-contain-new-cyber-threat-after-notpetya-attack-idUSKBN19Q14P.
6 A Conexão MeDoc, blog do Cisco Talos, julho de 2017: blog.talosintelligence.com/2017/07/the-medoc-connection.html.
7 Comando e Controle do CCleaner Traz Preocupações, blog do Cisco Talos, setembro de 2017: blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html.

Por que a integridade nos relatórios de inteligência de ameaça importa?
Todas as empresas que compartilham informações sobre que estavam ligados à campanha WannaCry eram,
ameaças com os clientes ou o público através de qualquer provavelmente, e-mails de spam do bot Necurs que espalharam
canal devem empregar diretrizes que os ajudem a garantir a o ransomware “Jaff”. Vários dias se passaram até que a
precisão nos seus relatórios. Mesmo que todos os fatos não comunidade de segurança chegou ao acordo de que os e-mails
estejam claros, as empresas ainda podem comunicar o que suspeitos continham Jaff, não WannaCry. E durante esse tempo,
sabem e evitar adivinhar. Estar certo é melhor do que ser o os usuários estavam agindo com base em informações que não
primeiro. poderiam ajudá-los a evitar a veloz campanha WannaCry.
Por exemplo, quando o ataque WannaCry ocorreu em maio O caos que se instalou após o advento da campanha
de 2017, houve uma confusão inicial na comunidade de WannaCry serve como um lembrete de que a comunidade
segurança sobre como o worm ransomware se infiltrou nos de segurança deve evitar comunicar fatos imprecisos sobre
sistemas de segurança. Várias empresas nos setores público a origem e a natureza dos ataques digitais. Nas primeiras
e privado relataram que o ataque resultou de uma campanha horas de uma campanha, o senso de urgência para parar
de phishing e anexo de e-mail mal-intencionado. Mas a os adversários e proteger os usuários rapidamente pode
ameaça baseada em rede estava, na verdade, procurando facilmente resultar na publicação (especialmente em mídias
e infectando portas do Microsoft Windows Server Message sociais) de informações que podem criar confusão e impedir
Block (SMB) Server vulneráveis, voltadas para o público. que os usuários defendam seus sistemas.
Pesquisadores de ameaças da Cisco rapidamente alertaram a Para obter mais informações sobre esse tópico, leia o post
comunidade de segurança de que os e-mails que eles pensaram Sobre como expressar dúvida no blog do Cisco Talos.

TRÁFEGO DA WEB MAL-INTENCIONADO CRIPTOGRAFADO
O volume em expansão de tráfego da Web criptografado, tanto legítimo, quanto mal-intencionado, gera ainda
mais desafios e confusões para defensores que tentam identificar e monitorar ameaças potenciais. O propósito da
criptografia é ampliar a segurança, mas ela também proporciona aos agentes mal-intencionados uma ferramenta
poderosa para ocultar a atividade de comando e controle (C2) que oferece a eles mais tempo para causar os danos.
Pesquisadores de ameaças da Cisco acreditam que os adversários aumentarão o uso de criptografia em 2018. Para
manter o ritmo, os defensores precisarão incorporar mais automação e ferramentas avançadas como aprendizagem
de máquina e inteligência artificial para complementar a prevenção de ameaças e a detecção e correção delas.
Uma mancha escura para os defensores: tráfego da Web mal-intencionado criptografado

Os pesquisadores de ameaças da Cisco relatam que 50% do À medida que o volume de tráfego criptografado global
tráfego da Web global tinha sido criptografado até outubro de pela Web cresce, os adversários parecem estar ampliando
2017. Isso significa um aumento de 12 pontos em volume a partir a adoção da criptografia como uma ferramenta para
de novembro de 2016 (ver figura 1). Um fator que está motivando ocultar sua atividade de C2. Pesquisadores de ameaças
esse aumento é a disponibilidade de baixo custo ou certificados da Cisco observaram que o uso da comunicação de rede
SSL gratuitos. Outro fator é uma prática de sinalização de sites criptografada usada em amostras de malware triplicou em
não criptografados que marca informações confidenciais, como um período de 12 meses (ver figura 2). Nossa análise de
informações de cartão de crédito de clientes, como não seguras, mais de 400.000 binários mal-intencionados constatou
a qual foi intensificada pelo Google Chrome As empresas são que cerca de 70% usou pelo menos alguma quantidade de
motivadas a cumprir o requisito de criptografia HTTPS do Google criptografia a partir de outubro de 2017.
se não quiserem arriscar uma queda potencialmente significativa
em seus rankings de página de busca Google.
Figure 1 Increase in volume of encrypted global

Figura 1 Aumento no volume de tráfego da Web Figure22Aumento
Figura Increase in volume
no volume of malicious
de binários binaries
mal-intencionados
web traffic, November 2016-October 2017
criptografado global leveraging
quesome encrypted
aproveitam network
comunicação communication
de rede criptografada
50%
80
Percentual das amostras que usaram criptografia
70
60
HTTPS 50
40
30
20
10
38%
0
Aumento de 12 pontos no tráfego global da
Nov
Dez
Jan
Fev
Mar
Abr
Maio
Jun
Jul
Ago
Set
Out
Web de novembro de 2016 a outubro de 2017

2016 2017
Fonte: Cisco Security Research

Baixe o gráfico de 2018 em: www.cisco.com/go/acr2018graphics

Aplicação de aprendizagem de máquina para o espectro "conhecido-desconhecido" (variações inéditas de ameaças
de ameaças conhecidas, subfamílias de malware ou relacionados a novas
Vemos cada vez mais empresas explorando o uso de ameaças) e ameaças do tipo "desconhecido-desconhecido"
aprendizagem de máquina e inteligência artificial para superar a (malware novos à rede). A tecnologia pode aprender a identificar
falta de visibilidade que a criptografia cria e reduzir o tempo de padrões incomuns em grandes volumes de tráfego da Web
operação por parte dos adversários. Esses recursos avançados criptografado e alertar as equipes de segurança automaticamente
podem melhorar as defesas de segurança de rede e, com o para a necessidade de investigação adicional.
passar do tempo, "aprender" a detectar automaticamente Este último ponto é especialmente importante, considerando que a
padrões incomuns no tráfego da Web que possam indicar falta de pessoal treinado é um obstáculo para reforçar as defesas
atividade mal-intencionada. de segurança em muitas empresas, conforme observado nas
descobertas do Estudo comparativo de recursos de segurança da
A aprendizagem de máquina é útil para detectar automaticamente
Cisco 2018 (ver página 35). Automação e ferramentas inteligentes
ameaças do tipo "conhecido-conhecido"; os tipos de infecções
como aprendizagem de máquina e inteligência artificial podem
que já foram vistas antes (ver figura 3). Mas o seu valor real,
ajudar os defensores a superarem lacunas em suas habilidades
especialmente no monitoramento criptografado de tráfego da
e nos recursos, tornando-os mais eficazes na identificação e
Web, decorre de sua capacidade para detectar ameaças do tipo
resposta às ameaças conhecidas e emergentes.
Figura
Figure33Aprendizagem de máquina
Machine Learning em segurança
in Network de rede:
Security: taxonomia
Taxonomy
Conhecido-conhecido Known-Unknown Unknown-Unknown
Detectar a infecção conhecida, Detectar variações inéditas de ameaças conhecidas, Detectar dias zero, sem relação
como visto antes subfamílias ou relacionadas a novas ameaças com nenhum malware conhecido
Tipo de ameaça vs. técnica adequada de detecção
Assinaturas Assinaturas Assinaturas Padrões de Anomalias sem

estáticas dinâmicas comportamentais alto nível supervisão
Nome do domínio mal-intencionado Padrão de telemetria do Houdini RAT Duas instâncias ilustrativas Características genéricas de tráfego Expectativa vs. inexplicável e
concreto associado a cavalo de Troia encontradas suspeito inesperado
Exemplos
Definição manual, possivelmente Definição manual, possivelmente Aplicável por meio da aprendizagem Tarefa para aprendizagem de Aprendizagem de máquina
assistida por ferramenta assistida por ferramenta de máquina supervisionada máquina semisupervisionada supervisionada
Casos significativamente distantes
Correspondência exata de Correspondência de regras Correspondência de regras aprendidas Padrões de muito alto nível,
O que faz
de todos os comportamentos
caracteres predefinidos ou predefinidas (por exemplo, regex) por máquina ou reconhecimento de aprendidos por máquina para normais conhecidos, em que o
sequências numéricas padrões comportamentais aprendidos distinguir do comportamento modelo de comportamento
Definições legíveis por humanos conhecido é aprendido por máquina
por máquina no espaço de recursos genérico
Definições legíveis por humanos
transformado Medidas de distância podem ser
altamente abstratas
Precisão muito alta Precisão muito alta Alta precisão Boa precisão Baixo nível de precisão
Sem generalização Generalização limitada Generalização com base na Generalização com base em Generalização com base em
Recolhimento limitado aos mesmos Recolhimento limitado a um padrão similaridade de malware conhecido comportamentos suspeitos comuns comportamentos incomuns
casos predefinido; encontra variações Ideal para encontrar variações/ Alto nível de recolhimento, boa Melhor chance de encontrar dias zero
Propriedades de técnica
explicitamente cobertas pelo padrão subfamílias inéditas de infecções chance de encontrar verdadeiros dias verdadeiros; risco mais alto de
conhecidas zero à custa de mais alarmes falsos alarmes falsos
Boa capacidade de explicação Boa capacidade de explicação Boa capacidade de explicação, Capacidade de explicação limitada Capacidade de explicação dificultada
porém mais complexo Pode ser difícil atribuir as conclusões Pode ser difícil atribuir as conclusões
a infecções conhecidas a infecções conhecidas
Não escala Não escala bem Escala razoavelmente bem Escala bem Escala bem
Requer definição manual Requer definição manual Aprendida com os dados de forma Aprendida com os dados de forma Aprendida com os dados de forma
parcialmente automática parcialmente automática automática
Não se aplica a dados Não se aplica a dados Aplicável aos dados criptografados Aplicável aos dados criptografados Aplicável aos dados criptografados
criptografados sem MiTM criptografados sem MiTM sem descriptografia sem descriptografia sem descriptografia
Melhor precisão e capacidade de explicação; simplicidade de prova É melhor recolhimento, escalabilidade, aplicabilidade a dados criptografados, capacidade de detectar dias zero
Compensação de técnica Observação: as declarações sobre escalonamento referem-se ao tempo de mão de obra necessário para manter um sistema de detecção
Observação: este diagrama representa uma ilustração simplificada dos recursos de aprendizagem de máquina em segurança
Fonte: Cisco Security Research Baixe o gráfico de 2018 em: www.cisco.com/go/acr2018graphics

Estudo Comparativo dos Recursos de Segurança da Cisco de 2018: Os defensores
relatam maior dependência de inteligência artificial e automação
Diretores executivos de segurança da informação (CISOs) Quando perguntados de quais tecnologias automatizadas
entrevistados para o Estudo Comparativo dos Recursos de suas empresas mais dependem, 39% dos profissionais de
Segurança da Cisco de 2018 declaram que estão ansiosos segurança disseram que são completamente dependentes da
para adicionar ferramentas que usam inteligência artificial e automação, enquanto 34% são completamente dependentes
aprendizagem de máquina e acreditam que sua infraestrutura da aprendizagem de máquina e 32% que são completamente
de segurança está se ampliando em sofisticação e inteligência. dependentes de inteligência artificial (figura 4).
No entanto, eles também estão frustrados pelo número de
falsos positivos, que tais sistemas geram, pois falsos positivos Ferramentas de análise de comportamento também
aumentam a carga de trabalho da equipe de segurança. Essas são consideradas úteis na localização de agentes mal-
preocupações devem ser abrandadas com o tempo, à medida intencionados em redes; 92% dos profissionais de segurança
que as tecnologias de aprendizagem de máquina e inteligência disseram que essas ferramentas funcionam muito a
artificial amadurecem e aprendem o que é uma atividade extremamente bem (figura 5).
"normal" nos ambientes de rede que estão monitorando.
Figure44AsOrganizations
Figura rely heavily
empresas dependem on automation,
expressivamente machine
de automação, learning,deand
aprendizagem artificial
máquina intelligence
e inteligência artificial
Caixa com os
2 principais
percentuais
Automação 1% 2% 14% 44% 39% 83%
Aprendizagem 77%
2% 4% 18% 43% 34%
automática
Inteligência artificial 3% 6% 18% 41% 32% 73%
Absolutamente Totalmente
não confiável dependente
Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018
Figura 5 A maioria dos profissionais de segurança vê valor em ferramentas de análise comportamental

Figure 5 Most security professionals see value in behavioral analytics tools
1%
7%
Extremamente bem
De 69%
92%
bem a extremamente
2/3 das empresas de serviços de saúde acreditam que a
análise comportamental/computação forense ajudam a
identificar agentes mal-intencionados
(n=358)
48% bem 44%
Extremamente bem
Comportamento do usuário e da entidade

38-39%
Menos empresas do setor de transportes e do governo
Absolutamente Um pouco Relativamente Muito bem Extremamente concordam que a análise comportamental/computação
mal bem bem bem forense funcionam extremamente bem
(n=3617) (Transporte: n=175; Governo: n=639)
Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018 Baixe o gráfico de 2018 em: www.cisco.com/go/acr2018graphics

Métodos de ataque da Web mostram o foco intenso dos adversários no com-
prometimento do navegador
Uma análise dos métodos de ataque da Web durante um Pesquisadores de ameaças da Cisco observaram que a
período de 18 meses de abril de 2016 a outubro de 2017 quantidade de detecções de conteúdo da Web JavaScript
mostra um aumento no uso de conteúdo da Web mal- mal-intencionado foi significativa e constante durante este
intencionado por parte dos adversários (figura 6). Essa período. Isso reforça a eficácia dessa estratégia de infectar
tendência se alinha com os agressivos ataques voltados para navegadores vulneráveis para facilitar outras atividades
o navegador da Web Microsoft Internet Explorer por kits de nefastas como o redirecionamento de navegador ou
exploração ainda ativos. downloads de cavalos de Troia.
Figure
Figura 66 Atividade
Malware-based
de bloqueioblock activity
baseada by content
em malware por tipotype, April 2016-October
de conteúdo, de abril de 2016 2017
a outubro de 2017
100
90
80
70
60
Porcentagem
50
40
30
20
10
0
Abr
Maio
Jun
Jul
Ago
Set
Out
Nov
Dez
Jan
Fev
Mar
Abr
Maio
Jun
Jul
Ago
Set
Out
2016 2017
HTML Texto sem Arquivo Todos os outros tipos

formatação executável de arquivo

A figura 7 é um resumo dos métodos de ataque da Web apresentar riscos à segurança, como infecções aumentadas por
realizados em um período de três anos, de outubro de 2014 a malware e roubo de informações do usuário ou da empresa.8
outubro de 2017. Os adversários aplicaram binários suspeitos
A exibição de três anos na figura 7 também mostra que
constantemente durante esse período, principalmente para
o volume de conteúdo da Web mal-intencionado varia ao
entregar adware e spyware. Conforme discutido no Relatório
longo do tempo, à medida que invasores lançam e encerram
Semestral de Segurança Cibernética da Cisco de 2017, esses
campanhas e mudam suas táticas para evitar a detecção.
tipos de aplicativos potencialmente indesejados (PUAs) podem
Figure 7 Malware-based block activity by content type, 2014–2017

Figura 7 Atividade de bloqueio baseada em malware por tipo de conteúdo, de outubro de 2014 a outubro de 2017
100
90
80
70
60
Porcentagem
50
40
30
20
10
0
Out
Jan
Abr
Jul
Out
Jan
Abr
Jul
Out
Jan
Abr
Jul
Out
2014 2015 2016 2017
JavaScript HTML Binário APK Todos os outros tipos de arquivo
Fonte: Cisco Security Research Baixe o gráfico de 2018 em: www.cisco.com/go/acr2018graphics
8 Relatório Semestral de Segurança Cibernética da Cisco de 2017: cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html.

AMEAÇAS DE E-MAIL
Não importa o quanto o cenário de ameaças muda, spam e e-mails mal-intencionados continuam sendo ferramentas
vitais para adversários distribuírem malware, porque eles levam ameaças diretamente para o endpoint. Ao aplicar
a combinação certa de técnicas de engenharia social, como phishing e links e anexos mal-intencionados, os
adversários precisam apenas aguardar pacientemente que os usuários desavisados ativem suas explorações.
Flutuações na atividade de botnet de causam impacto sobre o volume geral

No final de 2016, pesquisadores de ameaças da Cisco observaram para manter a lucratividade.9 No entanto, após essa corrida inicial
um considerável aumento na atividade de campanhas de spam de volta para o e-mail, o volume global de spam diminuiu e
que pareciam coincidir com um declínio na atividade do kit de nivelou-se durante a maior parte do primeiro semestre de 2017.
exploração. Quando importantes kits de exploração como o Angler Então, entre o final de maio e início de junho de 2017, o volume
desapareceram repentinamente do mercado, muitos usuários global de spam caiu vertiginosamente antes de subir muito entre
desses kits voltaram-se, ou retornaram, para o vetor de e-mail meados e o final do verão (ver figura 8).
Figura
Figure88 Blocos de reputação
IP reputation de IPby
blocks porcountry,
país, de dezembro
Decemberde 2016 a outubro de 2017
2016–September 2017
4
Porcentagem
0
Dez
Jan
Fev
Mar
Abr
Maio
Jun
Jul
Ago
Set
Out
2016 2017
EUA CN VN IN FR Todos os outros países
9 Consulte “Redução na atividade do kit de exploração influencia tendências de spam”, p. 18, Relatório Semestral de Segurança Cibernética da Cisco de 2017:
cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html.

Figure 9 Spam botnet activity, October 2016–October 2017
Figura 9 Atividade de botnet de spam, de outubro de 2016 a outubro de 2017
24
22
20
18
16
14
Volume
12
10
8
0
Out
Nov
Dez
Jan
Fev
Mar
Abr
Maio
Jun
Jul
Ago
Set
Out
2016 2017
Relatórios enviados Spam enviado
Fonte: Cisco SpamCop Baixe o gráfico de 2018 em: www.cisco.com/go/acr2018graphics
O volume reduzido de spam, de janeiro a abril de 2017 do Microsoft Office mal-intencionado integrado e o
coincide com um período de calmaria na atividade de botnet downloader inicial para o ransomware Jaff.10 Pesquisadores
de spam, como mostra o gráfico interno gerado pelo serviço de segurança descobriram uma vulnerabilidade no Jaff que
Cisco® SpamCop (figura 9). permitiu criar um descriptografador que forçou os operadores
dos Necurs a retornarem rapidamente para distribuírem sua
Pesquisadores de ameaças da Cisco informam que o botnet
ameaça habitual, o ransomware Locky.11 O tempo que os
Necurs, um dos principais responsáveis pelo volume geral de
agentes por trás do Necurs precisaram para mudar de volta
spam em todo o mundo, estava ativo mas distribuiu menos
para o Locky coincide com a redução significativa no volume
spam entre janeiro e abril. Em maio, o botnet espalhava o
de spam global observada durante a primeira quinzena de
ransomware Jaff através de campanhas de spam massivo.
junho (figura 9).
As campanhas incluíam um arquivo PDF com um documento
10 Jaff Ransomware: O Jogador 2 Entrou no Jogo, por Nick Biasini, Edmund Brumaghin e Warren Mercer, com contribuições de Colin
Grady, blog do Cisco Talos, maio 2017: blog.talosintelligence.com/2017/05/jaff-ransomware.html.
11 O Jogador 1 Volta para o Ringue com Dificuldade—Olá de novo, Locky! por Alex Chiu, Warren Mercer e Jaeson Schultz, com contribuições de Sean
Baird e Matthew Molyett, blog do Cisco Talos, junho de 2017: blog.talosintelligence.com/2017/06/necurs-locky-campaign.html.

Extensões de arquivo mal-intencionado no e-mail: as 10 principais ferramentas
contra as linhas comuns de malware
Os pesquisadores de ameaças da Cisco analisaram a telemetria Figura 10 Top 10 extensões de arquivo mal-intencionado,
de e-mail de janeiro a setembro de 2017 para identificar os tipos Figure 10 deTop 10 malicious
janeiro file2017
a setembro de extensions, 2017
de extensão de arquivos mal-intencionados em documentos
de e-mail que as linhas de malware comum empregam com Escritório
38%
mais frequência. A análise gerou uma lista de top 10 que mostra
que o grupo predominante de extensões de arquivos mal- Arquivo
37%
intencionados (38%) é composto de formatos do Microsoft Office
como o Word, PowerPoint e Excel (ver figura 10). PDF
14%
Arquivos mortos, como .zip e .jar, representaram cerca de 37% Outras

extensões
de todas as extensões de arquivo mal-intencionado observadas 6%
em nosso estudo. Não é surpreendente que utilizem arquivos
Binários
mortos de maneira expressiva, pois há muito tempo eles são os 4%
lugares preferidos para ocultar malware. Os usuários precisam
XML/
abrir os arquivos mortos para ver o conteúdo, o que é um passo HTML/JS
importante na cadeia de infecção de muitas ameaças. Arquivos 1%
mortos mal-intencionados também costumam ter sucesso ao Apple

derrotar ferramentas de análise automatizada, especialmente 0%
quando têm ameaças que exigem interação do usuário para Imagem

ativação. Os adversários também usarão tipos desconhecidos de 0%
arquivo, como .7z e .rar, para escapar da detecção. Scripts

0%
Extensões de arquivo PDF mal-intencionadas ocuparam as Android
três primeiras posições em nossa análise, representando 0%
quase 14% das extensões de arquivo mal-intencionado

observadas. (Observação: a categoria "Outras Extensões"
aplica-se a extensões observadas em nosso estudo que
não foi possível mapear facilmente para tipos de arquivo
conhecidos. Alguns tipos de malware são conhecidos por
usar extensões de arquivo aleatório.)

As figuras 11a-c apresentam um resumo das linhas de meses, segundo os investigadores de ameaças da Cisco.
malware incluídas em nossa investigação que foram Por exemplo, no final do verão, grandes campanhas foram
associadas aos três principais tipos de extensão de arquivo realizadas para distribuir Nemucod e Locky, duas ameaças
mal-intencionado: Arquivos do MS Office, arquivos mortos que costumam trabalhar juntas. O Nemucod é famoso por
e PDFs. A figura 12 mostra o percentual de detecções, enviar cargas mal-intencionadas em arquivos mortos como
por linha, que incluíam uma extensão de arquivo de carga .zip que têm script mal-intencionado mas parecem arquivos
mal-intencionada. Os picos de atividade relacionam-se .doc normais. ("Dwnldr", também exibido na figura 12, é uma
com as campanhas de spam observadas durante esses variante provável de Nemucod.)
Figura 11a Os três principais tipos de extensão de arquivo Figura 11b Os três principais tipos de extensão de arquivo
Figure 11a mal-intencionado
Top 3 malicious file extensions
e relações de linha de malware Figure 11b mal-intencionado
e relações de linha de malware
Escritório PDF
100 100
80 80
Porcentagem
Porcentagem
60 60
40 40
20 20
0 0
Ago
Jan
Fev
Set
Out
Mar
Abr
Maio
Jun
Jul
Jan
Feb
Apr
May
Jun
Jul
Aug
Sep
Oct
2017 Mar
2017
Ms, Rtf, Valyria, Vba, Word A, Dldr, Donoff, Fraud, Urlmal,
Outros Docdl Locky Outros MSWord Nemucod
Adnel, Dde,Dldr, Donoff Lg, Malphish, Pdfphish, Pdfuri
Doc Mdropper PDF Docdl
Fonte: Cisco Security Research Fonte: Cisco Security Research
Figura 11c Os três principais tipos de extensão de arquivo Figura 12 Padrões das principais linhas de malware,
Figure 11c mal-intencionado
e relações de linha de malware de janeiro a outubro de 2017
Arquivo Figure 12 Patterns of malware families
100 100
80 80
Percentual de detecções
Percentage
60 60
40 40
20 20
0 0
Maio
Ago
Set
Out
Jan
Abr
Jun
Jul
Mar
Fev
Ago
Set
Out
Jan
Mar
Abr
Maio
Jun
Jul
Fev
2017 2017
Fareit, Kryptik, Locky, Msil, Upatre Todas as outras linhas
Outros Nemucod Adwind, Autoit, Donoff, Vbkrypt Nemucod Locky Dwnldr Dldr de malware
Dwnldr Vbscrdlx Dldr

O spyware MyWebSearch é o maior usuário ativo de Figura 13 O usuário mais ativo de "outras extensões”
“outras extensões” Figure 13 doMyWebSearch
MyWebSearch most active user of
O grupo de "outras extensões" em nosso estudo inclui “other extensions"
vários tipos de malware conhecidos. Mas o MyWebSearch,
100
um adware sequestrador de navegador e software mal-
intencionado que se apresenta como uma barra de ferramentas
útil, é o jogador mais ativo (ver figura 13). Ele usa exclusivamente 80
extensões de arquivo .exe, às vezes apenas um tipo por
Porcentagem
mês. O PUA (potentially unwanted application, aplicativo 60
potencialmente indesejável) existe há anos e infecta
diversos tipos de navegador. Ele costuma ser combinado
40
com programas de software fraudulentos e pode expor os
usuários a malvertising.
20
Nossa análise dos tipos de extensão de arquivo mal-
intencionado mostra que mesmo no ambiente atual de
0
ameaças sofisticadas e complexas, o e-mail continua a
Maio
Jan
Fev
Abr
Jun
Jul
Ago
Set
Out
Mar
ser um canal fundamental para a distribuição de malware. 2017
Para as empresas, as estratégias de defesa de parâmetro MyWebSearch Outros Qjwmonkey
incluem: Adwind, Cerber, Docdl, Donoff, Fareit, Fraud,
Imali, Kryptik, Masrung, PDF, Valyria
•• Implementar defesas de segurança de e-mail eficiente e
abrangente.
•• Educar os usuários sobre a ameaça apresentada pelos
anexos e links mal-intencionados em e-mails de phishing
e spam.

A engenharia social ainda é uma base de lançamento de ataques de e-mail
Phishing e spear phishing são táticas habituais para o Para avaliar a predominância de URLs e domínios de phishing
roubo de credenciais de usuários e outras informações na Internet atual, os pesquisadores de ameaças da Cisco
confidenciais, especialmente porque são muito eficazes. examinaram dados de fontes que investigam e-mails que
Na verdade, os e-mails de phishing e spear phishing estavam têm potencial para fazer phishing, enviados pelos usuários
na raiz de algumas das maiores e mais comentadas violações por meio de inteligência contra ameaças de anti-phishing
dos últimos anos. Dois exemplos de 2017 incluem um ataque à comunidade. A figura 14 mostra o número de URLs de
generalizado que teve como alvo os usuários do Gmail12 e phishing e domínios de phishing observados durante o
uma invasão aos sistemas de energia irlandeses.13 período de janeiro a outubro de 2017.
Figure 14 Número
Figura 14 Number of observed
de URLs phishing
de phishing URLs
observadas and domains
e domínios por mês by month, 2017
120K
Total de URLs de phishing
101,934
100K
80K
60K
Volume
30K
20K
Total de domínios de phishing

10K 8445
5K
0
Ago
Set
Out
Jan
Mar
Abr
Maio
Jun
Jul
Fev
2017
Domínios URLs
Os picos observados em março e junho podem ser atribuídos Cada comprimento de subdomínio (50-62) continha cerca de
a duas campanhas diferentes. A primeira pareceu concentrar- 3500 URLs, que permitiu o uso programático dos subdomínios
se em usuários de um grande provedor de serviços de (exemplo: Cewekonuxykysowegulukozapojygepuqybyteqe
telecomunicações. Essa campanha: johofopefogu[ponto]aaaainfomation[ponto]org).
•• Envolveu 59.651 URLs que continham subdomínios sob Adversários usaram um serviço barato de privacidade para
aaaainfomation[ponto]org. registrar os domínios observados nesta campanha.
•• Tiveram subdomínios que continham sequências
aleatórias com 50-62 letras.
12 Massive Phishing Attack Targets Gmail Users, por Alex Johnson, NBC News, maio de 2017:
nbcnews.com/tech/security/massive-phishing-attack-targets-millions-gmail-users-n754501.
13 Hackers target Irish energy networks amid fears of further cyber attacks on UK’s crucial infrastructure, por Lizzie Deardon, The Independent, julho de 2017:
independent.co.uk/news/world/europe/cyber-attacks-uk-hackers-target-irish-energy-network-russia-putin-electricity-supply-board-nuclear-a7843086.html.

Na segunda campanha, que era mais ativa em junho, agentes colocam domínios recém-registrados em uso com tanta
de ameaças usaram o nome de uma agência tributária rapidez, consulte "Uso mal-intencionado de recursos
legítima do Reino Unido para disfarçar suas ações. Eles legítimos para backdoor C2," na página 24).
empregaram 12 domínios de nível superior (TLDs). Onze dos
domínios foram URLs com seis sequências de seis caracteres Distribuição de TLD através de sites de phishing conhecidos
aleatórios (por exemplo: jyzwyp[ponto]top). E nove dos Nossa análise de sites de phishing, durante o período de
domínios foram associados a mais de 1600 sites de phishing. janeiro a agosto de 2017 descobriu que agentes de ameaças
empregaram 326 TLDs exclusivos para essas atividades,
Com a campanha de março, adversários registraram os
incluindo .com, .org e .top (em grande parte devido à
domínios usando um serviço de privacidade para esconder
campanha voltada para a agência tributária do Reino Unido) e
informações de registro de domínio. Eles registraram todos
TLDs específicos de cada país (ver figura 15). Empregar TLDs
os domínios um período de dois dias. No segundo dia,
menos conhecidos pode ser vantajosa para os adversários;
observaram-se quase 19.000 URLs ligadas à campanha,
esses domínios costumam ser baratos e, muitas vezes,
e todas foram descobertas em um período de cinco horas
oferecem proteção de privacidade de baixo custo.
(para mais informações sobre como o agentes de ameaças
Figure 15Distribuição
Figura 15 TLD distribution across
de TLD através deknown
sites de phishing sites
phishing conhecidos
.ru, .info, .au, .in

1% .es
2%
3% .net, .br
1% .pl, .info, .in
5% .top
2% .au, .es, .ru
19% .org 4% .net, .org, .br
21% outros 25% outros
43% .com 54% .com
Percentual de todos os sites com TLDs Percentual de sites com TLDs

(Todos os dados) (Exceto TLDs específicos de duas campanhas visando
a receita federal e empresas de telecomunicações)

Os defensores devem ser vigilantes no acompanhamento •• Redutores de URL: Uma URL mal-intencionada
dessa antiga ameaça disfarçada com um redutor de URL (por exemplo:
Em 2017, milhares de tentativas de phishing foram relatadas bitly[ponto]com/sequencia-aleatoria).
mensalmente para os serviços de inteligência de anti- Observação: nos dados examinados, Bitly.com foi
phishing contra ameaças à comunidade incluídos em nossa a ferramenta de redução de URL mais usada pelos
análise. Algumas das táticas e ferramentas comuns usadas adversários. As URLs reduzidas mal-intencionadas
pelos adversários para realizar campanhas de phishing representavam 2% dos sites de phishing em nosso estudo.
incluem: Esse número atingiu um pico de 3,1% em agosto.
•• Serviços de subdomínio: Um site criado
•• Pirataria de domínio: Domínios com nomes que fazem-
em um servidor de subdomínio (exemplo:
nos parecer domínios válidos (por exemplo: cisc0[ponto]
minhapaginaruim[ponto]000webhost[ponto]com).
com).
Agentes de ameaças de phishing e spear phishing estão
•• Shadowing de domínio: Subdomínios adicionados sob
continuamente refinando os métodos de engenharia social para
um domínio válido sem o conhecimento do proprietário
enganar os usuários e fazê-los clicar em links mal-intencionados
(por exemplo: coisaruim[ponto]cisco[ponto]com).
ou visitar páginas da Web fraudulentas e fornecer credenciais
•• Domínios registrados de forma mal-intencionada: ou outros tipos de informações de alto valor. O treinamento de
Um domínio criado para servir a fins mal-intencionados usuários, também voltado para a responsabilização, e a aplicação
(por exemplo: viqpbe[ponto]top). de tecnologias de segurança de e-mail continuam sendo
estratégias cruciais para combater essas ameaças.

TÁTICAS DE EVASÃO DE SANDBOX
Os adversários estão se tornando aptos em desenvolver ameaças que podem escapar de ambientes de sandboxing
cada vez mais sofisticados. Quando os pesquisadores de ameaças da Cisco analisaram os anexos de e-mail mal-
intencionados equipados com várias técnicas de evasão de sandbox, eles descobriram que o número de amostras
mal-intencionadas que usavam uma técnica de evasão de sandbox específica atingiu picos expressivos e então caiu
rapidamente. Esse é mais um exemplo de como os invasores são rápidos ao aumentarem o volume das tentativas de
penetração das defesas, assim que encontram uma técnica efetiva.
Agentes de malware estão jogando sujo nos sandboxes dos defensores

Em setembro de 2017, os pesquisadores de ameaças da documento, a carga mal-intencionada é entregue. Com essa
Cisco observaram grandes volumes de amostras em que técnica, é possível escapar de sandboxes que não detectam
uma carga mal-intencionada é entregue depois que um ações no fechamento do documento.
documento é fechado (figura 16). Nesse caso, o malware
O uso do evento "document_close" é uma opção inteligente
é acionado usando o evento "document_close". A técnica
para os invasores. Ele aproveita o recurso de macro embutido
funciona porque, em muitos casos, documentos não são
no Microsoft Office, bem como a tendência dos usuários para
fechados depois de terem sido abertos e analisados no
abrir anexos que eles acreditam serem relevantes para eles. Uma
sandbox. Como o sandbox não fecha o documento de
vez que os usuários percebem que o anexo não é relevante,
fato, os anexos são considerados seguros pelo sandbox
eles fecham o documento, desencadeando as macros no qual o
e são entregue aos destinatários pretendidos. Quando um
malware está oculto.
destinatário abre o anexo de documento e depois fecha o
Figure16
Figura 16Alto
High volume
volume of malicious
de documentos Microsoft
do Microsoft Word Word documents
mal-intencionados using
usando “close function
"chamadas calls” observado em
de função fechar"
observed
setembro in September
de 2017 2017
40K
35K
30K
25K
Volume
20K
15K
10K
5K
0
Maio
Ago
Out
Nov
Dez
Jan
Fev
Mar
Set
Out
Abr
Jun
Jul
2016 2017
Amostras mal-
intencionadas Total de amostras

Alguns invasores escapam do sandboxing disfarçando o tipo de Word, o que acionaria o comportamento mal-intencionado. O
documento em que existe uma carga mal-intencionada. Como sandbox que não abre, nem analisa documentos integrados em
pode ser visto na figura 17, observou-se um ataque significativo PDFs podem ser contornadas usando essa técnica.
em maio de 2017 que foi construído em torno de documentos do
Depois de visualizar o pico em amostras mal-intencionadas
Word mal-intencionados integrados dentro de documentos PDF.
que envolviam esses PDFs, nossos pesquisadores de ameaças
Os documentos podem ignorar sandboxes que simplesmente
refinaram o ambiente de sandbox para detectar se os PDFs
detectam e abrem o PDF, em vez de também abrir e analisar o
continham ações ou iscas para abrir documentos do Word
documento do Word integrado. O documento PDF normalmente
integrados.
continha uma isca para o usuário clicar e abrir o documento do
Figure 17 Attackers use PDFs with embedded Microsoft Word documents to evade sandboxing
Figura 17 Grande ataque em maio de 2017 envolveu PDFs com documentos do Word mal-intencionados integrados
90K
80K
70K
60K
50K
Volume
40K
30K
20K
10K
Ago
Set
Out
Out
Nov
Jan
Mar
Abr
Maio
Jun
Jul
Dez
Fev
2016 2017
Amostras mal-
intencionadas Total de amostras "document_open"
Os picos em amostras mal-intencionadas que usaram Os pesquisadores da Cisco recomendam usar sandboxing
técnicas diversas de evasão de sandbox apontam para o que inclui funcionalidades de conhecimento de conteúdo para
desejo dos agentes mal-intencionados de seguir um método garantir que o malware que usa as táticas descritas acima não
que parece funcionar para eles ou para outros invasores. escape da análise do sandbox. Por exemplo, a tecnologia de
Além disso, se os adversários se dão ao trabalho de criar o sandboxing deve mostrar conhecimento das funcionalidades
malware e a infraestrutura associada, eles querem o retorno de metadados das amostras que está analisando, como
sobre seus investimentos. Se eles determinam que o malware determinar se a amostras incluem a tomada de medidas após
pode escapar ao controle do sandbox, eles, por sua vez, o fechamento do documento.
aumentarão o número de tentativas de ataque e os usuários
afetados.

IRREGULARIDADE NO USO DOS SERVIÇOS EM NUVEM E OUTROS
RECURSOS LEGÍTIMOS
Quando os aplicativos, dados e identidades são transferidos para a nuvem, as equipes de segurança precisam gerenciar os
riscos relacionados à perda de controle do perímetro da rede tradicional. Os invasores estão se aproveitando do fato de que
as equipes de segurança estão tendo dificuldade para defender os ambientes em nuvem e da IoT em evolução e expansão.
Um dos motivos da falta de clareza em torno de quem é o responsável por proteger esses ambientes.
Para encarar esse desafio, as empresas podem precisar utilizar uma combinação de melhores práticas, tecnologias
de segurança avançadas (como aprendizagem de máquina) e até mesmo algumas metodologias experimentais,
dependendo dos serviços que usam para seus negócios e como as ameaças evoluem nesse espaço.
Uso mal-intencionado de recursos legítimos para backdoor C2

Quando os agentes de ameaças usam serviços legítimos A figura 18 exibe vários dos serviços legítimos conhecidos
para comando e controle (C2), o tráfego de rede de que os pesquisadores que usam o Anomali, um provedor
malware se torna quase impossível para as equipes de de inteligência sobre ameaças e para parceiros da Cisco,
segurança identificarem porque ele imita o comportamento vêm sendo usados nos esquemas de C2 de backdoor
do tráfego de rede legítimo. Os adversários têm um monte de malware14 nos últimos anos, segundo observação dos
de "ruído" de Internet disponível para usar como cobertura, pesquisadores. (Observação: esses tipos de serviços
pois, atualmente, muitas pessoas contam com serviços enfrentam um dilema na luta contra a irregularidade, pois
como Google Docs e Dropbox para fazer seus trabalhos, dificultar para os usuários configurarem suas contas e usarem
independentemente desses serviços serem oferecidos ou seus serviços pode afetar adversamente sua capacidade de
sistemicamente endossados pelos empregadores. gerar receitas.)
Figura 18 Exemplos de serviços legítimos usados irregularmente pelo malware para C2

Figure 18 Examples of legitimate services abused by malware for C2
Google Docs
Google Code
Google Tradutor
Twitter Script de Aplicativos do Google
Calendário Google
Google Plus
GitHub Gmail
Live.com
Blogger
Hotmail.com
Yahoo Respostas Microsoft TechNet
Amazon
Babelfish Respostas da Microsoft
Microsoft Social
Dropbox
Pastebin OneDrive
Fonte: Anomali
14 O Anomali define uma esquema de C2 como "a totalidade dos endereços IP, domínios, serviços legítimos e todos os sistemas remotos que fazem parte da... arquitetura de comunicação" de malware.

De acordo com pesquisa do Anomali, agentes de Advanced Serviços legítimos costumam ser criptografados e
Persistent Threat (APT) e grupos patrocinados pelo Estado intrinsecamente difíceis de inspecionar
estavam entre os adversários que usaram serviços legítimos A descriptografia SSL é cara e nem sempre é possível
de C2; no entanto, a técnica agora é adotada por uma em escala empresarial. Então, o malware esconde sua
ampla gama de adversários sofisticados na economia de comunicação no tráfego criptografado, dificultando, talvez
sombra. Usar serviços legítimos de C2 atrai agentes mal- impossibilitando, a identificação do tráfego mal-intencionado
intencionados porque é fácil para: por parte das equipes de segurança.
•• Cadastrar novas contas nesses serviços. O uso de serviços legítimos subverte a inteligência de
•• Configurar uma página da Web na Internet acessível ao domínio e certificado e complica a atribuição
público. Adversários não precisam registrar domínios porque a
conta de serviço legítimo é considerada o endereço inicial
•• Usurpar a criptografia para protocolos de C2. (Em vez
de C2. Além disso, não é provável que eles continuem
de configurar os servidores de C2 com criptografia ou
registrando certificados SSL ou usando certificados SSL
criptografia de edifício em malware, os invasores podem
assinados automaticamente para esquemas de C2. Ambas
simplesmente adotar o certificado SSL de um serviço
as tendências terão um impacto negativo sobre os feeds
legítimo.)
do indicador para filtragem de reputação e criação de
•• Adaptar e transformar recursos em tempo real. (Os listas negras do indicador, que são baseados em domínios
invasores podem reutilizar os implantes em todos recém-gerados e recém-registrados e os certificados e os
os ataques sem reutilizar endereços IP ou DNS, por endereços IP conectados a eles.
exemplo.)
É difícil detectar o uso de serviços legítimos para C2. No entanto,
•• Reduzir a probabilidade de infraestrutura de "queima".
pesquisadores de ameaças do Anomali recomendam que
(Adversários que usam serviços legítimos de C2 não
defensores considerem a aplicação de algumas metodologias
precisam codificar malware embutido com endereços
experimentais. Por exemplo, os defensores podem identificar
IP ou domínios. Quando a operação for concluída, eles
malware usando serviços legítimos para C2 procurando por:
podem simplesmente derrubar suas páginas de serviços
legais e ninguém nunca vai saber os endereços IP.) •• Conexões fora do navegador e de aplicativos para
•• Invasores se beneficiam dessa técnica, porque elas serviços legítimos
permitem reduzir a sobrecarga e melhorar o retorno •• Tamanhos de resposta única ou baixa de serviços
sobre o investimento. legítimos
Para os defensores, o uso dos adversários de serviços •• Alta frequência de troca de certificados para serviços
legítimos para C2 apresenta alguns desafios significativos: legítimos
Serviços legítimos são difíceis de bloquear •• Amostras de sandboxing em massa seguro para DNS
Na perspectiva comercial, as empresas podem até mesmo suspeito requer serviços legítimos
considerar bloquear partes dos serviços legítimos de Internet, Todos esses comportamentos únicos apontam para mais
como o Twitter ou o Google? investigações dos processos e programas de origem.15
15 Para ver detalhes sobre essas metodologias experimentais e obter mais informações sobre como os adversários usam serviços legítimos para C2, baixe o artigo de pesquisa do Anomali,
Rise of Legitimate Services for Backdoor Command and Control, disponível em: anomali.cdn.rackfoundry.net/files/anomali-labs-reports/legit-services.pdf.

Como extrair o valor ideal dos recursos
Os pesquisadores de segurança da Cisco analisaram nomes A descoberta sugere que, embora a maioria dos invasores
de consulta únicos (domínios) inéditos associados a consultas constroem novos domínios para suas campanhas, muitas
DNS feitas durante um período de sete dias em agosto são voltadas para tentar obter o melhor retorno sobre seus
de 2017. Observe que "inédito" nesta discussão não tem investimentos através do lançamento de várias campanhas
qualquer influência sobre quando um domínio foi criado; de um único domínio. O registro de domínio pode ser caro,
refere-se ao momento em que um domínio foi "visto" pela especialmente na escala em que a maioria dos invasores
primeira vez por tecnologia de segurança de nuvem da Cisco exigem para executar suas campanhas e escapar da
durante o período de observação. detecção.
O objetivo dessa pesquisa foi ter mais informações

Um quinto dos domínios mal-intencionados são
sobre a frequência com que os adversários utilizam, e rapidamente colocados em uso
reutilizam, domínios de nível registrado (RLDs) nos ataques.
Os adversários podem manter os domínios por dias, meses
Compreender o comportamento dos agentes de ameaça no
ou até mesmo anos depois de registrá-los, esperando pelo
nível do domínio pode ajudar os defensores a identificarem
momento certo para usá-los. No entanto, os pesquisadores
domínios mal-intencionados, e subdomínios relacionados,
de ameaças da Cisco observaram que um percentual
que devem ser bloqueados com ferramentas de primeira linha
significativo dos domínios mal-intencionados (cerca de 20%)
de defesa, como plataformas de segurança em nuvem.
foram usados em campanhas menos de uma semana depois
Para que nossos pesquisadores pudessem concentrar-se que eles20
Figure foram registrados
RLD (ver figura
registration times20).
exclusivamente no grupo principal de RLDs únicos (cerca de 4
milhões no total), subdomínios foram despojados da amostra de Figura 20 Horários de registro de RLD
domínios inéditos. Apenas uma pequena porcentagem dos RLDs
nessa amostra foram categorizadas como mal-intencionadas.
Dentre os RLDs que eram mal-intencionados, mais da metade
(cerca de 58%) foram reutilizados, como a figura 19 mostra. 19.5%
Figure 19 Percentage of new vs. reused domains
Figura 19 Percentual de domínios novos em comparação com
domínios reutilizados
42.4%
80.5%
Registrado há menos de uma semana desde visto pela primeira vez
Registrado há mais de uma semana desde visto pela primeira vez

57.6%
Novo Reutilizado

Muitos novos domínios estão ligados a campanhas de prova dos adversários tentando obter o máximo valor de seus
malvertising investimentos em novos domínios e preservar os recursos, de
A maioria dos domínios mais mal-intencionados analisados acordo com nossos pesquisadores. Por exemplo, um endereço
foram associados a campanhas de spam; cerca de 60%. IP pode ser usado por mais de um domínio. Então, um invasor
Quase um quinto dos domínios estavam ligados a campanhas que prepara o terreno para uma campanha pode decidir investir
de malvertising (ver figura 21). O malvertising tornou-se uma em alguns endereços IP e uma gama de nomes de domínio em
ferramenta essencial para direcionar os usuários para explorar vez de servidores, que custam mais.
kits, inclusive aqueles que distribuem ransomware.
Figure 21 Malicious categorizations Figure22
Figura 22Reutilização
Reuse ofda infrastructure by RLDs
infraestrutura por
Figura 21 Categorizações mal-intencionadas malicious RLDs
mal-intencionados
8.7%
20.9%
Reutilização de IP
91.3%
59.6%
10.6%
19.6% WWW
Reutilização
do inscrito
89.4%
Spam Malvertising (publicidade maliciosa) Outros
Fonte: Cisco Security Research 32.2%
Técnicas habituais, relacionadas ao domínio, para a criação de

campanhas de malvertising incluem shadowing de domínio. Reutilização de
Nessa técnica, os invasores roubam credenciais de conta servidor de nome
de domínio legítimo para criar subdomínios direcionados a 67.8%
servidores mal-intencionados. Outra tática é o uso irregular

de serviços DNS dinâmicos livres para gerar subdomínios e
domínios mal-intencionados. Isso permite que os agentes de
ameaça entreguem cargas mal-intencionadas de IPs de host 43.0%
dinâmicos de computadores de usuários infectados ou sites

da Web públicos comprometidos.
Reutilização de ASN
Domínios reutilizam recursos de infraestrutura
57.0%
Os RLDs mal-intencionados na amostra também pareceram
reutilizar recursos de infraestrutura, como endereços de e-mail
do inscrito, endereços IP, números de sistemas autônomos
Usado várias vezes Usado uma vez
(ASNs) e servidores de nomes (ver figura 22). Isso é mais uma

Os recursos que os RLDS reutilizam indicam se o domínio Usar ferramentas de segurança da nuvem inteligentes e de
tem probabilidade de ser mal-intencionado. Por exemplo, a primeira linha de defesa para identificar e analisar os domínios
reutilização de e-mails ou endereços IP do inscrito ocorre e subdomínios potencialmente mal-intencionados pode ajudar
com pouca frequência, portanto, um padrão de reuso em as equipes de segurança a seguirem os rastros de um invasor
qualquer situação indica comportamento suspeito. Os e responder perguntas, como:
defensores podem ter um alto grau de confiança para
•• O domínio é resolvido para que endereço IP?
bloquearem esses domínios, ao saberem que fazê-lo
provavelmente não causará nenhum impacto negativo sobre a •• O ASN está associado com esse endereço IP?
atividade econômica. •• Quem registrou o domínio?
O bloqueio estático de ASNs e servidores de nome •• Que outros domínios estão associados esse domínio?
provavelmente não são viáveis, na maioria dos casos. No As respostas podem ajudar os defensores não só aperfeiçoar
entanto, os padrões de reutilização pelos RLDs são dignos de as políticas de segurança e bloquear ataques, mas também
mais investigação para determinar se certos domínios devem impedir que os usuários conectem-se a destinos mal-
ser bloqueados. intencionados na Internet enquanto estão na rede corporativa.
Tecnologias de DevOps correm risco de ataques de ransomware

No ano de 2017, surgiram ataques de ransomware de DevOps que encontram durante as varreduras podem conter
DevOps, que começaram com uma campanha em janeiro informações de identificação pessoal (PII), com base nos
voltada para a plataforma de banco de dados aberto, nomes das tabelas expostos à Internet.
MongoDB.16 Os invasores criptografaram instâncias públicas do
Para reduzir o risco de exposição a ataques de ransomware de
MongoDB e exigiram pagamentos de resgate para chaves de
DevOps, as empresas que usam instâncias de Internet pública
descriptografia e software. Logo depois, eles concentraram-
de tecnologias de DevOps devem:
se em comprometer bancos de dados, como o CouchDB e o
Elasticsearch, com ransomware voltado para o servidor. •• Desenvolva padrões sólidos para implantação segura das
tecnologias de DevOps
O Rapid7 é um parceiro da Cisco e provedor de soluções de dados
e análises de segurança. Como os pesquisadores do Rapid7 •• Mantenha conhecimento ativo da infraestrutura pública
explicaram no Relatório Semestral de Segurança Cibernética da utilizada pela empresa
Cisco de 2017, os serviços de DevOps costumam ser implantados •• Mantenha as tecnologias de DevOps atualizadas e corrigidas
inadequadamente ou são deixados abertos intencionalmente
•• Realize varreduras de vulnerabilidade
para o acesso conveniente de usuários legítimos, deixando esses
serviços abertos para o ataque. Para obter mais detalhes sobre a pesquisa do Rapid7, consulte
"Não deixe as tecnologias de DevOps expor a empresa", no
O Rapid7 realiza varreduras regulares de Internet nas Relatório Semestral de Segurança Cibernética da Cisco de
tecnologias de DevOps e cataloga tanto instâncias abertas, 2017.
quanto instâncias resgatadas. Alguns dos serviços de
16 After MongoDB, Ransomware Groups Hit Exposed Elasticsearch Clusters, por Lucian Constantin, IDG News Service, 13 de janeiro de 2017:
pcworld.com/article/3157417/security/after-mongodb-ransomware-groups-hit-exposed-elasticsearch-clusters.html.

Ameaças internas: Como aproveitar a nuvem
Em relatórios de segurança anteriores, discutimos o valor das documentos baixados de maneira suspeita. “Dados” foi uma
permissões de OAuth e privilégios de superusuário, para impor das palavras-chave mais usadas nos títulos dos documentos. As
quem pode entrar nas redes e como eles podem acessar palavras-chave que acompanharam a palavra "dados" com mais
dados.17 Para continuar a analisar o impacto da atividade do frequência foram "empregado" e "cliente". Dentre os tipos de
usuário na segurança, pesquisadores de ameaças da Cisco documentos baixados, 34% eram PDFs e 31% eram documentos
examinaram recentemente as tendências de extração de dados. do Microsoft Office (ver figura 23).
Eles empregaram um algoritmo de aprendizagem de máquina
para criar os perfis de 150.000 usuários em 34 países, todos Empregar algoritmos de aprendizagem de máquina
usando provedores de serviços de nuvem, de janeiro a junho de apresenta uma visão diferenciada da atividade do usuário de
2017. O algoritmo representou não só o volume de documentos nuvem, que vai além do número de downloads. Em nossa
a ser transferido, mas também variáveis como o horário dos análise, 23% dos usuários estudados foram sinalizados mais
downloads, os endereços IP e as localizações. de três vezes para downloads suspeitos, que geralmente
começaram com um pequeno número de documentos. A
Após criar os perfis de usuários por seis meses, nossos cada vez, o volume aumentava lentamente e, com o tempo,
pesquisadores passaram 1 mês e meio estudando as os downloads desses usuários atingiram picos súbitos e
anormalidades, sinalizando 0,5% dos usuários por downloads significativos (figura 24).
suspeitos. É uma quantidade pequena, mas esses usuários
baixaram, no total, mais de 3,9 milhões de documentos de Os algoritmos de aprendizagem de máquina mantêm a
sistemas de nuvem corporativa ou em média 5.200 documentos promessa de dar mais visibilidade ao comportamento do
por usuário durante o período de 1 mês e meio. Dentre os usuário e da nuvem. Se os defensores puderem começar
downloads suspeitos, 62% foram realizados fora do horário de a prever o comportamento do usuário em termos de
trabalho normal e 40% ocorreram nos finais de semana. downloads, eles podrão economizar tempo ao investigar
o comportamento legítimo. Eles podem também intervir
Os pesquisadores da Cisco também realizaram uma análise para impedir um incidente de ataque ou extração de dados
de mineração
Figure de texto
23 Most dos títulos
commonly dos 3,9 milhões
downloaded de
documents potencial antes que ele aconteça.
Figura 23 Documentos baixados mais comumente Figure 24Algoritmos

Figura 24 Machine-learning algorithms
de aprendizagem capture
de máquina captam
comportamento suspeito de
user download behavior 2017download do usuário
8K
PDFs
34%
7K
Quantidade de arquivos baixados
6K
Escritório
31%
5K
Mídia
23% 4K
Outros
8% 3K
Programação,
dados e scripts 2K
(PD&S)
4%
1K
0
Maio Junho
Atividade do usuário Atividade suspeita


Estudo Comparativo dos Recursos de Segurança da Cisco de 2018: Segurança vista
como um dos principais benefícios da hospedagem de redes na nuvem
Figure 26 53% of organizations host at least
O uso de infraestrutura no local e em nuvem pública está Figura 26 53% das empresas hospedam pelo menos metade
50% of infrastructure in the cloud
crescendo, de acordo com o Estudo Comparativo de Recursos das infraestruturas na nuvem
de Segurança da Cisco de 2018, embora muitas empresas
ainda hospedam redes no local. No estudo de 2017, 27% dos
18% 11%
profissionais de segurança disseram que estão usando nuvens
privadas fora dos locais, em comparação com 25% em 2016 e
20% em 2015 (figura 25). 52% disseram que suas redes estão
hospedados no local como parte de uma nuvem privada.
Figure 25 More organizations are using private
Figura 25 Mais empresas estão usando nuvens privadas
clouds
Local como parte
de uma nuvem privada Nuvem privada fora do local
35% 36%
Percentual de infraestrutura hospedada na nuvem

1-24% 25-49% 50-74% Mais de 75%
52% 2017 27% Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018
Figure 27 57% believe the cloud offers

50% 2016 25% better
Figura 27 57% data que
acreditam security
a nuvem oferece a melhor
51% segurança de dados
2015 20%
50% 2014 18% A nuvem oferece melhor
57%
segurança de dados
2014 (n=1727), 2015 (n=2417), 2016 (n=2887), 2017 (n=3625) Escalabilidade 48%
Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018 Facilidade de uso 46%
Falta de força de
Daquelas empresas que usam a nuvem, 36% hospedam de 25 a 41%
trabalho de TI interna
49% de sua infraestrutura na nuvem, enquanto 35% hospedam
Facilidade de colaboração 39%
de 50 a 74% de sua infraestrutura na nuvem (figura 26). com terceiros externos
A segurança é o benefício mais comum de hospedar redes na OpEx preferíveis 39%

em relação a CapEx
nuvem, de acordo com os entrevistados da equipe de segurança.
Requisitos de regulamentação
Entre eles, 57% disseram que hospedam redes na nuvem por ou conformidade
37%
causa da melhor segurança de dados; 48%, por causa da

Não é Core-to-Business,
escalabilidade; e 46%, devido à facilidade de uso (ver figura 27). 14%
então outsourcing é preferível
Os entrevistados também disseram que, à medida que mais

infraestruturas são movidas para a nuvem, talvez eles invistam Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018
em agentes de segurança de acesso à nuvem (CASBs) para Baixe o gráfico de 2018 em: www.cisco.com/go/acr2018graphics
adicionar segurança extra aos ambientes de nuvem.

ATAQUES À IoT E AO DDoS
A IoT ainda está evoluindo, mas os adversários já estão explorando falhas de segurança em dispositivos de IoT para
obter acesso a sistemas, inclusive os sistemas de controle industrial que oferecem suporte a infraestruturas essenciais.
Os botnets de IoT também estão crescendo em tamanho e poder e são cada vez mais capazes de desencadear ataques
poderosos que poderiam danificar profundamente a Internet. A mudança dos invasores para maior exploração das camadas
da aplicação indica que este é o seu objetivo. Mas muitos profissionais de segurança não estão cientes (ou ignoram) da
ameaça que os botnets da IoT representam. As empresas continuam adicionando dispositivos de IoT a seus ambientes de
TI com pouca ou nenhuma preocupação com a segurança, ou pior, não avaliam quantos dispositivos de IoT estão tocando
em suas redes. Dessa forma, elas estão facilitando a tomada da IoT por parte dos adversários.
Poucas empresas consideram os botnets de IoT uma ameaça iminente, mas deveriam
Os botnets de IoT se expandem e evoluem juntamente com a o controle deles do que um PC, o que significa que é fácil para
IoT. E à medida que esses botnets crescem e amadurecem, os os adversários construírem um grande exército rapidamente.
invasores estão usando-os para lançar ataques de DDoS com
alcance e intensidade cada vez maiores. Radware, um parceiro Os dispositivos de IoT operam 24 horas por dia e podem ser
da Cisco, disponibilizou uma análise de três dos maiores botnets chamados a intervir a qualquer momento. E à medida que os
de IoT, Mirai, Brickerbot e Hajime, no Relatório Semestral de adversários aumentam o tamanho de seus botnets de IoT, eles
Segurança Cibernética da Cisco de 2017 e revisita o tema do também investem em códigos e malware mais sofisticados e
botnet de IoT no relatório mais recente para ressaltar a gravidade mudam para ataques de DDoS mais avançados.
dessa ameaça.18 A pesquisa mostra que apenas 13% das
empresas acreditam que botnets de IoT serão a maior ameaça O DDoS de aplicação ultrapassa o DDoS de rede
para seus negócios em 2018. Ataques de camada de aplicativo estão em ascensão,
enquanto ataques de camada de rede estão em declínio (ver
Botnets de IoT estão prosperando porque as empresas e os
figura 28). Pesquisadores da Radware suspeitam que essa
usuários estão implantando dispositivos de IoT de baixo custo
mudança pode ser atribuída ao crescimento dos botnets
muito rapidamente e com pouca ou nenhuma consideração
de IoT. A tendência é preocupante porque a camada de
pela segurança. Dispositivos de IoT são sistemas baseados em
aplicação é muito diversa e tem muitos dispositivos dentro
Linux e Unix, por isso costumam ser alvos de binários de formato
dela, o que significa que ataques direcionados a essa camada
linkável e executável (ELF). É menos desafiador assumir
têm o potencial para interromper grandes partes da Internet.
Figura
Figure28
28Ataques de DDoS
Application do aplicativo
DDoS attacksaumentaram
increasedem
in 2017
2017
Quais dos seguintes vetores de ataque você teve este ano?
37%
35%
33%
28%
23% 23%
18%
12%
10%
7%
4%
VoIP SMTP DNS HTTPS HTTP TCP-SYN UDP ICMP TCP-outro IPv6 Outros
Flood
Aplicação: 64% Rede: 51%
Fonte: Radware
18 Para saber mais detalhes sobre a pesquisa de botnet de IoT da Radware, veja “A IoT ainda está surgindo, mas os botnets de IoT já existem," p. 39,
Relatório Semestral de Segurança Cibernética da Cisco de 2017: cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html.

Mais os invasores estão se voltando para a camada de aplicação •• Combine ataques de alto volume com durações
porque sobrou pouco para explorar na camada de rede, de diferentes, de 2 a 50 segundos de tráfego de pico alto
acordo com pesquisadores da Radware. Muito botnets de IoT com intervalos de aproximadamente 5 a 15 minutos.
também utilizam menos recursos para construir do que botnets •• Costumam ser combinados com outros ataques de DDoS
do PC. Isso significa que os adversários podem investir mais de longa duração.
recursos para desenvolver código e malware avançados. Os
operadores do botnet de multivetor Mirai, que é conhecido por Crescimento nos ataques de amplificação de reflexão
ataques de aplicativo avançado, estão entre os que fazem esse
Uma outra tendência de DDoS que a Radware observou em
tipo de investimento.
2017 é o crescimento dos ataques de DDoS de amplificação
de reflexão como um vetor importante contra um amplo
Os "ataques de estouro" estão cada vez mais espectro de serviços. De acordo com a Radware, dois em
complexos, frequentes e duráveis cada cinco empresas sofreram um ataque de amplificação
Uma das tendências mais significativas de ataque de DDoS de reflexão em 2017. Um terço dessas empresas relataram
que a Radware observou em 2017 foi um aumento dos terem sido incapazes de atenuar esses ataques.
ataques de pico curtos, que são cada vez mais complexos,
frequentes e persistentes. 42% das empresas na investigação Um ataque de amplificação de reflexão usa um componente
da Radware sofreram esse tipo de ataque de DDoS em 2017 potencialmente legítimo de terceiros para enviar tráfego de
(figura 29). Na maioria dos ataques, os picos recorrentes ataque a um alvo, escondendo a identidade do invasor. Os
duraram apenas alguns minutos. invasores enviam pacotes para os servidores do refletor
com um endereço IP de origem definido como IP do
Figure 29 Experience with DDoS attacks in
principal usuário. Isso torna possível sobrecarregar o alvo
recurringcom
Figura 29 Experiência bursts
ataques de DDoS em picos
recorrentes indiretamente com pacotes de resposta e esgotar a utilização
dos recursos do alvo (ver figura 30).
42% sofreram ataques de pico
curtos ao DoS em 2017
Figure 30Ataque
Figura 30 Reflection amplification
de amplificação attack
de reflexão
9% 18% 15% 58%
Invasor Alvo
Durou Durou Durou de Não foi atingido
alguns alguns 15 a 30 por ataques de pico
segundos minutos minutos
Fonte: Radware
Táticas de pico normalmente visam provedores de

serviços e sites de jogos devido à sensibilidade dos alvos
à disponibilidade do serviço e à sua incapacidade para
sustentar tais manobras de ataque. Picos de taxas de
tráfego altas, oportunas ou aleatórias, durante alguns dias ou
semanas, podem deixar essas empresas sem tempo para
responder, causando graves interrupções de serviço.
Pesquisadores da Radware dizem que ataques de pico: Componente de terceiros
•• São compostos de múltiplos vetores de mudanças.

Fonte: Radware
Os ataques são distribuídos geograficamente e se
manifestam como uma série de inundações de SYN, ACK
e UDP (User Datagram Protocol) precisas e alto volume
inundações em múltiplas portas.

Para executar com êxito um ataque de amplificação de Em um cenário simples, o invasor envia repetidamente a
reflexão, os adversários precisam ter uma capacidade de solicitação de "get monlist" para um servidor NTP aleatório e
banda larga maior do que seus alvos. Servidores de refletor mascara o endereço IP de origem para o servidor solicitante
tornam isso possível: o invasor simplesmente reflete o tráfego como o servidor de destino. As respostas do servidor NTP
de uma ou mais máquinas de terceiros. Por serem servidores serão, então, direcionadas para o servidor de destino para
comuns, esse tipo de ataque é especialmente difícil de causar um aumento significativo no tráfego de UDP da porta
atenuar. Alguns exemplos comuns são: de origem 123.
Ataques reflexivos de amplificação de DNS Reflexão de SSDP

Este sofisticado ataque de negação de serviço se aproveita Esse ataque explora o SSDP (Simple Service Discovery
do comportamento do servidor DNS para amplificar o ataque. Protocol), que é usado para permitir que dispositivos
Uma solicitação DNS padrão é menor do que a resposta do Universal-Plug-and-Play (UPnP) transmitam a existência
DNS. Em um ataque reflexivo de amplificação de DNS, o deles. Também ajuda a ativar a descoberta e o controle de
invasor seleciona com cuidado uma consulta DNS que resulta serviços e dispositivos em rede, como câmeras, impressoras
em uma longa resposta até 80 vezes maior que a solicitação conectadas à rede e muitos outros tipos de equipamentos
(por exemplo, "ANY"). O invasor envia esta consulta usando eletrônicos.
um botnet para servidores DNS de terceiros enquanto
Uma vez que um dispositivo UPnP é conectado a uma rede e
mascara o endereço IP de origem usando o endereço IP do
depois ele recebe um endereço IP, o dispositivo é capaz de
principal usuário. Os servidores DNS de terceiros enviam suas
fazer propaganda de seus serviços para outros computadores
respostas para o endereço IP de destino. Com esta técnica
na rede, enviando uma mensagem em um IP de multicast.
de ataque, um botnet relativamente pequeno pode canalizar
Quando um computador obtém a mensagem de descoberta
uma inundação volumétrica de grandes respostas em direção
sobre o dispositivo, ele solicita uma descrição completa dos
ao alvo.
serviços de dispositivo. O dispositivo UPnP então responde
Reflexão de NTP diretamente ao computador apresentando uma lista completa
Este tipo de ataque de amplificação explora servidores de de todos os serviços que tem para oferecer.
NTP (Network Time Protocol) acessíveis publicamente para
Assim como nos ataques de DDoS amplificados por NTP e
sobrecarregar e esgotar defensores que usam tráfego de
DNS, o invasor pode usar um pequeno botnet para consultar
UDP. NTP é um protocolo de rede antigo para sincronização
essa solicitação final para os serviços. O invasor então
do relógio entre sistemas de computadores através de redes
mascara o IP de origem para o endereço IP do principal
de comutação de pacotes. É ainda amplamente utilizado em
usuário e direciona as respostas para o alvo.
toda a Internet por desktops, servidores e até telefones para
manter os relógios sincronizados. Várias versões antigas de
servidores NTP contêm um comando chamado monlist, que
envia ao solicitante uma lista de até os 600 últimos hosts que
se conectaram ao servidor consultado.

Defensores devem remediar "caminhos de fuga"
Um "caminho de fuga", conforme definido pelo parceiro Cisco tendem a não ser gerenciados e corrigidos. A Lumeta estima
Lumeta, é uma violação de política ou segmentação ou conexão que cerca de 40% das redes dinâmicas, dos endpoints e das
não autorizada ou mal-configurada criada para a Internet em uma infraestruturas em nuvem nas empresas estão apontando
rede corporativa, incluindo da nuvem, que permite que o tráfego para significativos pontos cegos de infraestrutura e falta de
seja encaminhado para um local na Internet, como um site conscientização em tempo real para as equipes de segurança.
mal-intencionado. Essas conexões inesperadas também podem
Detectar os caminhos de fuga atuais é essencial, pois eles
ocorrer internamente entre dois segmentos de rede diferentes
podem ser explorados a qualquer momento. No entanto, é
que não deveriam estar se comunicando entre si. Por exemplo,
importante detectar caminhos criados recentemente, uma vez
em ambientes de infraestrutura essencial, um caminho de fuga
que são indicadores imediatas de comprometimento e estão
inesperada entre o chão de fábrica e os sistemas de TI das
associados a ataques mais avançados, incluindo ransomware.
empresas pode indicar atividade mal-intencionada. Caminhos
de fuga também podem originar-se de roteadores e switches Uma análise recente, feita pela Luneta, da infraestrutura de
configurados de forma inadequada. TI de mais de 200 empresas em diversos setores ressalta a
lacuna da visibilidade dos endpoints. Ele também mostra que
Dispositivos que não têm permissões configuradas corretamente,
muitas empresas subestimam significativamente a quantidade
ou são deixados abertos e não gerenciados, são vulneráveis a
de endpoints em seus ambientes de TI (ver figura 31). A falta
invasores. Dispositivos e redes relacionados a departamentos
de conscientização sobre a quantidade de dispositivos de IoT
de TI falsos ou invisíveis também são terrenos férteis onde
habilitados por IP conectados à rede costuma ser uma das
os adversários podem estabelecer caminhos de fuga, porque
principais razões para subestimar os endpoints.
Figura 31
Figure 31 Resumo
Overview of infrastructure
dos pontos blind spots
cegos de infraestrutura em across various industries
vários setores
Clientes reais da Lumeta Governo Serviços de saúde Tecnologia Finanças
Endpoints presumidos 150,000 60,000 8000 600,000
Endpoints descobertos 170,000 89,860 14,000 1,200,000
Defasagem da visibilidade de endpoint 12% 33% 43% 50%
Redes não gerenciadas 3278 24 5 771
Dispositivos de encaminhamento não autorizados ou inseguros 520 75 2026 420
Redes conhecidas mas inacessíveis 33,256 4 16,828 45
Caminhos de fuga para a Internet identificados na implantação 3000 120 9400 220
Fonte: Lumeta

Os pesquisadores da Lumeta sugerem que os caminhos Os pesquisadores da Lumeta afirmam que as lacunas de
de fuga estão em ascensão, especialmente em ambientes habilidades da equipe de segurança, mais especificamente a
de nuvem, onde há menos visibilidade da rede e são falta de conhecimentos básicos sobre redes, podem interferir
empregados menos controles de segurança. na capacidade de as empresas investigarem e corrigirem
problemas de caminho de fuga de maneira oportuna. Uma
Agentes mal-intencionados sempre usam imediatamente
melhor colaboração entre as equipes de rede e segurança
os caminhos de fuga que criaram ou encontraram. Quando
pode ajudar a acelerar as investigações e remediações de
eles retornam a esses canais, eles os utilizam para instalar
caminhos de fuga.
malware ou ransomware, roubar informações, entre outras
coisas. Pesquisadores da Lumeta dizem que uma das razões Ferramentas de automação que fornecem contexto de rede
pelas quais os caminhos de fuga muitas vezes passam também podem dar os analistas de segurança informações
despercebidos é que os agentes de ameaças são hábeis sobre possíveis problemas de caminho de fuga. Além disso,
em criptografia e em ofuscar suas atividades, usando o TOR, implementar políticas de segmentação apropriadas pode
por exemplo. Também têm o cuidado de usar caminhos de ajudar as equipes de segurança a determinar rapidamente
fuga criteriosamente, de forma a não alertar as equipes de se uma comunicação entre redes ou dispositivos é mal-
segurança com suas atividades. intencionada.
Estudo Comparativo de Recursos de Segurança da Cisco em 2018: A falta de uma equipe de

segurança impede que muitas empresas implementem novos recursos digitais
A grave falta de pessoal continua a ser um grande problema Figura 32 Os principais recursos que os defensores
para os defensores. Como observado acima, lacunas em Figure 32acrescentariam,
Key capabilities
se osdefenders would
níveis das equipes add,
melhorassem
habilidades podem interferir com a capacidade de uma if staffing levels improved
empresa de investigar e corrigir certos tipos de ameaças. Segurança
da mobilidade
Além disso, sem os profissionais certos, os defensores 16%
Criptografia/
não podem implantar novas tecnologias e processos privacidade/ Análise de
proteção de dados endpoint
que podem ajudar a fortalecer seus procedimentos de 19%
15%
segurança (figura 32). Agentes de
segurança de
Firewall acesso à nuvem
Muitos profissionais de segurança entrevistados para o (CASB)
16%
Estudo Comparativo de Recursos de Segurança da Cisco 17%
de 2018 afirmaram que, idealmente, eles automatizariam ou Proteção/ Firewall para
Antivírus aplicações Web
terceirizariam mais de suas atividades de rotina, para que do endpoint 17%
pudessem redirecionar a equipe para atividades mais valiosas. 16%
Peritagem Prevenção
judicial na de intrusões
área de 16%
redes
16% Autenticação de
Vários Fatores
16%


Vulnerabilidades de sistemas de controle industrial colocam infraestruturas essenciais
em risco
Sistemas de controle industrial (ICS) são o coração de todos •• Os invasores foram capazes de lançar vários ataques
os sistemas de produção e controle de processos. Os ICS expressivos contra várias das outras plantas da empresa
se conectam a outros sistemas eletrônicos que fazem parte por meio da rede interna comprometida.
do processo de controle, criando um ecossistema altamente
conectado de dispositivos vulneráveis que muitos invasores Alvo: Usina de energia
estão ansiosos para comprometer. Os recursos mais importantes da usina de energia incluíam
uma grande infraestrutura de ICS e os componentes
Agentes de ameaças que desejam atingir o ICS para paralisar necessários de aquisição de dados e controle de supervisão
as infraestruturas essenciais estão ativamente engajados (SCADA) que gerenciam e executam seus processos. A
na pesquisa e criação de pontos dinâmicos de backdoor planta é considerada uma infraestrutura nacional essencial
para facilitar ataques futuros, segundo a TrapX Security, um e está sujeita ao controle e fiscalização pela agência de
parceiro da Cisco que desenvolve defesas de segurança segurança nacional responsável. É, portanto, considerada
cibernética baseada em dissimulação. Entre os potenciais uma instalação de alta segurança.
invasores estão especialistas com conhecimentos avançados
de sistemas de TI, arquiteturas de ICS e dos processos com O CISO envolvido decidiu implementar uma tecnologia de
os quais são compatíveis. Alguns também sabem como dissimulação para proteger os recursos de TI padrão da
programar controladores e subsistemas da gestão do ciclo de planta contra ataques ransomware. A tecnologia também foi
vida do produto (PLM). distribuída dentro da infraestrutura de ICS. Logo depois, a
equipe de operações de segurança recebeu vários alertas
Pesquisadores de ameaças da TrapX recentemente que indicaram uma violação nos sistemas das operações
conduziram investigações sobre vários ataques digitais ao ICS essenciais da planta de infraestrutura. A investigação imediata
dos clientes para ajudar a apontar problemas inesperados concluiu que:
na defesa cibernética do ICS. Dois dos incidentes, descritos
abaixo, ocorreram em 2017 e permanecem sob investigação. •• Um dispositivo na rede de controle de processos tentou
interagir com as armadilhas de dissimulação que estavam
Alvo: Grande empresa internacional de tratamento de camufladas como controladores de PLM. Essa foi uma
água e processamento de resíduos tentativa ativa de mapear e entender a natureza exata de
Os invasores usaram o servidor de zona desmilitarizada (DMZ) cada controlador de PLM dentro da rede.
da empresa como um ponto dinâmico para comprometer a •• O dispositivo comprometido, normalmente, teria sido
rede interna. A equipe de operações de segurança recebeu encerrado, mas um fornecedor que realizava uma
alertas da tecnologia de segurança de dissimulação integrada manutenção falhou ao encerrar a conexão quando
à rede DMZ. Essa sub-rede física ou lógica separa as redes terminou. Esse descuido deixou a rede de controle de
internas de redes não confiáveis, como a Internet, protegendo processos vulnerável a invasores.
outra infraestrutura interna. A investigação concluiu que: •• O tipo de informação que os adversários estavam
•• O servidor DMZ foi violado devido a um erro de coletando é exatamente o necessário para interromper
configuração que permitia conexões RDP. a atividade da planta e, potencialmente, causar grandes
danos às operações em andamento na planta.
•• O servidor foi violado e controlado a partir de vários IPs
que estavam ligados a hackativistas políticos hostis para
a planta.

Recomendações •• Implementar políticas que limitam drasticamente a
Muitas violações ao ICS começam com o comprometimento utilização das redes de ICS para algo diferente de
de servidores e recursos de computação vulneráveis dentro operações essenciais. Reduzir a acessibilidade às
da rede de TI corporativa. Os pesquisadores de ameaças estações de trabalho do ICS e monitores com acesso
da TrapX recomendam que empresas tomem as seguintes externo de navegador da Internet. Admitir que essas
medidas para reduzir o risco e ajudar a garantir a integridade políticas falharão e planejar-se de acordo.
das operações dentro de suas instalações: •• Pesquisar e eliminar todas as senhas integradas ou
senhas padrão na rede de produção. E sempre que
•• Analisar sistemas e fornecedores e garantir que todas as
possível, implementar autenticação de dois fatores.
correções de falhas e atualizações sejam empregadas
imediatamente. (Se a correção de falha não estiver •• Rever os planos para recuperação de desastres após um
disponível, considere migrar para uma nova tecnologia). grande ataque cibernética.
•• Reduzir o uso de cartões de memória USB e unidades de DVD. Para ver outros estudos de caso, consulte o artigo da TrapX
Security, Anatomy of an Attack: Industrial Control Systems
•• Isolar os sistemas de ICS das redes de TI. Não permitir
Under Siege.
qualquer conexões diretas entre os dois. Isso inclui
conexões de rede, notebooks e cartões de memória.
Estudo Comparativo de Recursos de Segurança da Cisco de 2018: Mais ataques de TO e IoT no horizonte
Ataques direcionados à tecnologia operacional (OT) como Figura 33 31% das empresas sofreram ataques digitais na
dispositivos de ICS e IoT são ainda incomuns o suficiente Figure 33infraestrutura
Thirty-one percent of organizations have
de TO
para que muitos profissionais de segurança ainda não os experienced cyber attacks on OT infrastructure
tenham experimentado em primeira mão. Mas, de acordo
com a pesquisa para o Estudo Comparativo de Recursos de
Segurança da Cisco de 2018, os profissionais de segurança Já vi ataques
31%
cibernéticos no OT
esperam que tais ataques ocorram e estão tentando determinar
como eles vão responder a eles.
Os profissionais de segurança reconhecem que esses sistemas

costumam ter algumas proteções e software desatualizado e sem Espero que os ataques
correção de erros, o que os torna vulneráveis a ataques. cibernéticos se estendam 38%
ao OT
"Ainda temos dispositivos de TO com 25 anos de idade e

compressores e máquinas que têm 40 anos de idade," disse um
entrevistado. "Os profissionais de TI estão acostumados com a
Espero ataques
programação. [Eles dizem], “Diga-me quando Windows X não for cibernéticos ao OT, 20%
mais compatível” ou “Olá, esta versão do Oracle está atingindo o mas não no próximo ano
fim de vida (EOL, end of life).” Não existe isso no ambiente de TO.”
Alguns profissionais de segurança podem falar com confiança

sobre questões relativas à proteção de TO em suas empresas. Creio que ataques
Isso se dá porque eles não têm muita TO nem preveem a cibernéticos permanecerão 10%
concentrados no setor de TI
inclusão de mais TO, ou porque as implementações de IoT são
novas. Desses profissionais, 31% disseram que suas empresas
já sofreram ataques digitais na infraestrutura de TO, enquanto
38% disseram que esperam que os ataques se estendam da TI
para a TO no próximo ano (figura 33). Baixe o gráfico de 2018 em: www.cisco.com/go/acr2018graphics

VULNERABILIDADES E CORREÇÃO DE ERROS
Em meio ao caos das preocupações de segurança, os defensores podem perder de vista as vulnerabilidades que
afetam a tecnologia deles. Mas você pode ter certeza de que os invasores estão prestando atenção e calculando
como explorar essas fraquezas potenciais para lançar ataques.
Houve um tempo quando corrigir os erros de vulnerabilidades conhecidas dentro de 30 dias era considerado uma das
melhores práticas. Agora, aguardar tanto tempo para corrigir erros pode aumentar o risco de uma empresa ser alvo
de ataques, pois os agentes de ameaças estão se movendo ainda mais rapidamente para liberar e usar explorações
de vulnerabilidades ativas. As empresas também devem evitar negligenciar as lacunas de segurança pequenas,
porém significativas, que poderão beneficiar os adversários, especialmente durante a fase de reconhecimento de
ataques, quando eles estão à procura de caminhos para entrar nos sistemas.
As principais vulnerabilidades em 2017 incluíram erros de saturação do buffer,

Apache Struts
Erros de saturação do buffer lideraram a lista de um movimento para cima e para baixo. Vulnerabilidades de
vulnerabilidades de CWE (Common Weakness Enumeration, validação de entrada aumentaram, enquanto os erros de
Enumeração de pontos fracos comuns) controlada pela buffer diminuíram (figura 34).
Cisco em 2017, embora outras categorias tenham mostrado
Figure 34 CWE threat category activity
Figura 34 Atividade de categoria de ameaça de CWE
Categoria da ameaça Jan-Set 2016 Jan-Set 2017 Alterar
CWE-119: Erros de buffer 493 403 (-22%)
CWE-20: Validação de entrada 227 268 +15%
CWE-264: Permissões, privilégios e acesso 137 163 +18%
CWE-200: Vazamento/divulgação de informações 125 250 +100%
CWE-310: Problemas com criptografia 27 17 (-37%)
CWE-78: Injeções de comandos de SO 7 15 +114%
CWE-59: Sequência de link 5 0

Ao examinar alertas críticos (figura 35), observou-se que as Conforme discutido nos relatórios19 de segurança da Cisco
vulnerabilidades do Apache Struts ainda se destacavam em anteriores, as vulnerabilidades de software de código aberto
2017. Apache Struts é uma estrutura de código-fonte aberto ou de terceiros podem exigir correção de erros manual, o que
para a criação de aplicações Java amplamente utilizado. As não pode ser feito com tanta frequência quanto a correção de
vulnerabilidades do Apache Struts estavam relacionadas a erros automatizada de fornecedores de software padrão. Isso
violações de segurança em 2017, que envolveram grandes dá aos agentes mal-intencionados um período maior para lançar
corretores de dados. ataques.
Enquanto o Apache tende a identificar vulnerabilidades e A varredura profunda dos sistemas operacionais até o nível
disponibilizar correções de erros rapidamente, pode ser da biblioteca ou do arquivo individual pode providenciar às
desafiador corrigir erros de soluções de infraestrutura, como o empresas inventários dos componentes das soluções de
Apache Struts, sem interromper o desempenho da rede. código-fonte aberto.
Figura 35 Alertas críticos e atividades de ataque

Figure 35 Critical advisories and attack activities
Vulnerabilidades críticas Atividades de ataque
CPU da Oracle, Vulnerabilidades Vulnerabilidades Vulnerabilidades Lançamento do Vault 7 Atividade WannaCry

vulnerabilidades do OpenSSL do OpenSSL de execução do WikiLeaks MS17-010
de OIT CVEs múltiplas CVE-2017-3733 remota de código CVEs múltiplas CVEs múltiplas
CVEs múltiplas do Apache Struts 2
CVE-2017-5638
18 de janeiro 26 de janeiro 6 de fevereiro 6 de março 7 de março 17 de maio
Microsoft Windows Vulnerabilidades de Vulnerabilidades WebDAV para Campanhas globais Divulgação das
Graphics Execução do Código de Network Time Serviços de mantidas pela Operação explorações de equação
Arbitrário de Serviço Protocol Informações Cloud Hopper do Shadow Brokers Group
CVE-2017-0108 de Bloqueio de
CVEs múltiplas da Internet (IIS)
Mensagens do
Microsoft Windows CVE-2017-7269
Server
CVE-2017-0145
14 de março 14 de março 21 de março 29 de março 6 de abril 8 de abril
Microsoft Office Vulnerabilidade de Vulnerabilidade de

(exploração do execução de código execução de código
Dridex) arbitrário de processamento arbitrário do Microsoft .NET
CVE-2017-0199 de XML do plug-in REST Framework
do Apache Struts CVE-2017-8759
CVE-2017-9805
11 de abril 06 de setembro 12 de setembro


As vulnerabilidades da IoT e das bibliotecas foram ainda mais importantes em 2017
Entre 1º de outubro de 2016 e 30 de setembro de 2017, os Se apenas as assinaturas digitais são usadas, mas um canal seguro
investigadores de ameaças da Cisco descobriram 224 novas não, um invasor pode interceptar o tráfego e potencialmente
vulnerabilidades em produtos que não são da Cisco, entre as substituir uma atualização por uma versão mais antiga do
quais 40 vulnerabilidades estavam relacionadas a bibliotecas software que está assinado digitalmente, mas pode apresentar
de software de terceiros incluídas nesses produtos e 74 a vulnerabilidades. Se somente um canal seguro é utilizado,
dispositivos de IoT (figura 36). um invasor pode potencialmente comprometer o servidor de
atualização do fornecedor e substituir a atualização com malware.
O número relativamente grande de vulnerabilidades em Figure 36 Third-party library and IoT
bibliotecas aponta para a necessidade de investigar as vulnerabilities, October 1,na2016-September
Figura 36 Vulnerabilidade biblioteca e na IoT 30, 2017
de terceiros
soluções de terceiros que fornecem estrutura para várias redes
corporativas. Defensores devem pressupor que bibliotecas de
software de terceiros podem ser alvos dos invasores. Apenas
certificar-se de que a última versão do software está em
execução ou que nenhuma CVE (vulnerabilidade comum) foi
relatada não é o suficiente. As equipes de segurança devem
Bibliotecas de
corrigir erros com frequência e avaliar as práticas de segurança software de terceiros: 40
de fornecedores de terceiros. As equipes podem, por exemplo,
solicitar que fornecedores apresentem declarações de ciclo de
vida de desenvolvimento seguro.
Outra melhor prática para avaliar o software do terceiro é

ajudar a garantir que os recursos de atualização automática ou
verificação de atualização estão operando com segurança. Por IoT: 74
exemplo, quando uma atualização é iniciada, os profissionais de
segurança devem estar certos de que a comunicação com o Total de vulnerabilidades: 224
software ocorre através de um canal seguro (como o SSL) e que
o software é assinado digitalmente. Ambos são necessários: Fonte: Cisco Security Research
Vulnerabilidades Spectre e Meltdown: A preparação proativa pode acelerar a reparação dos danos
O anúncio de janeiro de 2018 das vulnerabilidades Spectre e As empresas precisam se preparar para vulnerabilidades como
Meltdown, que poderiam permitir que invasores comprometessem Spectre e Meltdown, em vez de esperar que elas não ocorram. A
dados em plataformas que executam processadores de chave é preparar-se para tais anúncios e implantar sistemas para
computador de geração atual, trouxe preocupações sobre a atenuar os danos potenciais. Por exemplo, as equipes de segurança
capacidade dos profissionais de segurança para proteger os dados devem inventariar os dispositivos que estão sob seu controle
contra ataques. As vulnerabilidades podem permitir que invasores proativamente e documentar as configurações dos recursos que
vejam os dados de aplicativo na memória, no chipset, com potencial estão sendo usados, visto que algumas vulnerabilidades dependem
para danos generalizados, visto que os microprocessadores de configuração e causam impacto sobre a segurança somente
afetados são encontrados em tudo, desde telefones celulares até quando determinadas funcionalidades são ativadas.
hardware de servidor. As equipes de segurança também devem perguntar a fornecedores
As ameaças decorrentes das vulnerabilidades Spectre e Meltdown terceiros, como provedores de nuvem, sobre seus processos
destacam a importância de comunicar-se com empresas de de atualização e correção de erros. As empresas precisam pedir
segurança sobre soluções como correção de erros e de garantir transparência de seus provedores de nuvem em termos de como
que provedores de terceiros, como fornecedores de cadeia de eles remediam tais vulnerabilidades, e quão rapidamente eles
fornecimento e em nuvem, estão aderindo às melhores práticas respondem aos alertas. Mas no final, a responsabilidade pelo
para corrigir lacunas na segurança apresentadas por essas preparo recai sobre as próprias empresas; elas devem comunicar-
vulnerabilidades. As equipes de resposta a incidentes de segurança se com empresas PSIRT e estabelecer processos para responder
do produto, ou PSIRTs (como o Cisco PSIRT), destinam-se a rapidamente às vulnerabilidades.
responder rapidamente aos anúncios de vulnerabilidade, corrigir Para obter mais informações, leia o post do blog do Cisco
erros e aconselhar os clientes sobre como evitar os riscos. Talos sobre Spectre e Meltdown.

Explorações ativas aceleram a corrida pela remediação, exceto para dispositivo de IoT
A Qualys, Inc., um parceiro da Cisco e provedor de segurança No entanto, um número significativo de dispositivos ainda não
na nuvem e soluções de conformidade, fez uma análise tinha tido seus erros corrigidos até meados de abril. Em 14 de
retrospectiva do comportamento de gerenciamento de patches abril, os Shadow Brokers lançaram a exploração direcionada
das empresas antes e depois da campanha WannaCry que àquela vulnerabilidade conhecida em várias versões do
afetou muitas empresas em todo o mundo, em maio de 2017. Microsoft Windows. A figura 37 mostra que o número de
dispositivos detectados com a vulnerabilidade quase dobrou
O ransomware cryptoworm WannaCry, que muitos especialistas
logo em seguida. Isso aconteceu quando as empresas
de segurança acreditam ter sido projetado para limpar dados,
ficaram cientes das explorações e do potencial delas para
aproveitou-se de uma vulnerabilidade de segurança do Microsoft
impactar versões compatíveis e incompatíveis do Windows,
Windows chamada EternalBlue, que foi vazada pelo grupo de
através de uma verificação remota da Qualys que usou uma
hackers Shadow Brokers em meados de abril de 2017. (Para
parte do código de exploração.
obter mais informações sobre esse tópico, consulte "Eles estão
por aí: Os defensores devem se preparar para enfrentar novas Mas mesmo depois do lançamento da exploração, a correção
ameaças de rede autopropagadas em 2018," na página 6.) de erros generalizada só ocorreu em meados de maio, após
o ataque do WannaCry aparecer nas manchetes de todo o
Em 14 de março de 2017, a Microsoft emitiu uma atualização
mundo. A figura 37 mostra a curva íngreme de remediação
de segurança (MS17-010) alertando os usuários sobre uma
após essa campanha. Ao fim de maio, alguns dispositivos
vulnerabilidade crítica no Microsoft Windows SMB Server. A
haviam sido deixados sem correção.
figura 37 mostra como o número de dispositivos detectados com
vulnerabilidades atingiu o pico e, então, gradualmente declinou A pesquisa realizada pela Qualys para investigar o
entre meados de março e abril,quando as empresas varreram comportamento de correção de erros dos clientes indicou
seus sistemas e corrigiram os erros. que é preciso um grande evento para motivar muitas
Figure 37 Patching behavior before and after empresas a corrigirem vulnerabilidades críticas; nem mesmo
Figura 37 O comportamento da correção de erros antes e o conhecimento de uma exploração ativa é suficiente para
WannaCry campaign
depois da campanha WannaCry acelerar a reparação dos danos. E no caso da campanha
Atividades de remediação aceleram WannaCry, as empresas tiveram acesso à correção de erros
Detecções de MS17-010 devido a ataques ativos por da vulnerabilidade da Microsoft por dois meses antes de os
WannaCry
600K ataques de ransomware ocorrerem.
Vulnerabilidades de exploração
têm destaque nos jornais Outro motivo, conforme descrito por pesquisadores do da
Quantidade de detecções
500K
Cisco e da Lumeta, parceiro da Qualys, foi que os endpoints
Alertas de vulnerabilidade
da Microsoft de TI desconhecidos, não gerenciados, invasores e invisíveis
400K
não foram corrigidos. Os invasores foram capazes de
aproveitar esses pontos cegos. Sem o conhecimento desses
300K
sistemas, scanners de vulnerabilidade não foram capazes de
avaliar e recomendar a correção de erros desses sistemas,
200K
deixando-os vulneráveis ao WannaCry.
100K
Mar Abr Maio

2017
Fonte: Qualys

A correção de erros dos dispositivos de IoT é ainda mais A Qualys detectou 7328 dispositivos no total, mas apenas
lenta ou não está acontecendo 1206 haviam sido fixados (ver figura 38). Isso significa
A Qualys também examinou tendências de correção de erros que 83% dos dispositivos de IoT na amostra ainda têm
para dispositivos de IoT. Os dispositivos na amostra incluem vulnerabilidades críticas. Mesmo que a Qualys não tenha
sistemas HVAC habilitados por IP, fechaduras, painéis de encontrado evidências de que agentes de ameaças estejam
alarme de incêndio e leitores de cartão. visando essas vulnerabilidades ativamente, as empresas ainda
estavam suscetíveis ao ataque. No entanto, não parecem
Os pesquisadores observaram especificamente os motivadas a corrigir problemas com rapidez.
dispositivos de IoT vulneráveis a várias ameaças conhecidas,
incluindo o malware Devil’s Ivy, que explora uma Existem várias explicações possíveis para a inércia de
vulnerabilidade em um código chamado de gSOAP que é correção de erros, de acordo com Qualys. Alguns dispositivos
amplamente utilizado em produtos de segurança física, e podem não ser atualizáveis, por exemplo. Outros podem
Mirai, um botnet de IoT que se conecta a máquinas-alvo exigir suporte direto do fornecedor. Além disso, não é claro
através de ataques de força bruta contra servidores Telnet. quem é responsável pela manutenção dos dispositivos de IoT
dentro da empresa. Por exemplo, uma equipe de engenharia
Figura
Figure38
38Tendências
IoT device patching
de correção trends
de erros de dispositivo de IoT que cuida do sistema HVAC da empresa pode não estar
ciente dos riscos de TI que podem afetar o sistema, ou até
Hosts vulneráveis mesmo que o sistema está habilitado para IP.
Mas o mais preocupante é o baixo número de dispositivos de

IoT detectados pela Qualys. O número real é provavelmente
muito maior porque as empresas simplesmente não sabem
quantos dispositivos de IoT são conectados a uma rede.
Essa falta de visibilidade os coloca em sério risco de
comprometimento (ver página 34 para mais informações
83% sobre este tópico).
Inventariar todos os dispositivos de IoT na rede é um

primeiro passo para lidar com essa questão. As empresas
podem então determinar se os dispositivos podem ser
varridos e ainda recebem suporte dos fornecedores e
quais os funcionários na empresa os têm e os utilizam. As
empresas também podem melhorar a segurança de IoT, ao
Hosts totalmente fixados 1206 tratar todos os dispositivos de IoT como outros dispositivos
Ainda vulneráveis 6095 de computação, ajudando a garantir que eles recebam
Total de hosts com atualizações de firmware e sejam corrigidos regularmente.
Identificadores Qualys 7328
(QIDs) detectados
Fonte: Qualys

As vulnerabilidades mais comuns são de baixa gravidade, mas de alto risco
Vulnerabilidades de baixa gravidade costumam ficar sem Os pesquisadores da SAINT examinaram dados de exposição
correção por anos, porque as empresas não sabem que elas de vulnerabilidade coletados de mais de 10.000 hosts em
existem ou não as consideram riscos significativos, de acordo 2016 e 2017. A empresa desenvolveu uma lista das principais
com especialistas em segurança da SAINT Corporation, uma vulnerabilidades detectadas com maior frequência em todas as
empresa de soluções de segurança e parceiro Cisco. No entanto, empresas do estudo, o que indicou que as vulnerabilidades de
essas brechas de segurança pequenas, porém significativas baixa gravidade ocorrem com mais frequência (ver figura 39).
podem dar aos adversários entrada para os sistemas. (Observação: algumas empresas incluídas na pesquisa tinham
mais de um host.)
Figure 39 Low-severity vulnerabilities most often detected, 2016-2017
Figura 39 Vulnerabilidades de baixa gravidade detectadas com mais frequência, 2016-2017
36%
32%
31%
25%
Percentual de hosts afetados
20%
18%
17%
16%
15% 15%
14%
10%
Solicitações Redefinição Ataque BEAST Política de Ataque Solicitações

de carimbo de de TCP por Seq. de SSL/TLS Cache HTTPS SWEET32 de carimbo de
hora do TCP aproximada # fraca de SSL/TLS hora de ICMP
habilitadas habilitadas
2016 2017
Fonte: SAINT Corporation

Veja mais detalhes sobre as três principais vulnerabilidades Os pesquisadores de segurança da SAINT não
de baixa gravidade na figura 39 e por eles podem ser valiosos detectaram adversários que exploravam ativamente essas
para agentes de ameaças: vulnerabilidades de baixa gravidade durante a análise.
Solicitações de carimbo de hora do TCP habilitadas As vulnerabilidades mostradas na figura 39 são conhecidas na
Carimbos de hora de TCP dão informações sobre o tempo de comunidade de segurança, mas algumas delas normalmente
funcionamento de uma máquina, ou a última reinicialização, não seriam sinalizada ou levariam a uma falha automática
o que pode ajudar os adversários a aprenderem que tipos de durante uma verificação de conformidade de rotina, como
vulnerabilidades que podem ser corrigidas a máquina precisa uma auditoria do Padrão de Segurança de Dados do Setor de
explorar. Além disso, programas de software podem usar o Cartões de Pagamento (PCI DSS). Não são vulnerabilidades
carimbo de hora do sistema para propagar um gerador de críticas, conforme definido pelas normas relevantes desse
números aleatório para criar chaves de criptografia. setor. Cada setor separa o nível crítico das vulnerabilidades
de uma maneira.
Redefinição de TCP por número aproximado de
sequência Além disso, a maioria das vulnerabilidades que ocorrem
Invasores remotos podem adivinhar os números de sequência comumente de baixa gravidade exibidas na figura 39 não
e causar uma negação de serviço para conexões TCP ao podem ser corrigidas facilmente, ou de maneira alguma,
injetar repetidamente um pacote TCP RST, especialmente nos através do gerenciamento de patches, porque eles derivam
protocolos que utilizam conexões de longa duração, como o de problemas de configuração ou problemas de certificado
Border Gateway Protocol. de segurança (por exemplo, cifras SSL fracas ou um
certificado SSL assinado automaticamente).
Ataque "Beast"
Um invasor pode usar a vulnerabilidade BEAST (Browser As empresas devem agir prontamente para lidar com
Exploit Against SSL/TLS, Exploração de navegador contra vulnerabilidades de baixa gravidade que podem apresentar
SSL/TSL) para lançar um ataque com intermediário para risco. Eles devem avaliar e identificar as prioridades de
basicamente "ler" o conteúdo protegido que está sendo correção com base em como eles percebem o risco, ao
trocado entre as partes. (Observação: esse é um ataque invés de depender de avaliações de terceiros ou da utilização
complicado de executar, pois o agente de ameaça também parcial de um sistema de pontuação, como uma pontuação
deve ter controle do navegador do cliente para ler e injetar básica CVSS, ou uma classificação de conformidade
pacotes de dados muito rapidamente.) específica. Só as empresas conhecem os ambientes únicos e
as estratégias de gerenciamento de risco.

Parte II:
O cenário do defensor
Parte II: O cenário do defensor
Sabemos que os invasores estão evoluindo e adaptando suas técnicas em um ritmo
mais rápido do que defensores. Eles também estão se munindo e testando suas
explorações, estratégias de evasão e habilidades para poderem lançar ataques de
magnitudes cada vez maiores. Quando os adversários inevitavelmente atacarem
suas empresas, os defensores estarão preparados? E com que velocidade eles
conseguirão se recuperar? Isso depende em grande parte das etapas que estão
seguindo para reforçar seus procedimentos de segurança.
Figure 40 Fifty-three percent of attacks result in

O que aprendemos através da nossa pesquisa para o Estudo Figura 40 53% dos ataques
damages resultam em
of $500,000 ordanos
moree prejuízos de
Comparativo dos Recursos de Segurança de 2018 é que os US$ 500.000 ou mais
defensores têm muito trabalho a fazer e desafios a superar.
Para avaliar a percepção dos defensores sobre a situação da Mais de US$ 5 milhões 8%
segurança em suas empresas, nós perguntamos a Diretores US$ $2,5 milhões
11%
executivos de segurança da informação (CISOs) e a gerentes a 4,9 milhões
de operações de segurança (SecOps) em vários países e em

US$ 1 milhão
empresas de diferentes portes sobre seus procedimentos e a 2,4 milhões
19% 53% dos ataques
recursos de segurança.
US$ 500 mil a 999 mil
O Estudo comparativo de recursos de segurança da Cisco de 15%
2018 apresenta informações sobre as práticas de segurança

em uso no momento e compara esses resultados com os dos
US$ 100 mil a 499 mil 17%
relatórios de 2015, 2016 e 2017. A pesquisa envolveu mais
de 3600 entrevistados em 26 países.
Menos de US$ 100 mil 30%
O custo dos ataques

O medo das violações baseia-se no custo financeiro
dos ataques, o que não é mais um número hipotético.
As violações causam danos econômicos reais para empresas,
os quais podem levar meses ou anos para serem resolvidos.
De acordo com os entrevistados do estudo, mais da metade
(53%) de todos os ataques resultaram em danos financeiros
de mais de US$ 500.000, incluindo, entre outros, perda de
receita, clientes, oportunidades e em despesas (figura 40).
46 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do defensor

Desafios e obstáculos
Em seus esforços para proteger suas empresas, as equipes de de segurança. As áreas e funções mais desafiadoras de
segurança enfrentam muitas barreiras. As empresas precisam defender são dispositivos móveis, dados na nuvem pública e
defender várias áreas e funções, o que cria ainda mais desafios comportamento do usuário (figura 41).
Figure 41 AsMost
Figura 41 áreaschallenging areas
mais desafiadoras to defender
para defend:são
mobile devices móveis
os dispositivos and cloud data em nuvem
e os dados
Caixa com os 2 principais
em percentual
4% 12% 28% 35% 22% 57%

Dispositivos móveis
3% 10% 30% 38% 20% 58%
4% 11% 30% 36% 21% 56%

Dados na
2% 10% 30% 34% 21% 57%
nuvem pública
3% 11% 29% 35% 22% 56%

Comportamento
do usuário 2% 10% 31% 37% 20% 57%
2017
2016
Nem um pouco Extremamente
desafiador desafiador
Profissionais de segurança citam orçamento, interoperabilidade A falta de profissionais qualificados está no topo da lista dos
e pessoal como suas principais restrições durante o obstáculos em todos os setores e em todas as regiões. "Se eu
gerenciamento da segurança (figura 42). A falta de pessoal pudesse agitar uma varinha mágica e fazer com que 10% mais
treinado também é considerada um desafio para a adoção de pessoas tirem o peso das costas das pessoas que realmente
processos e tecnologia de segurança avançada. Em 2017, 27% carregam as responsabilidades devido à alta demanda por suas
citaram a falta de talento como um obstáculo, em comparação áreas de serviço, eu seria um cara muito, mas muito feliz,” declarou
com 25% em 2016 e 22% em 2015. um CISO de uma grande empresa de serviços profissionais.
Figura 42 O maior obstáculo à segurança: Embora a lacuna de profissionais qualificados é um desafio

Figure 42 restrições
The greatest obstacle to security:
orçamentárias constante, as empresas relatam que estão à procura e estão
budget constraints contratando mais recursos para suas equipes de segurança.
39% Em 2017, as empresas tinham em média 40 profissionais de
35%
34% segurança, um aumento significativo desde a média de 2016,
32% 33 pessoas (figura 43).
28%
27% 27% Figure 43 Organizations hire more security
25% Figura 43 As empresas contratam mais profissionais de segurança
professionals
22%
Número médio de profissionais
exclusivos para segurança
30 25 33 40
Restrições Problemas de Falta de pessoal 2014 2015 2016 2017

orçamentárias compatibilidade com treinado
sistemas legados
2014 (n=1738), 2015 (n=2426), 2016 (n=2903), 2017 (n=3632)
2015 2016 2017
2015 (n=2432), 2016 (n=2912), 2017 (n=3651)
Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018 Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018

Complexidade é criada por fornecedores em orquestração
Os defensores estão implementando uma mistura complexa Em 2017, 25% dos profissionais de segurança disseram que
de produtos de uma seção transversal de fornecedores: um usaram produtos de 11 a 20 fornecedores, em comparação
arsenal de ferramentas que pode ofuscar em vez de esclarecer o com 18% dos profissionais de segurança em 2016. Também
cenário de segurança. Essa complexidade causa muitos efeitos em 2017, 16% disseram usar de 21 a 50 fornecedores, em
de downstream na capacidade de uma empresa de se defender comparação com 7% dos entrevistados em 2016 (figura 44).
contra ataques, como o aumento do risco de perdas.
Figure 44As
Figura 44 Organizations used
empresas usaram more
mais securitydevendors
fornecedores inem
segurança 2017
2017
30% 24% 25% 16% 5%

(2016: 45%) (2016: 29%) (2016: 18%) (2016: 7%) (2016: 3%)
1-5 6-10 11-20 21-50 50 principais

fornecedores
À medida que aumenta o número de fornecedores, aumenta, Figura 45 O desafio de orquestrar alertas
também, o desafio de orquestrar alertas dessas muitas Figure 45 The challenge of orchestrating alerts
soluções de fornecedores. Como pode ser visto na figura 45,
54% dos profissionais de segurança disseram que gerenciar 20% 26%
vários alertas de fornecedor é um tanto desafiador, enquanto

20% disseram que é muito desafiador.
54%
Não Razoavelmente Muito

desafiador desafiador desafiador

As equipes de segurança enfrentam desafios para Entre as empresas que usam mais de 50 fornecedores, 55%
orquestrar vários alertas de fornecedor disseram que tal orquestração é muito desafiadora.
Como pode ser visto na figura 46, entre as empresas com 1 a
Quando as empresas não podem orquestrar e entender os
5 fornecedores apenas, 8% disseram que orquestrar alertas é alertas que recebem, ameaças legítimas podem passar pelas
Figure
muito 46 As vendors increase, so does the challenge
desafiador. ofbrechas.
orchestrating security alerts
Challenge of Orchestrating Multiple Vendor Alerts
Figura 46 À medida aumentam os fornecedores, aumenta também
IT Security o desafio
Personnel with: de orquestrar alertas de segurança
8% 10% 21% 43% 55%
1-5 6-10 11-20 21-50 50+

Número de fornecedores
Nem um pouco desafiador Razoavelmente desafiador Muito desafiador
Serviços Serviços Teleco- Serviços

Educação Governo Produção Farmacêutico Varejo Transporte
financeiros de saúde municações públicos/energia
Muito desafiador 17% 24% 16% 42% 14% 25% 19% 14% 12% 27%
Dados dos entrevistados indicam que continuam a existir Figure 47 Muitos

Figura 47 Manyalertas
threatdealerts arenão
ameaças notsão
investigated
investigados
lacunas entre os alertas gerados, aqueles que têm sido or remediated
nem remediados
investigados e aqueles que são corrigidos com o tempo.
Conforme exibido na figura 47: 34%
dos alertas
são legítimos
•• Entre as empresas que recebem alertas de segurança
diariamente, em média 44% dos alertas não são
investigados. 51% 49%
dos alertas dos alertas
•• Dos alertas investigados, 34% são considerados legítimos são legítimos
corrigidos não são corrigidos
legítimos.
•• Daqueles considerados legítimos, 51% dos alertas são
corrigidos.
•• Quase metade (49%) dos alertas legítimas não são 56%
corrigidos. dos alertas são
investigados 93%
Esse processo deixa muitos alertas legítimos sem correção. receberam
alertas de
Uma motivo parece ser a falta de funcionários e pessoal 44% segurança
treinado que possam atender à demanda para investigar dos alertas não
são investigados
todos os alertas.
8%
não receberam
alertas de
segurança

Impacto: Exposição a críticas devido a violações e 48
Figure maior riscopercent
Fifty-five de perdas
of organizations have
had to manage public scrutiny of a breach
"Existem dois tipos de empresas: aquelas que foram violadas Figura 48 55% das empresas tiveram que administrar as
e aquelas que não sabem que foram violadas," disse um críticas públicas que acompanharam uma violação
entrevistado do estudo comparativo. (A resposta reproduz
uma citação bem conhecida do antigo CEO da Cisco, John
Chambers: "Existem dois tipos de empresas: aqueles que
foram invadidas e aqueles que ainda não sabem que foram 49%
2016
invadidas.") Mesmo que as empresas estejam tentando
enfrentar os desafios de segurança futuros ao fazer uma 55%
2017
preparação adequada, os profissionais de segurança esperam
que eles sejam vítimas de uma violação que recebe críticas
públicas. 55% dos entrevistados disseram que suas empresas
tiveram que lidar com as críticas públicas acerca de uma
violação no ano passado (figura 48).
2016 (n=2824), 2017 (n=3548)

"A norma será a violação de todas as empresas da Fortune 500 nos próximos 24 meses. Você tem que
estar preparado para isso, especialmente de uma perspectiva de marketing ou uma perspectiva de RP."
—Entrevistado do estudo de comparação

As empresas relataram significativamente mais falhas de Figura 49 O aumento acentuado das violações de segurança
segurança que afetam mais de 50% dos sistemas (figura 49), Figure 49 que
Sharp increase
afetam mais dein50%
security breaches
dos sistemas
do que as empresas entrevistadas no ano passado. Em 2017, affecting more than 50 percent of systems
32% dos profissionais de segurança disseram que as violações
afetaram mais da metade dos seus sistemas, comparado com
os 15% de 2016. As funções de negócios mais comumente
afetadas por violações são operações, finanças, propriedade
32%
intelectual e reputação de marca (figura 50).
Em ambientes de segurança complexos, as empresas são mais 15%

propensas a lidar com violações. Das empresas que usam de 1 a
5 fornecedores, 28% disseram que tinham que lidar com críticas
públicas após uma violação; esse número subiu para 80% para 2016 2017
(n=2463) (n=3011)
empresas que usam mais de 50 fornecedores (figura 51). Isso Violações que resultam em mais da metade dos
pode ser resultado da maior visibilidade das ameaças, que outros sistemas de uma empresa sendo impactados
produtos permitem. Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018
Figura 50 Operações e finanças são mais susceptíveis de serem afetadas por violações de segurança
Figure 50 Operations and finances most likely to be affected by security breaches
38%
36%
30% 29%
27% 27%
26% 26% 25%
24%
22%
20% 21% 20% 20%
18% 19%
13%
Operações Finanças Propriedade Reputação Retenção Compromissos Relacionamentos Relacionamentos Controle

intelectual da marca do cliente jurídicos com parceiros com normativo
2016 2017 de negócios fornecedores
Figura 51 80% das empresas que usam mais de 50 fornecedores precisaram administrar as críticas causadas pelas violações públicas
Figure 51 80% of organizations using 50+ vendors managed scrutiny from public breaches
1-5 6-10 11-20 21-50 50 principais fornecedores
28% 48% 70% 85% 80%


O valor de uma estrutura integrada o melhor, 57% citam a economia, enquanto 39% disseram que a
Por que usar uma infinidade de produtos de vários abordagem de buscar o melhor é mais fácil de implementar.
fornecedores se o ambiente resultante é difícil de gerenciar?
Curiosamente, as empresas que adotam uma abordagem
A abordagem de buscar o melhor, na qual as equipes de
integrada para a segurança citam razões semelhantes para sua
segurança escolhem a melhor solução para cada necessidade
escolha. 56% disseram que uma abordagem integrada é mais
de segurança, é uma das principais razões. Os profissionais
econômica. 47% disseram que é mais fácil de implementar.
de segurança que usam a abordagem de buscar o melhor
também acreditam que ela é mais econômica, de acordo com A facilidade de implementação é cada vez mais citada como um
a pesquisa para o estudo comparativo. fator para o uso de uma abordagem de arquitetura integrada:
Apenas 33% das empresas disseram que a facilidade de
Ao comparar a abordagem de buscar o melhor a soluções
implementação foi uma razão para escolher uma abordagem
integradas, 72% dos profissionais de segurança disseram que
integrada em 2016, em comparação com 47% em 2017. Embora
compram as melhores soluções para atender a necessidades
soluções de fornecedor único podem não ser práticas para todas
específicas, em comparação com 28% que compram produtos
as empresas, os compradores de soluções de segurança devem
destinados a trabalhar juntos como uma solução integrada (ver
ajudar a garantir que as soluções funcionem juntas para reduzir o
figura 52). Das empresas que adotam uma abordagem de buscar
risco e aumentar a eficácia.
Figura 52 72% compram as melhores soluções do mercado porque elas atendem a necessidades específicas
Figure 52 Seventy-two percent buy best-of-breed solutions because they meet specific needs
72% 28%
dos melhores integrados

Serviços: Como lidar com pessoas, políticas e tecnologia
Perante as perdas potenciais e o impacto negativo nos sistemas, A figura 54 apresenta exemplos de problemas identificados
as empresas precisam ir além de apenas depender na tecnologia por categoria durante as simulações. Algumas questões,
para se defender. Isso significa analisar outras oportunidades como senhas fracas, atravessam todas as três categorias.
para melhorar a segurança, como a aplicação de políticas ou O reforço de senhas pode exigir melhorias nas pessoas
treinamento dos usuários. Essa abordagem holística à segurança (treinamento de usuário), produtos (configurando servidores
pode ser vista nos problemas identificados durante uma Garantia para senhas mais complexas) e políticas (definição de
de Segurança de Informações Líder (conhecido como uma requisitos de senha forte).
avaliação de "Time vermelho") fornecida pela equipe da Cisco
Advanced Services Security Advisory. Figura 54 Tipos de problemas descobertos durante simulações
Figure 54de
Types of issues uncovered during
ataque categorizadas por requisitos de correção
Ao analisar dados de recomendação de várias avaliações de Red attack simulations
Team realizadas em 2017, os membros da equipe de serviços
identificaram três principais recursos defensivos: pessoas,
políticas e tecnologia. Se uma empresa usar só a tecnologia para
corrigir as vulnerabilidades de segurança, ela resolveria apenas
Pessoas
26% dos problemas que foram identificados durante simulações Os usuários apresentaram credenciais de domínio durante
de ataque do time vermelho. Isso deixaria 74% dos problemas o ataque de phishing
Alvos de phishing consentiram em instalação de software
não resolvidos (ver figura 53). Da mesma forma, se as empresas Os usuários tinham uma senha de autenticação fraca
só usarem políticas para tratar de problemas de segurança,
elas resolveria apenas 10% das questões; com treinamento de US$
usuários para pessoas, apenas 4% dos problemas. As três áreas
Produtos
de defesa devam ser abordados em conjunto. Número excessivo de usuários no grupo de administradores
Interfaces de gestão de dispositivos não exigem autenticação
Figure53
Figura 53Apenas
Only 26% of problemas
26% dos security issues can podem
de segurança Direitos de administrador local excessivos concedidos
ser resolvidos
be addressed por produtos
by technology sozinhos
alone
Políticas
Credenciais de domínio são armazenadas em cache
Extração de dados para Internet permitida através de consultas DNS
Falta de segregação de rede

Pessoas
26% 74%
também podem exigir
As empresas podem aumentar suas chances de
podem ser tratadas que pessoas e/ou gerenciamento bem sucedido de todos os três fatores se eles
somente pela tecnologia políticas lidem garantirem que a segurança é integrada em cada camada da
Tecnologia Políticas empresa e não acrescentada aqui e ali. Eles também devem
evitar depender exclusivamente de produtos ou melhorias
técnicas para consertar a segurança. Para os produtos
serem bem sucedidos, as empresas precisam compreender
e implementar políticas e processos confidenciais para a
tecnologia.

Expectativas: Como investir em tecnologia e treinamento
Profissionais de segurança preveem que as ameaças que Ao planejar orçamentos, muitas empresas trabalham
suas empresas enfrentam continuarão sendo complexas e sistematicamente por meio de listas de desejos,
desafiadoras. Eles esperam que maus agentes desenvolvam desenvolvidas como parte dos planos de segurança
formas mais sofisticadas e prejudiciais de violar as redes. abrangente, priorizando investimentos à medida que os
Eles também sabem que o ambiente de trabalho moderno recursos se tornam disponíveis. Os investimentos podem
cria condições que favorecem os invasores: A mobilidade dos ser refeitos se novas vulnerabilidades forem expostas, seja
trabalhadores e a adoção de dispositivos de IoT dão novas por um incidente interno, uma violação de pública altamente
oportunidades para os invasores. Juntamente com o aumento divulgada ou uma avaliação de risco de terceiros rotina.
das ameaças, muitos profissionais de segurança esperam
Os fatores mais importantes que conduzirão os investimentos
receber mais críticas públicas de reguladores, executivos,
futuros e, portanto, melhorias na tecnologia e nos processos,
partes interessadas, parceiros e clientes.
parecem ser as violações. Em 2017, 41% dos profissionais
Para reduzir a probabilidade de riscos e perdas, defensores de segurança disseram que as violações de segurança estão
devem determinar onde investir recursos finitos. Na maior levando a maiores investimentos em tecnologias e soluções
parte do tempo, os profissionais de segurança disseram que de segurança, uma alta de 37% em 2016 (figura 56).
os orçamentos de segurança permanecem relativamente 40% disseram que violações estão levando ao aumento do
estáveis, a menos que uma grande violação pública resulta investimento no treinamento da equipe de segurança, em
em uma reanálise da tecnologia e dos processos e em novas comparação com 37% em 2016.
despesas por eles. 51% disseram que o gasto com segurança
baseia-se nos orçamentos dos anos anteriores, enquanto um Figure56
Figura 56As
Security
violaçõesbreaches areestão
de segurança driving
impulsionando
percentual igual dos entrevistados disseram que os objetivos improvement in technology
os investimentos and training
em tecnologia e treinamento
de resultado direcionam o orçamento (figura 55). A maioria
Aumento do treinamento de
dos líderes de segurança disseram que acreditam que suas conscientização de segurança 38% 42%
empresas estão gastando apropriadamente em segurança. entre os funcionários
Aumento do investimento nas

Figure55
Figura 5551%
Fifty-one
disserampercent said security
que os gastos spending
com segurança tecnologias ou soluções de 37% 41%
defesa para segurança
is driven by previous
foram years’ por
impulsionados budgets
orçamentos de anos
anteriores Aumentaram o investimento
em treinamento da equipe 37% 40%
de segurança
Com base no ano anterior 51%
Aumentaram o enfoque na
análise e na redução de riscos 37% 39%
Objetivos do resultado de
51% Fez a separação entre equipe de 38% 38%
segurança da empresa
segurança e departamento de TI
2016 2017
Percentual de receita 46%
2016 (n=1375), 2017 (n=1933)
Seguro cibernético 45%

Terceirização 39%

Os profissionais de segurança esperam gastar mais Para ampliar os recursos e fortalecer as defesas, as empresas
ferramentas que usam a inteligência artificial e a máquina estão intensificando sua dependência na terceirização. Entre
de aprendizagem em uma tentativa de melhorar as defesas os profissionais de segurança, 49% disseram que terceirizaram
e ajudar a assumir a carga de trabalho. Além disso, eles serviços de monitoramento em 2017, em comparação com os
planejam investir em ferramentas que darão proteção para 44% em 2015; 47% terceirizaram a resposta a incidentes em
sistemas críticos, como serviços de infraestrutura essencial. 2017, em comparação com 42% em 2015 (figura 57).
Figura 57 O uso de terceirização para monitoramento e resposta a incidentes está crescendo ano a ano
Figure 57 Use of outsourcing for monitoring and incident response is growing year over year
2014 (n=1738) 2015 (n=2432) 2016 (n=2912) 2017 (n=3651)
Conselho e consultoria 51% 52% 51% 54%
Monitoramento 42% 44% 45% 49%
Resposta a incidentes 35% 42% 45% 47%
Auditoria 41% 47% 46% 47%
Inteligência
N/D 39% 41% 43%
de ameaças
Remediação 34% 36% 35% 38%
Continuidade das
N/D N/D N/D 28%
transações comerciais
Nenhum 21% 12% 10% 6%
Para ver mais resultados do Estudo Comparativo de Recursos de Segurança da Cisco de 2018, consulte o Anexo na página 64.

Conclusão
Conclusão
No cenário de mudanças atual, os adversários são hábeis ao Uma razão pela qual os defensores lutam para superar o caos
evitar serem detectados. Eles têm ferramentas mais eficazes, da guerra contra os invasores e compreender de fato o que
como a criptografia, e táticas mais avançadas e inteligentes, está acontecendo no cenário de ameaça, é o grande volume
como o uso de serviços de Internet legítimos, para esconder de tráfego potencialmente mal-intencionado que enfrentam.
sua atividade e minar as tecnologias de segurança tradicionais. Nossa pesquisa mostra que o volume de eventos totais visto
E eles estão constantemente evoluindo suas táticas para por produtos de segurança de endpoint baseados em nuvem
manter seu malware vivo e eficaz. Até mesmo ameaças da Cisco aumentou quatro vezes desde de janeiro de 2016
Figure 58 Total volume of events, January 2016–Octoberaté
conhecidas para a comunidade de segurança podem levar outubro de 2017 (ver figura 58). "Eventos totais" são a
2017
muito tempo para identificar. contagem de todos os eventos, bem ou mal-intencionados,
visto por nossos produtos de segurança de endpoint
baseados em nuvem durante o período observado.
Figura 58 Volume total de eventos
4
Volume
0
Jan
Fev
Mar
Abr
Maio
Jun
Jul
Ago
Set
Nov
Dez
Jan
Mar
Abr
Maio
Jun
Jul
Ago
Set
Out
Out
Fev
2016 2017
57 Relatório Anual de Segurança Cibernética da Cisco de 2018 | Conclusão

Figure 59 Overall malware volume, January 2016-October 2017
Figura 59 Volume total de malware
14
12
10
8
Volume
0
Ago
Ago
Out
Out
Jan
Mar
Abr
Maio
Jun
Jul
Nov
Jan
Mar
Abr
Maio
Jun
Jul
Set
Dez
Set
Fev
Fev
2016 2017
Nossos produtos de segurança também viram um aumento começamos a rastrear o TTD, e a média de 14 horas relatada
de 11 vezes no volume global de malware durante o mesmo no Relatório Anual de Segurança Cibernética da Cisco de
período, como mostra a figura 59. 2017 pelo período compreendido entre novembro de 2015 e
outubro de 2016.20
As tendências no volume de malware têm impacto sobre
o tempo até a detecção (TTD) dos defensores, que é uma O uso da tecnologia de segurança na nuvem tem sido um
métrica importante para qualquer empresa entender se fator importante ao ajudar a Cisco a dirigir e manter TTD
suas defesas de segurança estão funcionando bem sob médio em um nível baixo. A nuvem ajuda a dimensionar
pressão da barragem constante de malware implantada pelos e manter o desempenho pois tanto o volume de eventos
adversários. totais, quanto o de malware que tem endpoints como alvo
continua a aumentar. Soluções de segurança no local
O TTD médio da Cisco, de aproximadamente 4,6 horas para teriam dificuldades para oferecer a mesma flexibilidade.
o período compreendido entre novembro de 2016 e outubro Projetar uma escala que pode lidar com mais de 10 vezes
de 2017, ajuda a ilustrar o contínuo desafio de identificar a capacidade de volume de eventos mal-intencionados ao
ameaças rapidamente no cenário caótico de ameaças. longo de um período de dois anos, e manter ou aumentar
Ainda assim, o número está bem abaixo da média de TTD de os tempos de resposta, seria um empreendimento muito
39 horas que relatamos em novembro de 2015, depois que difícil e caro para qualquer empresa.
A Cisco define "tempo para detecção" (TTD) como a janela de tempo entre um comprometimento e detecção de uma ameaça.
Para determinar essa janela de tempo, usamos a telemetria de segurança opcional obtida dos produtos de segurança da Cisco
implantados em todo o mundo. Usando nossa visibilidade global e um modelo contínuo de análise, podemos medir a partir do
momento em que um arquivo mal-intencionado é baixado para um endpoint até o momento em que ele é determinado como
uma ameaça, para todos os códigos mal-intencionados que não foram classificados no momento do encontro.
O “TTD médio” é a média dos cinco medianos no período observado.
20 Relatório Anual de Segurança Cibernética da Cisco de 2017: cisco.com/c/m/en_au/products/security/offers/annual-cybersecurity-report-2017.html.
58 Relatório Anual de Segurança Cibernética da Cisco de 2018 | Conclusão

Sobre a Cisco
Sobre a Cisco
A Cisco oferece segurança cibernética inteligente para o mundo real, disponibilizando
um dos portfólios de soluções mais amplos para proteção avançada contra ameaças
em todo o conjunto de vetores de ataque. Nossa estratégia de segurança com
foco em ameaças reduz a complexidade e a fragmentação, proporcionando maior
visibilidade, controle uniforme e proteção avançada contra ameaças antes, durante e
depois de um ataque.
Os pesquisadores de ameaças do ecossistema da CSI sistemas de aprendizado em máquina a monitorar ameaças

(Collective Security Intelligence, Inteligência de segurança em redes, data centers, endpoints, dispositivos móveis,
coletiva) da Cisco reúnem, em uma mesma área, a melhor sistemas virtuais, Web, e-mail e na nuvem, a fim de identificar
inteligência de ameaças do setor, usando a telemetria obtida as principais causas e o escopo dos ataques. A inteligência
da ampla variedade de dispositivos e sensores, de feeds que resulta desse processo é transformada em proteção
públicos e privados e da comunidade de código aberto. Isso em tempo real nos nossos produtos e serviços, que são
equivale à entrada diária de bilhões de solicitações da Web e fornecidos imediatamente para clientes da Cisco no mundo
milhões de e-mails, amostras de malware e invasões de rede. inteiro.
Nossa infraestrutura e nossos sistemas sofisticados Para saber mais sobre nossa abordagem de segurança
consomem essa telemetria, ajudando pesquisadores e com foco em ameaças, visite cisco.com/go/security.
60 Relatório Anual de Segurança Cibernética da Cisco de 2018 | Sobre a Cisco

CONTRIBUINTES AO RELATÓRIO ANUAL DE SEGURANÇA
CIBERNÉTICA DA CISCO DE 2018
Gostaríamos de agradecer a nossa equipe de pesquisadores de ameaça e outros especialistas no assunto da Cisco,
bem como nossos parceiros de tecnologia, que contribuíram para o Relatório Anual de Segurança Cibernética
da Cisco de 2018. A pesquisa e as perspectivas são essenciais para ajudar a Cisco a fornecer à comunidade de
segurança, às empresas e aos usuários informações relevantes sobre a complexidade e a vastidão do cenário de
ameaças digitais globais atuais e sobre as melhores práticas e conhecimentos para melhorar suas defesas.
Nossos parceiros de tecnologia também desempenham um papel vital ao ajudarem nossa empresa a desenvolver
segurança simples, aberta e automatizada que permite que as empresas integrem as soluções de que precisam para
proteger seus ambientes.
Cisco Advanced Malware Protection (AMP) for Endpoints Equipe de resposta a incidentes de segurança do
O Cisco AMP for Endpoints disponibiliza recursos de prevenção, produto (PSIRT) da Cisco
detecção e resposta automatizadas em uma única solução. A equipe de resposta a incidentes de segurança do produto
Ele continuamente monitora e faz análises em busca de sinais (PSIRT) da Cisco é uma empresa internacional dedicada que
de atividade mal-intencionada para descobrir as ameaças que gerencia o recebimento, a investigação e a divulgação de
burlam a segurança da linha de frente e representam maior risco informações públicas sobre vulnerabilidades de segurança
para as empresas. Ele usa uma ampla variedade de técnicas de e problemas relacionados a produtos e redes da Cisco. O
detecção, incluindo sandboxing, prevenção contra exploração e PSIRT recebe relatórios de pesquisadores independentes,
aprendizagem de máquina para detectar e atenuar as ameaças empresas do setor, fornecedores, clientes e outras fontes em
rapidamente. O Cisco AMP for Endpoints é a única solução que questão com a segurança do produto ou rede.
fornece segurança retrospectiva para responder rapidamente
às ameaças e identificar o escopo, o ponto de origem e como Cisco Security Incident Response Services (CSIRS)
conter a ameaça para que empresas mantenham-se protegidas.
A equipe do Cisco Security Incident Response Services (CSIRS)
é composta por profissionais de resposta a incidentes de nível
Cisco Cloudlock internacional, encarregados de auxiliar os clientes da Cisco antes,
Cisco Cloudlock fornece soluções de agentes de segurança durante e depois de um incidente. O CSIRS utiliza os melhores
de acesso à nuvem (CASB) que ajudam as empresas a usarem profissionais, soluções de segurança de nível empresarial, as
a nuvem com segurança. O CloudLock oferece visibilidade e técnicas mais avançadas de resposta e as melhores práticas
controle para ambientes de software como serviço (SaaS), aprendidas durante anos de combate a criminosos, com o
plataforma como serviço (PaaS) e infraestrutura como serviço objetivo de garantir que nossos clientes consigam responder,
(IaaS), englobando usuários, dados e aplicações. Ele também recuperar-se e defender-se de qualquer ataque de forma
oferece informações práticas sobre segurança cibernética por proativa.
meio de seu laboratório CyberLab, liderado por cientistas de
dados, e de dados analíticos de segurança provenientes de Grupo de inteligência do Cisco Talos
colaboração coletiva.
O Cisco Talos Intelligence Group é uma das maiores equipes
de inteligência de ameaças comerciais do mundo, compostas
Cisco Cognitive Threat Analytics por engenheiros, analistas e pesquisadores de nível mundial.
O Cisco Cognitive Threat Analytics é um serviço na nuvem que Essas equipes são apoiadas por telemetria inigualável e
detecta violações, malware executado em redes protegidas sistemas sofisticados para criar inteligência de ameaças
e outras ameaças à segurança usando análise estatística precisas, rápidas e práticas para clientes, produtos e serviços
de dados do tráfego de rede. Ele lida com defasagens nas da Cisco. O Talos Group defende os clientes da Cisco
defesas do perímetro identificando os sintomas de uma contra ameaças conhecidas e emergentes, descobre novas
infecção por malware ou violação de dados usando a análise vulnerabilidades em software comum e intercepta ameaças em
comportamental e a detecção de anomalias. O Cognitive Threat estado selvagem antes que elas possam danificar ainda mais a
Analytics conta com a modelagem estatística avançada e a Internet. A inteligência da Talos é o cerne dos produtos da Cisco
aprendizagem automática para identificar novas ameaças de que detectam, analisam e protegem contra ameaças conhecidas
modo independente, aprender com o que é observado e fazer e emergentes. O Talos mantém os conjuntos de regra oficial
adaptações ao longo do tempo. do Snort.org, ClamAV e SpamCop além de lançar muitas
ferramentas de pesquisa e análise de código-fonte aberto.

Cisco Threat Grid resposta a incidentes de segurança de produtos (PSIRT),
O Cisco ThreatGrid é uma plataforma de análise de malware que é a melhor do mercado. A SR&O ajuda os clientes a
e inteligência de ameaças. O Threat Grid realiza análises entender o panorama de ameaças dinâmicas em eventos
estáticas e dinâmicas em amostras de malware suspeitas como o Cisco Live and Black Hat, bem como através da
provenientes de clientes e integrações de produto localizadas colaboração com seus colegas da Cisco e do setor. Além
em todo o mundo. Centenas de milhares de amostras, em disso, a SR&O oferece novos serviços, como Cisco Custom
vários tipos de arquivo, são enviadas à Threat Grid Cloud Threat Intelligence (CTI), que pode identificar os indicadores
todos os dias através da interface de usuário do portal da de comprometimento que não foram detectados ou mitigados
Threat Grid Cloud, ou pelo API do Threat Grid. O Threat Grid pelas infraestruturas de segurança atuais.
também pode ser implantado como um dispositivo local.
Empresa de segurança e confiança
Cisco Umbrella A Empresa de segurança e confiança da Cisco Trust Organization
O Cisco Umbrella é um gateway de Internet seguro que enfatiza nosso compromisso em tratar de dois dos principais
atua como a primeira linha de defesa contra ameaças na problemas que estão na pauta das diretorias e também de
Internet, independentemente da localização dos usuários. líderes globais. As principais missões da empresa são proteger
Como é construído na sobre a base da Internet, o Umbrella os clientes públicos e privados da Cisco, permitir e assegurar as
proporciona visibilidade completa de atividades em todos os iniciativas do Cisco Secure Development Lifecycle e Trustworthy
locais, dispositivos e usuários. Ao analisar esta atividade e Systems no portfólio de produtos e serviços da Cisco e
aprender com ela, o Umbrella automaticamente descobre a proteger a empreitada da Cisco contra ameaças cada vez
infraestrutura do invasor montada para as ameaças atuais e mais sofisticadas. A Cisco adota uma abordagem holística para
emergentes e bloqueia proativamente as solicitações antes segurança e confiança abrangentes, que inclui pessoas, políticas,
que uma conexão seja estabelecida. processos e tecnologia. A Security and Trust Organization
fomenta a excelência operacional com enfoque em InfoSec,
Security Research and Operations (SR&O) engenharia de credibilidade, proteção de dados e privacidade,
segurança na nuvem, transparência e validação e pesquisa de
A Security Research & Operations (SR&O) é responsável
segurança avançada e governo. Para obter mais informações,
pelo gerenciamento de ameaças e vulnerabilidade de todos
visite trust.cisco.com.
os produtos e serviços da Cisco, inclusive a equipe de
Relatório Anual de Segurança Cibernética da Cisco de 2018 parceiros de tecnologia
O suite Anomali de soluções de inteligência de ameaças capacita A Lumeta oferece uma consciência situacional cibernética
as empresas a detectar, investigar e responder a ameaças de crítica que ajuda a segurança e equipes de rede a impedirem
segurança cibernética ativas. A plataforma de inteligência de violações. A Lumeta oferece descoberta incomparável de
ameaças ThreatStream premiada agrega e otimiza milhões infraestrutura de rede conhecida, desconhecida, invisível
de indicadores de ameaças, criando uma "lista cibernética e invasora acima de qualquer outra solução do mercado
de pessoas proibidas de voar". A Anomali integra-se com atual, bem como monitoramento em tempo real da rede e
uma infraestrutura interna para identificar novos ataques, faz do endpoint para detectar alterações não autorizadas, evitar
pesquisas forense do ano anterior para descobrir violações atuais os caminhos de fuga, assegurar adequada segmentação de
e permite que as equipes de segurança rapidamente entendam rede e detectar comportamentos suspeitos de rede através
e contenham ameaças. A Anomali também oferece STAXX, uma de elementos de rede dinâmicos, endpoints, máquinas
ferramenta gratuita para coletar e compartilhar inteligência de virtuais e infraestrutura baseada em nuvem. Para obter mais
ameaças, e proporciona um feed de inteligência gratuito e pronto informações, visite lumeta.com.
para uso, o Anomali Limo. Para saber mais, visite anomali.com e
siga-nos no Twitter: @anomali.

A Qualys, Inc. (NASDAQ: QLYS) é pioneira e líder no SAINT Corporation, líder em soluções de gerenciamento
fornecimento de soluções segurança e conformidade de vulnerabilidade integrada de próxima geração, ajuda as
baseadas em nuvem com mais 9300 clientes em mais empresas e instituições do setor público a identificarem riscos
de 100 países, incluindo a maioria de cada uma das 100 de exposição em todos os níveis da empresa. A SAINT dedica
empresas da Global de Forbes e Fortune 100. A plataforma seu tempo para que o acesso, a segurança e a privacidade
de nuvem da Qualys e o conjunto integrado de soluções possam coexistir, pelo bem de todos. E a SAINT permite que
ajudam as empresas a simplificar as operações de segurança clientes reforçar as defesas do InfoSec reduzindo o custo
e diminuir os custos de conformidade entregando inteligência total de propriedade. Para obter mais informações, visite
de segurança essencial sob demanda e automatizando o saintcorporation.com.
espectro completo de auditoria, conformidade, e proteção
para sistemas e aplicativos da Web. Fundada em 1999, a
Qualys estabeleceu parcerias estratégicas com os principais
provedores de serviços gerenciados e de consultoria as
empresas em todo o mundo. Para obter mais informações, A TrapX Security oferece uma grade de segurança automatizada
visite qualys.com. para dissimulação e defesa adaptável que intercepta ameaças
em tempo real, fornecendo inteligência prática para bloquear
os invasores. A TrapX DeceptionGrid™ permite às empresas
detectar, capturar e analisar o malware de dia zero em uso pelas
empresas de Advanced Persistent Threat (APT) mais eficazes
Radware (NASDAQ: RDWR) é um líder global de do mundo. Os setores dependem do TrapX para fortalecer seus
disponibilização de aplicações e soluções de segurança ecossistemas de IT e reduzir o risco de comprometimentos
cibernética para data centers virtuais, em nuvem e definidos dispendiosos e interrupções, violações de dados e violações de
por software. Seu premiado portfólio de soluções fornece conformidade. As defesas do TrapX são integradas no centro
garantia de nível de serviço para mais de 10.000 empresas da rede e na infraestrutura essencial, sem a necessidade de
e operadoras de todo o mundo. Para obter informações e configuração ou agentes. Ter detecção de malware de ponta,
recursos adicionais de segurança especializada, visite a inteligência de ameaças, análise de computação forense
central de segurança on-line da Radware, que oferece uma e correção em uma única plataforma ajudam a remover a
análise abrangente de ferramentas, tendências e ameaças de complexidade e o custo. Para obter mais informações, visite
ataque DDoS: security.radware.com. trapx.com.

Apêndice
Figura
Figure60
60Expectativas
Expectationsde ataques digitais
for cyber em Toin
attacks e TI,
OTpor país
and IT,ouby
região
country or region
100
80
Porcentagem
60
40
20
0
Austrália
Brasil
Canadá
França
Japão
Latina***
Alemanha
Índia
México
República
Popular
da China
Rússia
Espanha
Reino
Unido
Estados
Unidos
África*
europeus**
Itália
Oriente
Médio e
Outros
países
Outros países
da América
Espera-se que ataques cibernéticos estendam-se Espera-se que os ataques digitais estendam-se *MEA: Arábia Saudita, África do Sul, Turquia,
além dela para TO no próximo ano além da TI em direção à TO, mas não no próximo ano Emirados Árabes Unidos
**Outros países europeus: Bélgica, Países Baixos,
Já vi ataques cibernéticos no OT Creio que ataques cibernéticos permanecerão Polônia, Suíça e Suécia
concentrados no setor de TI ***Outros países da América Latina: Argentina,
Chile e Colômbia
Figura 61 Número de fornecedores de segurança no ambiente, por país ou região

Figure 61 Number of security vendors in environment, by country or region
100
90
80
70
Porcentagem
60
50
40
30
20
10
0
África*
Itália
República
Popular
da China
Alemanha
Espanha
Brasil
Japão
Latina***
Austrália
Canadá
Índia
México
Rússia
Reino
Unido
Estados
Unidos
europeus**
França
Médio e
Oriente
Outros
países
Outros países
da América
*MEA: Arábia Saudita, África do Sul, Turquia, ***Outros países da América Latina:
Emirados Árabes Unidos Argentina, Chile e Colômbia
1-5 6-10 11-20 21-50 50 principais fornecedores **Outros países europeus: Bélgica, Países Baixos,
Polônia, Suíça e Suécia
65 Relatório Anual de Segurança Cibernética da Cisco de 2018 | Anexo

Figura
Figure62
62Percentual
Percent deof alertas
alertsinvestigados, por país
uninvestigated, byoucountry
região or region
70
60
50
40
Porcentagem
30
20
10
0
Brasil
Alemanha
Itália
Japão
Espanha
Latina***
República
Popular
da China
Austrália
Canadá
Índia
México
Rússia
Reino
Unido
Estados
Unidos
África*
europeus**
França
Médio e
Oriente
Outros
países
Outros países
da América
*MEA: Arábia Saudita, África do Sul, Turquia, **Outros países europeus: Bélgica, Países Baixos, ***Outros países da América Latina: Argentina,
Emirados Árabes Unidos Polônia, Suíça e Suécia Chile e Colômbia
Figura 63
Figure 63Obstáculos
Obstacles à adoção de processos
to adopting e tecnologia
advanced de segurança
security processes avançada, por país ou região
and technology, by country or region
Oriente Médio e África*

Quais dos itens a seguir você considera os maiores obstáculos
da América Latina***
à adoção de processos de segurança avançada e tecnologia?
Popular da China
Outros países
Outros países
Reino Unido
europeus**
Alemanha
República
Austrália
Espanha
Canadá
México
França
Rússia
Japão
Brasil
Índia
Itália
EUA
Restrições orçamentárias 23% 35% 29% 33% 25% 36% 38% 31% 31% 38% 60% 33% 27% 34% 36% 37% 35%
Prioridades concorrentes 28% 11% 29% 27% 28% 26% 24% 27% 16% 27% 20% 18% 32% 32% 25% 18% 24%
Falta de pessoal treinado 25% 28% 19% 22% 24% 31% 24% 28% 30% 25% 35% 33% 31% 26% 25% 23% 26%
Falta de conhecimento sobre tecnologias

26% 26% 24% 21% 22% 24% 21% 26% 23% 29% 18% 21% 27% 22% 22% 17% 21%
e processos de segurança avançada
Problemas de compatibilidade com sistemas jurídicos 27% 19% 30% 27% 30% 30% 22% 23% 32% 40% 25% 25% 24% 28% 30% 25% 28%
Requisitos de certificação 33% 27% 29% 29% 24% 27% 27% 22% 27% 23% 22% 27% 27% 30% 24% 33% 21%
Atitude/cultura empresarial
30% 23% 25% 20% 16% 26% 17% 21% 26% 17% 19% 24% 28% 25% 20% 20% 27%
sobre segurança
Relutam em comprar até obter
a comprovação do mercado 19% 20% 23% 26% 25% 29% 20% 28% 15% 16% 17% 20% 21% 22% 22% 21% 25%
A carga de trabalho atual é muito pesada 22% 16% 28% 18% 28% 28% 26% 27% 23% 21% 15% 28% 22% 22% 20% 17% 19%
para assumir novas responsabilidades
A empresa não é um alvo de grande

25% 18% 21% 22% 24% 17% 14% 20% 12% 16% 11% 13% 21% 21% 21% 20% 16%
valor para os ataques
A segurança não é uma prioridade de nível executivo 22% 10% 17% 17% 20% 13% 13% 23% 15% 18% 11% 11% 19% 19% 17% 19% 21%

Figure64
Figura 64Aquisição
Purchase de of security
soluções threat defense
de ameaça solutions,
de segurança, por paísby
ou country
região or region
Que opção melhor descreve as soluções de defesa contra ameaças de segurança das compras da empresa?
Normalmente compro os melhores produtos Normalmente compro produtos que

País N= para atender a necessidades específicas são projetados para trabalhar juntos
Austrália 203 86 14
Brasil 197 72 28
Canadá 185 67 33
França 191 59 41
Alemanha 195 69 31
Índia 199 78 22
Itália 201 71 29
Japão 223 72 28
México 198 77 23
República Popular da China 205 63 37
Rússia 196 58 42
Espanha 148 70 30
Reino Unido 194 76 24
Estados Unidos 393 81 19
Oriente Médio e África* 249 69 31
Outros países europeus** 199 73 27
Outros países da América Latina*** 196 71 29
Figure 65 Percent of organizations perceiving they follow

standardized
Figura 65 Percentual infosec
de empresas framework
que very
observam que well, aby
seguem country
estrutura de or region
infosec padronizada muito bem, por país ou região
70
60
50
Porcentagem
40
30
20
10
0
Brasil
Japão
Latina***
República
Popular
da China
Austrália
Canadá
Alemanha
Índia
Itália
México
Rússia
Espanha
Reino
Unido
Estados
Unidos
África*
europeus**
França
Oriente
Médio e
Outros
países
Outros países
da América

Baixar os gráficos Atualizações e correções
Todos os gráficos deste relatório podem ser baixados em: Para ver atualizações e correções às informações neste
cisco.com/go/mcr2018graphics. projeto, visite cisco.com/go/errata.
Sede nas Américas Sede na Ásia-Pacífico Sede na Europa

Cisco Systems, Inc. Cisco Systems (USA) Pte. Ltd. Cisco Systems International BV Amsterdam,
San Jose, CA Singapura Holanda
A Cisco tem mais de 200 escritórios em todo o mundo. Os endereços, números de telefone e de fax estão listados no site da Cisco, em www.cisco.com/go/oﬃces.
Publicado em fevereiro de 2018
© 2018 Cisco e/ou suas afiliadas. Todos os direitos reservados.
A Cisco e o logotipo da Cisco são marcas comerciais ou marcas comerciais registradas da Cisco e/ou suas afiliadas nos EUA e em outros países. Para obter uma lista
de marcas registradas da Cisco, acesse este URL: www.cisco.com/go/trademarks. Todas as marcas de terceiros citadas pertencem a seus respectivos detentores.
O uso do termo "parceiro" não implica uma relação de sociedade entre a Cisco e qualquer outra empresa. (1110R)
Adobe, Acrobat e Flash são marcas registradas ou comerciais da Adobe Systems Incorporated nos Estados Unidos e/ou em outros países.

ACR Relatorio Anual de Seguranca Cibernetica PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

ACR Relatorio Anual de Seguranca Cibernetica PDF

Transféré par

Droits d'auteur :

Formats disponibles

Conteúdo

Parte II: O cenário do defensor....................... 46

2 Relatório Anual de Segurança Cibernética da Cisco de 2018 | Índice

1. Os adversários estão alçando o malware a níveis de 3. Os adversários estão explorando as brechas na

3 Relatório Anual de Segurança Cibernética da Cisco de 2018 | Resumo executivo

4 Relatório Anual de Segurança Cibernética da Cisco de 2018 | Resumo executivo

6 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

7 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

8 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

Uma mancha escura para os defensores: tráfego da Web mal-intencionado criptografado

Figure 1 Increase in volume of encrypted global

Web de novembro de 2016 a outubro de 2017

Fonte: Cisco Security Research

9 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

Tipo de ameaça vs. técnica adequada de detecção

Assinaturas Assinaturas Assinaturas Padrões de Anomalias sem

Fonte: Cisco Security Research Baixe o gráfico de 2018 em: www.cisco.com/go/acr2018graphics

10 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

Inteligência artificial 3% 6% 18% 41% 32% 73%

Figura 5 A maioria dos profissionais de segurança vê valor em ferramentas de análise comportamental

Comportamento do usuário e da entidade

11 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

HTML Texto sem Arquivo Todos os outros tipos

Fonte: Cisco Security Research

12 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

Figure 7 Malware-based block activity by content type, 2014–2017

JavaScript HTML Binário APK Todos os outros tipos de arquivo

Fonte: Cisco Security Research Baixe o gráfico de 2018 em: www.cisco.com/go/acr2018graphics

8 Relatório Semestral de Segurança Cibernética da Cisco de 2017: cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html.

13 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

Flutuações na atividade de botnet de causam impacto sobre o volume geral

EUA CN VN IN FR Todos os outros países

Fonte: Cisco Security Research

14 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

Relatórios enviados Spam enviado

Fonte: Cisco SpamCop Baixe o gráfico de 2018 em: www.cisco.com/go/acr2018graphics

15 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

Arquivos mortos, como .zip e .jar, representaram cerca de 37% Outras

mortos mal-intencionados também costumam ter sucesso ao Apple

quando têm ameaças que exigem interação do usuário para Imagem

arquivo, como .7z e .rar, para escapar da detecção. Scripts

quase 14% das extensões de arquivo mal-intencionado

16 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

Fonte: Cisco Security Research Fonte: Cisco Security Research

17 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

extensões de arquivo .exe, às vezes apenas um tipo por

18 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

Total de domínios de phishing

Fonte: Cisco Security Research

19 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

.ru, .info, .au, .in

21% outros 25% outros

43% .com 54% .com

Percentual de todos os sites com TLDs Percentual de sites com TLDs

Fonte: Cisco Security Research

20 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

21 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

Agentes de malware estão jogando sujo nos sandboxes dos defensores

Fonte: Cisco Security Research

22 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

Fonte: Cisco Security Research

23 Relatório Anual de Segurança Cibernética da Cisco de 2018 | O cenário do ataque

Uso mal-intencionado de recursos legítimos para backdoor C2