Académique Documents
Professionnel Documents
Culture Documents
Resumo executivo............................................. 3
Parte I: O cenário do ataque............................. 6
A evolução do malware ........................................................ 6
Tráfego da Web mal-intencionado criptografado ................. 9
As ameaças de e-mail .......................................................14
Táticas de evasão sandbox ................................................22
Abuso dos serviços em nuvem e
outros recursos legítimos....................................................24
Ataques à IoT e ao DDoS....................................................31
Vulnerabilidades e correção de falhas ................................38
Conclusão........................................................ 57
Sobre a Cisco.................................................. 60
Anexo............................................................... 65
Sobre o relatório
O Relatório Anual de Segurança Cibernética da Cisco de 2018 apresenta nossos avanços mais recentes no setor de segurança
projetados para ajudar as empresas e os usuários a se defenderem contra ataques. Também analisamos técnicas e estratégias que os
criminosos usam para violar essas defesas e escapar da detecção.
O relatório também destaca as principais descobertas do Estudo comparativo de recursos de segurança da Cisco de 2018, que examina
os procedimentos de segurança de empresas e a percepção que elas têm de suas condições técnicas para se defenderem contra ataques.
A EVOLUÇÃO DO MALWARE
Um dos mais importantes desdobramentos no cenário de ataques em 2017 foi a evolução do ransomware. O
surgimento dos worms de ransomware pela rede elimina a necessidade do elemento humano para lançar campanhas
de ransomware. E para alguns adversários, o prêmio não é o resgate, mas a destruição de sistemas e dados.
Esperamos ver mais atividades como essa no ano que vem.
Eles estão por aí: os defensores devem se preparar para enfrentar novas ameaças de
rede autopropagadas em 2018
Em 2017, os adversários tornaram o ransomware ainda mais estimam que cerca de 312 pagamentos de resgate foram
perigoso, embora isso tenha sido esperado. Após a campanha feitos. Como comparação, o kit de exploração Angler, quando
SamSam de março de 20161 (o primeiro ataque em grande escala estava ativo, estava ganhando aproximadamente US$ 100
que usou o vetor da rede para espalhar ransomware, eliminando milhões por ano como um negócio global.
assim o usuário do processo de infecção), pesquisadores de
O WannaCry não rastreou os danos criptografados causados aos
ameaças da Cisco sabiam que seria apenas uma questão de
usuários afetados e os pagamentos feitos por eles. A quantidade
tempo antes de agentes de ameaças encontrarem uma maneira
de usuários que receberam chaves de descriptografia depois
de automatizar essa técnica. Os invasores tornariam o malware
de fazer um pagamento também é desconhecida. (O WannaCry
ainda mais potente ao combiná-lo com recursos semelhantes ao
ainda está se propagando, e os usuários continuam a pagar
worm para causar danos generalizados.
resgates. Tudo em vão.) Devido ao desempenho muito baixo
Essa evolução do malware foi rápida. Em maio de 2017, do WannaCry como ransomware, o governo dos EUA e muitos
o WannaCry (um ransomware cryptoworm) surgiu e se pesquisadores de segurança acreditam que o componente de
espalhou como fogo por toda a Internet.2 Para se propagar, resgate é efetivamente uma cortina de fumaça para esconder o
ele aproveitou uma vulnerabilidade de segurança do Microsoft verdadeiro propósito do WannaCry: limpar dados.
Windows chamada EternalBlue, que foi vazada pelo grupo de
O Nyetya (também conhecido como NotPetya) surgiu em
hackers Shadow Brokers em meados de abril de 2017.
junho de 2017.3 Este malware limpador também mascarou-
O WannaCry já havia recebido mais de US$ 143.000 através se como ransomware e também usou a vulnerabilidade da
de pagamentos de bitcoin até o momento em que as carteiras execução remota do código conhecida como "EternalBlue",
foram sacadas. Considerando o desenrolar do ataque e após bem como a vulnerabilidade da execução remota do código
calcular o valor originalmente pago pelo bitcoin às carteiras "EternalRomance" (também vazada pelos Shadow Brokers)
em US$ 93.531, os pesquisadores de ameaças da Cisco e outros vetores que envolvem a coleta de credenciais
1 SamSam: O Doutor Já Vai Te Atender, Assim Que Pagar O Resgate, blog do Cisco Talos, março de 2016: blog.talosintelligence.com/2016/03/samsam-ransomware.html.
2 O Jogador 3 Entrou no Jogo: Diga Olá para O “WannaCry”, blog do Cisco Talos, maio de 2017: blog.talosintelligence.com/2017/05/wannacry.html.
3 Nova Variante de Ransomware “Nyetya” Compromete Sistemas em Todo o Mundo, blog do Cisco Talos, junho de 2017: blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html.
4 Ibid.
5 Ukraine scrambles to contain new cyber threat after ‘NotPetya’ attack, by Jack Stubbs and Matthias Williams, Reuters, julho de 2017:
reuters.com/article/us-cyber-attack-ukraine-backdoor/ukraine-scrambles-to-contain-new-cyber-threat-after-notpetya-attack-idUSKBN19Q14P.
6 A Conexão MeDoc, blog do Cisco Talos, julho de 2017: blog.talosintelligence.com/2017/07/the-medoc-connection.html.
7 Comando e Controle do CCleaner Traz Preocupações, blog do Cisco Talos, setembro de 2017: blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html.
Por exemplo, quando o ataque WannaCry ocorreu em maio O caos que se instalou após o advento da campanha
de 2017, houve uma confusão inicial na comunidade de WannaCry serve como um lembrete de que a comunidade
segurança sobre como o worm ransomware se infiltrou nos de segurança deve evitar comunicar fatos imprecisos sobre
sistemas de segurança. Várias empresas nos setores público a origem e a natureza dos ataques digitais. Nas primeiras
e privado relataram que o ataque resultou de uma campanha horas de uma campanha, o senso de urgência para parar
de phishing e anexo de e-mail mal-intencionado. Mas a os adversários e proteger os usuários rapidamente pode
ameaça baseada em rede estava, na verdade, procurando facilmente resultar na publicação (especialmente em mídias
e infectando portas do Microsoft Windows Server Message sociais) de informações que podem criar confusão e impedir
Block (SMB) Server vulneráveis, voltadas para o público. que os usuários defendam seus sistemas.
Pesquisadores de ameaças da Cisco rapidamente alertaram a Para obter mais informações sobre esse tópico, leia o post
comunidade de segurança de que os e-mails que eles pensaram Sobre como expressar dúvida no blog do Cisco Talos.
50%
80
Percentual das amostras que usaram criptografia
70
60
HTTPS 50
40
30
20
10
38%
0
Aumento de 12 pontos no tráfego global da
Nov
Dez
Jan
Fev
Mar
Abr
Maio
Jun
Jul
Ago
Set
Out
Figura
Figure33Aprendizagem de máquina
Machine Learning em segurança
in Network de rede:
Security: taxonomia
Taxonomy
Conhecido-conhecido Known-Unknown Unknown-Unknown
Detectar a infecção conhecida, Detectar variações inéditas de ameaças conhecidas, Detectar dias zero, sem relação
como visto antes subfamílias ou relacionadas a novas ameaças com nenhum malware conhecido
Definição manual, possivelmente Definição manual, possivelmente Aplicável por meio da aprendizagem Tarefa para aprendizagem de Aprendizagem de máquina
assistida por ferramenta assistida por ferramenta de máquina supervisionada máquina semisupervisionada supervisionada
Casos significativamente distantes
Correspondência exata de Correspondência de regras Correspondência de regras aprendidas Padrões de muito alto nível,
O que faz
de todos os comportamentos
caracteres predefinidos ou predefinidas (por exemplo, regex) por máquina ou reconhecimento de aprendidos por máquina para normais conhecidos, em que o
sequências numéricas padrões comportamentais aprendidos distinguir do comportamento modelo de comportamento
Definições legíveis por humanos conhecido é aprendido por máquina
por máquina no espaço de recursos genérico
Definições legíveis por humanos
transformado Medidas de distância podem ser
altamente abstratas
Precisão muito alta Precisão muito alta Alta precisão Boa precisão Baixo nível de precisão
Sem generalização Generalização limitada Generalização com base na Generalização com base em Generalização com base em
Recolhimento limitado aos mesmos Recolhimento limitado a um padrão similaridade de malware conhecido comportamentos suspeitos comuns comportamentos incomuns
casos predefinido; encontra variações Ideal para encontrar variações/ Alto nível de recolhimento, boa Melhor chance de encontrar dias zero
Propriedades de técnica
explicitamente cobertas pelo padrão subfamílias inéditas de infecções chance de encontrar verdadeiros dias verdadeiros; risco mais alto de
conhecidas zero à custa de mais alarmes falsos alarmes falsos
Boa capacidade de explicação Boa capacidade de explicação Boa capacidade de explicação, Capacidade de explicação limitada Capacidade de explicação dificultada
porém mais complexo Pode ser difícil atribuir as conclusões Pode ser difícil atribuir as conclusões
a infecções conhecidas a infecções conhecidas
Não escala Não escala bem Escala razoavelmente bem Escala bem Escala bem
Requer definição manual Requer definição manual Aprendida com os dados de forma Aprendida com os dados de forma Aprendida com os dados de forma
parcialmente automática parcialmente automática automática
Não se aplica a dados Não se aplica a dados Aplicável aos dados criptografados Aplicável aos dados criptografados Aplicável aos dados criptografados
criptografados sem MiTM criptografados sem MiTM sem descriptografia sem descriptografia sem descriptografia
Melhor precisão e capacidade de explicação; simplicidade de prova É melhor recolhimento, escalabilidade, aplicabilidade a dados criptografados, capacidade de detectar dias zero
Compensação de técnica Observação: as declarações sobre escalonamento referem-se ao tempo de mão de obra necessário para manter um sistema de detecção
Observação: este diagrama representa uma ilustração simplificada dos recursos de aprendizagem de máquina em segurança
Figure44AsOrganizations
Figura rely heavily
empresas dependem on automation,
expressivamente machine
de automação, learning,deand
aprendizagem artificial
máquina intelligence
e inteligência artificial
Caixa com os
2 principais
percentuais
Automação 1% 2% 14% 44% 39% 83%
Aprendizagem 77%
2% 4% 18% 43% 34%
automática
Absolutamente Totalmente
não confiável dependente
Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018
Extremamente bem
De 69%
92%
bem a extremamente
2/3 das empresas de serviços de saúde acreditam que a
análise comportamental/computação forense ajudam a
identificar agentes mal-intencionados
(n=358)
48% bem 44%
Extremamente bem
Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018 Baixe o gráfico de 2018 em: www.cisco.com/go/acr2018graphics
Figure
Figura 66 Atividade
Malware-based
de bloqueioblock activity
baseada by content
em malware por tipotype, April 2016-October
de conteúdo, de abril de 2016 2017
a outubro de 2017
100
90
80
70
60
Porcentagem
50
40
30
20
10
0
Abr
Maio
Jun
Jul
Ago
Set
Out
Nov
Dez
Jan
Fev
Mar
Abr
Maio
Jun
Jul
Ago
Set
Out
2016 2017
100
90
80
70
60
Porcentagem
50
40
30
20
10
0
Out
Jan
Abr
Jul
Out
Jan
Abr
Jul
Out
Jan
Abr
Jul
Out
2014 2015 2016 2017
Figura
Figure88 Blocos de reputação
IP reputation de IPby
blocks porcountry,
país, de dezembro
Decemberde 2016 a outubro de 2017
2016–September 2017
4
Porcentagem
0
Dez
Jan
Fev
Mar
Abr
Maio
Jun
Jul
Ago
Set
Out
2016 2017
9 Consulte “Redução na atividade do kit de exploração influencia tendências de spam”, p. 18, Relatório Semestral de Segurança Cibernética da Cisco de 2017:
cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html.
24
22
20
18
16
14
Volume
12
10
8
0
Out
Nov
Dez
Jan
Fev
Mar
Abr
Maio
Jun
Jul
Ago
Set
Out
2016 2017
O volume reduzido de spam, de janeiro a abril de 2017 do Microsoft Office mal-intencionado integrado e o
coincide com um período de calmaria na atividade de botnet downloader inicial para o ransomware Jaff.10 Pesquisadores
de spam, como mostra o gráfico interno gerado pelo serviço de segurança descobriram uma vulnerabilidade no Jaff que
Cisco® SpamCop (figura 9). permitiu criar um descriptografador que forçou os operadores
dos Necurs a retornarem rapidamente para distribuírem sua
Pesquisadores de ameaças da Cisco informam que o botnet
ameaça habitual, o ransomware Locky.11 O tempo que os
Necurs, um dos principais responsáveis pelo volume geral de
agentes por trás do Necurs precisaram para mudar de volta
spam em todo o mundo, estava ativo mas distribuiu menos
para o Locky coincide com a redução significativa no volume
spam entre janeiro e abril. Em maio, o botnet espalhava o
de spam global observada durante a primeira quinzena de
ransomware Jaff através de campanhas de spam massivo.
junho (figura 9).
As campanhas incluíam um arquivo PDF com um documento
10 Jaff Ransomware: O Jogador 2 Entrou no Jogo, por Nick Biasini, Edmund Brumaghin e Warren Mercer, com contribuições de Colin
Grady, blog do Cisco Talos, maio 2017: blog.talosintelligence.com/2017/05/jaff-ransomware.html.
11 O Jogador 1 Volta para o Ringue com Dificuldade—Olá de novo, Locky! por Alex Chiu, Warren Mercer e Jaeson Schultz, com contribuições de Sean
Baird e Matthew Molyett, blog do Cisco Talos, junho de 2017: blog.talosintelligence.com/2017/06/necurs-locky-campaign.html.
Figura 11a Os três principais tipos de extensão de arquivo Figura 11b Os três principais tipos de extensão de arquivo
Figure 11a mal-intencionado
Top 3 malicious file extensions
e relações de linha de malware Figure 11b mal-intencionado
Top 3 malicious file extensions
e relações de linha de malware
Escritório PDF
100 100
80 80
Porcentagem
Porcentagem
60 60
40 40
20 20
0 0
Ago
Jan
Fev
Set
Out
Mar
Abr
Maio
Jun
Jul
Jan
Feb
Apr
May
Jun
Jul
Aug
Sep
Oct
2017 Mar
2017
Ms, Rtf, Valyria, Vba, Word A, Dldr, Donoff, Fraud, Urlmal,
Outros Docdl Locky Outros MSWord Nemucod
Adnel, Dde,Dldr, Donoff Lg, Malphish, Pdfphish, Pdfuri
Doc Mdropper PDF Docdl
Figura 11c Os três principais tipos de extensão de arquivo Figura 12 Padrões das principais linhas de malware,
Figure 11c mal-intencionado
Top 3 malicious file extensions
e relações de linha de malware de janeiro a outubro de 2017
Arquivo Figure 12 Patterns of malware families
100 100
80 80
Percentual de detecções
Percentage
60 60
40 40
20 20
0 0
Maio
Ago
Set
Out
Jan
Abr
Jun
Jul
Mar
Fev
Ago
Set
Out
Jan
Mar
Abr
Maio
Jun
Jul
Fev
2017 2017
Fareit, Kryptik, Locky, Msil, Upatre Todas as outras linhas
Outros Nemucod Adwind, Autoit, Donoff, Vbkrypt Nemucod Locky Dwnldr Dldr de malware
Dwnldr Vbscrdlx Dldr
Fonte: Cisco Security Research
Fonte: Cisco Security Research
Porcentagem
mês. O PUA (potentially unwanted application, aplicativo 60
potencialmente indesejável) existe há anos e infecta
diversos tipos de navegador. Ele costuma ser combinado
40
com programas de software fraudulentos e pode expor os
usuários a malvertising.
20
Nossa análise dos tipos de extensão de arquivo mal-
intencionado mostra que mesmo no ambiente atual de
0
ameaças sofisticadas e complexas, o e-mail continua a
Maio
Jan
Fev
Abr
Jun
Jul
Ago
Set
Out
Mar
ser um canal fundamental para a distribuição de malware. 2017
Para as empresas, as estratégias de defesa de parâmetro MyWebSearch Outros Qjwmonkey
incluem: Adwind, Cerber, Docdl, Donoff, Fareit, Fraud,
Imali, Kryptik, Masrung, PDF, Valyria
•• Implementar defesas de segurança de e-mail eficiente e
abrangente.
Fonte: Cisco Security Research
•• Educar os usuários sobre a ameaça apresentada pelos
anexos e links mal-intencionados em e-mails de phishing
e spam.
Figure 14 Número
Figura 14 Number of observed
de URLs phishing
de phishing URLs
observadas and domains
e domínios por mês by month, 2017
120K
Total de URLs de phishing
101,934
100K
80K
60K
Volume
30K
20K
5K
0
Ago
Set
Out
Jan
Mar
Abr
Maio
Jun
Jul
Fev
2017
Domínios URLs
Os picos observados em março e junho podem ser atribuídos Cada comprimento de subdomínio (50-62) continha cerca de
a duas campanhas diferentes. A primeira pareceu concentrar- 3500 URLs, que permitiu o uso programático dos subdomínios
se em usuários de um grande provedor de serviços de (exemplo: Cewekonuxykysowegulukozapojygepuqybyteqe
telecomunicações. Essa campanha: johofopefogu[ponto]aaaainfomation[ponto]org).
•• Envolveu 59.651 URLs que continham subdomínios sob Adversários usaram um serviço barato de privacidade para
aaaainfomation[ponto]org. registrar os domínios observados nesta campanha.
•• Tiveram subdomínios que continham sequências
aleatórias com 50-62 letras.
12 Massive Phishing Attack Targets Gmail Users, por Alex Johnson, NBC News, maio de 2017:
nbcnews.com/tech/security/massive-phishing-attack-targets-millions-gmail-users-n754501.
13 Hackers target Irish energy networks amid fears of further cyber attacks on UK’s crucial infrastructure, por Lizzie Deardon, The Independent, julho de 2017:
independent.co.uk/news/world/europe/cyber-attacks-uk-hackers-target-irish-energy-network-russia-putin-electricity-supply-board-nuclear-a7843086.html.
Figure 15Distribuição
Figura 15 TLD distribution across
de TLD através deknown
sites de phishing sites
phishing conhecidos
Figure16
Figura 16Alto
High volume
volume of malicious
de documentos Microsoft
do Microsoft Word Word documents
mal-intencionados using
usando “close function
"chamadas calls” observado em
de função fechar"
observed
setembro in September
de 2017 2017
40K
35K
30K
25K
Volume
20K
15K
10K
5K
0
Maio
Ago
Out
Nov
Dez
Jan
Fev
Mar
Set
Out
Abr
Jun
Jul
2016 2017
Amostras mal-
intencionadas Total de amostras
Figure 17 Attackers use PDFs with embedded Microsoft Word documents to evade sandboxing
Figura 17 Grande ataque em maio de 2017 envolveu PDFs com documentos do Word mal-intencionados integrados
90K
80K
70K
60K
50K
Volume
40K
30K
20K
10K
Ago
Set
Out
Out
Nov
Jan
Mar
Abr
Maio
Jun
Jul
Dez
Fev
2016 2017
Amostras mal-
intencionadas Total de amostras "document_open"
Os picos em amostras mal-intencionadas que usaram Os pesquisadores da Cisco recomendam usar sandboxing
técnicas diversas de evasão de sandbox apontam para o que inclui funcionalidades de conhecimento de conteúdo para
desejo dos agentes mal-intencionados de seguir um método garantir que o malware que usa as táticas descritas acima não
que parece funcionar para eles ou para outros invasores. escape da análise do sandbox. Por exemplo, a tecnologia de
Além disso, se os adversários se dão ao trabalho de criar o sandboxing deve mostrar conhecimento das funcionalidades
malware e a infraestrutura associada, eles querem o retorno de metadados das amostras que está analisando, como
sobre seus investimentos. Se eles determinam que o malware determinar se a amostras incluem a tomada de medidas após
pode escapar ao controle do sandbox, eles, por sua vez, o fechamento do documento.
aumentarão o número de tentativas de ataque e os usuários
afetados.
Para encarar esse desafio, as empresas podem precisar utilizar uma combinação de melhores práticas, tecnologias
de segurança avançadas (como aprendizagem de máquina) e até mesmo algumas metodologias experimentais,
dependendo dos serviços que usam para seus negócios e como as ameaças evoluem nesse espaço.
Google Docs
Google Code
Google Tradutor
Twitter Script de Aplicativos do Google
Calendário Google
Google Plus
GitHub Gmail
Live.com
Blogger
Hotmail.com
Yahoo Respostas Microsoft TechNet
Amazon
Babelfish Respostas da Microsoft
Microsoft Social
Dropbox
Pastebin OneDrive
Fonte: Anomali
14 O Anomali define uma esquema de C2 como "a totalidade dos endereços IP, domínios, serviços legítimos e todos os sistemas remotos que fazem parte da... arquitetura de comunicação" de malware.
•• Cadastrar novas contas nesses serviços. O uso de serviços legítimos subverte a inteligência de
•• Configurar uma página da Web na Internet acessível ao domínio e certificado e complica a atribuição
público. Adversários não precisam registrar domínios porque a
conta de serviço legítimo é considerada o endereço inicial
•• Usurpar a criptografia para protocolos de C2. (Em vez
de C2. Além disso, não é provável que eles continuem
de configurar os servidores de C2 com criptografia ou
registrando certificados SSL ou usando certificados SSL
criptografia de edifício em malware, os invasores podem
assinados automaticamente para esquemas de C2. Ambas
simplesmente adotar o certificado SSL de um serviço
as tendências terão um impacto negativo sobre os feeds
legítimo.)
do indicador para filtragem de reputação e criação de
•• Adaptar e transformar recursos em tempo real. (Os listas negras do indicador, que são baseados em domínios
invasores podem reutilizar os implantes em todos recém-gerados e recém-registrados e os certificados e os
os ataques sem reutilizar endereços IP ou DNS, por endereços IP conectados a eles.
exemplo.)
É difícil detectar o uso de serviços legítimos para C2. No entanto,
•• Reduzir a probabilidade de infraestrutura de "queima".
pesquisadores de ameaças do Anomali recomendam que
(Adversários que usam serviços legítimos de C2 não
defensores considerem a aplicação de algumas metodologias
precisam codificar malware embutido com endereços
experimentais. Por exemplo, os defensores podem identificar
IP ou domínios. Quando a operação for concluída, eles
malware usando serviços legítimos para C2 procurando por:
podem simplesmente derrubar suas páginas de serviços
legais e ninguém nunca vai saber os endereços IP.) •• Conexões fora do navegador e de aplicativos para
•• Invasores se beneficiam dessa técnica, porque elas serviços legítimos
permitem reduzir a sobrecarga e melhorar o retorno •• Tamanhos de resposta única ou baixa de serviços
sobre o investimento. legítimos
Para os defensores, o uso dos adversários de serviços •• Alta frequência de troca de certificados para serviços
legítimos para C2 apresenta alguns desafios significativos: legítimos
Serviços legítimos são difíceis de bloquear •• Amostras de sandboxing em massa seguro para DNS
Na perspectiva comercial, as empresas podem até mesmo suspeito requer serviços legítimos
considerar bloquear partes dos serviços legítimos de Internet, Todos esses comportamentos únicos apontam para mais
como o Twitter ou o Google? investigações dos processos e programas de origem.15
15 Para ver detalhes sobre essas metodologias experimentais e obter mais informações sobre como os adversários usam serviços legítimos para C2, baixe o artigo de pesquisa do Anomali,
Rise of Legitimate Services for Backdoor Command and Control, disponível em: anomali.cdn.rackfoundry.net/files/anomali-labs-reports/legit-services.pdf.
42.4%
80.5%
Novo Reutilizado
8.7%
20.9%
Reutilização de IP
91.3%
59.6%
10.6%
19.6% WWW
Reutilização
do inscrito
89.4%
Reutilização de ASN
Domínios reutilizam recursos de infraestrutura
57.0%
Os RLDs mal-intencionados na amostra também pareceram
reutilizar recursos de infraestrutura, como endereços de e-mail
do inscrito, endereços IP, números de sistemas autônomos
Usado várias vezes Usado uma vez
(ASNs) e servidores de nomes (ver figura 22). Isso é mais uma
O bloqueio estático de ASNs e servidores de nome •• Que outros domínios estão associados esse domínio?
provavelmente não são viáveis, na maioria dos casos. No As respostas podem ajudar os defensores não só aperfeiçoar
entanto, os padrões de reutilização pelos RLDs são dignos de as políticas de segurança e bloquear ataques, mas também
mais investigação para determinar se certos domínios devem impedir que os usuários conectem-se a destinos mal-
ser bloqueados. intencionados na Internet enquanto estão na rede corporativa.
16 After MongoDB, Ransomware Groups Hit Exposed Elasticsearch Clusters, por Lucian Constantin, IDG News Service, 13 de janeiro de 2017:
pcworld.com/article/3157417/security/after-mongodb-ransomware-groups-hit-exposed-elasticsearch-clusters.html.
8K
PDFs
34%
7K
Quantidade de arquivos baixados
6K
Escritório
31%
5K
Mídia
23% 4K
Outros
8% 3K
Programação,
dados e scripts 2K
(PD&S)
4%
1K
0
Maio Junho
35% 36%
52% 2017 27% Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018
2014 (n=1727), 2015 (n=2417), 2016 (n=2887), 2017 (n=3625) Escalabilidade 48%
Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018 Facilidade de uso 46%
Falta de força de
Daquelas empresas que usam a nuvem, 36% hospedam de 25 a 41%
trabalho de TI interna
49% de sua infraestrutura na nuvem, enquanto 35% hospedam
Facilidade de colaboração 39%
de 50 a 74% de sua infraestrutura na nuvem (figura 26). com terceiros externos
Poucas empresas consideram os botnets de IoT uma ameaça iminente, mas deveriam
Os botnets de IoT se expandem e evoluem juntamente com a o controle deles do que um PC, o que significa que é fácil para
IoT. E à medida que esses botnets crescem e amadurecem, os os adversários construírem um grande exército rapidamente.
invasores estão usando-os para lançar ataques de DDoS com
alcance e intensidade cada vez maiores. Radware, um parceiro Os dispositivos de IoT operam 24 horas por dia e podem ser
da Cisco, disponibilizou uma análise de três dos maiores botnets chamados a intervir a qualquer momento. E à medida que os
de IoT, Mirai, Brickerbot e Hajime, no Relatório Semestral de adversários aumentam o tamanho de seus botnets de IoT, eles
Segurança Cibernética da Cisco de 2017 e revisita o tema do também investem em códigos e malware mais sofisticados e
botnet de IoT no relatório mais recente para ressaltar a gravidade mudam para ataques de DDoS mais avançados.
dessa ameaça.18 A pesquisa mostra que apenas 13% das
empresas acreditam que botnets de IoT serão a maior ameaça O DDoS de aplicação ultrapassa o DDoS de rede
para seus negócios em 2018. Ataques de camada de aplicativo estão em ascensão,
enquanto ataques de camada de rede estão em declínio (ver
Botnets de IoT estão prosperando porque as empresas e os
figura 28). Pesquisadores da Radware suspeitam que essa
usuários estão implantando dispositivos de IoT de baixo custo
mudança pode ser atribuída ao crescimento dos botnets
muito rapidamente e com pouca ou nenhuma consideração
de IoT. A tendência é preocupante porque a camada de
pela segurança. Dispositivos de IoT são sistemas baseados em
aplicação é muito diversa e tem muitos dispositivos dentro
Linux e Unix, por isso costumam ser alvos de binários de formato
dela, o que significa que ataques direcionados a essa camada
linkável e executável (ELF). É menos desafiador assumir
têm o potencial para interromper grandes partes da Internet.
Figura
Figure28
28Ataques de DDoS
Application do aplicativo
DDoS attacksaumentaram
increasedem
in 2017
2017
Quais dos seguintes vetores de ataque você teve este ano?
37%
35%
33%
28%
23% 23%
18%
12%
10%
7%
4%
VoIP SMTP DNS HTTPS HTTP TCP-SYN UDP ICMP TCP-outro IPv6 Outros
Flood
Fonte: Radware
18 Para saber mais detalhes sobre a pesquisa de botnet de IoT da Radware, veja “A IoT ainda está surgindo, mas os botnets de IoT já existem," p. 39,
Relatório Semestral de Segurança Cibernética da Cisco de 2017: cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html.
Invasor Alvo
Durou Durou Durou de Não foi atingido
alguns alguns 15 a 30 por ataques de pico
segundos minutos minutos
Fonte: Radware
Figura 31
Figure 31 Resumo
Overview of infrastructure
dos pontos blind spots
cegos de infraestrutura em across various industries
vários setores
Caminhos de fuga para a Internet identificados na implantação 3000 120 9400 220
Fonte: Lumeta
•• Reduzir o uso de cartões de memória USB e unidades de DVD. Para ver outros estudos de caso, consulte o artigo da TrapX
Security, Anatomy of an Attack: Industrial Control Systems
•• Isolar os sistemas de ICS das redes de TI. Não permitir
Under Siege.
qualquer conexões diretas entre os dois. Isso inclui
conexões de rede, notebooks e cartões de memória.
Estudo Comparativo de Recursos de Segurança da Cisco de 2018: Mais ataques de TO e IoT no horizonte
Ataques direcionados à tecnologia operacional (OT) como Figura 33 31% das empresas sofreram ataques digitais na
dispositivos de ICS e IoT são ainda incomuns o suficiente Figure 33infraestrutura
Thirty-one percent of organizations have
de TO
para que muitos profissionais de segurança ainda não os experienced cyber attacks on OT infrastructure
tenham experimentado em primeira mão. Mas, de acordo
com a pesquisa para o Estudo Comparativo de Recursos de
Segurança da Cisco de 2018, os profissionais de segurança Já vi ataques
31%
cibernéticos no OT
esperam que tais ataques ocorram e estão tentando determinar
como eles vão responder a eles.
Houve um tempo quando corrigir os erros de vulnerabilidades conhecidas dentro de 30 dias era considerado uma das
melhores práticas. Agora, aguardar tanto tempo para corrigir erros pode aumentar o risco de uma empresa ser alvo
de ataques, pois os agentes de ameaças estão se movendo ainda mais rapidamente para liberar e usar explorações
de vulnerabilidades ativas. As empresas também devem evitar negligenciar as lacunas de segurança pequenas,
porém significativas, que poderão beneficiar os adversários, especialmente durante a fase de reconhecimento de
ataques, quando eles estão à procura de caminhos para entrar nos sistemas.
Enquanto o Apache tende a identificar vulnerabilidades e A varredura profunda dos sistemas operacionais até o nível
disponibilizar correções de erros rapidamente, pode ser da biblioteca ou do arquivo individual pode providenciar às
desafiador corrigir erros de soluções de infraestrutura, como o empresas inventários dos componentes das soluções de
Apache Struts, sem interromper o desempenho da rede. código-fonte aberto.
Microsoft Windows Vulnerabilidades de Vulnerabilidades WebDAV para Campanhas globais Divulgação das
Graphics Execução do Código de Network Time Serviços de mantidas pela Operação explorações de equação
Arbitrário de Serviço Protocol Informações Cloud Hopper do Shadow Brokers Group
CVE-2017-0108 de Bloqueio de
CVEs múltiplas da Internet (IIS)
Mensagens do
Microsoft Windows CVE-2017-7269
Server
CVE-2017-0145
14 de março 14 de março 21 de março 29 de março 6 de abril 8 de abril
Vulnerabilidades Spectre e Meltdown: A preparação proativa pode acelerar a reparação dos danos
O anúncio de janeiro de 2018 das vulnerabilidades Spectre e As empresas precisam se preparar para vulnerabilidades como
Meltdown, que poderiam permitir que invasores comprometessem Spectre e Meltdown, em vez de esperar que elas não ocorram. A
dados em plataformas que executam processadores de chave é preparar-se para tais anúncios e implantar sistemas para
computador de geração atual, trouxe preocupações sobre a atenuar os danos potenciais. Por exemplo, as equipes de segurança
capacidade dos profissionais de segurança para proteger os dados devem inventariar os dispositivos que estão sob seu controle
contra ataques. As vulnerabilidades podem permitir que invasores proativamente e documentar as configurações dos recursos que
vejam os dados de aplicativo na memória, no chipset, com potencial estão sendo usados, visto que algumas vulnerabilidades dependem
para danos generalizados, visto que os microprocessadores de configuração e causam impacto sobre a segurança somente
afetados são encontrados em tudo, desde telefones celulares até quando determinadas funcionalidades são ativadas.
hardware de servidor. As equipes de segurança também devem perguntar a fornecedores
As ameaças decorrentes das vulnerabilidades Spectre e Meltdown terceiros, como provedores de nuvem, sobre seus processos
destacam a importância de comunicar-se com empresas de de atualização e correção de erros. As empresas precisam pedir
segurança sobre soluções como correção de erros e de garantir transparência de seus provedores de nuvem em termos de como
que provedores de terceiros, como fornecedores de cadeia de eles remediam tais vulnerabilidades, e quão rapidamente eles
fornecimento e em nuvem, estão aderindo às melhores práticas respondem aos alertas. Mas no final, a responsabilidade pelo
para corrigir lacunas na segurança apresentadas por essas preparo recai sobre as próprias empresas; elas devem comunicar-
vulnerabilidades. As equipes de resposta a incidentes de segurança se com empresas PSIRT e estabelecer processos para responder
do produto, ou PSIRTs (como o Cisco PSIRT), destinam-se a rapidamente às vulnerabilidades.
responder rapidamente aos anúncios de vulnerabilidade, corrigir Para obter mais informações, leia o post do blog do Cisco
erros e aconselhar os clientes sobre como evitar os riscos. Talos sobre Spectre e Meltdown.
500K
Cisco e da Lumeta, parceiro da Qualys, foi que os endpoints
Alertas de vulnerabilidade
da Microsoft de TI desconhecidos, não gerenciados, invasores e invisíveis
400K
não foram corrigidos. Os invasores foram capazes de
aproveitar esses pontos cegos. Sem o conhecimento desses
300K
sistemas, scanners de vulnerabilidade não foram capazes de
avaliar e recomendar a correção de erros desses sistemas,
200K
deixando-os vulneráveis ao WannaCry.
100K
Fonte: Qualys
Baixe o gráfico de 2018 em: www.cisco.com/go/acr2018graphics
Fonte: Qualys
36%
32%
31%
25%
Percentual de hosts afetados
20%
18%
17%
16%
15% 15%
14%
10%
2016 2017
Solicitações de carimbo de hora do TCP habilitadas As vulnerabilidades mostradas na figura 39 são conhecidas na
Carimbos de hora de TCP dão informações sobre o tempo de comunidade de segurança, mas algumas delas normalmente
funcionamento de uma máquina, ou a última reinicialização, não seriam sinalizada ou levariam a uma falha automática
o que pode ajudar os adversários a aprenderem que tipos de durante uma verificação de conformidade de rotina, como
vulnerabilidades que podem ser corrigidas a máquina precisa uma auditoria do Padrão de Segurança de Dados do Setor de
explorar. Além disso, programas de software podem usar o Cartões de Pagamento (PCI DSS). Não são vulnerabilidades
carimbo de hora do sistema para propagar um gerador de críticas, conforme definido pelas normas relevantes desse
números aleatório para criar chaves de criptografia. setor. Cada setor separa o nível crítico das vulnerabilidades
de uma maneira.
Redefinição de TCP por número aproximado de
sequência Além disso, a maioria das vulnerabilidades que ocorrem
Invasores remotos podem adivinhar os números de sequência comumente de baixa gravidade exibidas na figura 39 não
e causar uma negação de serviço para conexões TCP ao podem ser corrigidas facilmente, ou de maneira alguma,
injetar repetidamente um pacote TCP RST, especialmente nos através do gerenciamento de patches, porque eles derivam
protocolos que utilizam conexões de longa duração, como o de problemas de configuração ou problemas de certificado
Border Gateway Protocol. de segurança (por exemplo, cifras SSL fracas ou um
certificado SSL assinado automaticamente).
Ataque "Beast"
Um invasor pode usar a vulnerabilidade BEAST (Browser As empresas devem agir prontamente para lidar com
Exploit Against SSL/TLS, Exploração de navegador contra vulnerabilidades de baixa gravidade que podem apresentar
SSL/TSL) para lançar um ataque com intermediário para risco. Eles devem avaliar e identificar as prioridades de
basicamente "ler" o conteúdo protegido que está sendo correção com base em como eles percebem o risco, ao
trocado entre as partes. (Observação: esse é um ataque invés de depender de avaliações de terceiros ou da utilização
complicado de executar, pois o agente de ameaça também parcial de um sistema de pontuação, como uma pontuação
deve ter controle do navegador do cliente para ler e injetar básica CVSS, ou uma classificação de conformidade
pacotes de dados muito rapidamente.) específica. Só as empresas conhecem os ambientes únicos e
as estratégias de gerenciamento de risco.
recursos de segurança.
US$ 500 mil a 999 mil
O Estudo comparativo de recursos de segurança da Cisco de 15%
Figure 41 AsMost
Figura 41 áreaschallenging areas
mais desafiadoras to defender
para defend:são
mobile devices móveis
os dispositivos and cloud data em nuvem
e os dados
Caixa com os 2 principais
em percentual
2017
2016
Nem um pouco Extremamente
desafiador desafiador
Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018 Baixe o gráfico de 2018 em: www.cisco.com/go/acr2018graphics
Profissionais de segurança citam orçamento, interoperabilidade A falta de profissionais qualificados está no topo da lista dos
e pessoal como suas principais restrições durante o obstáculos em todos os setores e em todas as regiões. "Se eu
gerenciamento da segurança (figura 42). A falta de pessoal pudesse agitar uma varinha mágica e fazer com que 10% mais
treinado também é considerada um desafio para a adoção de pessoas tirem o peso das costas das pessoas que realmente
processos e tecnologia de segurança avançada. Em 2017, 27% carregam as responsabilidades devido à alta demanda por suas
citaram a falta de talento como um obstáculo, em comparação áreas de serviço, eu seria um cara muito, mas muito feliz,” declarou
com 25% em 2016 e 22% em 2015. um CISO de uma grande empresa de serviços profissionais.
30 25 33 40
Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018 Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018
Figure 44As
Figura 44 Organizations used
empresas usaram more
mais securitydevendors
fornecedores inem
segurança 2017
2017
À medida que aumenta o número de fornecedores, aumenta, Figura 45 O desafio de orquestrar alertas
também, o desafio de orquestrar alertas dessas muitas Figure 45 The challenge of orchestrating alerts
soluções de fornecedores. Como pode ser visto na figura 45,
54% dos profissionais de segurança disseram que gerenciar 20% 26%
54%
Muito desafiador 17% 24% 16% 42% 14% 25% 19% 14% 12% 27%
Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018 Baixe o gráfico de 2018 em: www.cisco.com/go/acr2018graphics
"A norma será a violação de todas as empresas da Fortune 500 nos próximos 24 meses. Você tem que
estar preparado para isso, especialmente de uma perspectiva de marketing ou uma perspectiva de RP."
Figura 50 Operações e finanças são mais susceptíveis de serem afetadas por violações de segurança
Figure 50 Operations and finances most likely to be affected by security breaches
38%
36%
30% 29%
27% 27%
26% 26% 25%
24%
22%
20% 21% 20% 20%
18% 19%
13%
Figura 51 80% das empresas que usam mais de 50 fornecedores precisaram administrar as críticas causadas pelas violações públicas
Figure 51 80% of organizations using 50+ vendors managed scrutiny from public breaches
1-5 6-10 11-20 21-50 50 principais fornecedores
Figura 52 72% compram as melhores soluções do mercado porque elas atendem a necessidades específicas
Figure 52 Seventy-two percent buy best-of-breed solutions because they meet specific needs
72% 28%
dos melhores integrados
Políticas
Credenciais de domínio são armazenadas em cache
Extração de dados para Internet permitida através de consultas DNS
Falta de segregação de rede
26% 74%
também podem exigir
As empresas podem aumentar suas chances de
podem ser tratadas que pessoas e/ou gerenciamento bem sucedido de todos os três fatores se eles
somente pela tecnologia políticas lidem garantirem que a segurança é integrada em cada camada da
Tecnologia Políticas empresa e não acrescentada aqui e ali. Eles também devem
evitar depender exclusivamente de produtos ou melhorias
técnicas para consertar a segurança. Para os produtos
serem bem sucedidos, as empresas precisam compreender
e implementar políticas e processos confidenciais para a
tecnologia.
Objetivos do resultado de
51% Fez a separação entre equipe de 38% 38%
segurança da empresa
segurança e departamento de TI
2016 2017
Figura 57 O uso de terceirização para monitoramento e resposta a incidentes está crescendo ano a ano
Figure 57 Use of outsourcing for monitoring and incident response is growing year over year
2014 (n=1738) 2015 (n=2432) 2016 (n=2912) 2017 (n=3651)
Inteligência
N/D 39% 41% 43%
de ameaças
Continuidade das
N/D N/D N/D 28%
transações comerciais
Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018 Baixe o gráfico de 2018 em: www.cisco.com/go/acr2018graphics
Para ver mais resultados do Estudo Comparativo de Recursos de Segurança da Cisco de 2018, consulte o Anexo na página 64.
4
Volume
0
Jan
Fev
Mar
Abr
Maio
Jun
Jul
Ago
Set
Nov
Dez
Jan
Mar
Abr
Maio
Jun
Jul
Ago
Set
Out
Out
Fev
2016 2017
14
12
10
8
Volume
0
Ago
Ago
Out
Out
Jan
Mar
Abr
Maio
Jun
Jul
Nov
Jan
Mar
Abr
Maio
Jun
Jul
Set
Dez
Set
Fev
Fev
2016 2017
Nossos produtos de segurança também viram um aumento começamos a rastrear o TTD, e a média de 14 horas relatada
de 11 vezes no volume global de malware durante o mesmo no Relatório Anual de Segurança Cibernética da Cisco de
período, como mostra a figura 59. 2017 pelo período compreendido entre novembro de 2015 e
outubro de 2016.20
As tendências no volume de malware têm impacto sobre
o tempo até a detecção (TTD) dos defensores, que é uma O uso da tecnologia de segurança na nuvem tem sido um
métrica importante para qualquer empresa entender se fator importante ao ajudar a Cisco a dirigir e manter TTD
suas defesas de segurança estão funcionando bem sob médio em um nível baixo. A nuvem ajuda a dimensionar
pressão da barragem constante de malware implantada pelos e manter o desempenho pois tanto o volume de eventos
adversários. totais, quanto o de malware que tem endpoints como alvo
continua a aumentar. Soluções de segurança no local
O TTD médio da Cisco, de aproximadamente 4,6 horas para teriam dificuldades para oferecer a mesma flexibilidade.
o período compreendido entre novembro de 2016 e outubro Projetar uma escala que pode lidar com mais de 10 vezes
de 2017, ajuda a ilustrar o contínuo desafio de identificar a capacidade de volume de eventos mal-intencionados ao
ameaças rapidamente no cenário caótico de ameaças. longo de um período de dois anos, e manter ou aumentar
Ainda assim, o número está bem abaixo da média de TTD de os tempos de resposta, seria um empreendimento muito
39 horas que relatamos em novembro de 2015, depois que difícil e caro para qualquer empresa.
A Cisco define "tempo para detecção" (TTD) como a janela de tempo entre um comprometimento e detecção de uma ameaça.
Para determinar essa janela de tempo, usamos a telemetria de segurança opcional obtida dos produtos de segurança da Cisco
implantados em todo o mundo. Usando nossa visibilidade global e um modelo contínuo de análise, podemos medir a partir do
momento em que um arquivo mal-intencionado é baixado para um endpoint até o momento em que ele é determinado como
uma ameaça, para todos os códigos mal-intencionados que não foram classificados no momento do encontro.
Nossa infraestrutura e nossos sistemas sofisticados Para saber mais sobre nossa abordagem de segurança
consomem essa telemetria, ajudando pesquisadores e com foco em ameaças, visite cisco.com/go/security.
Nossos parceiros de tecnologia também desempenham um papel vital ao ajudarem nossa empresa a desenvolver
segurança simples, aberta e automatizada que permite que as empresas integrem as soluções de que precisam para
proteger seus ambientes.
Cisco Advanced Malware Protection (AMP) for Endpoints Equipe de resposta a incidentes de segurança do
O Cisco AMP for Endpoints disponibiliza recursos de prevenção, produto (PSIRT) da Cisco
detecção e resposta automatizadas em uma única solução. A equipe de resposta a incidentes de segurança do produto
Ele continuamente monitora e faz análises em busca de sinais (PSIRT) da Cisco é uma empresa internacional dedicada que
de atividade mal-intencionada para descobrir as ameaças que gerencia o recebimento, a investigação e a divulgação de
burlam a segurança da linha de frente e representam maior risco informações públicas sobre vulnerabilidades de segurança
para as empresas. Ele usa uma ampla variedade de técnicas de e problemas relacionados a produtos e redes da Cisco. O
detecção, incluindo sandboxing, prevenção contra exploração e PSIRT recebe relatórios de pesquisadores independentes,
aprendizagem de máquina para detectar e atenuar as ameaças empresas do setor, fornecedores, clientes e outras fontes em
rapidamente. O Cisco AMP for Endpoints é a única solução que questão com a segurança do produto ou rede.
fornece segurança retrospectiva para responder rapidamente
às ameaças e identificar o escopo, o ponto de origem e como Cisco Security Incident Response Services (CSIRS)
conter a ameaça para que empresas mantenham-se protegidas.
A equipe do Cisco Security Incident Response Services (CSIRS)
é composta por profissionais de resposta a incidentes de nível
Cisco Cloudlock internacional, encarregados de auxiliar os clientes da Cisco antes,
Cisco Cloudlock fornece soluções de agentes de segurança durante e depois de um incidente. O CSIRS utiliza os melhores
de acesso à nuvem (CASB) que ajudam as empresas a usarem profissionais, soluções de segurança de nível empresarial, as
a nuvem com segurança. O CloudLock oferece visibilidade e técnicas mais avançadas de resposta e as melhores práticas
controle para ambientes de software como serviço (SaaS), aprendidas durante anos de combate a criminosos, com o
plataforma como serviço (PaaS) e infraestrutura como serviço objetivo de garantir que nossos clientes consigam responder,
(IaaS), englobando usuários, dados e aplicações. Ele também recuperar-se e defender-se de qualquer ataque de forma
oferece informações práticas sobre segurança cibernética por proativa.
meio de seu laboratório CyberLab, liderado por cientistas de
dados, e de dados analíticos de segurança provenientes de Grupo de inteligência do Cisco Talos
colaboração coletiva.
O Cisco Talos Intelligence Group é uma das maiores equipes
de inteligência de ameaças comerciais do mundo, compostas
Cisco Cognitive Threat Analytics por engenheiros, analistas e pesquisadores de nível mundial.
O Cisco Cognitive Threat Analytics é um serviço na nuvem que Essas equipes são apoiadas por telemetria inigualável e
detecta violações, malware executado em redes protegidas sistemas sofisticados para criar inteligência de ameaças
e outras ameaças à segurança usando análise estatística precisas, rápidas e práticas para clientes, produtos e serviços
de dados do tráfego de rede. Ele lida com defasagens nas da Cisco. O Talos Group defende os clientes da Cisco
defesas do perímetro identificando os sintomas de uma contra ameaças conhecidas e emergentes, descobre novas
infecção por malware ou violação de dados usando a análise vulnerabilidades em software comum e intercepta ameaças em
comportamental e a detecção de anomalias. O Cognitive Threat estado selvagem antes que elas possam danificar ainda mais a
Analytics conta com a modelagem estatística avançada e a Internet. A inteligência da Talos é o cerne dos produtos da Cisco
aprendizagem automática para identificar novas ameaças de que detectam, analisam e protegem contra ameaças conhecidas
modo independente, aprender com o que é observado e fazer e emergentes. O Talos mantém os conjuntos de regra oficial
adaptações ao longo do tempo. do Snort.org, ClamAV e SpamCop além de lançar muitas
ferramentas de pesquisa e análise de código-fonte aberto.
O suite Anomali de soluções de inteligência de ameaças capacita A Lumeta oferece uma consciência situacional cibernética
as empresas a detectar, investigar e responder a ameaças de crítica que ajuda a segurança e equipes de rede a impedirem
segurança cibernética ativas. A plataforma de inteligência de violações. A Lumeta oferece descoberta incomparável de
ameaças ThreatStream premiada agrega e otimiza milhões infraestrutura de rede conhecida, desconhecida, invisível
de indicadores de ameaças, criando uma "lista cibernética e invasora acima de qualquer outra solução do mercado
de pessoas proibidas de voar". A Anomali integra-se com atual, bem como monitoramento em tempo real da rede e
uma infraestrutura interna para identificar novos ataques, faz do endpoint para detectar alterações não autorizadas, evitar
pesquisas forense do ano anterior para descobrir violações atuais os caminhos de fuga, assegurar adequada segmentação de
e permite que as equipes de segurança rapidamente entendam rede e detectar comportamentos suspeitos de rede através
e contenham ameaças. A Anomali também oferece STAXX, uma de elementos de rede dinâmicos, endpoints, máquinas
ferramenta gratuita para coletar e compartilhar inteligência de virtuais e infraestrutura baseada em nuvem. Para obter mais
ameaças, e proporciona um feed de inteligência gratuito e pronto informações, visite lumeta.com.
para uso, o Anomali Limo. Para saber mais, visite anomali.com e
siga-nos no Twitter: @anomali.
80
Porcentagem
60
40
20
0
Austrália
Brasil
Canadá
França
Japão
Latina***
Alemanha
Índia
México
República
Popular
da China
Rússia
Espanha
Reino
Unido
Estados
Unidos
África*
europeus**
Itália
Oriente
Médio e
Outros
países
Outros países
da América
Espera-se que ataques cibernéticos estendam-se Espera-se que os ataques digitais estendam-se *MEA: Arábia Saudita, África do Sul, Turquia,
além dela para TO no próximo ano além da TI em direção à TO, mas não no próximo ano Emirados Árabes Unidos
**Outros países europeus: Bélgica, Países Baixos,
Já vi ataques cibernéticos no OT Creio que ataques cibernéticos permanecerão Polônia, Suíça e Suécia
concentrados no setor de TI ***Outros países da América Latina: Argentina,
Chile e Colômbia
90
80
70
Porcentagem
60
50
40
30
20
10
0
África*
Itália
República
Popular
da China
Alemanha
Espanha
Brasil
Japão
Latina***
Austrália
Canadá
Índia
México
Rússia
Reino
Unido
Estados
Unidos
europeus**
França
Médio e
Oriente
Outros
países
Outros países
da América
*MEA: Arábia Saudita, África do Sul, Turquia, ***Outros países da América Latina:
Emirados Árabes Unidos Argentina, Chile e Colômbia
1-5 6-10 11-20 21-50 50 principais fornecedores **Outros países europeus: Bélgica, Países Baixos,
Polônia, Suíça e Suécia
Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018 Baixe o gráfico de 2018 em: www.cisco.com/go/acr2018graphics
70
60
50
40
Porcentagem
30
20
10
0
Brasil
Alemanha
Itália
Japão
Espanha
Latina***
República
Popular
da China
Austrália
Canadá
Índia
México
Rússia
Reino
Unido
Estados
Unidos
África*
europeus**
França
Médio e
Oriente
Outros
países
Outros países
da América
*MEA: Arábia Saudita, África do Sul, Turquia, **Outros países europeus: Bélgica, Países Baixos, ***Outros países da América Latina: Argentina,
Emirados Árabes Unidos Polônia, Suíça e Suécia Chile e Colômbia
Figura 63
Figure 63Obstáculos
Obstacles à adoção de processos
to adopting e tecnologia
advanced de segurança
security processes avançada, por país ou região
and technology, by country or region
da América Latina***
à adoção de processos de segurança avançada e tecnologia?
Popular da China
Outros países
Outros países
Reino Unido
europeus**
Alemanha
República
Austrália
Espanha
Canadá
México
França
Rússia
Japão
Brasil
Índia
Itália
EUA
Restrições orçamentárias 23% 35% 29% 33% 25% 36% 38% 31% 31% 38% 60% 33% 27% 34% 36% 37% 35%
Prioridades concorrentes 28% 11% 29% 27% 28% 26% 24% 27% 16% 27% 20% 18% 32% 32% 25% 18% 24%
Falta de pessoal treinado 25% 28% 19% 22% 24% 31% 24% 28% 30% 25% 35% 33% 31% 26% 25% 23% 26%
Problemas de compatibilidade com sistemas jurídicos 27% 19% 30% 27% 30% 30% 22% 23% 32% 40% 25% 25% 24% 28% 30% 25% 28%
Requisitos de certificação 33% 27% 29% 29% 24% 27% 27% 22% 27% 23% 22% 27% 27% 30% 24% 33% 21%
Atitude/cultura empresarial
30% 23% 25% 20% 16% 26% 17% 21% 26% 17% 19% 24% 28% 25% 20% 20% 27%
sobre segurança
Relutam em comprar até obter
a comprovação do mercado 19% 20% 23% 26% 25% 29% 20% 28% 15% 16% 17% 20% 21% 22% 22% 21% 25%
A carga de trabalho atual é muito pesada 22% 16% 28% 18% 28% 28% 26% 27% 23% 21% 15% 28% 22% 22% 20% 17% 19%
para assumir novas responsabilidades
A segurança não é uma prioridade de nível executivo 22% 10% 17% 17% 20% 13% 13% 23% 15% 18% 11% 11% 19% 19% 17% 19% 21%
*MEA: Arábia Saudita, África do Sul, Turquia, **Outros países europeus: Bélgica, Países Baixos, ***Outros países da América Latina: Argentina,
Emirados Árabes Unidos Polônia, Suíça e Suécia Chile e Colômbia
Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018 Baixe o gráfico de 2018 em: www.cisco.com/go/acr2018graphics
Austrália 203 86 14
Brasil 197 72 28
Canadá 185 67 33
França 191 59 41
Alemanha 195 69 31
Índia 199 78 22
Itália 201 71 29
Japão 223 72 28
México 198 77 23
República Popular da China 205 63 37
Rússia 196 58 42
Espanha 148 70 30
Reino Unido 194 76 24
Estados Unidos 393 81 19
Oriente Médio e África* 249 69 31
Outros países europeus** 199 73 27
Outros países da América Latina*** 196 71 29
*MEA: Arábia Saudita, África do Sul, Turquia, **Outros países europeus: Bélgica, Países Baixos, ***Outros países da América Latina: Argentina,
Emirados Árabes Unidos Polônia, Suíça e Suécia Chile e Colômbia
60
50
Porcentagem
40
30
20
10
0
Brasil
Japão
Latina***
República
Popular
da China
Austrália
Canadá
Alemanha
Índia
Itália
México
Rússia
Espanha
Reino
Unido
Estados
Unidos
África*
europeus**
França
Oriente
Médio e
Outros
países
Outros países
da América
*MEA: Arábia Saudita, África do Sul, Turquia, **Outros países europeus: Bélgica, Países Baixos, ***Outros países da América Latina: Argentina,
Emirados Árabes Unidos Polônia, Suíça e Suécia Chile e Colômbia
Fonte: Estudo comparativo de recursos de segurança da Cisco de 2018 Baixe o gráfico de 2018 em: www.cisco.com/go/acr2018graphics
A Cisco tem mais de 200 escritórios em todo o mundo. Os endereços, números de telefone e de fax estão listados no site da Cisco, em www.cisco.com/go/offices.
A Cisco e o logotipo da Cisco são marcas comerciais ou marcas comerciais registradas da Cisco e/ou suas afiliadas nos EUA e em outros países. Para obter uma lista
de marcas registradas da Cisco, acesse este URL: www.cisco.com/go/trademarks. Todas as marcas de terceiros citadas pertencem a seus respectivos detentores.
O uso do termo "parceiro" não implica uma relação de sociedade entre a Cisco e qualquer outra empresa. (1110R)
Adobe, Acrobat e Flash são marcas registradas ou comerciais da Adobe Systems Incorporated nos Estados Unidos e/ou em outros países.