xTechxtech.com.br/config/imagens_conteudo/pdfs/... · 3 Sumário executivo e principais...

2

Relatório Anual de Segurança Digital da Cisco de 2017

Índice

ÍndiceRESUMO EXECUTIVO E PRINCIPAIS CONSTATAÇÕES .... 3INTRODUÇÃO .................................................................... 8A EXPANSÃO DA SUPERFÍCIE DE ATAQUE .....................10COMPORTAMENTO DO INVASOR ...................................13

A fase de reconhecimento ...........................................13Métodos de ataque na Web: ameaças de "cauda curta" ajudam os criminosos a preparar o terreno para campanhas ................................................................... 13

A fase de armamento ....................................................15Vetores de ataque na Web: o Flash está em declínio, mas os usuários devem se manter vigilantes ................ 15Segurança de aplicações: gerenciamento do risco da conexão OAuth em meio a uma explosão de aplicações .................................................................... 16

A fase de disponibilização ............................................20O desaparecimento dos principais kits de exploração apresenta oportunidades para concorrentes menores e novos participantes ...................................................... 20Malvertising: os criminosos usam agentes para aumentar a velocidade e a agilidade ............................ 22A pesquisa descobre que 75% das empresas são afetadas por infecções de adware .............................. 23O spam global está aumentando — e também aumenta a porcentagem de anexos mal-intencionados .............. 25

A fase da instalação ......................................................30Métodos de ataque na Web: uma amostra de "cauda longa" revela ameaças que os usuários não podem evitar com facilidade .................................................... 30Risco de detecções de malware no mercado vertical: os invasores percebem o valor geral ............................ 31Resumo de atividades de bloqueio da Web por região ........................................................................... 32Tempo de detecção: uma métrica essencial para avaliar o progresso dos defensores .............................. 33Hora da evolução: para algumas ameaças, a mudança é uma constante ........................................................... 34

COMPORTAMENTO DO DEFENSOR ................................42Vulnerabilidades em declínio em 2016 ......................... 42Middleware: os criminosos percebem a oportunidade em software sem correções ......................................... 44Tempo para patch: redução do intervalo de recuperação ................................................................. 45

ESTUDO REFERENCIAL DE RECURSOS DE SEGURANÇA DA CISCO DE 2017....................................49

Percepções: profissionais de segurança confiantes nas ferramentas, menos seguros se as utilizam com eficiência ..................................................................... 49Restrições: tempo, talento e dinheiro afetam a capacidade de responder a ameaças ........................... 51Impacto: mais empresas experimentaram perdas devido a brechas .......................................................... 55Resultados: o aumento das críticas desempenhará um papel na melhoria da segurança ................................... 58Confiança versus custo: o que motiva compras de soluções de segurança?............................................... 61Resumo: o que o estudo referencial revela ................... 62

SETOR ..............................................................................64Segurança da cadeia de valores: o sucesso em um mundo digital depende da redução do risco de terceiros...............64Atualização geopolítica: criptografia, confiança e um apelo à transparência ................................................... 65Criptografia de alta velocidade: uma solução escalável para proteger os dados em trânsito ............................. 66Desempenho da rede e adoção versus maturidade da segurança .................................................................... 67

CONCLUSÃO ...................................................................71Uma superfície de ataque em rápida expansão requer uma abordagem interconectada e integrada da segurança ................................................................... 71O objetivo principal: redução do espaço operacional dos criminosos ............................................................. 73

SOBRE A CISCO ...............................................................74Colaboradores do Relatório Anual de Segurança Digital da Cisco de 2017 ......................................................... 75

APÊNDICE ........................................................................78

Sumário executivo e principais constatações3


Resumo executivoÀ medida que a superfície de ataque aumenta, os defensores devem se concentrar em sua meta mais importante: reduzir o espaço operacional dos criminosos.

Os criminosos têm mais ferramentas à sua disposição do que nunca. Eles também têm uma noção aguçada de quando usar cada uma delas para obter o máximo efeito. O crescimento explosivo dos endpoints móveis e do tráfego on-line trabalha a favor deles. Eles têm mais espaço onde podem operar e mais opções de público-alvo e abordagens.

Os defensores podem usar uma variedade de estratégias para enfrentar os desafios de um cenário de ameaças em expansão. Eles podem adquirir as melhores soluções, que trabalham separadamente para proporcionar informações e proteção. E podem competir por profissionais em um mercado de talentos escassos e orçamentos apertados.

Pode não ser possível impedir todos os ataques. Mas você pode minimizar o risco e o impacto das ameaças restringindo o espaço operacional dos criminosos e, assim, a capacidade que eles têm de comprometer ativos. Uma medida que pode ser adotada é a simplificação do seu conjunto de ferramentas de segurança em uma arquitetura de segurança interconectada e integrada.

Ferramentas de segurança integradas que trabalham juntas em uma arquitetura automatizada podem otimizar o processo de detecção e mitigar as ameaças. Com isso, você terá tempo para resolver problemas mais complexos e persistentes. Muitas empresas usam pelo menos meia dúzia de fornecedores diferentes (página 53). Em muitos casos, as equipes de segurança podem investigar apenas metade dos alertas de segurança que recebem em um determinado dia.

O Relatório Anual de Segurança Digital da Cisco de 2017 apresenta pesquisa, informações e perspectivas do Cisco Security Research. Destacamos a dinâmica do cabo de guerra persistente entre criminosos que tentam obter mais tempo para operar e defensores que trabalham

para fechar as janelas de oportunidade que os invasores tentam explorar. Examinamos os dados compilados por pesquisadores de ameaças da Cisco e outros especialistas. Nossas pesquisas e informações pretendem ajudar as empresas a responder com eficiência às ameaças sofisticadas em constante evolução de hoje em dia.

Este relatório está dividido nas seguintes seções:

Comportamento do invasor

Nesta seção, examinamos como os invasores fazem o reconhecimento de redes vulneráveis e oferecem malware. Explicamos como ferramentas como e-mail, aplicações em nuvem de terceiros e adware são convertidas em armas. Descrevemos também os métodos que os criminosos digitais empregam durante a fase de instalação de um ataque. Esta seção apresenta também nossa pesquisa "hora de evoluir" (TTE), que demonstra como os criminosos renovam suas táticas e evitam a detecção. Também oferecemos uma atualização dos nossos esforços para reduzir a mediana de tempo médio de detecção (TTD). Além disso, apresentaremos a mais recente pesquisa da Cisco sobre o risco de malware em vários setores e regiões.

Comportamento do defensor

Nesta seção, oferecemos atualizações sobre vulnerabilidades. Um dos focos são os pontos fracos que surgem em bibliotecas de middleware que representam oportunidades para os criminosos usarem as mesmas ferramentas em várias aplicações, reduzindo o tempo e os custos necessários para comprometer usuários. Também compartilhamos a pesquisa da Cisco sobre tendências de correção de falhas. Observamos o benefício de apresentar aos usuários um ritmo regular de atualizações para incentivar a adoção das versões mais seguras de navegadores da Web e soluções de produtividade comuns.



Estudo referencial de recursos de segurança da Cisco de 2017

Esta seção aborda os resultados do nosso terceiro Estudo referencial de recursos de segurança, que enfatiza as percepções dos profissionais de segurança sobre o estado da segurança em suas empresas. Neste ano, os profissionais de segurança parecem confiar nas ferramentas que têm disponíveis, mas não sabem se elas podem ajudar a reduzir o espaço operacional dos criminosos. O estudo também mostra que as violações de segurança pública estão tendo um impacto mensurável nas oportunidades, na receita e nos clientes. Ao mesmo tempo, as violações estão impulsionando a tecnologia e melhorias de processos nas empresas. Para obter uma análise mais aprofundada sobre o estado da segurança em empresas, vá para a página 49.

Setor

Nesta seção, explicaremos a importância de garantir a segurança da cadeia de valores. Examinamos os possíveis danos de os governos acumularem informações sobre vulnerabilidades e explorações de dia zero em produtos de fornecedores. Além disso, discutimos o uso da criptografia rápida como solução para proteger dados em ambientes de alta velocidade. Por fim, descrevemos os desafios da segurança corporativa à medida que o tráfego global da Internet e a possível superfície de ataque aumentam.

Conclusão

Na conclusão, sugerimos que os defensores adaptem suas práticas de segurança para que enfrentem melhor os desafios de segurança típicos ao longo da cadeia de ataque e reduzam o espaço operacional dos criminosos. Esta seção também oferece orientação específica sobre como estabelecer uma abordagem integrada e simplificada da segurança: uma abordagem que conecte a liderança executiva, a política, os protocolos e as ferramentas para prevenir, detectar e mitigar ameaças.



Principais constatações ● Os três principais kits de exploração, Angler, Nuclear,

e Neutrino, desapareceram de forma abrupta do cenário em 2016 deixando espaço para que concorrentes pequenos e novos participantes se destaquem.

● De acordo com o Estudo referencial de recursos de segurança da Cisco de 2017, a maioria das empresas usa mais de cinco fornecedores de segurança e mais de cinco produtos de segurança em seu ambiente. Cerca de 55% dos profissionais de segurança usam pelo menos seis fornecedores; 45% usam entre um e cinco fornecedores; e 65% usam seis ou mais produtos.

● As principais restrições para adoção de produtos e soluções de segurança avançada, de acordo com o estudo referencial, são orçamento (citada por 35% dos entrevistados), compatibilidade de produto (28%), certificação (25%) e talentos (25%).

● O Estudo referencial de recursos de segurança da Cisco de 2017 revelou que, devido a várias restrições, as empresas podem investigar apenas 56% dos alertas de segurança que recebem em um determinado dia. Metade dos alertas investigados (28%) é considerado como legítimo; menos da metade (46%) dos alertas legítimos são corrigidos. Além disso, 44% dos gerentes de operações de segurança analisam mais de 5000 alertas de segurança por dia.

● Cerca de 27% das aplicações na nuvem de terceiros conectados introduzidos por funcionários em ambientes corporativos em 2016 impõem um alto risco à segurança. As conexões de autenticação aberta (OAuth) chegam à infraestrutura corporativa e podem se comunicar livremente com as plataformas corporativas na nuvem e SaaS (software como serviço) após a concessão do acesso pelos usuários.

● Uma investigação da Cisco que incluiu 130 empresas em mercados verticais revelou que 75% delas são afetadas por infecções de adware. Os criminosos potencialmente poderiam usar essas infecções para facilitar outros ataques de malware.

● Cada vez mais, os operadores por trás de campanhas de malvertising estão usando agentes (também conhecidos como "portas"). Os agentes permitem que eles se movam com maior velocidade, mantenham seu espaço operacional e escapem da detecção. Esses links intermediários possibilitam que os criminosos alternem rapidamente de um servidor mal-intencionado para outro sem alterar o redirecionamento inicial.

● O spam representa quase dois terços (65%) do volume total de e-mail, e nossa pesquisa sugere que o volume de spam global está crescendo devido a grandes e bem-sucedidos botnets de envio de spam. De acordo com pesquisadores de ameaças da Cisco, cerca de 8% a 10% do spam global observado em 2016 podem ser classificados como mal-intencionados. Além disso, a porcentagem de spam com anexos de e-mail mal-intencionados está aumentando, e os criminosos parecem estar experimentando uma variedade de tipos de arquivo para ajudar suas campanhas a prosperar.

● De acordo com o Estudo referencial de recursos de segurança, as empresas que ainda não sofreram uma violação de segurança podem acreditar que suas redes são seguras. Essa confiança é provavelmente indevida, considerando que 49% dos profissionais de segurança entrevistados disseram que suas empresas tiveram que lidar com as críticas resultantes de uma violação de segurança.



● O Estudo referencial de recursos de segurança da Cisco de 2017 também descobriu que cerca de um quarto das empresas que sofreram um ataque perdeu oportunidades comerciais. Quatro em 10 disseram que essas perdas foram substanciais. Uma em cinco empresas perdeu clientes devido a um ataque, e quase 30% perderam receita.

● Quando violações ocorrem, operações e finanças foram as funções com maior probabilidade de serem afetadas (36% e 30%, respectivamente), seguidas por reputação da marca e retenção do cliente (as duas em 26%), de acordo com os entrevistados no estudo referencial.

● As interrupções da rede causadas por violações de segurança muitas vezes podem ter impacto duradouro. De acordo com o estudo referencial, 45% das interrupções durou entre 1 e 8 horas; 15% durou entre 9 e 16 horas, e 11% duraram entre 17 e 24 horas. Quarenta e um por cento (consulte a página 55) dessas interrupções afetaram entre 11% e 30% dos sistemas.

● As vulnerabilidades no middleware (software que serve como uma ponte ou conector entre plataformas ou aplicações) estão se tornando mais visíveis, aumentando a preocupação de que o middleware esteja se tornando um vetor de ameaças muito utilizado. Muitas empresas dependem do middleware, por isso a ameaça poderia afetar todos os setores. Durante um projeto da Cisco®, nossos pesquisadores de ameaças descobriram que a maioria das novas vulnerabilidades examinada foi atribuída ao uso de middleware.

● O ritmo das atualizações de software pode afetar o comportamento do usuário quando se trata de instalar patches e atualizações. De acordo com nossos pesquisadores, cronogramas de atualização regulares e previsíveis fazem com que os usuários atualizem o software mais rapidamente, reduzindo o tempo em que os criminosos podem se valer de vulnerabilidades.

● O estudo referencial de recursos de segurança de 2017 descobriu que a maioria das empresas recorre a fornecedores de terceiros para no mínimo 20% de sua segurança, e aquelas que recorrem com maior intensidade a esses recursos têm probabilidade maior de expandir seu uso no futuro.

Introdução


8 Introdução


IntroduçãoOs criminosos têm um portfólio vasto e variado de técnicas para ganhar acesso a recursos organizacionais a fim de obter tempo irrestrito para operar. As estratégias abrangem todos os conceitos básicos e incluem:

● Tirar proveito de lapsos na correção de falhas e na atualização

● Atrair os usuários para armadilhas socialmente projetadas

● Injetar malware em conteúdo on-line supostamente legítimo, como anúncios

Eles têm muitos outros recursos também, que vão desde a exploração de vulnerabilidades de middleware ao envio de spam mal-intencionado. E quando conseguem atingir seus objetivos, podem desativar de forma rápida e silenciosa suas operações.

Os criminosos trabalham sem parar para evoluir suas ameaças, mover-se com ainda mais velocidade e encontrar formas de ampliar seu espaço operacional. O crescimento explosivo do tráfego da Internet, motivado em grande parte pela maior velocidade móvel e pela proliferação de dispositivos on-line, trabalha a favor deles ajudando-os a expandir a superfície de ataque. À medida que isso acontece, os riscos ficam maiores para as empresas. O Estudo referencial de recursos de segurança da Cisco de 2017 descobriu que mais de um terço das empresas que sofreram um ataque perderam 20% ou mais da receita. Quarenta e nove por cento dos entrevistados disseram que sua empresa já havia enfrentado o escrutínio público devido a uma violação de segurança.

Quantas empresas podem sofrer prejuízos como esses em seus resultados e permanecer saudáveis? Os defensores devem se concentrar na redução do espaço operacional dos criminosos. Assim, os invasores acharão

extremamente difícil obter acesso a recursos empresariais valiosos e realizar suas atividades sem serem detectados.

A automação é essencial para atingir esse objetivo. Ela ajuda você a compreender o que é atividade normal no ambiente de rede para que você possa concentrar poucos recursos na investigação e na resolução das ameaças reais. A simplificação das operações de segurança também ajuda você a se tornar mais eficiente na eliminação do espaço operacional irrestrito dos criminosos. Entretanto, o estudo referencial mostra que a maioria das empresas está usando mais de cinco soluções de mais de cinco fornecedores diferentes (página 53).

Uma rede tão complexa de tecnologia, e o número impressionante de alertas de segurança, é uma receita para menos (e não mais) proteção. É claro que acrescentar mais talentos de segurança pode ajudar. Com mais especialistas na equipe, segundo essa lógica, melhor seria a capacidade da empresa de gerenciar a tecnologia e oferecer melhores resultados. Entretanto, a escassez de talentos de segurança e os orçamentos limitados para segurança tornam ondas de contratações algo improvável. Em vez disso, a maioria das empresas deve se contentar com os talentos de que dispõem. Elas contam com talentos terceirizados para fortalecer as equipes de segurança ao mesmo tempo que economizam no orçamento.

Para enfrentar esses desafios, a verdadeira resposta, como explicaremos mais adiante neste relatório, é a operacionalização de pessoas, processos e da tecnologia de forma integrada. Operacionalizar a segurança é compreender verdadeiramente o que a empresa precisa proteger, bem como que medidas devem ser adotadas para proteger esses ativos fundamentais.

O relatório de segurança digital anual da Cisco 2017 apresenta nossos avanços mais recentes no setor de segurança projetados para ajudar as empresas e os usuários a defenderem-se contra ataques. Também analisamos as técnicas e estratégias que os criminosos usam para violar essas defesas. O relatório também destaca as principais descobertas do Estudo comparativo de recursos de segurança da Cisco de 2017, que examina o procedimento de segurança das grandes empresas e a percepção que elas têm de suas condições técnicas para se defenderem contra ataques.

A expansão da superfície de ataque

10



A expansão da superfície de ataqueDispositivos móveis. Nuvem pública. Infraestrutura na nuvem. Comportamento do usuário. Os profissionais de segurança que participaram do terceiro Estudo referencial de recursos de segurança anual da Cisco citaram todos esses elementos como principais razões de preocupação quando pensam no risco de a empresa se expor a um ataque cibernético (Figura 1). Isso é compreensível: a proliferação de dispositivos móveis gera mais endpoints para proteger. A nuvem está expandindo o perímetro da segurança. E os usuários são, e sempre serão, um elo fraco na cadeia de segurança.

À medida que as empresas adotam a digitalização, e a Internet de Todas as Coisas (IoE)¹ começa a tomar forma, os defensores terão ainda mais com o que se preocupar. A superfície de ataque só vai se expandir, oferecendo aos criminosos mais espaço para operarem.

Há mais de uma década, o Visual Networking Index (VNI) da Cisco® fornece previsões de tráfego IP global e analisa

os fatores dinâmicos que facilitam o crescimento da rede. Considere estas estatísticas do relatório mais recente, A era do zettabyte —Tendências e análises:²

● O tráfego IP global anual ultrapassará o limite de 1 zettabyte (ZB) até o final de 2016 e chegará a 2,3 ZB por ano até 2020. (1 zettabyte são 1000 exabytes ou 1 bilhão de terabytes.) Isso representa a triplicação do tráfego IP global nos próximos 5 anos.

● O tráfego de dispositivos sem fio e móveis representará dois terços (66%) do tráfego IP total até 2020. Dispositivos com fio representarão apenas 34%.

● De 2015 a 2020, as velocidades médias da banda larga quase duplicarão.

● Até 2020, 82% de todo o tráfego global da Internet dos consumidores será tráfego de vídeo IP, aumentando dos 70% registrados em 2015.

Figura 1 As maiores fontes de preocupação dos prossionais de segurança em relação a ataques digitais

58%Dispositivos móveis Dados na nuvem pública

57%Infraestrutura em nuvem

57%

Comportamento do usuário (por exemplo, clicar em links

mal-intencionados em e-mails ou sites)

57%Porcentagem de pro�ssionais de segurança que consideram as categorias muito ou extremamente desa�adoras

Fonte: Estudo comparativo de recursos de segurança da Cisco de 2017

Figura 1 Os maiores motivos de preocupação dos profissionais de segurança relacionados aos ataques digitais

¹ "Internet of Everything FAQ", Cisco: http://ioeassessment.cisco.com/learn/ioe-faq. ² The Zettabyte Era—Trends and Analysis, Cisco VNI, 2016: http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/vni-hyperconnectivity-wp.html.

Baixe o gráfico de 2017 em: www.cisco.com/go/acr2017graphics

http://www.cisco.com/c/en/us/solutions/service-provider/visual-networking-index-vni/index.html


http://ioeassessment.cisco.com/learn/ioe-faq

http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/vni-hyperconnectivity-wp.html

http://www.cisco.com/go/acr2017graphics


11



Além disso, o white paper Cisco VNI™ Forecast and Methodology, 2015–2020³ prevê que o volume de tráfego global da Internet em 2020 será 95 vezes maior do que era em 2005.

É claro que os criminosos cibernéticos oportunistas prestam muita atenção a essas tendências também. Já estamos vendo operadores na economia paralela tomarem medidas para se tornarem mais ágeis nesse ambiente em constante mudança. Eles estão criando ataques altamente direcionados e variados destinados a prosperar na superfície de ataque em expansão. Enquanto isso, as equipes de segurança estão em um constante apagar de incêndios, sobrecarregadas por alertas. Eles estão precisando contar com uma série de produtos de segurança no ambiente de rede que apenas acrescentam mais complexidade e podem aumentar a suscetibilidade de uma empresa a ameaças.

As empresas devem:

● Integrar a tecnologia de segurança

● Simplificar as operações de segurança

● Utilizar mais a automação

Essa abordagem ajudará a reduzir despesas operacionais, aliviará a carga sobre a equipe de segurança e oferecerá melhores resultados de segurança. E de maneira mais importante, oferecerá aos defensores a capacidade de concentrar mais de seu tempo na eliminação do espaço irrestrito em que os criminosos operam no momento.

³ Cisco VNI Forecast and Methodology, 2015–2020, Cisco VNI, 2016: http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/complete-white-paper-c11-481360.html.

http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/complete-white-paper-c11-481360.html

13




Métodos de ataque na Web: ameaças de "cauda curta" ajudam os criminosos a preparar o terreno para campanhas

O reconhecimento é, certamente, uma etapa básica para iniciar um ataque cibernético. Nesta fase, os criminosos buscam infraestrutura de Internet vulnerável ou pontos fracos da rede que os possibilitem obter acesso aos computadores dos usuários e, por fim, se infiltrar nas empresas.

Binários suspeitos do Windows e aplicações potencialmente indesejadas (PUAs) ficaram no topo da lista dos métodos de ataque à Web em 2016 com uma margem considerável (consulte a Figura 2). Os binários suspeitos do Windows oferecem ameaças como spyware e adware. Extensões de navegador mal-intencionadas são um exemplo de PUAs.

As tentativas de fraude no Facebook, incluindo ofertas e conteúdo de mídia falso junto com fraudes em pesquisas, ficaram em terceiro lugar em nossa lista. O destaque contínuo das tentativas de fraude no Facebook em nossas listas anual e semestral do malware mais comumente observado realça o papel fundamental da engenharia social em muitos ataques cibernéticos. O Facebook tem quase 1,8 bilhão de usuários ativos mensais no mundo todo.⁴ É o território lógico dos criminosos digitais e outras pessoas que procuram enganar os usuários. Um desenvolvimento positivo é o anúncio recente da empresa de que ela está tomando medidas para eliminar as notícias falsas e os embustes. Os críticos sugerem que esse conteúdo possa ter influenciado os eleitores na eleição presidencial de 2016 dos EUA.⁵

Reconhecimento Armamento Entrega Instalação

Os invasores pesquisam, identificam e selecionam seu público-alvo

⁴ Facebook stats, setembro de 2016: http://newsroom.fb.com/company-info/. ⁵ "Zuckerberg Vows to Weed Out Facebook ‘Fake News’", de Jessica Guynn e Kevin McCoy, USA Today, 14 de novembro de 2016: http://www.usatoday.com/story/tech/2016/11/13/zuckerberg-vows-weed- out-facebook-fake-news/93770512/.

Figura 2 Malwares observados com mais frequência

Contagem da amostra

PUA e binários suspeitos

Droppers de cavalo de Troia (VBS)

Links fraudulentos do Facebook

Downloaders de cavalo de Troia (scripts)

Redirecionamento do navegador (JS)

Redirecionamento/downloads do navegador

Phishing (links)

Cavalo de Troia Android (IOP)

Redirecionamento do navegador

Sequestro de Facebook

Bloqueios heurísticos (scripts)

Binários compactados

Downloaders de cavalo de Troia (JS)

Cavalos de Troia, heurístico (Win32)

Ataques de iFrame do navegador

Android (Axent)

Cavalos de Troia Android (Loki)

Malware (FakeAvCn)

Cavalos de Troia (HideLink)

Malware (HappJS)

87.329

50.081

35.887

27.627

24.737

18.505

15.933

14.020

12.848

11.600

11.506

7712

5995

5510

5467

4970

4584

4398

3646

3006

Figura 2 Malwares observados com mais frequência

Fonte: Cisco Security Research

http://newsroom.fb.com/company-info/

http://www.usatoday.com/story/tech/2016/11/13/zuckerberg-vows-weed-out-facebook-fake-news/93770512/

http://www.usatoday.com/story/tech/2016/11/13/zuckerberg-vows-weed-out-facebook-fake-news/93770512/

14



O malware de redirecionamento de navegador completa os cinco tipos de malware mais comuns observados em 2016. Como discutido no Relatório semestral de segurança digital da Cisco de 2016⁶, as infecções de navegador podem expor os usuários a anúncios mal-intencionados (malvertising), que os criminosos usam para preparar ransomware e outras campanhas de malware. Os pesquisadores de ameaças da Cisco alertam que adware mal-intencionado, inclusive injetores de anúncios, hijackers de configurações de navegador, utilitários e downloaders, é um problema cada vez maior. Na verdade, identificamos infecções por adware em 75% das empresas que investigamos recentemente como parte de nossa pesquisa sobre o problema. (Para obter mais informações sobre esse assunto, consulte "Investigação descobre que 75% das empresas são afetadas por infecções de adware", página 23.)

Outros tipos de malware listados na Figura 3, como malware que abusa de JavaScript no navegador e malware que abusa do iFrame no navegador, também são projetados para facilitar as infecções dos navegadores. Os cavalos de troia (droppers e downloaders) também aparecem entre os cinco tipos de malware observados com mais frequência, indicando que eles continuam sendo ferramentas populares para ganhar acesso inicial a computadores dos usuários e redes empresariais.

Outra tendência a ser observada: uso constantemente alto de malware que tem como público-alvo usuários da plataforma de operação Android. Os cavalos de troia do Android têm subido constantemente na lista de cauda curta

ao longo dos últimos 2 anos. Eles ficaram classificados entre os 10 tipos de malware mais comuns vistos em 2016. O malware Loki, que aparece no final da cauda curta mostrada na Figura 2 (consulte a página anterior), é particularmente problemático porque pode se replicar e infectar outros arquivos e programas.

A Figura 3 ajuda a ilustrar as tendências de malware que os pesquisadores de ameaças da Cisco observaram desde o final de 2015. Ela mostra que os criminosos fizeram uma mudança definitiva na fase de reconhecimento dos ataques na Web. Mais ameaças agora buscam especificamente navegadores e plugins vulneráveis. Essa mudança corresponde ao uso cada vez maior do malvertising pelos criminosos, à medida que se torna mais difícil explorar um grande número de usuários através de vetores de ataque tradicionais da Web. (Consulte a próxima seção, "Vetores de ataques na Web: o Flash está em declínio, mas os usuários devem se manter vigilantes", página 15.)

A mensagem para usuários individuais, profissionais de segurança e empresas é clara: garantir que os navegadores sejam seguros, e desativar ou remover plugins de navegador desnecessários pode ser uma ótima medida para prevenir a infecção por malware. Essas infecções gerar ataques maiores, perturbadores e caros, como campanhas de ransomware. Essas etapas simples podem reduzir em grande medida sua exposição a ameaças comuns na Web e impedir que os criminosos encontrem o espaço operacional para realizar a próxima fase da cadeia do ataque: o armamento.

Con

tage

m d

a am

ostr

a

4º trimestre de 2015 1º trimestre de 2016 2º trimestre de 2016 3º trimestre de 2016

Figura 3 Malwares observados com mais frequência (4º trimestre de 2015 - 3º trimestre de 2016)


0K

10K

20K

30K

40K

50K

PUA

e b

inár

ios

sus

peito

s

Dro

pper

s de

cav

alo

de T

roia

(VBS

)

Redi

reci

onam

ento

do

nave

gado

r (J

S)

Link

s fr

audu

lent

os d

o Fa

cebo

ok

Dow

nloa

ders

de

cava

lo d

e T

roia

(scr

ipts

)

Sequ

estr

o de

Fac

eboo

k

Link

s de

phi

shin

g

Redi

reci

onam

ento

/do

wnl

oads

do

nav

egad

or

Cav

alos

de

Tro

ia A

ndro

id (I

OP)

Redi

reci

onam

ento

do

nave

gado

r

Cav

alos

de

Tro

ia d

e iF

ram

e

Dow

nloa

ders

de

cava

lo d

e T

roia

(JS)

Bloq

ueio

s h

eurís

ticos

(Win

32)

Dow

nloa

ders

de

iFra

me

Com

pact

ados

(Mult

icom

pact

ados

)

Figura 3 Malware observado com mais frequência, quarto trimestre de 2015 a terceiro trimestre de 2016

⁶ Relatório semestral de segurança digital da Cisco 2016: http://www.cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html.

http://www.cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html

15



Vetores de ataques na Web: o Flash está em declínio, mas os usuários devem se manter vigilantesO Adobe Flash há muito tempo é um atraente vetor de ataques na Web para criminosos que desejam explorar e comprometer sistemas. Entretanto, como a quantidade de conteúdo do Adobe Flash na Web continua diminuindo, e a conscientização sobre as vulnerabilidades do Flash aumenta, está cada vez mais difícil os criminosos digitais explorarem usuários com a mesma frequência de antigamente.

A própria Adobe está abandonando o desenvolvimento completo e o suporte da plataforma de software e encorajou os desenvolvedores a adotarem novos padrões, como o HTML5.⁷ Os fornecedores de navegadores da Web utilizados com frequência também estão adotando uma posição firme quanto ao Flash. Por exemplo, o Google anunciou que, em 2016, descontinuará o suporte completo do Adobe Flash em seu navegador Chrome.⁸ O Firefox continuará a oferecer suporte para conteúdo em Flash herdado, mas está bloqueando "certo conteúdo em Flash que não é essencial para a experiência do usuário".⁹

O Flash pode estar em declínio, mas os desenvolvedores de kits de exploração estão o ajudando a resistir como vetor de ataques. Entretanto, há sinais de que isso pode estar mudando. Após três importantes kits de exploração, Angler, Nuclear e Neutrino, desaparecerem abruptamente do cenário de ameaças em 2016, nossos pesquisadores de ameaças observaram um declínio considerável no tráfego da Internet relacionado ao Flash. (Consulte "O desaparecimento dos principais kits de exploração apresenta oportunidades para concorrentes menores e novos participantes", página 20.) Os atores por trás do kit de exploração Angler visaram com intensidade às vulnerabilidades Flash para comprometer os usuários. O kit de exploração Nuclear tinha um foco similar no Flash. E o Neutrino dependia de arquivos flash para oferecer exploits.

Os usuários devem permanecer cautelosos e desinstalar o Flash a menos que precisem dele por motivos comerciais. Se precisam usá-lo, eles devem permanecer atualizados. Usar navegadores da Web com o recurso de correção de falhas automáticas pode ajudar. Conforme observado em "Métodos de ataque na Web: ameaças de ‘cauda curta’ ajudam os criminosos a preparar o terreno para campanhas" na página 13, o uso de navegadores seguros — e a desativação ou remoção de plugins de navegador desnecessários — reduzirá muito sua exposição a ameaças na Web.

Java, PDF e SilverlightTanto o tráfego da Internet de Java quanto o de PDF apresentaram grandes declínios em 2016. O tráfego do Silverlight já atingiu um nível que não vale mais a pena ser acompanhado regularmente pelos pesquisadores de ameaças.

Java, antes o principal vetor de ataques na Web, observou uma grande melhora de postura de segurança nos últimos anos. No início de 2016, a decisão da Oracle de eliminar o plugin de navegador do Java ajudou a torná-lo um vetor de ataques na Web menos atraente. Os ataques por PDF também são cada vez mais raros. Por isso, eles podem ser mais fáceis de detectar, motivo pelo qual muitos criminosos agora não usam essa estratégia com muita frequência.

Entretanto, como ocorre com o Flash, os criminosos digitais ainda usam Java, PDF e Silverlight para explorar usuários. Os usuários individuais, as empresas e os profissionais de segurança devem conhecer esses possíveis caminhos para comprometer sistemas. Para reduzir o risco de exposição a ameaças, eles devem:

● Baixar patches

● Usar tecnologia da Web atualizada

● Evitar conteúdo da Web que possa apresentar risco

⁷ "Flash, HTML5 and Open Web Standards", Adobe News, novembro de 2015: https://blogs.adobe.com/conversations/2015/11/flash-html5-and-open-web-standards.html. ⁸ "Flash and Chrome", de Anthony LaForge, The Keyword blog, Google, 9 de agosto de 2016: https://blog.google/products/chrome/flash-and-chrome/. ⁹ "Reducing Adobe Flash Usage in Firefox", de Benjamin Smedberg, Future Release blog, Mozilla, 20 de julho de 2016: https://blog.mozilla.org/futurereleases/2016/07/20/reducing-adobe-flash-usage-in-firefox/.

Os invasores aliam malware de acesso remoto com explorações em payloads de resultado.


https://blogs.adobe.com/conversations/2015/11/flash-html5-and-open-web-standards.html

https://blog.google/products/chrome/flash-and-chrome/

https://blog.mozilla.org/futurereleases/2016/07/20/reducing-adobe-flash-usage-in-firefox/

16



Segurança de aplicações: gerenciamento do risco da conexão OAuth em meio a uma explosão de aplicaçõesQuando as empresas migram para a nuvem, o perímetro de segurança se estende para o território virtual. Entretanto, o perímetro de segurança dissipa-se rapidamente com cada aplicação em nuvem de terceiros que os funcionários introduzem no ambiente.

Os funcionários querem aumentar a produtividade e permanecer conectados enquanto estiverem no trabalho. Mas essas aplicações da TI paralela criam um risco para as empresas. Eles têm contato com a infraestrutura corporativa e podem se comunicar livremente com as plataformas corporativas em nuvem e SaaS (software como serviço) após a concessão do acesso pelos usuários por meio da autenticação aberta (OAuth). Essas aplicações podem ter escopos de acesso amplos (e, às vezes, excessivos). Elas devem ser cuidadosamente gerenciadas porque podem exibir, excluir, exteriorizar e armazenar dados corporativos, e até mesmo agir em nome dos usuários.

O provedor de segurança na nuvem CloudLock, agora parte da Cisco, tem acompanhado o crescimento de aplicações na nuvem de terceiros conectadas por um grupo de 900 empresas que representam uma série de setores. Como mostra a Figura 4, havia cerca de 129.000 aplicações exclusivas disponíveis no começo de 2016. No final de outubro, esse número cresceu para 222.000.

O número de aplicações aumentou aproximadamente 11 vezes desde 2014. (Veja a Figura 5.)

Classificação das aplicações mais arriscadasPara ajudar as equipes de segurança a compreender quais aplicações na nuvem de terceiros conectadas em seu ambiente apresentam o maior risco à segurança da rede, a CloudLock desenvolveu o Índice de risco de aplicações na nuvem (CARI). O processo envolve diversas avaliações:

● Requisitos de acesso a dados: as empresas respondem às seguintes perguntas, entre outras: quais permissões são necessárias para autorizar a aplicação? A concessão do acesso a dados significa que a aplicação tem acesso programático (de APIs) para plataformas corporativas de SaaS através de conexões OAuth? A aplicação pode (e por extensão, o fornecedor) agir em nome dos usuários e executar ações com os dados corporativos, como visualizar e excluir?

● Classificação de confiança da comunidade: avaliações obtidas por crowdsourcing e realizadas por empresas do mesmo setor são usadas para essa análise.

● Inteligência de ameaças de aplicações: essa comprovação de antecedentes abrangente, realizada por especialistas em segurança digital, tem como base vários atributos de segurança de uma aplicação, como certificações de segurança, histórico de violações e revisões de analistas.

Figura 4 Crescimento explosivo de aplicativos em nuvem de terceiros conectados, 2016

Fonte: Cisco CloudLock

Número de aplicativos exclusivos

222.000Outubro

129.000Janeiro

Out 2014 Out 2015 Out 2016


Figura 5 Crescimento de aplicativos em nuvem de terceiros – Comparação ano a ano

20.400

108.000222.000

Figura 4 Crescimento vertiginoso de aplicações na nuvem de terceiros conectadas, 2016

Figura 5 Crescimento das aplicações na nuvem de terceiros, comparação ano a ano




17



A CloudLock usou o CARI para classificar as 222.000 aplicações que identificou nas mais de 900 empresas em sua amostra. Desse total de aplicações, 27% foram consideradas de alto risco, enquanto a maioria se encaixou na categoria de médio risco. (Consulte a Figura 6.) Metade dessas empresas tinha as conexões OAuth relacionadas a uma aplicação popular de jogo que foi lançada no verão de 2016.

Pontuações de risco e exemplos

Após a classificação das aplicações na nuvem de terceiros usando o CARI, o CloudLock atribui uma pontuação de risco para cada aplicação numa escala de 1 (menor risco) a 5 (maior risco).

Uma aplicação com pontuação 1 na escala poderia ter, por exemplo, escopos de acesso mínimo (ela pode apenas ver e-mail), uma classificação de confiança 100% da comunidade e nenhum histórico de violações.

Uma aplicação com pontuação 5 na escala poderia ser uma com acesso de conta total (é possível ver todos os e-mails, documentos, histórico de navegação, calendário e outros), uma classificação de confiança de 8% (o que significa que apenas 8% dos administradores confiam nela) e nenhuma certificação de segurança.

27%Alto risco

15%Baixo risco

Figura 6 Aplicativos de terceiros classi�cados como Alto risco


58%Médio risco

222.000 Aplicativosde terceiros

Figura 6 Aplicações de terceiros classificadas como de alto risco

COMPARTILhAR

https://www.facebook.com/sharer/sharer.php?u=http%3A%2F%2Fb2me.cisco.com%2Fpt-br-annual-cybersecurity-report-2017

https://twitter.com/intent/tweet?url=http%3A%2F%2Fb2me.cisco.com%2Fpt-br-annual-cybersecurity-report-2017&text=Obtenha%20o%20relat%C3%B3rio%20de%202017%20da%20Cisco%20e%20descubra%20como%20fechar%20as%20portas%20para%20os%20invasores.%C2%A0%23CiscoACR

https://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fb2me.cisco.com%2Fpt-br-annual-cybersecurity-report-2017%3FLinkedIn&title=Novas%20tend%C3%AAncias%20de%20seguran%C3%A7a%20digital&summary=Obtenha%20o%20relat%C3%B3rio%20de%202017%20da%20Cisco%20e%20descubra%20como%20fechar%20as%20portas%20para%20os%20invasores.

mailto:?Subject=Novas%20tend%C3%AAncias%20de%20seguran%C3%A7a%20digital&Body=Scarica%20il%20report%20Cisco%202017%20per%20scoprire%20come%20eliminare%20le%20vulnerabilit%C3%A0%20che%20gli%20hacker%20cercano%20di%20sfruttare.%0A%0Ahttp%3A%2F%2Fb2me.cisco.com%2Fpt-br-annual-cybersecurity-report-2017


18



Com nossa análise, descobrimos que todas as empresas, seja qual for o tamanho, o setor ou a região, têm uma distribuição relativamente uniforme de aplicações de risco baixo, médio e alto (Figuras 7 e 8).

Baixo risco Médio risco Alto risco

Figura 7 Distribuição de aplicativos de baixo, médio e alto risco, por região


15

54

América do Norte

3112

América Latina

58

10

58

EMEA

11

30

Ásia Pacíco

59

30 32

Figura 7 Distribuição de aplicações de baixo, médio e alto risco, por região

Alto riscoMédio riscoBaixo risco

Figura 8 Distribuição de aplicativos de baixo, médio e alto risco, por setor


Serviços �nanceiros

8

57

35

Indústria

8

61

31

Varejo

10

58

32

Fornecedores de serviços de saúde

16

56

28

Mídia e entretenimento

16

56

28

Governo

10

57

33

Outros

16

52

32

Ensino primário e secundário

17

52

31

Viagens, hotelaria e transporte

12

58

30

Tecnologia

14

56

30

Ensino superior

16

53

31

Figura 8 Distribuição de aplicações de baixo, médio e alto risco, por setor




19



Identificação do que é relevantePara identificar o comportamento suspeito do usuário e da entidade em plataformas corporativas de SaaS (Software como serviço), inclusive aplicações na nuvem de terceiros, as equipes de segurança devem examinar meticulosamente os bilhões de atividades do usuário para definir padrões normais de comportamento do usuário no ambiente da empresa. Eles devem procurar anomalias que estejam fora desses padrões esperados. Depois, eles precisam correlacionar atividades suspeitas para determinar o que poderia ser uma ameaça real que exige investigação.

Um exemplo de atividade suspeita é um excesso de atividade de login de vários países em um período curto. Digamos que o comportamento normal do usuário em uma determinada empresa seja fazer login em uma aplicação específica de não mais que um ou dois países por semana. Se um usuário começar a fazer login nessa aplicação de 68 países

no decorrer de uma semana, uma equipe de segurança investigará essa atividade para confirmar que é legítima.

De acordo com nossa análise, apenas 1 em 5000 atividades do usuário — 0,02% — que estão associadas à aplicações na nuvem de terceiros conectada é suspeita. O desafio das equipes de segurança, obviamente, é identificar essa única instância.

Apenas com automação as equipes de segurança podem eliminar o "ruído" dos alertas de segurança e concentrar seus recursos na investigação de ameaças reais. O processo em vários estágios de identificar atividades normais e possivelmente suspeitas do usuário que é descrito acima (e ilustrado na Figura 9) depende do uso da automação com algoritmos aplicados em cada estágio.

Ameaça verdadeira

Comportamento de todos os usuários

AnomaliasAtividades suspeitas 0,02% de todas as atividades

Figura 9 Identi�cação de padrões de comportamento do usuário com automação (processo)


Inteligência de ameaças Pesquisa digital

Informações de vulnerabilidade na nuvem

Políticas centralizadas

Inteligência da comunidade Análise contextual

58% de comportamento anormal

31% de atividades de login

11% de ações do administrador

227X do que a média de downloads de arquivos 141X

do que a média de exclusão de ativos de dados

113X do que a média de falhas de login

1 bilhão de atividades de usuário por mês

Figura 9 Identificação de padrões de comportamento de usuário com automação (processo)

COMPARTILhAR






20



O desaparecimento dos principais kits de exploração apresenta oportunidades para concorrentes menores e novos participantes

Em 2016, aconteceram mudanças drásticas no ambiente dos kits de exploração. No início do ano, Angler, Nuclear, Neutrino e RIG eram líderes indiscutíveis entre os kits de exploração. Até novembro, RIK era o único nesse grupo que ainda estava ativo. Como mostra a Figura 10, a atividade de kits de exploração caiu bastante por volta de junho.

Nuclear foi o primeiro a desaparecer, encerrando subitamente a operação em maio. Por que os autores o abandonaram é um mistério. O kit de exploração Neutrino, que também saiu de cena em 2016, utilizava arquivos Flash para fornecer vulnerabilidades. (Consulte a Figura 11 na próxima página para obter uma lista das principais vulnerabilidades nos kits de exploração conhecidos em 2016.)

O Flash continua sendo um atraente vetor de ataque na Web para os criminosos, mas provavelmente se tornará menos atraente ao longo do tempo. Menos sites e navegadores oferecem algum suporte ou suporte total ao Flash, e há no geral maior conscientização sobre as vulnerabilidades do Flash. (Para obter mais informações sobre esse assunto, consulte "Vetores de ataques na Web: o Flash está em declínio, mas os usuários devem se manter vigilantes", na página 15.)

0

7K

6K

5K

4K

3K

2K

1K

Núm

ero

de b

loqu

eios

Jan Fe

v

Mar

Abr

Mai

o

Jun

Jul

Ago Se

t

Out

Nov

Figura 10 Bloqueios de página de destino do kit de exploração (janeiro a novembro de 2016)


7407

1051

Figura 10 Bloqueios de página inicial de kit de exploração, Janeiro—novembro de 2016

Através do uso de e-mail mal-intencionado, anexos de e-mail, sites e outras ferramentas, os invasores transmitem suas armas digitais para o público-alvo.





21



Um gigante se calaO Angler (o mais avançado e maior entre os kits de exploração conhecidos) também visou a vulnerabilidades do Flash e foi vinculado a várias campanhas de malvertising e ransomware de destaque. Entretanto, ao contrário do desaparecimento do Nuclear e do Neutrino, a saída do Angler em 2016 não é um mistério.

Na primavera passada, cerca de 50 hackers, foram presos na Rússia, o grupo estava vinculado ao malware Lurk, um cavalo de troia bancário que visa especificamente a bancos russos.¹⁰ Os pesquisadores de ameaças da Cisco identificaram conexões claras entre o Lurk e o Angler, incluindo o fato de que o Lurk estava sendo oferecido em grande parte por meio do Angler para as vítimas na Rússia. Em seguida às prisões, o Angler desapareceu do mercado de kits de exploração.¹¹

Agora que três dos líderes entre os kits de exploração saíram de cena, competidores menores e novos participantes podem expandir sua participação de mercado. E estão se tornando mais sofisticados e ágeis. Os kits de exploração que apareciam posicionados para crescer no final de 2016 eram o Sundown, o Sweet Orange e o Magnitude. Esses kits, bem como o RIG, são conhecidos por visarem vulnerabilidades do Flash, Silverlight e Microsoft Internet Explorer. (Consulte a Figura 11.) Desinstalar o Flash e desativar ou remover plugins de navegador ajudará os usuários a reduzir o risco de que eles sejam comprometidos por essas ameaças.

Figura 11 Principais vulnerabilidades em kits de exploração

Flash Silverlight IE 9-11 IE 10-11

Angler

Neutrino (1,2)

Magnitude

RIG

Nuclear

Sundown

Hunter

CVE 2015-7645

2015-8446

2015-8651

2016-0034

2016-1019

2016-1001

2016-4117

2016-0189

2015-5119

2015-5122

2015-3043

2015-0318

2015-3113

2015-2419


Figura 11 Principais vulnerabilidades em kits de exploração

¹⁰ "Russian Hacker Gang Arrested Over $25M Theft", BBC News, 2 de junho de 2016: http://www.bbc.com/news/technology-36434104. ¹¹ Para obter mais informações sobre esse assunto, consulte o post do blog Cisco Talos de julho de 2016, Connecting the Dots Reveals Crimeware Shake-Up.

COMPARTILhAR

http://www.bbc.com/news/technology-36434104

http://blog.talosintel.com/2016/07/lurk-crimeware-connections.html






22



Malvertising: criminosos usam agentes para aumentar a velocidade e a agilidade

Os usuários são direcionados para os kits de exploração de duas formas principais: sites comprometidos e malvertising. Os criminosos colocam um link para uma página inicial de kit de exploração em um anúncio mal-intencionado ou site comprometido, ou usam um link intermediário, conhecido como agente. (Esses links, posicionados entre os sites comprometidos e os servidores de kit de exploração, são também conhecidos como "portas".) O agente serve como um intermediário entre o redirecionamento inicial e o kit de exploração real que fornece o payload do malware aos usuários.

A última tática está se tornando mais popular à medida que os invasores descobrem que devem se mover mais rápido para manter seu espaço operacional e escapar da detecção. Os agentes possibilitam que os criminosos alternem rapidamente de um servidor mal-intencionado para outro sem alterar o redirecionamento inicial. Como eles não precisam modificar constantemente sites ou anúncios mal-intencionados para começar a cadeia de infecção, os operadores do kit de exploração podem realizar campanhas mais longas

ShadowGate: uma campanha econômicaÀ medida que fica mais difícil comprometer um grande número de usuários apenas através dos tradicionais vetores de ataque da Web (consulte a página 15), os criminosos contam cada vez mais com malvertising para expor os usuários a kits de exploração. Nossos pesquisadores de ameaças apelidaram de "ShadowGate" uma recente campanha global de malvertising. Essa campanha ilustra como anúncios mal-intencionados estão oferecendo aos criminosos mais flexibilidade e oportunidade de atingir usuários de todas as regiões em escala.

A ShadowGate envolvia sites que variavam desde cultura popular e varejo até pornografia e notícias. Ela pode ter afetado milhões de usuários nestas regiões:

América do Norte, Europa, Ásia-Pacífico e Oriente Médio. O uso de muitos idiomas e o alcance global da campanha são impressionantes.

A ShadowGate, que usava sombreamento de domínio, foi detectada pela primeira vez no início de 2015. Ela permanecia inoperante e, de uma hora para outra, recomeçava aleatoriamente a funcionar, direcionando o tráfego para páginas iniciais de kits de exploração. A princípio, a ShadowGate era usada para direcionar usuários apenas para o kit de exploração Angler. Mas depois que o Angler desapareceu em meados de 2016, os usuários passaram a ser direcionados para o kit de exploração Neutrino, até ele também sumir alguns meses depois. (Para conhecer mais essa história, consulte "O desaparecimento dos principais kits de exploração representa uma oportunidade para estreantes e participantes de menor porte", na página 20.)

Mesmo que a ShadowGate detectasse um alto volume de tráfego da Web, apenas uma pequena fração das interações fazia com que um usuário fosse direcionado para um kit de exploração. Os anúncios mal-intencionados eram quase sempre impressões, ou seja, anúncios que renderizam na página e não requerem interação do usuário. Esse modelo de publicidade on-line permitiu que os agentes responsáveis pela ShadowGate tornassem a campanha mais econômica.

Nossa pesquisa sobre a ShadowGate gerou um esforço conjunto com uma empresa líder em hospedagem na Web. Trabalhamos juntos para reduzir a ameaça recuperando as contas de pessoas registradas que os criminosos usavam para hospedar a atividade. Em seguida, tornamos inativos todos os subdomínios aplicáveis.

Para obter mais detalhes sobre a campanha ShadowGate, consulte a publicação no blog do Talos Cisco de setembro de 2016, Talos ShadowGate Take Down: Global Malvertising Campaign Thwarted.

http://blog.talosintel.com/2016/09/shadowgate-takedown.html

http://blog.talosintel.com/2016/09/shadowgate-takedown.html

23



Investigação descobre que 75% das empresas são afetadas por infecções de adwareO adware, quando usado para fins legítimos, é software que faz download ou exibe anúncios através de redirecionamentos, de pop-ups e injeções de anúncios e gera receita para seus criadores. Entretanto, os criminosos digitais também estão usando o adware como uma ferramenta para ajudar a aumentar o fluxo de receita. Eles usam o adware mal-intencionado não só para lucrar com a injeção de anúncios, mas também como primeira etapa para facilitar outras campanhas de malware, como o malware DNSChanger. O adware mal-intencionado é oferecido através de pacotes de software; os editores criam um instalador com uma aplicação legítima junto com dezenas de aplicações de adware mal-intencionadas.

Os agentes mal-intencionados usam adware para:

● Injetar anúncios, que podem resultar em mais infecções ou exposição a kits de exploração

● Alterar as configurações de navegador e o sistema operacional para enfraquecer a segurança

● Causar falha no antivírus ou em outros produtos de segurança

● Obter o controle total do host, de forma que possam instalar outros softwares mal-intencionados

● Rastrear os usuários por local, identidade, serviços usados e sites acessados com frequência

● Roubar informações como dados pessoais, credenciais e informações de infraestrutura (por exemplo, as páginas de vendas internas de uma empresa)

Para avaliar o escopo do problema do adware para as empresas, os pesquisadores de ameaças da Cisco examinaram 80 variedades diferentes de adware. Cerca de 130 empresas em mercados verticais foram incluídas em nossa investigação, que ocorreu de novembro de 2015 a novembro de 2016.

Classificamos o adware em quatro grupos, com base no comportamento principal de cada componente:

● Injetores de anúncio: esse adware geralmente reside no navegador e pode afetar todos os sistemas operacionais.

● hijackers de configurações do navegador: esse componente de adware pode alterar as configurações do computador para tornar o navegador menos seguro.

● Utilitários: essa é uma categoria grande e cada vez maior de adware. Os utilitários são aplicativos da Web que oferecem um serviço útil para os usuários, como otimização do PC. Esses aplicativos podem injetar anúncios, mas seu objetivo principal é convencer os usuários a pagar pelo serviço. Entretanto, em muitos casos, os utilitários não passam de fraudes e não proporcionam nenhum benefício aos usuários.

● Downloaders: esse adware pode fornecer outro software, como uma barra de ferramentas.

Detectamos que 75% das empresas em nosso estudo foram afetadas por infecções de adware.

> 75%Nos últimos 12 meses

das empresas investigadas têm infecções por adware

Figura 12 Porcentagem de empresas com infecções por adware


Figura 12 Porcentagem de empresas com infecções por adware

COMPARTILhAR






24



A Figura 13 mostra os tipos de incidentes que observamos nas empresas que participaram de nossa investigação. Os injetores de anúncio foram a principal fonte de infecções. Essa descoberta indica que a maioria dessas aplicações indesejadas é direcionada a navegadores da Web. Também percebemos um aumento de infecções no navegador durante os últimos anos, o que sugere que os criminosos estão sendo bem-sucedidos com essa estratégia de comprometer os usuários.

Todos os componentes do adware que identificamos durante nossa investigação podem por usuários e empresas em risco de serem vítimas de atividade mal-intencionada. As equipes de segurança devem reconhecer a ameaça que as infecções de adware representam e se certificar de que os usuários da empresa estejam totalmente conscientes dos riscos.

Para obter informações adicionais sobre este tópico, consulte o post do blog Cisco Security de fevereiro de 2016, DNSChanger Outbreak Linked to Adware Install Base.

0,5%

0

2,0%

1,0%

1,5%

0%

20%

10%

30%

40%

50%

60%

Porc

enta

gem

de

usuá

rios

infe

ctad

os

com

adw

are

Porc

enta

gem

de

usuá

rios

infe

ctad

os

Fev MarDez Abr Maio Jun Jul Ago Set OutNov2015

Jan2016

Fev MarDez Abr Maio Jun Jul Ago Set OutNov2015

Jan2016

Serviços de utilidade pública Sequestradores de congurações do navegador Downloaders Injetores de anúncios

Figura 13 Análise do total de incidentes por componente de adware


Figura 13 Análise do total de incidentes por componente de adware

Baixe os gráficos de 2017 em: www.cisco.com/go/acr2017graphics

http://blogs.cisco.com/security/dnschanger-outbreak-linked-to-adware-install-base



25



O spam global está aumentando, assim como a porcentagem de anexos mal-intencionadosOs pesquisadores de ameaças da Cisco fizeram dois estudos em 2016 usando telemetria dos usuários para estimar qual porcentagem do volume total de e-mail é spam. Descobrimos que o spam representa quase dois terços (65%) do volume total de e-mail. Nossa pesquisa também sugere que o volume de spam global está aumentando, principalmente devido a grandes e bem-sucedidos botnets que enviam spam, como o Necurs. Além disso, descobrimos com nossa análise que cerca de 8%

a 10% do spam global observado em 2016 poderia ser classificado como mal-intencionado.

De agosto a outubro de 2016, houve um aumento considerável no número de bloqueios de conexão IP (Figura 14).¹² Essa tendência pode ser atribuída a um aumento geral no volume de spam, bem como à adaptação pelos sistemas de reputação a informações sobre remetentes de spam.

Vietnã

China

Índia

Alemanha

México

Rússia

França

Japão

Brasil

Estados Unidos1351K | 2046K

214K | 495K

252K | 587K

343K | 352K

194K | 286K

990K | 1684K

222K | 467K

254K | 1662K

903K | 760K

414K | 548K

Dezembro de 2015 Out 2016

Figura 14 Bloqueios de IP por país (dezembro de 2015 a novembro de 2016)


Figura 14 Bloqueios de IP por país (dezembro de 2015 a novembro de 2016)

¹² Bloqueios de conexão IP são mensagens de spam bloqueadas imediatamente pela tecnologia de detecção de spam porque o remetente do spam tem uma baixa pontuação de reputação. Os exemplos incluem mensagens originadas de conhecidos botnets para envio de spam ou de redes comprometidas que são conhecidas por participar de ataques de spam.

COMPARTILhAR






26



O gráfico de cinco anos da Composite Blocking List (CBL), a "lista de blackholes" em DNS de infecções de computador que enviam spam,¹³ também mostra um aumento no volume total de spam durante 2016 (Figura 15).

Uma análise de 10 anos de dados da CBL (não mostrada) sugere que o volume de spam de 2016 está próximo aos níveis recordes vistos em 2010. Novas tecnologias anti-spam e o importante colapso dos botnets relacionados a spam ajudaram a manter os níveis de spam baixos nos últimos anos. Nossos pesquisadores de ameaças atribuem o aumento recente no volume de spam global ao botnet Necurs. O Necurs é um vetor importante para o ransomware Locky. Ele também distribui ameaças como o cavalo de troia bancário Dridex.

A Figura 16 é um gráfico interno gerado pelo serviço SpamCop da Cisco que ilustra a mudança no volume de

spam observada em 2016. Este gráfico mostra o tamanho geral da SpamCop Block List (SCBL) de novembro de 2015 a novembro de 2016. Cada linha da SCBL representa um endereço IP distinto.

Entre novembro de 2015 e fevereiro de 2016, o tamanho da SCBL oscilou abaixo de 200.000 endereços IP. Em setembro e outubro, o tamanho de SCBL excedeu 400.000 endereços IP antes de reduzir em outubro, o que nossos pesquisadores de ameaças atribuem simplesmente a uma folga dos operadores do Necurs. Observe também o grande declínio em junho. No final de maio, houve prisões na Rússia relacionadas ao cavalo de troia bancário Lurk (consulte a página 21). Posteriormente, várias ameaças de destaque, incluindo o Necurs, ficaram inativas. Entretanto, 3 semanas depois, o Necurs estava de volta à ação, acrescentando 200.000 endereços IP à SCBL em menos de 2 horas.

¹³ Para obter mais informações sobre CBL, acesse: http://www.abuseat.org/.

Figura 15 Volume total de spam

3,5K3K

2,5K2K

1,5K1K

0,5K0

2012 2013 2014 2015 2016

E-m

ails

/seg

undo

Fonte: CBL

Figura 15 Volume total de spam

Figura 16 Tamanho total de SCBL

0

100k

300k

200k

400k

500k

Nov2015 2016

Dez Jan Fev Mar Abr Maio Jun Jul Ago Set Out Nov

Linh

as

Figura 16 Tamanho total de SCBL

Fonte: SpamCop

COMPARTILhAR

http://www.abuseat.org/






27



Muitos dos IPs host que enviam o spam do Necurs estão infectados há mais de 2 anos. Para ajudar a manter oculto o escopo completo do botnet, o Necurs envia spam somente de um subconjunto de hosts infectados. Um host infectado pode ser usado por 2 a 3 dias, e então não ser mais utilizado por 2 a 3 semanas. Esse comportamento complica o trabalho da equipe de segurança que responde aos ataques de spam. Ela pode acreditar que descobriu e limpou com êxito um host infectado, mas os agentes estão apenas esperando uma boa oportunidade para iniciar outro ataque.

Setenta e cinco por cento do spam total observado em outubro de 2016 continha anexos mal-intencionados. A maior parte do spam foi enviado pelo botnet Necurs (consulte a Figura 17). O Necurs envia os anexos .zip mal-intencionados que incluem arquivos executáveis integrados, como downloaders VBScript, JavaScript, .hta e .wsf. Ao calcular a porcentagem de spam total que contém anexos mal-intencionados, contamos tanto o arquivo "contêiner" (.zip) quanto os arquivos "filhos" dentro dele (como um arquivo JavaScript) como anexos individuais mal-intencionados.

Os invasores testam tipos de anexos para renovar as campanhas de spam mal-intencionadasNossos pesquisadores de ameaças examinaram como os criminosos usam tipos diferentes de anexos de arquivo para impedir que spam mal-intencionado seja detectado O que descobrimos foi que eles estão evoluindo continuamente com suas estratégias, testando uma ampla variedade de tipos de arquivos e mudando de tática rapidamente quando não obtêm êxito.

A Figura 17 mostra como os operadores de spam mal-intencionados usaram arquivos .docm, JavaScript, .wsf e .hta durante o período observado. Conforme observado anteriormente, muitos desses tipos de arquivos são associados ao spam enviado pelo botnet Necurs. (Para a pesquisa relacionada a outros tipos de arquivos examinados, consulte o Apêndice na página 78.)

As porcentagens específicas dos diferentes tipos de arquivos em um determinado mês são derivadas usando a porcentagem do spam total que continham anexos mal-intencionados observada naquele mês. Assim, por exemplo, em julho de 2016, os arquivos .docm representaram 8% da porcentagem total de anexos mal-intencionados observados.

Os padrões com os arquivos .wsf durante 2016 (consulte a Figura 17) oferecem um exemplo de como os criminosos evoluem as táticas mal-intencionadas de spam ao longo do tempo. Esse tipo de arquivo foi raramente usado como anexo mal-intencionado antes de fevereiro de 2016. Em seguida, o uso desse tipo de arquivo começa a crescer conforme o botnet Necurs se torna mais ativo. Até julho, os arquivos .wsf representavam 22% de todos os anexos de spam mal-intencionados. Isso ocorreu por volta do momento em que a atividade de spam global aumentou drasticamente (veja a seção anterior), um acréscimo que, em grande parte, foi gerado pelo botnet Necurs.

Durante agosto, setembro e outubro, percebemos flutuações nas porcentagens de arquivos .wsf. Isso indica que os criminosos interrompiam suas ações nos momentos em que o tipo de arquivo estava sendo detectado com mais frequência.

Contendo anexos mal-intencionados

Contendo .js mal-intencionado

Contendo .zip mal-intencionado

Contendo .docm mal-intencionado

Contendo .wsf mal-intencionado

Contendo .hta mal-intencionado

0%

80%

60%

40%

20%Porc

enta

gem

do

tota

l de

spam

s

2015

Jan Out

Nov DezAbr

Mai

oJu

n

Fev

Mar

Ago Se

t

Jul

2016

Jan Abr

Mai

oJu

n

Fev

Mar

Ago Se

tO

utJul


Figura 17 Porcentagem do total de spams contendo anexos mal-intencionadosFigura 17 Porcentagem do total de spams contendo anexos mal-intencionados

COMPARTILhAR






28



hailstorms e snowshoesDois tipos de ataques de spam mal-intencionados são especialmente problemáticos para os defensores: os ataques de hailstorm e os ataques de snowshoe. Ambos empregam os elementos de velocidade e de direcionamento, e ambos são altamente eficazes.

Os ataques de hailstorm visam a sistemas anti-spam. Os operadores por trás desses ataques lançam mão da janela de tempo muito pequena entre o momento em que iniciam sua campanha de spam e o momento em que os sistemas anti-spam a percebem e expulsam a cobertura dos scanners anti-spam. Normalmente, os criminosos têm somente segundos ou minutos para operar antes que suas campanhas sejam detectadas e bloqueadas.

O pico na Figura 18 é um ataque de hailstorm. A atividade é mostrada na interface do Cisco Investigate. Imediatamente antes do ataque, nenhum equipamento estava resolvendo o endereço IP. Em seguida, subitamente, o número de computadores que estão resolvendo o domínio em DNS disparou para mais de 78.000 antes de reduzir a zero.

Contraste o ataque de hailstorm com a campanha de spam snowshoe, também mostrada na Figura 18, em que os invasores tentam passar despercebidos pelas soluções de detecção com base no volume. O número de pesquisas de DNS é constante, mas há apenas cerca de 25 consultas por hora. Esses ataques de baixo volume possibilitam que os criminosos distribuam silenciosamente o spam de uma grande faixa de endereços IP.

Muito embora esses ataques de spam operem de maneira diferente, eles têm aspectos em comum. Com qualquer uma das abordagens, os criminosos podem:

● Evitar uma reputação ruim ao enviar de IPs e domínios limpos

● Emular o marketing de e-mail com conteúdo profissional e gerenciamento de assinatura

● Usar sistemas de e-mail bem configurados em vez de scripts descuidados ou bots de spam

● Configurar corretamente os registros de DNS reverso de círculo completo e SPF (Sender Policy Framework)

78.651 consultas

35 consultas

0

20

40

0

25.000

50.000

75.000

Con

sult

as D

NS

/hor

aC

onsu

ltas

DN

S/h

ora

Data

16 18 20 22 24 26 8 10 12 1428 30 2 4 6OutSet

16 18 20 22 24 26 8 10 12 1428 30 2 4 6OutSet

Ataque de spam "hailstorm"

Ataque de spam "snowshoe"

Fonte: Cisco Investigate

Figura 18 Comparação de ataques de spam “snowshoe” e "hailstorm"Figura 18 Comparação de ataques de spam "snowshoe" e "hailstorm"

COMPARTILhAR






29



Os criminosos também podem prejudicar a detecção de conteúdo transformando o texto e alternando tipos de arquivo. (Para obter mais detalhes sobre como os criminosos digitais desenvolvem suas ameaças para escapar de defensores, consulte a seção "Hora de evoluir" na página 34.) Para obter mais informações sobre como eles testaram anexos de arquivo mal-intencionado para spam, consulte a seção anterior.

A Figura 19 mostra alertas de outbreak de ameaças importantes; esse é um resumo das mensagens de spam e phishing que observamos em 2016 que os criminosos atualizavam com frequência para contornar as verificações e as regras de segurança de e-mail. É importante saber que tipos de ameaças de e-mail são predominantes para que você possa evitar ser enganado por essas mensagens mal-intencionadas.

URL e nome da publicação Resumo da mensagem

Tipo de arquivo de anexo Idioma

Data da última publicação

Identi�cador de publicaçãoVersão

41886 RuleID4961 .zip Inglês, alemão,Espanhol 22/02/1647 Transferência, envio,

fatura

39150 Inglês, alemão,Vários idiomas.zip 25/01/1658 RuleID4961KVR Solicitação de orçamento,

pedido de produto

38095 .zip Inglês 01/08/1661 RuleID858KVR Envio, orçamento, pagamento

37179 .zip Inglês, Espanhol 21/07/1663 RuleID13288 Aviso de entrega, julgamento, fatura de bilhetes

36917 .zip Inglês 08/07/1664 RuleID4961KVR Con�rmação, pagamento/transferência, pedido, envio

34796 .zip Alemão, inglês 29/09/1666 RuleID5118 Pedido de produto, pagamento

40056 .rar Inglês 07/06/1670 RuleID6396 Pedido de compra, pagamento, recebimento

41513 .zip Inglês 01/09/1672 RuleID18688 Pedido, pagamento, seminário

38971 .zip, .gz Inglês 08/08/1674 RuleID15448 Pedido de compra, pagamento, recebimento

36916 .zip Inglês 01/02/1682 RuleID4400KVR Pedido de compra

34577 .zip Alemão, inglês87 02/06/16RuleID10277 Pedido de compra

35656 .zip Alemão, inglês 25/04/1696 RuleID4626 Fatura, pagamento

39317 .zip Inglês, alemão,Espanhol 28/01/1664 RuleID4626 (cont) Fatura, pagamento,

envio

Figura 19 Principais alertas de surto de ameaças


Figura 19 Principais alertas de surto de ameaças




30



Métodos de ataque na Web: uma amostra de "cauda longa" revela ameaças que os usuários não podem evitar

A chamada "cauda longa" do espectro dos métodos de ataque na Web (Figura 20) inclui um conjunto de tipos de malware de volume menor que são empregados em um estágio posterior na cadeia de ataque: a instalação. Nessa fase, a ameaça que foi entregue — um cavalo de troia bancário, um vírus, um downloader ou alguma outra exploração — instala uma porta dos fundos no sistema de destino, proporcionando aos criminosos o acesso persistente e a oportunidade para roubar dados, iniciar ataques de ransomware e se envolver em outro delito.

As ameaças listadas na Figura 20 são amostras de assinaturas de malware descobertas que não pertencem aos 50 tipos de malware observados com mais frequência. A cauda longa dos métodos de ataque da Web é basicamente uma amostra das ameaças que estão silenciosamente operando em uma máquina ou sistema após um ataque bem-sucedido. Muitas dessas infecções foram geradas pela primeira vez ao encontrar adware mal-intencionado ou exposição a uma fraude de phishing bem arquitetada. Essas são situações que muitas vezes os usuários podem evitar com facilidade ou corrigir rapidamente.

PUA e binários suspeitos91

Heurístico36

Worm (Allaple)16

Downloader de cavalos de Troia (HTML)14

Downloader de cavalos de Troia (JS)10

Cavalos de Troia (Agent)9

Downloader de cavalos de Troia (VBS)7

Backdoor (Java)

Cavalos de Troia (Locky)

Heurístico (CVE-2013-0422)

Vírus (Replog)

Cavalos de Troia (Win32)

Vírus (Fas)

Malware de downloader de cavalos de Troia (Small)

Cavalos de Troia (Cryptodef)

Backdoor (Far�i)

Backdoor (Gbot)

Linux (Veribak)

Cavalos de Troia de redirecionamento do navegador (JSRedir)

Downloader de cavalos de Troia (Upatre)

Downloader de cavalos de Troia (Win32)

Backdoor (NuPrader)

Cavalos de Troia (Shifu)

Cavalos de Troia (Zbot)

Cavalos de Troia (Yakes)

Cavalos de Troia (Scar)

Cavalos de Troia (Reconyc)

Cavalos de Troia (Crypt)

Cavalos de Troia (Crypmod)

Cavalos de Troia (Bitman)

Cavalos de Troia (Deshacop)

7

5

5

3

2

2

2

2

2

2

1

1

1

1

1

1

1

1

1

1

1

1

1

1

Figura 20 Exemplo de malwares de menor volume observados


Figura 20 Exemplo de malware de menor volume observado

Depois de posicionada, a ameaça instala um backdoor em um sistema de destino, fornecendo acesso persistente aos criminosos.


COMPARTILhAR






31



Risco de detecções de malware no mercado vertical: os invasores percebem o valor geral

No Relatório semestral de segurança digital da Cisco de 2016, uma mensagem fundamental sobre o risco de malware foi que "nenhum mercado vertical é seguro". A julgar pelo exame periódico de nossos pesquisadores do tráfego de ataque ("taxas de bloqueio") e tráfego "normal" ou esperado por setor, essa mensagem permaneceu válida na segunda metade do ano.

Ao analisar mercados verticais e suas taxas de bloqueio ao longo do tempo (Figura 21), percebemos que, em algum momento no decorrer de várias semanas, todos setores tinham ficado sujeitos ao tráfego de ataque em níveis variados. É claro que à medida que os ataques crescem ou fracassam, eles afetam diferentes partes do mercado vertical em épocas diferentes, mas nenhuma delas é poupada.

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

Aquecimento, encanamento e ar condicionado

Educação

Agricultura e mineração

Energia, petróleo e gás

Varejo e atacado

Produção

Eletrônica

Serviços de utilidade pública

Serviços pro�ssionais

Atividades bancárias e �nanceiras

TI e telecomunicações

Engenharia e construção

Viagem e lazerTransporte e envio

Produtos químicos e farmacêuticos

Governo

Seguro Jurídico

Industrial

Alimentos e bebidas

Caridades e ONGs

Imobiliária e gestão de terras

Serviços de saúde

Entretenimento

Automotivo AviaçãoContabilidade

Mídia e publicidade

Figura 21 Porcentagem de taxas de bloqueio verticais mensais


Figura 21 Porcentagem de taxas de bloqueio verticais mensais

COMPARTILhAR








32



Resumo de atividades de bloqueio da Web por região

Os criminosos mudam frequentemente sua base de operações, pesquisando pontos fracos da infraestrutura de onde possam iniciar suas campanhas. Ao examinar a atividade de bloqueio e o volume geral de tráfego na Internet, os pesquisadores de ameaças da Cisco podem fazer sugestões sobre a origem do malware.

Como mostra a Figura 22, o tráfego dos Estados Unidos subiu ligeiramente das taxas de bloqueio observadas no Relatório de segurança digital da Cisco 2016. Os Estados

Unidos abrigam uma parte muito maior de bloqueios, mas isso deve ser considerado em função de sua participação muito maior no tráfego on-line. Além disso, os Estados Unidos são um dos maiores públicos-alvo de ataques de malware no mundo.

O que precisa ser lembrado por profissionais de segurança: da mesma forma que a atividade de bloqueio da Web vertical, a atividade de bloqueio da Web regional mostra que o tráfego de malware é um problema global.

Belize

Estados Unidos

Alemanha

Romênia

Canadá

Austrália

1,54

1,20

3,88

2,77

1,001,60

3,52

1,31

1,43

2,11

Malásia

Turquia

0,94 Rússia

1,15 Venezuela

China

Peru

0,83Chile

2,84 Indonésia

1,07 Vietnã

1,47 Ucrânia

1,46Panamá

1,22Itália

0,87França

Taxa esperada: 1,0

Figura 22 Bloqueios da Web por país


Figura 22 Bloqueios da Web por país

COMPARTILhAR







33



Tempo de detecção: uma métrica essencial para avaliar o progresso dos defensoresA Cisco está refinando continuamente nossa abordagem para medição do TTD para que possamos rastrear e relatar a estimativa mais precisa de nosso TTD médio. Os ajustes recentes à nossa abordagem aumentaram nossa visibilidade dos arquivos que foram classificados como "desconhecidos" quando foram vistos pela primeira vez e depois identificados como "conhecido e prejudicial" após contínua análise e observação global. Com uma visão mais holística dos dados, podemos identificar melhor quando uma ameaça surgiu e exatamente quanto tempo levou para que as equipes de segurança determinassem que ela era uma ameaça.

Esse novo insight nos ajudou a determinar que nosso TTD médio foi de 39 horas em novembro de 2015. (Consulte a Figura 23.) Até janeiro de 2016, reduzimos o TTD médio para 6,9 horas. Após coletar e analisar os dados de outubro de 2016, nossos pesquisadores de ameaças detectaram que os produtos Cisco obtiveram um TTD médio de 14 horas para o período de novembro de 2015 até outubro de 2016. (Observação: os números de TTD médio para 2016 representam a média do período observado.)

O TTD médio oscilou durante 2016, mas a tendência geral foi de baixa. Os aumentos no TTD médio indicam os horários em que os criminosos iniciaram uma onda de novas ameaças. As diminuições subsequentes refletem períodos em que os defensores obtiveram vantagem e puderam identificar as ameaças conhecidas rapidamente.

A Figura 23 também mostra que o TTD médio foi de cerca de 15 horas até o fim de abril de 2016, que é superior ao número de 13 horas relatado no Relatório de segurança digital da Cisco 2016.¹⁴ Esse número de 15 horas tem como base os dados coletados de novembro de 2015 a abril de 2016. Não foi resultado do uso de nossa abordagem modificada para analisar informações retrospectivas mais detalhadas sobre os arquivos. Usando o novo número de TTD semestral, podemos relatar que o TTD foi reduzido para cerca de 9 horas para o período de maio a outubro de 2016.

A análise dos dados retrospectivos é importante não só

para determinar uma medida mais precisa de nosso TTD médio, como também para estudar como as ameaças evoluem ao longo do tempo. Várias ameaças no cenário são particularmente evasivas e podem levar muito tempo para serem identificadas, muito embora sejam conhecidas pela comunidade de segurança.

Os criminosos evoluirão determinadas linhas de malware para evitar a detecção e aumentar seu tempo de operação. Essa tática impede o progresso dos defensores em ganhar e depois manter uma vantagem na detecção de muitos tipos de ameaças conhecidas. (Para obter mais informações sobre esse assunto, consulte "Hora da evolução: para algumas ameaças, a mudança é uma constante", página 34). No entanto, o fato de que os criminosos digitais estão evoluindo suas tarefas com frequência e rapidez indica que estão enfrentando pressão intensa e constante para encontrar formas de manter a operação e a lucratividade de suas ameaças.

Med

iano

de

hora

s

Dez

Jan

2016

Nov

2015

Fev

Mar

Abr

Mai

o

Jun

Jul

Ago Se

t

Out

Figura 23 Mediano de TTD por mês


0

10

20

30

4039,16

6,89

18,22

8,48

15,19

8,586,48 6,05

8,11

Figura 23 Mediano de TTD por mês

A Cisco define "tempo para detecção" (TTD) como a janela de tempo entre um comprometimento e a detecção de uma ameaça. Para determinar essa janela de tempo, usamos a telemetria de segurança opcional obtida dos produtos de segurança da Cisco implantados em todo o mundo. Usando nossa visibilidade global e um modelo contínuo de análise, podemos medir a partir do momento em que o código mal-intencionado é executado em um endpoint até o momento em que ele é determinado como uma ameaça, para todos os códigos mal-intencionados que não foram classificados no momento do encontro.

¹⁴ Relatório semestral de segurança digital da Cisco de 2016: http://www.cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html.


34



Hora da evolução: para algumas ameaças, a mudança é uma constante

Os criminosos digitais usam várias técnicas de ofuscação para manter seu malware forte e lucrativo. Dois métodos comuns que empregam são a evolução de seus tipos de entrega de payload e a geração rápida de novos arquivos (derrubando os métodos de detecção exclusivos de hash). Nossos entrevistados examinaram como os criminosos usaram essas duas estratégias para ajudar seis linhas de malware bem conhecidas — Locky, Cerber, Nemucod, Adwind RAT, Kryptik e Dridex — a escapar da detecção e continuar comprometendo usuários e sistemas.

Através de nossa análise, buscamos medir o "tempo para evolução" (TTE): o tempo necessário para que os criminosos alterem a forma como o malware específico é disponibilizado e a duração de tempo entre cada mudança de tática. Analisamos dados de ataque da Web de diferentes fontes da Cisco, especificamente, dados de proxy da Web, produtos de malware avançados na nuvem e de endpoint e mecanismos antimalware compostos.

Nossos pesquisadores procuraram alterações nas extensões de arquivos que disponibilizavam o malware e o tipo de conteúdo do arquivo (ou MIME) conforme definido pelo sistema do usuário. Determinamos que cada linha de malware tem um padrão exclusivo de evolução. Para cada linha, examinamos os padrões nos métodos de entrega via Web e por e-mail. Também rastreamos a idade dos hashes exclusivos associados a cada família de malware para determinar com que velocidade os criminosos estão criando novos arquivos (e, assim, novos hashes).

Através de nossa pesquisa, descobrimos que:

● As linhas de ransomware parecem ter uma rotação similar de novos binários. Entretanto, o Locky usa mais combinações de MIME e extensão de arquivo para disponibilizar seu payload.

● Algumas linhas de malware empregam somente alguns métodos de entrega de arquivo. Outras usam 10 ou mais. Os criminosos tendem a usar binários eficazes durante períodos longos. Em outros casos, os arquivos surgem e são descartados rapidamente, indicando que os criadores do malware estão sob pressão para mudar de tática.

● As linhas de malware Adwind RAT e Kryptik têm um TTD médio mais alto. (Para saber mais sobre TTD, consulte a página 33.) Também observamos uma maior mistura de idades de arquivos para essas linhas. Isso sugere que os criminosos reutilizam binários eficazes que sabem que são difíceis de detectar.

● Analisando as idades dos arquivos para a linha de malware Dridex, a impressão é que a economia paralela pode estar abandonando o uso desse anteriormente conhecido cavalo de troia bancário. No final de 2016, o volume de detecção do Dridex foi reduzido, assim como o desenvolvimento de novos binários para fornecer esse malware. Essa tendência sugere que os criadores do malware não obtêm mais vantagens com a evolução dessa ameaça ou que eles descobriram uma nova forma de empacotar o malware que tornou mais difícil sua detecção.

35



TTE e TTD

As seis linhas de malware que analisamos em nosso estudo de TTE estão listadas na Figura 24. O gráfico retrata o TTD médio para as 20 principais linhas (por número de detecção) que nossos pesquisadores observaram de novembro de 2015 a novembro de 2016. O TTD médio desse período foi de cerca de 14 horas. (Para obter detalhes sobre como calculamos o TTD, consulte a página 33.)

Muitas das linhas de malware que os produtos Cisco estão detectando no TTD médio são ameaças industrializadas que se espalham rapidamente e que, portanto, são mais predominantes. Dois exemplos são os tipos de ransomware Cerber e Locky.

As ameaças antigas e difundidas que os criminosos não se dão ao trabalho de evoluir muito, ou nada, são geralmente detectadas abaixo do TTD médio. Entre os exemplos estão linhas de malware como Bayrob (malware de botnet), Mydoom (um worm que afeta o Microsoft Windows) e Dridex (o cavalo de troia bancário).

Nas próximas seções, apresentaremos destaques da pesquisa sobre TTE e TTD para as linhas de malware Locky, Nemucod, Adwind Rat e Kryptik. Estão incluídas descobertas detalhadas do Cerber e do Dridex no Apêndice, na página 78.

Por

cent

agem

do

tota

l de

dete

cçõe

s

Mediano de TTD em horas

Figura 24 Medianos de TTD das 20 principais famílias de malware (por contagem de detecção)

0

5

10

15

20

25

30

35

0 5 10 15 20 25 30 35 40 45 50

docdldridexdono�

fareit

hancitor

insightlocky

mamianune

nemucod

zusyzbotupatrerazymydoom

kryptikmabezat adwind

bayrob

cerber

Média de TTD da Cisco

adnel


Figura 24 Medianos de TTD das 20 principais linhas de malware (por contagem de detecção)

COMPARTILhAR






36



Análise de TTE: Locky

Com a nossa pesquisa de TTE, descobrimos que o Locky e o Cerber utilizam um número limitado de combinações de MIME e extensão de arquivo para distribuir malware pela Web ou por e-mail (Consulte a Figura 25). Observamos várias combinações que incluíam os tipos de conteúdo de arquivo relacionados ao Microsoft Word (msdownload, ms-word). Entretanto, as extensões de arquivo associadas (.exe e .cgi) não apontavam de volta para um arquivo Word. Também identificamos os tipos de conteúdo que apontavam para arquivos .zip mal-intencionados.

Tanto o Locky como o Cerber parecem usar binários novos com frequência, em uma tentativa de escapar da detecção em arquivos. O envelhecimento de arquivo para a família de malware Locky é mostrado na Figura 26. A parte superior do gráfico descreve o envelhecimento de arquivos que

foram observados durante um determinado mês. A parte inferior do gráfico mostra alterações mensais no volume de hashes relacionados ao Locky, tanto arquivos novos como os já observados anteriormente.

Na Figura 26, observe também o declínio no volume em junho e a distribuição do envelhecimento de arquivo. O botnet Necurs, conhecido por fornecer o Locky, foi retirado do ar em junho. Isso provavelmente anulou os esforços dos autores de malware para mantê-lo atualizado durante o mês. Entretanto, é claro que eles conseguiram se recuperar rapidamente. Em julho, o malware tinha retornado à sua combinação mais padrão de envelhecimento de arquivo, com a maioria (74%) tendo menos de um dia de vida quando detectado pela primeira vez.

Figura 25 Combinações de MIME e extensão de arquivo para a linha de ameaças e indicadores que geram e incluem o payload Locky (vetores Web e e-mail)

Figura 26 Envelhecimento de hash para a linha de malware Locky e percentual do volume total de hash observado por mês

0%

25%

50%

75%

100%

Nov Dez Jan Fev Mar Abr Maio Jul Ago SetJun Out2015 2016


Por

cent

agem

de

hash

es

Lock

y, e

nvel

heci

men

to d

e ha

sh <

24

hora

s

0%

5%

10%

Por

cent

agem

do

volu

me

tota

l de

hash


Figura 26 Envelhecimento de hash do malware Locky Família e percentual do volume total de hash observado por mês

Jan

Fev

Mar

Abr

Mai

o

Jun

Jul

Ago

Set

Out

Nov

Vetores exclusivosdoc & application/msword

exe & application/msdownloadno extension & text/plain

exe & application/msdos-prog...xls & application/vnd.ms-excel

js & text/plainzip & application/zip

doc & text/plainno extension & application/zip

aspx & application/zipjsp & application/zip

lib & text/plainno extension & application/dosexec

rar & application/x-rarjs & text/html

php & application/ziprtf & application/msword

docm & application/vnd.open...no extension & application/vnd...

no extension & application/ms-wo...cgi & application/ms-word.doc...

wsf & text/htmldoc & application/vnd.open...

wsf & application/xmlno extension & application/vnd...

js & text/javascriptxls & application/vnd.openxml...

bs e texto/sem formatação

E-mail Web


Figure 25 File Extension and MIME Combinations for the Family of Threats and Indicators That Lead to and Include the Locky Payload (Web and Email Vectors)

COMPARTILhAR






37



O ciclo rápido de binários para este ransomware não chega a ser uma surpresa. As instâncias do Locky e do Cerber geralmente são detectadas no mesmo dia em que são lançadas ou um a dois dias depois. Com isso, o desenvolvimento contínuo dessas ameaças passa a ser essencial para os criminosos se eles quiserem permanecer ativos e eficientes. A Figura 24, discutida anteriormente, mostra que os produtos da Cisco detectaram ransomware Locky e Cerber no mediano de TTD em 2016.

A Figura 27 mostra o mediano de TTD para o ransomware Locky, que caiu drasticamente de aproximadamente 116 horas em novembro de 2015 para apenas 5 horas em outubro de 2016.

100

120

0

20

40

60

80


Med

iano

de

hora

s


89,3

7,1 5,94,7

Figura 27 TTD da família de malwares Locky

116,1

Figura 27 TTD da linha de malware Locky

38



Análise de TTE: NemucodEm 2016, o Nemucod era o malware detectado com mais frequência entre as 20 principais famílias mostradas na Figura 24. Os criminosos usam esse malware de downloader para distribuir ransomware e outras ameaças, como cavalos de Troia backdoor que facilitam fraudes do clique. Algumas variações de Nemucod também servem como mecanismo para disponibilizar o payload do malware Nemucod.

Um motivo para o malware Nemucod ter sido tão comum em 2016, segundo nossos pesquisadores de ameaças, é que seus autores evoluíram essa ameaça constantemente. A Cisco identificou mais de 15 combinações de MIME e extensão de arquivo associadas à família de Nemucod que foram usadas para distribuir malware pela Web. Muito mais combinações foram usadas para transmitir a ameaça para usuários por e-mail (Figura 28).

Várias combinações de MIME e extensão de arquivo (Web e e-mail) foram projetadas para direcionar os usuários para arquivos mortos ou arquivos .zip mal-intencionados. Os criminosos também reutilizaram muitas combinações durante os meses em que observamos.

Como mostra a Figura 29, muitos hashes Nemucod têm menos de dois dias de vida quando são detectados. Em setembro e outubro de 2016, quase todos os binários relacionados à família de Nemucod que foram bloqueados tinham menos de um dia.

0

20

40

60

80


Med

iano

de

hora

s


46,3

85,0

21,8 13,9 7,3

Figure 30 TTD for the Nemucod Malware FamilyFigura 30 TTD da linha de malware Nemucod

Figura 29 Envelhecimento de hash para a linha de malware Nemucod e percentual do volume total de hash observado por mês

0%

25%

50%

75%

100%

Por

cent

agem

de

hash

es

Nem

ucod

, env

elhe

cim

ento

de

has

h <

24 h

oras



0%

25%

50%

Por

cent

agem

do

volu

me

tota

l de

hash


Figure 29 Hash Ages for the Nemucod Malware Family and Percent of Total Hash Volume Observed Per Month

Figura 28 Combinações de MIME e extensão de arquivo para Nemucod (vetores Web e e-mail)

Jan

Fev

Mar

Abr

Mai

o

Jun

Jul

Ago

Set

Out

Nov

Vetores exclusivosjs & application/javascript

asp & application/zip

php & application/ziphtml & application/zip

no extension & application/zip

html & text/html

zip & application/zip

cgi & audio/wavhta & application/zip

hta & text/htmlcab & application/vnd.ms-cab...

zip & application/x-gzip

rar & application/zipdoc & application/zip

docx & application/vnd.open...wsf & application/xml

tgz & application/x-gzipjs & text/html

vbs & text/plainwrn & text/x-pascal

wrn & text/x-cwrn & text/plain

zip & application/x-rarti� & application/zip

docx & application/zippdf & application/zipjpg & application/zipgif & application/zip

lib & text/x-pascallib & text/x-c

lib & text/x-make�lelib & text/plain

jse & text/plain

js & text/x-cjs & text/x-make�le

wsf & text/html

xls & application/zip

rar & application/x-rardat & application/vnd.ms-tnef

js & text/x-pascaljs & text/plain

zip & text/plain

zip & application/x-zip-comp...

aspxx & application/zip

cgi & application/zipaspx & application/zip

no extension & application/archive

cgi & application/archivehtml & application/archive

jsp & application/zipno extension & text/html

zip & application/archive

php & application/javascript

js & text/javascript

E-mail Web


Figure 28 File Extension and MIME Combinations for Nemucod (Web and Email Vectors)

39



Análise de TTE: Adwind RAT

Os pesquisadores de ameaças da Cisco constataram que o malware Adwind RAT (cavalo de Troia para acesso remoto) é disponibilizado por meio de combinações de MIME e extensão de arquivo que incluem arquivos .zip ou .jar. Isso ocorre quando o malware é veiculado pelo vetor de ataque Web ou e-mail (Consulte a Figura 31).

O Adwind RAT usou uma ampla gama de envelhecimento de hash durante quase todo o período observado em 2016, exceto em setembro e outubro, quando a maioria dos arquivos analisados tinha um a dois dias de vida (Figura 32).

Também verificamos que o mediano de TTD para o Adwind RAT é consistentemente maior que o mediano de TTD para outras famílias de malware que analisamos (Figura 33). Os autores de malware aparentemente desenvolveram mecanismos de envio difíceis de detectar, que são a razão do sucesso do Adwind RAT. Com isso, eles não precisam fazer rodízio de hashes com tanta frequência ou tão rapidamente quanto os agentes por trás de outras famílias de malware. O cavalo de Troia Adwind também é conhecido por outros nomes, como JSocket e AlienSpy.

Jan

Fev

Mar

Abr

Mai

o

Jun

Jul

Ago

Set

Out

Nov

Vetores exclusivos

jar & application/archive


jar & application/java-archive

class & application/x-java-applet

no extension & application/archive


jar & application/zip

E-mail Web


Figure 31 File Extension and MIME Combinations for Adwind RAT (Web and Email Vectors)Figura 31 Combinações de MIME e extensão de arquivo para Adwind RAT (vetores Web e e-mail)

0

20

40

60

80


Med

iano

de

hora

s


70,7

30,0 25,316,2

13,0

Figure 33 TTD for the Adwind RAT Malware FamilyFigura 33 TTD da linha de malware Adwind RAT

Figura 32 Envelhecimento de hash para a linha de malware Adwind RAT e percentual do volume total de hash observado por mês

0%

25%

50%

75%

100%



Por

cent

agem

de

hash

es

Adw

ind

RAT

, env

elhe

cim

ento

de

has

h <

24 h

oras

0%0,5%

1%1,5%

Por

cent

agem

do

volu

me

tota

l de

hash


Figure 32 Hash Ages for the Adwind RAT Malware Family and Percent of Total Hash Volume Observed Per Month




40



Análise de TTE: KryptikO Kryptik, assim como o malware Adwind RAT, teve um mediano de TTD consistentemente mais alto (aproximadamente 20 horas) do que as outras famílias de malware que a Cisco analisou para o estudo de TTE de novembro de 2015 a outubro de 2016 (Figura 36). Entretanto, até outubro, os produtos Cisco tinham reduzido a janela do mediano de TTD do malware Kryptik para menos de 9 horas (Figura 36).

A família de malware Kryptik também usou uma variedade maior de envelhecimento de hash do que as outras famílias de malware que analisamos, principalmente durante a primeira metade de 2016. A confiança dos autores de Kryptik em hashes mais antigos por tanto tempo indica que os defensores têm problema em detectar esse tipo de malware.

Durante o período que observamos, os autores de Kryptik utilizaram uma ampla variedade de métodos de distribuição de payload com o vetor de ataque da Web. Os autores usaram arquivos JavaScript e arquivos mortos, como arquivos .zip, em combinações de MIME e extensão de arquivo tanto para Web como para e-mail (Consulte a Figura 34). Algumas das combinações datam de 2011.

Em nossa análise das seis famílias de malware, descobrimos que os criminosos precisam mudar de tática com frequência para aproveitar a pequena janela de tempo em que as ameaças não encontram resistência. Esses ajustes indicam que os defensores estão detectando malware conhecido com maior rapidez, mesmo depois que uma ameaça tenha evoluído. Os invasores estão sob pressão para encontrar novas maneiras de evitar a detecção e manter suas campanhas lucrativas.

Neste cenário complexo e de rápida evolução, em que todas as famílias de malware se comportam de forma diferente, soluções pontuais e experiência em relação ao comportamento humano não são suficientes para identificar e responder rapidamente às ameaças. Uma arquitetura de segurança integrada que ofereça informações em tempo real sobre ameaças, juntamente com detecção e defesa automatizadas, é essencial para melhorar o TTD e garantir a correção rápida quando as infecções ocorrem.

0

20

40

60

80


Med

iano

de

hora

s


55,1 34,422,4

8,7

Figure 36 TTD for Kryptik Malware Family

63,7

Figura 34 Combinações de MIME e extensão de arquivo para Kryptik (vetores Web e e-mail)

Jan

Fev

Mar

Abr

Mai

o

Jun

Jul

Ago

Set

Out

Nov

Vetores exclusivos

zip & application/x-zip-comp...

js & text/plainrar & application/x-rar

exe & application/x-dosexecscr & application/x-dosexec

jar & application/zip

tbz2 & application/x-rar

vbs & text/plain

js & application/javascript

html & text/htmljpg & image/jpeg

gif & image/gif

js & text/javascript

php & text/htmlhtm & text/html

no extension & text/html

ico & text/htmlpng & image/png

no extension & application/archivegif & text/html

php & application/exeno extension & application/java...

asp & text/html


doc & application/msword no extension & application/exe

exe & application/msdownload


E-mail Web


Figure 34 File Extension and MIME Combinations for Kryptik (Web and Email Vectors)

Figura 36 TTD da linha de malware Kryptik

Figura 35 Envelhecimento de hash para a linha de malware Kryptik e percentual do volume total de hash observado por mês

0%

25%

50%

75%

100%



Por

cent

agem

de

hash

es

Kry

ptik

, env

elhe

cim

ento

de

has

h <

24 h

oras

0%

1%

2%

Por

cent

agem

do

volu

me

tota

l de

hash


Figure 35 Hash Ages for the Kryptik Malware Family and Percent of Total Hash Volume Observed Per Month

Comportamento dos defensores

Comportamento do defensor42


Comportamento dos defensoresDeclínio das vulnerabilidades em 2016Na segunda metade de 2016, as vulnerabilidades divulgadas por fornecedores caíram consideravelmente em relação a 2015, segundo nossa pesquisa (Figura 37). O National Vulnerability Database mostra um declínio semelhante. Os motivos para a queda em relatórios formais de vulnerabilidades divulgadas não são totalmente claros.

Observe que 2015 foi um ano excepcionalmente ativo em termos de vulnerabilidades, por isso os números de 2016 podem refletir um ritmo normal de avisos de vulnerabilidades. De janeiro a outubro de 2015, o total de alertas chegou a 7.602. Durante o mesmo período em 2016, o total de alertas foi de 6.380; nesse período em 2014, foram 6.272 alertas

O alto número de relatórios de vulnerabilidades em 2015 pode indicar que os fornecedores estavam mais atentos aos códigos e produtos existentes, implementavam com mais cuidado práticas de SDL (ciclo de vida de desenvolvimento seguro) e identificavam e corrigiam as vulnerabilidades. O declínio no volume de vulnerabilidades relatadas pode indicar que esses esforços estão

compensando. Ou seja, os fornecedores agora estão se concentrando em identificar vulnerabilidades e corrigi-las antes que os produtos cheguem ao mercado.

Em 2016, a Apple foi o fornecedor que mostrou o maior declínio nas vulnerabilidades: a empresa relatou 705 vulnerabilidades em 2015 e 324 vulnerabilidades em 2016 (uma queda de 54%). Da mesma forma, a Cisco relatou 488 vulnerabilidades em 2015 e 310 em 2016 (uma queda de 36%).

Uma preocupação entre os pesquisadores de segurança é que a "fadiga da vulnerabilidade" possa estar se alojando entre os profissionais de segurança. Nos últimos meses, não houve um comunicado importante de vulnerabilidade que repercutisse no setor, como foi o caso do Heartbleed em 2014. Na verdade, o entusiasmo em torno das "chamadas" vulnerabilidades (como o Heartbleed) e o aumento em 2015 provavelmente contribuíram para o nível de fadiga ou, pelo menos, para o menor interesse em relatar as vulnerabilidades.

Jan Fev Mar Abr Maio Jun Jul Ago Set Out Nov Dez0

1K

2K

3K

4K

5K

6K

7K

8K

9K

Figure 37 Cumulative Annual Alert Totals


2013 2014 2015 2016

Ale

rtas

634

1327

2193

2992

3811

4407

49695483

59766380

Figura 37 Totais acumulados de alertas anuais

https://nvd.nist.gov/



Figure 38 Critical Vulnerability Advisories by Vendor and Type

Microsoft Adobe Cisco TPS ICS Apple Apache Oracle HPVMware

174 162 28 25 10 8 5 3 3 3

Fonte: National Vulnerability Database (NVD)

Figura 38 Relatórios formais de vulnerabilidade crítica por fabricante e tipo

A Cisco está adotando as classificações de gravidade/impacto (SIRs), em que os níveis de avaliação são "crítico", "alto", "médio" e "baixo". As classificações refletem uma priorização simplificada de pontuações do Common Vulnerability Scoring System (CVSS). Além disso, a Cisco adotou o CVSS v3.0, sucessor do CVSS v2.0. Devido a essa mudança, algumas vulnerabilidades podem ter pontuações mais altas e, consequentemente, os profissionais de segurança podem observar um pequeno aumento nas vulnerabilidades classificadas como "críticas" e "altas", em vez de "médias" e "baixas". Para obter mais informações sobre essa alteração na pontuação, leia a publicação do blog Cisco Security, The Evolution of Scoring Security Vulnerabilities: The Sequel.

Os relatórios formais listados acima são vulnerabilidades de 2016 classificadas como críticas que foram relatadas por várias fontes por terem o código de exploração disponibilizado publicamente ou serem exploradas ativamente.

No Estudo comparativo de recursos de segurança da Cisco de 2015 (página 49), os profissionais de segurança indicaram uma leve redução na aceitação da operacionalização da segurança. Essa redução pode estar relacionada à "fadiga" decorrente da necessidade de implementar continuamente atualizações e patches. Por exemplo, em 2016, 53% dos profissionais de segurança concordavam plenamente em revisar e aperfeiçoar as práticas de segurança de maneira regular, formal e estratégica. Em 2014 e 2015, 56% concordavam plenamente.

É óbvio que um declínio nas vulnerabilidades não deve resultar em excesso de confiança quanto ao cenário de ameaças. Ninguém deve achar que o cuidado com as ameaças pode ser interrompido, mesmo na ausência de grandes vulnerabilidades.

Como recomendamos em relatórios passados, os profissionais de segurança devem fazer um esforço concentrado para priorizar os patches. Se a falta de pessoal e outros recursos impedirem a instalação de todos os patches disponíveis dentro do prazo, avalie quais são os mais importantes para a segurança da rede e coloque-os no topo da lista de tarefas.

Vulnerabilidade de execução de código de corrupção de memória do Adobe Acrobat e do Acrobat Reader

Vulnerabilidade de execução de código remoto de corrupção de memória do Adobe Acrobat e do Acrobat Reader

Vulnerabilidade de corrupção de memória do Adobe Acrobat e do Acrobat Reader

Vulnerabilidade de saturação de inteiros do Adobe Acrobat e do Acrobat Reader

Vulnerabilidade de execução de código remoto de corrupção de memória do Adobe Acrobat e do Acrobat Reader






Título da recomendação Data emitida

28 de julho de 2016

28 de julho de 2016

21 de julho de 2016

terça-feira, 23 de maio de 2016

08 de fevereiro de 2016

28 de julho de 2016

18 de julho de 2016

23 de julho de 2016



Figure 39 Selected Critical Vulnerability Advisories


Figura 39 Relatórios formais de vulnerabilidades selecionadas


https://blogs.cisco.com/security/cvssv3-study





Vulnerabilidades do servidor e do clienteConforme discutido no Relatório Semestral de Segurança Digital da Cisco de 2016, os criminosos estão encontrando espaço e tempo para agir dentro das soluções de servidor. Ao realizar ataques no software de servidor, esses invasores podem controlar outros recursos de rede ou até se movimentarem lateralmente entre outras soluções essenciais.

Os pesquisadores da Cisco monitoraram as vulnerabilidades de clientes e servidores de acordo com os fornecedores (Figura 40).

Middleware: Criminosos percebem software sem correções como ótima oportunidadeNo Relatório Semestral de Segurança Digital da Cisco de 2016, nós compartilhamos dados sobre ataques realizados contra os sistemas de servidor. Em 2017, o middleware, responsável por conectar plataformas e aplicativos, será o principal alvo de criminosos que buscam espaços de operação nos quais o reconhecimento e a resposta a ameaças por parte dos defensores sejam lentos.

Enquanto procuravam vulnerabilidades em software de terceiros, os pesquisadores da Cisco descobriram uma média de 14 novas vulnerabilidades por mês em software. A maioria dessas vulnerabilidades (62) foram causadas pelo uso de middleware. Dessas 62 vulnerabilidades, 20 estavam no código que gerencia PDFs; 12, no código que gerencia imagens; 10, no código de soluções básicas de produtividade empresarial; 9, no código para compactação; e 11, em outras bibliotecas (Figura 41).

As vulnerabilidades de middleware representam uma ameaça singular à segurança, uma vez que suas bibliotecas não costumam ser atualizadas com a mesma frequência de um software voltado para clientes (ou seja, software com o qual os usuários interagem diariamente, como por exemplo as soluções de produtividade). As bibliotecas de middleware podem ser excluídas dos processos de auditoria de software, de modo que as vulnerabilidades permaneçam inalteradas.

Vulnerabilidades de servidor

(de 2332 a 3142)

Vulnerabilidades de cliente

(de 2332 a 2106)

Vulnerabilidades de rede

(de 501 a 396)

34% 8% 20%

Figure 40 Client-Server Vulnerabilities Breakdown, 2015—2016

Fonte: National Vulnerability Database

Figura 40 Análise de vulnerabilidades de cliente-servidor, 2015-2016

Figure 41 Vulnerabilities Found in Middleware Libraries

11Outros

9Compactação

10Escritório

12Imagem

20PDF


Figura 41 Vulnerabilidades encontradas em bibliotecas de middleware

COMPARTILhAR












As empresas podem até apostar na segurança do middleware, dando maior atenção à atualização de soluções com maior visibilidade. Contudo, é possível que elas saiam no prejuízo, caso os criminosos tentem acessar as redes por meio de caminhos menos conhecidos. Desse modo, o middleware se transforma em um ponto cego da segurança para os defensores, sinalizando uma oportunidade para os criminosos.

O desafio de atualizar as bibliotecas de middleware está estreitamente relacionado ao problema do software de código aberto (questão discutida no Relatório semestral sobre segurança da Cisco de 2015), já que muitas soluções de middleware são projetadas por desenvolvedores de código aberto. (No entanto, o problema atual pode afetar os desenvolvedores de middleware proprietário e de código aberto.) Desse modo, as bibliotecas de middleware precisam contar com diversos desenvolvedores para mantê-las atualizadas. Na lista de tarefas de uma equipe de TI ou de segurança já sobrecarregada, é possível que as atualizações das bibliotecas de middleware não ganhem muita atenção; no entanto, elas devem receber maior prioridade.

Qual é o possível impacto de uma vulnerabilidade de middleware, se explorada por criminosos? Como existem conexões entre o middleware e outros sistemas essenciais, como os e-mails e as mensagens, um invasor pode se mover lateralmente até esses sistemas para enviar mensagens de pishing ou de spam. Além disso, os criminosos também podem se passar por usuários autorizados e se valer das relações de confiança entre usuários para obter acesso a áreas restritas.

Caso não queira ser vítima de um ataque lançado por meio da vulnerabilidade de middleware, você deve:

● Manter uma lista atualizada das bibliotecas e dependências mais conhecidas dos aplicativos que costuma utilizar

● Monitorar ativamente a segurança desses aplicativos e minimizar riscos sempre que possível

● Inserir um acordo de nível de serviço nos contratos firmados com fornecedores de software, cujo objetivo é o fornecimento de correções em tempo hábil

● Realizar auditorias e analisar as dependências do software e a utilização da biblioteca com frequência

● Pedir aos fornecedores de software detalhes sobre os processos de manutenção e teste dos produtos

Em resumo: os atrasos na correção de falhas aumentam o espaço operacional dos criminosos, dando a eles mais tempo para obter controle sobre os sistemas essenciais. Na próxima seção, discutiremos esse impacto e as tendências em relação à correção de falhas presentes em soluções básicas de produtividade, como os navegadores da Web.

Hora de corrigir falhas: Como reduzir o período de recuperaçãoVários usuários não fazem o download nem instalam as correções em tempo hábil. E os criminosos podem usar essas vulnerabilidades sem correções para acessar as redes. Em nossa última pesquisa, descobrimos que a chave para encorajar os usuários a fazer o download e instalar as correções está na regularidade com que os fornecedores lançam atualizações de software.

O lançamento de uma versão de correção de segurança é um forte sinalizador de que há vulnerabilidades que podem ser exploradas. Ainda que alguns criminosos mais sofisticados já venham explorando essas vulnerabilidades há algum tempo, a notificação sobre a existência de uma correção informa a outros criminosos que as versões mais antigas do software podem ser exploradas.

Quando os fornecedores de software liberam novas versões regularmente, os usuários se acostumam a baixar e instalar essas atualizações. Por outro lado, quando um fornecedor não lança versões de atualização de maneira constante, os usuários não criam o hábito de instalá-las. Eles continuam a usar soluções desatualizadas, que podem conter vulnerabilidades prontas para serem exploradas.

Veja a seguir outros comportamentos que podem afetar o ciclo de atualizações:

● A inconveniência da experiência de lembrete

● A facilidade de cancelar as atualizações

● A frequência de uso do software

Existem algumas janelas de tempo durante as quais os usuários estão mais propensos a instalar uma atualização lançada pelo fornecedor. Nossos pesquisadores analisaram as instalações de software presentes nos endpoints utilizados por clientes. Constatou-se que o software pode ser dividido em três categorias:

● Novas versões: o endpoint executava a versão mais recente do software

● Versões recentes: o endpoint executava as três últimas versões do software, mas não a mais recente

● Versões antigas: o endpoint executava o software com uma versão anterior às três últimas versões

Veja o exemplo a seguir: se um fornecedor de software lançou a versão 28 no dia 1º de janeiro de 2017, a versão 28 é a mais nova; a versão 26 é a recente e a versão 23 é a antiga. (As figuras na próxima página contêm informações sobre os períodos semanais nos quais uma ou mais versões do software foram lançadas.)

http://www.cisco.com/web/offers/lp/2015-midyear-security-report/index.html

http://www.cisco.com/web/offers/lp/2015-midyear-security-report/index.html



8% 63% 48% 87% 54%54%

97%94%

97% 98%97%

95%98%

98%

70%

98%94%

63%78%

69%83%

70% 68% 76% 77% 94% 88% 80%93%

88% 94% 94% 92% 82% 86%88%94%99%67%

67%

15 20 25 30 35 40 45 50 550 5 10

Semana:

Semana:

15 20 25 30 35 40 45 50 55 60 65 70 750 5 10Maio de 2015

Maio de 2015

Versões desatualizadas:

Adobe Flash


Google Chrome

Atualização liberada Baixa AltaAdoção da atualização mais recente


Figure 42 Time to Patch for Adobe Flash and Google Chrome

Ao analisar os usuários do Adobe Flash (Figura 42), descobrimos que, na primeira semana de uma versão de atualização, quase 80% dos usuários instalaram a versão mais recente do software. Isso quer dizer que o tempo para que os usuários façam a atualização para a versão mais recente é de apenas uma semana. Esse período de "recuperação" de uma semana corresponde à janela de oportunidade durante a qual os hackers podem agir.

Se analisarmos o final do 4º trimestre de 2015 no gráfico do Adobe Flash, veremos que há uma forte queda no número de usuários que instalaram a versão mais recente da solução. No período examinado, a Adobe lançou cinco versões sucessivas do Flash, que incluíam uma combinação de novas funcionalidades, correções de bugs e atualizações de segurança. Uma enxurrada de atualizações como essa pode confundir os usuários. É possível que eles se questionem sobre a necessidade de baixar tantas atualizações. Além disso, os usuários também podem ficar incomodados com o número de notificações que recebem e podem achar que já baixaram a atualização em questão, ignorando as novas notificações. Qualquer que seja o motivo dessa falta de interesse, é sem dúvida algo ruim para os defensores.

Ao analisarmos as atualizações do navegador da Web Google Chrome, percebemos um outro padrão. Há um ritmo regular de atualizações, bem como uma forte política de cancelamento que torna difícil para os usuários ignorar as notificações de atualização. Como podemos ver na Figura 42, os endpoints que executam a versão mais recente permanecem relativamente estáveis ao longo de várias semanas.

Os dados do Chrome mostram que os usuários se recuperam com relativa rapidez. No caso de atualizações regulares, o período de recuperação é de cerca de uma semana. No entanto, em um período de nove semanas, entre o 2º e o 3º trimestre de 2016, houve sete atualizações. Por mais que os usuários tenham se recuperado, podemos ver que há uma certa fadiga: o percentual de usuários que optam por ficar com uma versão mais antiga começa a subir, ainda que a maioria deles esteja no período de recuperação.

O navegador Mozilla Firefox também oferece atualizações regularmente; no entanto, o período de recuperação pode durar até um mês. Isso quer dizer que os usuários do Firefox não baixam as atualizações com a mesma frequência que os usuários do Chrome. Um dos motivos para isso pode ser o fato de que alguns usuários não costumam usar o navegador com frequência e, portanto, não recebem os avisos de atualização (consulte a Figura 43 na próxima página).

Figura 42 Tempo para correção de falhas no Adobe Flash e no Google Chrome

COMPARTILhAR








Descobrimos que o Firefox atualizou as versões a cada duas semanas e que a frequência dessas atualizações aumentou durante o período de observação. O aumento da frequência reflete-se no aumento do uso de versões antigas do Firefox. O tempo de recuperação é de aproximadamente 1,5 semanas; no entanto, os períodos se sobrepõem. Os usuários que tentam seguir as atualizações somam apenas 30% da base de usuários. Em algum momento, dois terços dos usuários estavam executando o navegador com uma versão anterior às quatro últimas versões. Desse modo, por mais que o Firefox consiga corrigir problemas com agilidade, os usuários não estão atualizando e reiniciando o navegador no mesmo ritmo.

Quanto ao software, o nível de uso também parece ser um indicador da vulnerabilidade. Quando não acessam o software com frequência, os usuários não ficam a par da necessidade de fazer o download das correções e atualizações. Isso faz com que o software fique vulnerável a ataques.

Esse fato fica bastante claro na pesquisa realizada com o Microsoft Silverlight, que mostra um período de recuperação de até dois meses para a instalação de

atualizações após o lançamento de uma nova versão. Em determinado momento, o fornecedor lançou duas versões em um período de cinco semanas. Isso afetou os usuários por mais de três meses, como pode ser visto entre o 4º trimestre de 2015 e o 1º trimestre de 2016.

A Microsoft anunciou o fim da vida útil do Silverlight em 2012; no entanto, as correções de bugs e erros ainda estão sendo lançadas. No entanto, uma situação como essa cria o mesmo problema que temos com o Internet Explorer: um software ultrapassado e sem correções torna-se um convite para o ataque de criminosos.

O período de recuperação para usuários do Java mostra que a maioria está executando versões do software de três ou mais lançamentos atrás. E o tempo de recuperação é de 3 semanas. Contudo, o Java tem um padrão quase único, já que a maioria de seus usuários utiliza as versões mais recentes. O ciclo de atualização do Java é de 1 a 2 meses.

A lição que aprendemos sobre os ciclos de tempo até a correção é que os padrões de lançamento de novas versões são um fator essencial para garantir a postura de segurança do usuário, e isso pode colocar as redes em risco.

Figura 43 Tempo para correção de falhas no Firefox, no Silverlight e no Java

98% 98%94%

93%

92%

93%92%

99%

95% 97%99% 96%

88%99% 94% 96% 94%

95% 85%

94%93% 97% 99% 99% 97%

94% 87%99%

84% 99% 93% 99% 96% 91% 98% 97% 99% 98%

26% 88% 93% 91%

15 20 25 30 35 40 45 50 55 60 65 70 750 5 10Semana:

Semana:

Semana: 15 20 25 30 35 40 45 50 55 60 65 70 750 5 10

15 20 25 30 35 40 45 50 550 5 10

Maio de 2015

Maio de 2015

Maio de 2015



Firefox

Silverlight


Java

Atualização liberada Baixa AltaAdoção da atualização mais recente


Figure 43 Time to Patch for Firefox, Silverlight, and Java




Estudo comparativo de recursos de segurança da Cisco de 2017

49



Estudo comparativo de recursos de segurança da Cisco de 2017Para avaliar a percepção dos profissionais de segurança sobre a situação da segurança em suas empresas, a Cisco perguntou a diretores executivos de segurança (CSOs) e a gerentes de operações de segurança (SecOps) em vários países e em empresas de vários portes sobre as percepções que eles têm dos seus próprios procedimentos e recursos de segurança. O Estudo comparativo de recursos de segurança da Cisco 2017 apresenta informações sobre o nível de maturidade das operações de segurança e das práticas de segurança em uso no momento, além de comparar esses resultados com os dos relatórios de 2015 e 2016. O estudo foi realizado em 13 países com mais de 2.900 participantes.

Os profissionais de segurança desejam tornar suas empresas mais seguras, mas de uma forma que responda ao complexo cenário de invasores e aos esforços dos criminosos para expandir seu espaço operacional. Muitas empresas dependem de diversas soluções de vários fornecedores. Essa tática aumenta a complexidade e a confusão na hora de proteger as redes, pois a Internet continua crescendo em termos de velocidade, dispositivos conectados e tráfego. As empresas precisam mirar na simplicidade e na integração se quiserem se proteger.

Percepções: quanto mais os profissionais de segurança confiam nas ferramentas, menos certeza eles têm de que as estão usando com eficiênciaEm geral, os profissionais de segurança acreditam que têm soluções adequadas à disposição e que suas infraestruturas de segurança são modernas. Entretanto, segundo o nosso estudo, essa confiança vem com algum grau de incerteza. Esses profissionais nem sempre estão certos de que podem agrupar orçamentos e capacidade intelectual para aproveitar verdadeiramente a tecnologia que possuem.

As ameaças às empresas vêm de todas as direções. Ágeis e criativos, os criminosos são capazes de superar as defesas. Mesmo nesse ambiente preocupante, a maioria dos profissionais de segurança acredita que a

sua infraestrutura de segurança está atualizada, embora aparentemente essa confiança tenha enfraquecido um pouco nos últimos anos. Em 2016, 58% dos entrevistados disseram que sua infraestrutura de segurança é muito moderna e é atualizada constantemente com as últimas tecnologias. Trinta e sete por cento disseram que substituem ou atualizam suas tecnologias de segurança regularmente, mas não estão equipados com as ferramentas mais recentes e eficientes (Figura 44).

Descrito como as melhores tecnologias disponíveis atualizadas

58%

Descrito como substituído/atualizado regularmente,

mas não equipado com as ferramentas mais recentes e

e�cientes

37%2016 (n=2912)

Figure 44 Percentages of Security Professionals Who Feel Their Security Infrastructure Is Up to Date


Figura 44 Porcentagem de profissionais de segurança que consideram que sua infraestrutura de segurança está atualizada

50



Além disso, mais de dois terços dos profissionais de segurança consideram suas ferramentas de segurança como muito ou extremamente eficientes. Por exemplo, 74% acreditam que suas ferramentas são muito ou extremamente eficientes em bloquear ameaças à segurança conhecidas, enquanto 71% acreditam que suas ferramentas são eficientes em detectar anomalias de rede e defender de forma proativa contra alterações em ameaças que se adaptam ao ambiente (Figura 45).

O problema é que a confiança nas ferramentas não necessariamente se traduz em uma segurança eficiente. Como o estudo indica, os departamentos de segurança estão lutando com ferramentas complicadas de vários fornecedores e a falta de talentos internos. Isso resume o problema a "intenção versus realidade". Os profissionais de segurança desejam ferramentas de segurança simples e eficientes, mas não têm a abordagem integrada de que precisam para fazer isso acontecer.

A segurança continua sendo uma prioridade para os níveis superiores de muitas empresas. E os profissionais de segurança acreditam que as equipes executivas mantêm a segurança no topo da lista de principais metas da empresa. O desafio, obviamente, é combinar o suporte executivo com talentos e tecnologias que podem afetar os resultados da segurança.

O número de profissionais de segurança que concordam plenamente que a liderança executiva considera a segurança uma prioridade era de 59% em 2016, pouco abaixo dos 61% de 2015 e dos 63% de 2014 (Figura 46). Em 2016, 55% dos profissionais de segurança concordavam que as funções e as responsabilidades de segurança estão claras dentro da equipe de executivos da empresa. Em 2015 e 2014, 58% concordavam.

Em resumo, os profissionais de segurança confiam nas ferramentas disponíveis e parecem ser ouvidos pelos líderes na resolução de problemas de segurança. Mas essa confiança está desaparecendo aos poucos. Os profissionais de segurança estão cientes do sucesso dos invasores e do peso de gerenciar a superfície de ataque cada vez mais ampla.

Consideram suas ferramentas como muito ou extremamente

e�cazes contra ameaças à segurança conhecidas

74%Consideram suas ferramentas como

muito ou extremamente e�cazes para detectar anomalias de rede e defender de forma proativa contra

alterações em ameaças que se adaptam ao ambiente

71%

2016 (n=2912)

Figure 45 Percentages of Security Professionals Who Perceive Various Security Tools to Be Highly E�ective


Figura 45 Porcentagem de profissionais de segurança que consideram várias ferramentas de segurança como altamente eficientes

Figura 46 Porcentagem de profissionais de segurança que acreditam que a segurança é uma prioridade alta para os executivos, 2014-2016

2014

63% 61% 59% 58% 58% 55%

2015 2016 2014 2015 2016

Sólido consenso de que a liderança executiva da empresa

considera a segurança uma prioridade alta

Sólido consenso de que as funções e as responsabilidades

de segurança estão claras dentro da equipe de executivos da

empresa

2014 (n=1738), 2015 (n=2432), 2016 (n=2912)

Figure 46 Percentages of Security Professionals Who Believe Security Is a High Priority at the Executive Level, 2014–2016


COMPARTILhAR






51



Restrições: tempo, talento e dinheiro afetam a capacidade de responder a ameaçasSe os profissionais de segurança estão relativamente confiantes de que têm as ferramentas necessárias para detectar ameaças e reduzir danos, eles também reconhecem que algumas restrições estruturais representam um obstáculo no caminho de seus objetivos. Orçamento apertado é um desafio constante. Mas outras restrições à segurança eficaz dizem respeito a como simplificar e automatizar a segurança.

Em 2016, 35% dos profissionais de segurança afirmaram que o orçamento era o maior entrave para adotar tecnologias e processos de segurança avançados (uma leve redução em relação a 2015, quando 39% disseram que o orçamento era o principal obstáculo), como visto na Figura 47. Assim como em 2015, os problemas de compatibilidade com sistemas antigos eram o segundo obstáculo mais comum: 28% em 2016 contra 32% em 2015.

Dinheiro é apenas parte do problema. Por exemplo, os problemas de compatibilidade dizem respeito à ausência de integração entre sistemas desconectados. E preocupações relacionadas à falta de pessoal treinado realçam o problema de ter ferramentas, mas não talentos para compreender totalmente o que está acontecendo no ambiente de segurança.

O esforço para encontrar talentos é uma preocupação, considerando a capacidade de tomar decisões e a experiência que são necessárias para combater ataques direcionados e mudar a tática dos adversários. Uma equipe de segurança de TI bem aparelhada, com especialistas e as ferramentas certas, pode fazer a tecnologia e as políticas trabalharem em conjunto e obter melhores resultados de segurança.

O número médio de profissionais de segurança nas empresas entrevistadas era 33, contra 25 em 2015. Em 2016, 19% das empresas tinham entre 50 e 99 profissionais de segurança exclusivos; 9% tinham de 100 a 199 profissionais de segurança; e 12 tinham 200 ou mais (Figura 48).

Restrições de orçamento

Problemas de compatibilidade

Requisitos de certicação

Falta de pessoal treinado

39%

32%

25%

22%

35%

28%

25%

25%

2015 (n=2432) 2016 (n=2912)

Figure 47 Biggest Obstacles to Security


Figura 47 Os maiores obstáculos à segurança Figura 48 Número de profissionais de segurança empregados por empresas

1-9

10-19

20-29

30-39

40-49

302014

252015

332016

50-99

100-199

200+

0% 5% 10% 15% 20%

Porcentagem de empresas em 2016

15

17

13

8

6

19

9

12

Núm

ero

de p

ro�s

sion

ais

de s

egur

ança

ded

icad

os

Figure 48 Number of Security Professionals Employed by Organizations

Média de pro�ssionais dedicados à segurança


COMPARTILhAR






52



O número de profissionais de segurança varia de acordo com o porte da empresa. Como mostrado na Figura 49, 33% das grandes empresas com mais de 10.000 funcionários tinham pelo menos 200 funcionários de segurança.

Sejam quais forem as restrições, os profissionais de segurança precisam fazer perguntas difíceis sobre as barreiras que limitam a sua capacidade de enfrentar futuras ameaças.

Por exemplo, quando se trata de orçamento, quanto é o suficiente? Como os entrevistados da pesquisa explicaram, as equipes de segurança competem com muitas outras prioridades corporativas, mesmo dentro do próprio departamento de TI. Se não conseguirem garantir fundos para mais ferramentas, o orçamento com que terão de trabalhar ficará mais apertado. Por exemplo, a automação pode ser usada para compensar a limitação de mão de obra.

Perguntas semelhantes devem ser feitas sobre problemas de compatibilidade de hardware e software. À medida que os problemas de compatibilidade aumentam, quantas versões diferentes de software e hardware devem ser gerenciadas, considerando que a maioria pode não estar funcionando com eficiência? E como as equipes de segurança lidarão com os diversos requisitos de certificação necessários?

1-9 10-19 100-199 200+20-29 30-39 40-49 50-99

Figure 49 Number of Security Professionals by Size of Organization


Empresa

22%

12%

15%

12%

7%7%

14%

11%

Empresas de grande porte (+ de 10.000 funcionários)

16% 17%

33%

7%

4%

6%

10%7%

Empresas de médio porte

21%

15%10%

17%

5%5%

7%

20%

Figura 49 Número de profissionais de segurança por porte de empresa

Terceirização e a nuvem ajudam a esticar o orçamento

Muitos profissionais de segurança que participaram do estudo comparativo achavam que não dispunham de meios financeiros suficientes para fazer aquisições de segurança. Eles esticaram o orçamento terceirizando algumas tarefas ou usando soluções de nuvem. Também contaram com automação.

COMPARTILhAR






53



Figura 51 Número de fornecedores e produtos de segurança usados por empresas

Número de fornecedores de segurança no ambiente de segurança2016 (n=2850), Grá�co arredondado para o número inteiro mais próximo

Número de produtos de segurança no ambiente de segurança2016 (n=2860), Grá�co arredondado para o número inteiro mais próximo

55% usam mais de 5 fornecedores

65% usam mais de 5 produtos

1 a 5fornecedores

6 a 10fornecedores

11 a 20fornecedores

21 a 50fornecedores

6 a 10produtos

11 a 25produtos

26 a 50produtos

Mais de 50produtos

Mais de 50fornecedores

45% 29% 18% 7%

29% 21% 11% 6%

3%

35%

1 a 5produtos

Figure 51 Number of Security Vendors and Products Used by Organizations


Figura 50 Porcentagem de entrevistados que concordam plenamente com as instruções de operacionalização da segurança

2014

56% 56% 53% 55% 56% 53%

2015 2016 2014 2015 2016

Revisamos e aprimoramos nossas práticas de segurança

de forma regular, formal e estratégica ao longo do tempo

Investigamos incidentes de segurança rotineira e

sistematicamente

2014 (n=1738), 2015 (n=2432), 2016 (n=2912)

Figure 50 Percentages of Respondents Who Strongly Agree with Security Operationalization Statements


Além dessas limitações, os profissionais de segurança também estão dando uma ênfase um pouco menor à operacionalização da segurança. Essa tendência pode levantar dúvidas sobre a possibilidade de os profissionais de segurança estarem criando uma infraestrutura de segurança de qualidade inferior. Os sinais de um foco de enfraquecimento na operacionalização podem indicar que as empresas não estão preparadas para se defender em um cenário de ataque mais amplo.

Por exemplo, em 2016, 53% dos entrevistados concordavam plenamente em revisar e aprimorar as práticas de segurança de maneira regular, formal e estratégica. Em 2014 e 2015, 56% concordavam plenamente. Da mesma forma, em 2016, 53% disseram que concordavam plenamente em investigar incidentes de segurança de forma rotineira e sistemática, em comparação com 55% em 2014 e 56% em 2015 (Figura 50).

Se os profissionais de segurança estão "patinando" em suas metas de colocar a segurança em uso, não é uma surpresa que eles não consigam implantar com eficiência as ferramentas que possuem, quanto mais adicionar novas ferramentas. Se, como os entrevistados do estudo nos disseram, eles não são capazes de usar a tecnologia disponível, precisam de ferramentas simplificadas que automatizem os processos de segurança. E essas ferramentas precisam oferecer uma visão holística do que está acontecendo no ambiente de rede.

A falta de integração na segurança pode permitir lacunas de tempo e espaço, que podem ser aproveitadas por agentes mal-intencionados para iniciar ataques. A tendência dos profissionais de segurança de fazer malabarismos com soluções e plataformas de vários fornecedores pode complicar a montagem de uma defesa integrada. Como ilustrado na Figura 51, a maioria das empresas usa mais de cinco fornecedores de segurança e mais de cinco produtos de segurança em seu ambiente. Cinquenta e cinco por cento dos profissionais de segurança usam pelo menos seis fornecedores; 45% usam de um a cinco fornecedores em qualquer lugar; e 65% utilizam seis ou mais produtos.




54



7%não receberam

alertas de segurança

2016 (n=2796)

93%receberam alertas de segurança

28%dos alertas investigados são legítimos

44%dos alertas NÃOsão investigados

56%dos alertas são investigados

46%dos alertas legítimos são corrigidos

54%dos alertas legítimos NÃO são corrigidos

Figure 52 Percentages of Security Alerts That Are Not Investigated or Remediated


Se as metas de operacionalização estão patinando, as ferramentas não são usadas com o máximo de eficiência e a mão de obra não é competente, o resultado é uma segurança hesitante. Os profissionais de segurança são forçados a ignorar a investigação de alertas simplesmente porque não têm talentos, ferramentas ou soluções automatizadas disponíveis para determinar quais são importantes e porque eles estão ocorrendo.

Devido a vários fatores (como a ausência de um sistema de defesa integrado ou a falta de tempo dos funcionários), as empresas só podem investigar pouco mais da metade dos alertas de segurança que recebem em um determinado dia. Como mostrado na Figura 52, 56% dos alertas são investigados e 44% não são investigados; desses alertas que são investigados, 28% são considerados alertas legítimos. Quarenta e seis por cento dos alertas legítimos são corrigidos.

Para colocar o problema em termos mais concretos, se uma empresa registra 5.000 alertas por dia, isso significa que:

● 2.800 alertas (56%) são investigados, enquanto 2.200 (44%) não são

● Desses investigados, 784 alertas (28%) são legítimos, enquanto 2.016 (72%) não são

● Dos alertas legítimos, 360 (46%) são corrigidos, enquanto 424 (54%) não são

O fato de que quase metade dos alertas permanece sem investigação gera preocupação. O que está no grupo de alertas que não são corrigidos: ameaças de baixo nível que podem apenas difundir spam ou a possibilidade de um ataque de ransomware ou de dano à rede? Para investigar e entender uma fatia maior do cenário de ameaças, as empresas precisam confiar na automação e em soluções integradas corretamente. A automação pode ajudar a ampliar recursos preciosos e reduzir os encargos de detecção e investigação da equipe de segurança.

A incapacidade de ver tantos alertas desperta dúvidas sobre o impacto deles no sucesso de uma empresa. De que forma essas ameaças não investigadas podem afetar a produtividade, a satisfação do cliente e a confiança na empresa? Como os entrevistados disseram, até pequenas interrupções da rede ou violações de segurança podem ter efeitos a longo prazo no resultado. Mesmo se as perdas forem relativamente menores e os sistemas afetados forem fáceis de identificar e isolar, os líderes de segurança consideram as violações como significativas devido ao estresse imposto à empresa.

Figura 52 Porcentagem de alertas de segurança que não são investigados ou corrigidos

COMPARTILhAR






55



O estresse pode afetar as empresas de várias maneiras. As equipes de segurança acabam tendo que dedicar tempo ao gerenciamento de interrupções da rede que ocorreram após uma violação de segurança. Quase metade dessas interrupções duraram até 8 horas. Quarenta e cinco por cento das interrupções duraram de 1 a 8 horas (Figura 53); 15% duraram de 9 a 16 horas e 11% duraram de 17 a 24 horas. Quarenta e um por cento dessas interrupções afetaram entre 11% e 30% dos sistemas das empresas.

Impacto: Mais empresas sofrem perdas decorrentes de violações

Os efeitos das violações não se limitam a interrupções. As violações também resultam em perda de dinheiro, tempo e reputação. As equipes de segurança que acham que conseguirão se livrar desse problema ignoram a realidade dos dados. Como nosso estudo mostra, quase metade das empresas teve que lidar com as críticas resultantes de uma violação de segurança. Devido à gama de habilidades e táticas dos invasores, a pergunta não é se uma violação de segurança acontecerá, mas sim quando.

Como mostra o estudo comparativo, os profissionais de segurança são sacudidos pela realidade quando as violações ocorrem. Geralmente, eles mudam as estratégias de segurança ou reforçam as defesas. As empresas que ainda não sofreram uma violação em suas redes por invasores podem estar aliviadas de terem escapado. No entanto, essa confiança não se justifica.

Quarenta e nove por cento dos profissionais de segurança entrevistados disseram que a empresa precisou lidar com o escrutínio público resultante de uma violação de segurança. Entre essas empresas, 49% divulgaram a violação voluntariamente, enquanto 31% disseram que a divulgação foi feita por terceiros (Figura 54). Em outras palavras, quase um terço das empresas entrevistadas foram forçadas a lidar com a divulgação involuntária de violações. É claro que os dias em que se podia lidar com violações sem muito alarde ficaram para trás. Há muitos reguladores, mídias e usuários de mídias sociais para expor as notícias.

31% 31% 50%

49%Tiveram que lidar com as críticas resultantes de uma violação de segurança

2016 (n=2824)

Como a violação mais recente se tornou conhecida externamente

(n=1389)

Divulgado involuntariamente

(terceiros)

Com necessidade de relatórios

(regulamentação/legal)

Divulgado voluntariamente

Figure 54 Percentage of Organizations Experiencing a Public Breach


Figura 54 Porcentagem de empresas que passaram por uma violação pública

Figura 53 Tamanho e alcance das interrupções causadas por violações de segurança

Tempo de inatividade de sistemas das empresas devido a violações

2016 (n=2665)

Porcentagem de sistemas afetados devido a violações

2016 (n=2463)

7%

1%

13% 45% 15% 11% 9%

19% 41% 24% 15%

Mais de 24horas

17 a 24horas

9 a 16horas

1 a 8 horas

Menos de1 hora

Nenhuma interrupção

Mais de 50%afetados

31 a 50%afetados

11 a 30%afetados

1 a 10% afetados

Nenhumimpacto

Figure 53 Length and Extent of Outages Caused by Security Breaches


COMPARTILhAR






56



O dano às empresas vai além do tempo necessário para lidar com uma violação ou uma interrupção. Há enormes repercussões que as empresas devem tentar evitar a todo custo.

Como ilustrado na Figura 55, 36% dos profissionais de segurança disseram que a função de operações provavelmente foi a mais afetada. Isso significa que os principais sistemas de produtividade, que afetam desde o transporte até os serviços de saúde e a produção, podem desacelerar ou até serem paralisados.

Depois de operações, finanças foi provavelmente a função a ser mais afetada (citada por 30% dos entrevistados), seguida por reputação da marca e retenção de clientes (ambos 26%).

Nenhuma empresa que planeje se expandir e atingir o sucesso deseja ter departamentos importantes afetados por violações de segurança. Os profissionais de segurança devem analisar os resultados da pesquisa sob a perspectiva de suas empresas e se perguntar: se a minha empresa sofrer esse tipo de perda decorrente de uma violação, o que acontecerá com ela no futuro?

Figura 55 Funções que muito provavelmente devem ser afetadas por uma violação pública

Operações

36% 30%Finanças

26%

Reputação da marca

26%

Retenção do cliente

24%

Propriedade intelectual

Não tiveram nenhuma violação de segurança no ano passado

10%22%

Relacionamentos comparceiros de negócios

20%

Relacionamentoscom fornecedores

20%

Compromissos jurídicos

19%

Controle normativo

Figure 55 Functions Most Likely to Be A�ected by a Public Breach


COMPARTILhAR






57



As perdas de oportunidades para as empresas que sofrem ataques on-line são alarmantes. Vinte e três por cento dos profissionais de segurança entrevistados afirmaram que, em 2016, suas empresas perderam oportunidades devido a ataques (Figura 56). Desse grupo, 58% disseram que o total de oportunidades perdidas foi inferior a 20%; 25% disseram as oportunidades perdidas ficaram entre 20% e 40%, e 9% afirmaram que o montante de oportunidades perdidas atingiu de 40% a 60%.

Muitas empresas podem quantificar as perdas de receita em decorrência de violações públicas. Como ilustrado na Figura 57, 29% dos profissionais de segurança disseram que suas empresas perderam receita como resultado dos ataques. Desse grupo, 38% disseram que a perda de receita foi igual ou superior a 20%.

Outro resultado dos ataques on-line é o menor número de clientes. Como ilustrado na Figura 58, 22% das empresas disseram que perderam clientes como resultado dos ataques. Desse grupo, 39% disseram que perderam 20% ou mais clientes.

Figura 56 Porcentagem de oportunidades de negócios perdidas como resultado de um ataque

58%

23%

25% 9% 5% 3%

Perceberam uma perda considerável de oportunidades

(n=625)

42%

Perderam oportunidades

Equipe de segurança de TI(n=2912)

Perderam de 80 a 100%




Perderam menos de 20%

Figure 56 Percentage of Business Opportunity Lost as the Result from an Attack


Figura 57 Porcentagem de receitas da empresa perdidas como resultado de um ataque

62%

29%

20% 10% 4% 4%

Perceberam uma perda considerável de receita

(n=778)

38%

Perderam receita

Equipe de segurança de TI (n=2912)






Figure 57 Percentage of Organizational Revenue Lost as the Result of an Attack

Fonte: Estudo comparativo de recursos de segurança da Cisco de 2017Baixe os gráficos de 2017 em: www.cisco.com/go/acr2017graphics

Figura 58 Porcentagem de clientes perdidos por empresas devido a ataques

61%

22%

21% 8% 6% 4%

Perceberam uma perda considerável de clientes

(n=641)

39%

Perderam clientes







Figure 58 Percentage of Customers Lost by Companies Due to Attacks




58



Resultados – A maior fiscalização terá uma importante função nas melhorias de segurança

Como mostram os resultados da pesquisa, o impacto das violações pode ser duradouro e generalizado. Se pressupomos que uma empresa será afetada por uma violação em algum momento, a pergunta é: o que acontece em seguida? Para onde a administração deve deslocar atenção e recursos a fim de diminuir a probabilidade de violações?

A oportunidade de aprendizado faz parte das consequências de uma violação. É uma experiência que não deve ser desperdiçada em termos de investimento em melhores abordagens.

Noventa por cento dos profissionais de segurança afirmaram que uma violação de segurança melhorou os procedimentos, as políticas e as tecnologias de defesa contra ameaças, como mostrado na Figura 59. Dessas empresas afetadas por violações, 38% disseram que responderam separando a equipe de segurança do departamento de TI; 38% afirmaram que aumentaram o treinamento de conscientização de segurança entre os funcionários; e 37% disseram que aumentaram o enfoque na análise e na redução de riscos.

90%A�rmaram que a violação de segurança melhorou os procedimentos, as políticas e as tecnologias de defesa contra ameaças

Pro�ssionais de segurança (n=1388)

Separaram a equipe de segurança do departamento de TI

Aumento do treinamento de conscientização de segurança entre os funcionários

Aumento do foco na análise e na mitigação de riscos

Aumento do investimento nas tecnologias ou soluções de defesa para segurança

Aumento do investimento em treinamento da equipe de segurança

38%

38%

37%

37%

37%

2016 (n=1375)

As cinco principais melhorias para proteger a empresa contra violações de segurança

Figure 59 How Security Breaches Drive Improvements


Figura 59 Como as violações de segurança promovem melhorias

COMPARTILhAR






59



As empresas reconhecem que precisam exercer a criatividade para ir além das restrições de talentos, orçamentos e compatibilidade de tecnologias. Uma estratégia é adotar serviços terceirizados para reforçar o orçamento e utilizar talentos que podem não ser um recurso interno.

Em 2016, 51% dos profissionais de segurança terceirizaram a consultoria e 45% terceirizaram a resposta a incidentes (Figura 60). Cinquenta e dois por cento disseram que terceirizaram os serviços para economizar custos, enquanto 48% disseram ter feito isso para obter insights independentes.

Assim como fazem com a terceirização, as empresas também contam com fornecedores externos para melhorar suas estratégias de defesa. O ecossistema de segurança oferece maneiras de compartilhar a responsabilidade pela segurança.

Setenta e dois profissionais de segurança disseram que contam com fornecedores externos para 20% a 80% de sua segurança, como ilustrado na Figura 61. Essas empresas que dependem muito de ajuda externa na segurança provavelmente aumentarão o uso de fornecedores terceirizados no futuro.

Figura 60 A confiança das empresas na terceirização

72%utilizam fornecedores de terceiros para 20 a

80% da segurança

49%21%

19%9%

3%

43%25%

25%

5%

2%

39%25%

24%

6%

6%

33%27%

11%14%

15%

6%

Utilizam mais de 80%

31%Utilizam entre 40 e 80%

22%

Utilizam menos de 20%

41%Utilizam entre 20 e 40%


Mudança na utilização no próximo anoA utilização de fornecedores de terceiros (n=2504) pela equipe de segurança de TI

Aumentará bastanteAumentará um poucoPermanecerá igualDiminuirá um poucoDiminuirá bastante


Figure 61 Percentage of Organizations' Reliance on OutsourcingFigura 61 Porcentagem de confiança das empresas na terceirização

Conselho e consultoria

51%Resposta a incidentes

45%

Para serem mais econômicos

52%Para obter um insight independente

48%

Serviços de segurança terceirizados2016 (n=2912)

Por que os serviços são terceirizados2016 (n=2631)

Figure 60 Organizations' Reliance on Outsourcing


COMPARTILhAR






60



À medida que adotam etapas para reforçar a postura de segurança, as empresas podem esperar que seus esforços recebam mais atenção. Essa fiscalização virá de públicos influentes e, portanto, não poderá ser ignorada. O modo como as preocupações desses públicos serão encaradas pode ter um impacto considerável na capacidade de defesa de uma empresa.

Setenta e quatro por cento dos profissionais de segurança afirmaram que a fiscalização virá dos executivos; 73%, de clientes e consumidores; e 72%, dos funcionários, como ilustrado na Figura 62.

Figura 62 Fontes de maior controle

2016 (n=2912)

Liderançaexecutiva

74% 73%Clientes

72%Funcionários

72%

Parceiros comerciais

70%

Watchdog e grupos de interesses

70%Reguladores

69%Investidores

67%

Empresas de seguro

60%Pressionar

Figure 62 Sources of Increased Scrutiny


61



Confiança versus custo: o que determina as aquisições de segurança?Os profissionais de segurança querem as melhores soluções possíveis para proteger suas empresas, mas suas percepções diferem sobre como criar um ambiente seguro ideal. Eles compram as melhores soluções de diversos fornecedores porque acham que essas soluções resolverão vários problemas diferentes? Ou utilizam uma arquitetura integrada, pois acreditam que essa abordagem é mais econômica? Embora existam muitos determinantes para investimentos em segurança, um fator que pode beneficiar todas as empresas é a maior simplicidade.

Como ilustrado na Figura 63, os profissionais de segurança parecem divididos entre confiança e custo na hora de escolher entre as melhores soluções do setor ou soluções de arquitetura. Sessenta e cinco por cento disseram que preferem as melhores soluções do setor porque confiam mais nelas do que em uma abordagem de arquitetura empresarial. Por outro lado, 59% disseram que preferem uma abordagem de arquitetura porque acreditam que é mais econômica.

Este não é um dilema do tipo "uma coisa ou outra". As empresas precisam das melhores soluções de segurança integrada do setor. As duas abordagens oferecem benefícios e simplificam a segurança ao oferecer ferramentas de resposta automática (Figura 63).

Combinando as melhores soluções da categoria com uma abordagem integrada, as equipes de segurança podem adotar uma estratégia de segurança menos complexa e mais eficiente. A abordagem integrada ajuda os profissionais de segurança a entenderem o que está acontecendo em cada fase da defesa. Essa abordagem reduz o espaço operacional dos invasores. Ela é simples, permitindo que as equipes implantem soluções em escala. Ela é aberta, gerando as melhores soluções do setor conforme necessário. E é automatizada, para oferecer detecção mais rápida.

65% 36%

41% 59%

24% 33%

13% 10%

39%

4%

39%

18%

Compra de solução de segurança Threat Defense Equipe de segurança de TI (n=2665)

Motivos para favorecer uma abordagem de melhores do setorEmpresa que comprou as melhores soluções do setor

Motivos para favorecer uma abordagem de arquitetura empresarialAs empresas que normalmente seguem uma abordagem de arquitetura empresarial

Normalmente segue a abordagem com base em projeto (por exemplo, melhores produtos pontuais)

Normalmente segue a abordagem de arquitetura empresarial

Implanta produtos pontuais conforme necessário

Somente implanta para atender aos requisitos de conformidade ou regulamentares

Con�ar mais do que na abordagem de arquitetura empresarial

Con�am mais que a melhor do setor

As melhores soluções do setor são mais econômicas

As melhores soluções do setor são mais fáceis de implementar

As melhores soluções do setor são mais rápidas de implementar

A abordagem de arquitetura empresarial é mais econômica

A abordagem de arquitetura empresarial é mais fácil de implementar

A abordagem de arquitetura empresarial é mais rápida de implementar

Figure 63 How Trust and Cost-Eectiveness Drive Security Decisions


Figura 63 Como a confiança e a economia guiam as decisões de segurança

62



Resumo – O que o estudo comparativo revela

Há uma grande diferença entre amontoar ferramentas de segurança e saber usá-las para reduzir riscos e fechar o espaço operacional dos criminosos. Os entrevistados no estudo comparativo acreditam que têm ferramentas capazes de deter os invasores. Mas também reconhecem que restrições, como a falta de mão de obra e a compatibilidade inadequada entre produtos, podem diminuir a eficiência de boas ferramentas mais do que o esperado.

As preocupantes descobertas sobre o impacto das violações devem fornecer aos profissionais de segurança provas mais do que evidentes da necessidade de melhorar processos e protocolos. Diante de efeitos reais e imediatos como perda de receita e de clientes, as empresas não podem simplesmente

querer distância de lacunas na proteção de segurança, pois a pergunta não é se acontecerá uma violação, mas sim quando.

Uma conclusão do estudo comparativo é que as restrições que limitam a segurança ágil e eficaz sempre estarão presentes: nunca haverá disponibilidade suficiente de orçamento e talentos na mesma medida que os profissionais de segurança acreditam que precisam. Se aceitarmos essas restrições, a ideia de simplificar a segurança e implantar soluções automatizadas passa a fazer sentido.

A simplificação da segurança também utiliza as melhores soluções da categoria e uma arquitetura integrada. As empresas precisam dos benefícios das duas abordagens.

64


Setor

SetorSegurança da cadeia de valor – O sucesso em um mundo digital depende da redução do risco de terceirosA segurança da cadeia de valor é um elemento essencial de sucesso em uma economia conectada. É fundamental garantir que a segurança adequada esteja no lugar certo e no momento oportuno ao longo de toda a cadeia de valor, ou seja, o ciclo de vida completo de hardware, software e serviços.

As oito fases da cadeia de valor são mostradas na Figura 64.

A tecnologia da informação e a tecnologia operacional estão convergindo neste mundo digitalizado. Não basta que as empresas se concentrem em somente proteger sua infraestrutura, suas ofertas e seus modelos de negócios internos. As empresas devem analisar a cadeia de valor de forma holística e ver se cada um dos terceiros envolvidos no modelo de negócios delas ou que façam menção às suas ofertas representam um risco à segurança.

A resposta mais simples é que a pesquisa do Sans Institute constatou que 80% das violações de dados são originadas de terceiros.¹⁵ Para reduzir os riscos, as empresas devem promover uma cadeia de valor em que a segurança não esteja implícita e a segurança seja responsabilidade de todos. Como etapa fundamental para alcançar esse objetivo, as empresas devem:

● Identificar os principais participantes do ecossistema de terceiros e entender o que eles oferecem

● Desenvolver uma arquitetura de segurança flexível que possa ser compartilhada e implantada por terceiros nesse ecossistema

● Avaliar se esses terceiros estão operando dentro dos níveis de tolerância definidos pela arquitetura de segurança da empresa

● Ficar alerta quanto a novos riscos à segurança que o ecossistema pode apresentar com o aumento da digitalização

As empresas também devem considerar a segurança antes de apresentar um novo modelo de negócios ou uma oferta que exija envolvimento ou o que de outra forma afete o ecossistema de terceiros. Todo ganho de produtividade ou resultado em potencial deve ser avaliado levando em conta possíveis riscos, particularmente aqueles relativos a segurança de dados e privacidade.

Há uma maior percepção quanto à importância da cadeia de valor, tanto globalmente quanto em segmentos específicos do setor. Em recente lei norte-americana sobre aquisição de TI, determinou-se uma avaliação de um ano, realizada pelo Departamento de Defesa dos EUA, sobre padrões de tecnologia aberta em aquisições relacionadas a tecnologia da informação e segurança digital¹⁶. No setor altamente convergente da energia, a North-American Electric Reliability Corporation (NERC) está desenvolvendo de forma ativa novas exigências que abordam sua cadeia de valores digitais¹⁷.

Projeto Planejar Origem Marca Qualidade Distribuição Sustentação Fim da vida útil

Figure 64 The Stages of the Value Chain

Fonte: Cisco

Figura 64 As etapas da cadeia de valor

¹⁵ Combatting Cyber Risks in the Supply Chain, SANS Institute, 2015: https://www.sans.org/reading-room/whitepapers/analyst/combatting-cyber-risks-supply-chain-36252. ¹⁶ Lei pública 114-92 § ¹⁷ O NERC solicitou que fosse empreendida esta iniciativa por parte da Comissão Federal de Regulamentação de Energia dos EUA (CFR 18, Parte 40) [Lista de sentenças nº RM15-14-

002; Pedido nº 829].

COMPARTILhAR

https://www.sans.org/reading-room/whitepapers/analyst/combatting-cyber-risks-supply-chain-36252






65


Setor

As empresas, em conjunto com seus terceiros, devem responder a certas perguntas: "Como e por quem os dados serão gerados?" e "Os dados devem ser extraídos digitalmente?" Para se obter mais clareza, é preciso questionar "A quem pertence os recursos digitais que estamos coletando ou criando?" e "Com quem estamos dividindo essas informações?". Outra pergunta fundamental a ser respondida é "De quem é a responsabilidade e a obrigação quando ocorre uma violação?".

Essa abordagem centrada na cadeia de valor ajuda a assegurar que as considerações sobre segurança façam parte de cada estágio do ciclo de vida das soluções. A arquitetura certa, combinada à adesão aos padrões de segurança apropriados, ajudará a promover segurança difundida e confiança por toda a cadeia de valor.

Atualização geopolítica: Criptografia, confiança e um apelo à transparênciaEm relatórios de segurança digital anteriores, os especialistas em geopolítica da Cisco examinaram a incerteza no cenário da administração da Internet, os direitos individuais em comparação aos direitos do Estado e as formas como governos e empresas privadas lidam com o dilema da proteção de dados. Um tema comum nessas discussões foi a criptografia. Acreditamos que a criptografia continuará a permear, e talvez dominar, o debate sobre segurança digital no futuro próximo.

A proliferação de leis nacionais e regionais sobre privacidade de dados gerou apreensão entre fornecedores e usuários ao tentarem se adequar à legislação. Nesse ambiente de incertezas, questões como soberania e localização de dados tornaram-se importantes, colaborando para impulsionar o crescimento da computação em nuvem e do armazenamento localizado de dados à medida que as empresas buscam soluções criativas para atender a regulamentações de privacidade complexas e em constante evolução¹⁸.

Ao mesmo tempo, o aumento no número de violações de dados e ameaças avançadas persistentes, além da publicidade em torno de ataques patrocinados por países (inclusive aqueles feitos durante eventos de grande visibilidade, como as eleições presidenciais norte-americanas) fazem com que os usuários tenham menos confiança na real proteção de sua privacidade e dados confidenciais.

Os governos da era pós-Snowden vêm manifestando cada vez mais abertamente seu desejo de regular as comunicações digitais e de acessar dados quando julgarem necessário. Entretanto, os usuários têm se mostrado igualmente enfáticos em sua demanda por privacidade. Eventos como o recente conflito entre a Apple e o FBI acerca de um iPhone pertencente a um terrorista não colaboram para atenuar as preocupações dos usuários quanto à privacidade. Esses eventos serviram para ensinar uma geração de usuários digitais, especialmente nos Estados Unidos, sobre criptografia de ponta a ponta. Agora, muitos usuários exigem esse tipo de tecnologia dos provedores de tecnologia e desejam, também, ter acesso às chaves de criptografia.

Isso marca uma mudança fundamental no cenário de segurança digital como o conhecemos. As empresas precisarão planejar seus ambientes de modo que possam administrar e responder aos concorrentes.

Enquanto essa mudança está acontecendo, mais governos estão se dando o direito legal, em muitos casos de forma abrangente, de contornar ou violar medidas de proteção técnicas ou criptográficas. Com frequência, isso se dá sem que o fabricante, o provedor de comunicação ou o usuário tome conhecimento. Essas decisões vêm causando tensões não somente entre autoridades e empresas de tecnologia, mas também entre governos, que, em muitos casos, não desejam que os dados de seus cidadãos sejam acessados por autoridades de outros países. Muitos governos coletam informações sobre vulnerabilidades e exploits de dia zero descobertos em software de fornecedores. Nem sempre, contudo, eles compartilham essas informações com os fornecedores em tempo hábil ou são transparentes acerca das informações que possuem.

Reter essas informações valiosas impede que os fornecedores melhorem a segurança de seus produtos e ofereçam aos usuários uma proteção melhor contra ameaças. Embora os governos possam ter uma boa razão para manter algumas dessas informações para si, há também a necessidade de maior transparência e confiança no cenário global de segurança digital. Com isso em mente, as autoridades governamentais deveriam conduzir uma avaliação franca de suas políticas atuais acerca do armazenamento de exploits de dia zero. O primeiro passo seria assumir o posicionamento padrão de que dividir informações com os fornecedores só pode resultar em um ambiente digital muito mais seguro para todos.

¹⁸ Para obter mais informações sobre este tópico, consulte "Data Localization Takes Off as Regulation Uncertainty Continues", de Stephen Dockery, 6 de junho de 2016, The Wall Street Journal: http://blogs.wsj.com/riskandcompliance/2016/06/06/data-localization-takes-off-as-regulation-uncertainty-continues/.

http://blogs.wsj.com/riskandcompliance/2016/06/06/data-localization-takes-off-as-regulation-uncertainty-continues/

66


Setor

Criptografia de alta velocidade: uma solução escalável para proteção de dados em trânsito

Conforme explicado na seção geopolítica da página 65, a criptografia completa continuará sendo assunto de muito debate e consternação entre os governos e o setor no futuro próximo. Independentemente da tensão resultante desse problema, está aumentando a demanda de usuários por criptografia de dados completa com chaves guardadas pelo cliente.

Os especialistas geopolíticos da Cisco antecipam que alguns fluxos e pools de dados provavelmente permanecerão criptografados com chaves gerenciadas pelo fornecedor pelo menos a curto prazo, principalmente em modelos de negócios orientados para anúncios. Em outros lugares, entretanto, devemos ver o uso da criptografia completa com chaves guardadas pelo cliente ganhar força, na ausência de documentação legal em contrário.

Enquanto isso, procure empresas que busquem mais controle sobre a proteção de dados em trânsito, principalmente durante a transferência em alta velocidade de um data center para outro. Essa costumava ser uma tarefa árdua para as empresas devido às limitações das tecnologias antigas e ao impacto no desempenho da rede. No entanto, novas abordagens estão simplificando esse processo.

Uma solução é a segurança da camada de aplicação, em que os aplicativos são modificados para criptografar dados. Dependendo do número de aplicativos que a empresa utiliza, a implantação desse tipo de segurança pode exigir alto consumo de recursos e ter implementação complexa e operação cara.

Outra abordagem que vem ganhando força são os recursos de criptografia integrados a uma rede ou a um serviço em nuvem para proteger dados em trânsito. É uma evolução do tradicional modelo de gateway VPN, uma solução que atende à natureza dinâmica das redes e às taxas de transmissão de alta velocidade do tráfego de data center. As empresas estão usando a eficiência dos custos operacionais proporcionada pelos novos recursos para proteger os dados recebidos de qualquer aplicativo nesse ambiente enquanto eles trafegam em alta velocidade para outro local.

No entanto, a criptografia na rede é apenas uma ferramenta para proteger dados. Para garantir que estão fazendo o suficiente para proteger os dados armazenados ou em trânsito, as empresas devem encarar o desafio de forma holística. Um bom ponto de partida é fazer aos fornecedores de tecnologia perguntas básicas, mas importantes, como:

● De que forma os dados são protegidos quando estão em trânsito?

● Como eles são protegidos quando estão armazenados?

● Quem tem acesso aos dados?

● Onde os dados são armazenados?

● Qual é a política de exclusão de dados e quando eles devem ser excluídos, se for o caso?

Além disso, essas perguntas são apenas o início de um diálogo mais amplo sobre a proteção de dados que deve evoluir para uma discussão de tópicos como disponibilidade e resiliência de dados.

67


Setor

Adoção e desempenho da rede em comparação à maturidade da segurança: Velocidades on-line, tráfego e prevenção não estão crescendo no mesmo ritmo

Os defensores querem estar à frente dos invasores. Ficar para trás significa estar potencialmente em risco. A preocupação é de que os defensores não consigam melhorar sua postura de segurança na mesma velocidade em que os criminosos ganham espaço e tempo para agir. Dado o crescimento mundial do tráfego de Internet fixa e móvel, os defensores são obrigados a acompanhar o ritmo com o amadurecimento de sua infraestrutura de segurança.

Todos os anos, a previsão da Cisco VNI examina o tráfego de IP global, inclusive tráfego móvel e de Wi-Fi. As previsões apresentam projeções de 5 anos para tráfego de IP, o número de usuários de Internet e o número de conexões de dispositivos pessoais e máquina a máquina (M2M) que serão comportados por redes IP. (Acesse esta página para obter mais detalhes sobre as previsões da VNI.) Por exemplo, a previsão estima que até 2020 os smartphones vão gerar 30% do tráfego total de IP.

A Cisco comparou a previsão da VNI com dados sobre a maturidade das defesas, retirados do Security Capabilities Benchmark Study anual da Cisco (consulte a página 49). Ao examinar as taxas de crescimento de maturidade nos relatórios de 2015, 2016 e 2017, como exposto na Figura 65, a maturação da segurança está abaixo do esperado em comparação com o crescimento do tráfego da Internet. Alguns países, como China e Alemanha, mostram uma leve queda de maturidade durante esse período. As velocidades da banda larga, em especial, estão melhorando e crescendo a um ritmo bem mais acelerado do que outras variáveis de rede mostradas na Figura 65. Velocidades maiores e mais dispositivos conectados propiciam um maior crescimento do tráfego, mas as empresas estão enfrentando dificuldades para reforçar suas medidas e infraestruturas de segurança em um ritmo semelhante.

0%

100%

50%

150%

200%

250%

300%

Cre

scim

ento

per

cent

ual

Austrália Brasil Canadá China França Alemanha Índia Itália Japão México Rússia ReinoUnido

EstadosUnidos

Resumo

Maturidade da segurança Tráfego total Dispositivos Usuários da Internet �xa Tráfego da Internet móvel Velocidade móvel

Figure 65 Security Maturity and Growth Rates

Fonte: Cisco Security Research, Cisco VNI e Estudo comparativo de recursos de segurança da Cisco de 2017

Figura 65 Maturidade de segurança e taxas de crescimento

COMPARTILhAR








68


Setor

Certos setores também apresentam um atraso em termos de maturidade da segurança em comparação com outros setores, como mostra a Figura 66. Os mercados de produtos farmacêutico, serviços de saúde e transporte, em especial, apresentam mais atrasos do que outros.

É importante observar que o grande crescimento das velocidades móveis é resultado da ampla adoção de redes 4G e LTE por operadoras de telecomunicações. Quando implantações em larga escala de redes 5G estiverem disponíveis ao fim desta década, espera-se que as velocidades móveis sejam comparáveis às velocidades da rede fixa. Segundo o relatório mais recente sobre dados móveis da VNI, a previsão é de que o tráfego mundial de dados móveis deve ganhar uma porção maior do tráfego

total de IP quando o 5G for amplamente adotado. O tráfego global de dados móveis correspondeu a 5% do tráfego total de IP em 2015, de acordo com a previsão da VNI. A projeção é de que chegue a 16% até 2020.

É evidente que as empresas de segurança devem intensificar, e rápido, seus esforços em prol da maturidade, se desejarem acompanhar o crescimento do tráfego da Internet, que traz consigo o crescimento da superfície de possíveis ataques. Além disso, as empresas devem responder ao aumento do uso de endpoints móveis e sem fio em redes corporativas. Precisam também comportar um uso mais amplo de dispositivos pessoais que possibilitem o acesso a dados corporativos por parte dos funcionários.

Figure 66 Security Maturity in Industry Verticals


Setor por segmento

Educação(n=44)

5

30

18

48

Serviços �nanceiros(n=501)

4

31

29

36

Governo(n=345)

7

30

23

39

Serviços de saúde(n=211)

14

31

27

29

Produção não relacionada à informática

(n=355)

5

27

29

39

Serviços/energia(n=113)

5

33

24

38

Transporte(n=174)

5

38

27

30

Telecomunicações(n=303)

24

28

42

Varejo(n=286)

5

30

34

32

Produtos farmacêuticos(n=56)

9

39

21

30

AltoMédio a altoMédiaBaixa

3

Grá�co arredondado para o número inteiro mais próximo

Figura 66 Maturidade de segurança em mercados verticais

69


Setor

Velocidades mais rápidas não são o único fator que vêm impulsionando o crescimento do tráfego da Internet. A Internet das Coisas (IoT) está aumentando o número de dispositivos conectados à Internet, o que contribui para o aumento do tráfego e abre o caminho para invasores.

Para obter mais informações sobre as previsões da Cisco VNI, acesse o site da site da Cisco ou leia a publicação no blog da Cisco sobre a previsão anual da VNI para os anos de 2015 a 2020.

Figure 67 Security Maturity by Country


AltoMédio a altoMédiaBaixa

425

29

41USA

425

30

41Brasil

7

31

28

34Alemanha

5

36

31

28

Itália

29

5

38

28ReinoUnido

5

31

34

31Austrália

13

35

21

31China

317

31

47 Índia

7

32

26

35Japão

421

26

47México

4

30

27

39Rússia

6

35

26

32França

7

36

23

33Canadá

2016 (n=2852) Grá�co arredondado para o número inteiro mais próximo

Figura 67 Maturidade de segurança por país


http://blogs.cisco.com/sp/updated-cisco-vni-complete-forecast-released-today-so-what?_ga=1.213955538.475831013.1478563405

http://blogs.cisco.com/sp/updated-cisco-vni-complete-forecast-released-today-so-what?_ga=1.213955538.475831013.1478563405

Conclusão

71


Conclusão

ConclusãoUma superfície de ataque em rápida expansão requer uma abordagem interconectada e integrada da segurançaAo analisar dados do Security Capabilities Benchmark Study da Cisco (consulte a página 49), podemos identificar padrões e decisões que ajudam as empresas a minimizarem os riscos. Podemos, então, detectar onde devem ser feitos investimentos em segurança de forma a gerar uma diferença considerável em relação à exposição a riscos. Mensuramos os riscos ao analisar a dimensão das violações, bem como o percentual das interrupções no sistema (consulte a Figura 53 na página 55, acerca da dimensão das violações e os sistemas afetados).

Para compreender como as empresas criam proteções eficientes contra riscos, é preciso identificar os determinantes que afetam a capacidade de prevenir, detectar e minimizar riscos (consulte a Figura 68). Os determinantes devem compreender os seguintes elementos:

● Liderança executiva: os líderes devem priorizar a segurança. Isso é fundamental para a redução e a prevenção de ataques. A equipe executiva deve ter métricas claras e estabelecidas para avaliar a eficiência de um programa de segurança.

● Política: está estreitamente ligada à redução de invasões. Controlar os direitos de acesso a redes, sistemas, aplicativos, funções e dados influencia a capacidade de reduzir danos resultantes de violações de segurança. Além disso, políticas que garantem a constante revisão das práticas de segurança ajudam a prevenir ataques.

● Protocolos: os protocolos corretos podem ajudar a evitar e detectar violações, além de ter forte relação com a redução de invasões. Avaliações regulares das atividades de conexão em redes, para garantir que as medidas de segurança estejam funcionando, em especial, são cruciais tanto para a prevenção quanto para a redução das ameaças. Também é útil revisar e aperfeiçoar as práticas de segurança de modo regular, formal e estratégico ao longo do tempo.

● Ferramentas: a aplicação criteriosa e adequada de ferramentas está fortemente ligada à redução de riscos. Com o acesso às ferramentas certas, os usuários podem analisar e fornecer feedback fundamental para a detecção, prevenção e redução de ameaças.

Figure 68 Drivers and Safeguards for Minimizing Risk


ProteçõesMeça a in�uência da capacidade da empresa de impedir, detectar e mitigar efeitos de uma brecha sobre o risco

DeterminantesMeça a in�uência da política, liderança executiva, protocolos, ferramentas na capacidade da empresa de impedir, detectar e mitigar efeitos de uma brecha

Liderançaexecutiva

Política

Protocolos

Ferramentas

Risco minimizadoDetecte

Mitigar

Prevenir

Figura 68 Determinantes e proteções para minimizar riscos




72


Conclusão

As disposições de segurança usadas pelas empresas (prevenção, detecção e redução) podem ser vistas como medidas de influência quanto à capacidade de minimizar riscos por parte de uma empresa (consulte a Figura 68).

Essas proteções devem incluir os seguintes elementos:

● Prevenção: para minimizar o impacto das violações de segurança, os funcionários devem relatar falhas e problemas de segurança. Também é fundamental que procedimentos e processos de segurança estejam claros e bem assimilados.

● Detecção: os melhores métodos de detecção para reduzir o impacto das violações são aqueles que permitem às empresas identificar pontos fracos na segurança antes que se tornem incidentes graves. Para isso, é essencial ter um bom sistema para classificar informações relativas a incidentes.

● Redução: processos e procedimentos bem documentados de monitoramento e resposta a incidentes são fundamentais para reduzir com eficiência as violações. As empresas também precisam ter protocolos sólidos para gerenciar respostas a crises.

Todos esses determinantes e medidas de proteção são interconectados e interdependentes. Os profissionais de segurança não podem se limitar a alguns determinantes ou medidas de proteção e acreditar que estes são suficientes para resolver o problema da segurança. É necessário garantir toda a segurança possível, aplicando cada determinante e medida de segurança. As equipes de segurança devem identificar seus pontos fracos, como níveis insatisfatórios de suporte de líderes ou falta de ferramentas para reduzir violações, além de calcular onde devem ser feitos os investimentos de segurança.

73


Conclusão

O objetivo principal: reduzir o espaço operacional dos invasores

Reduzir (de preferência, eliminar) o espaço operacional irrestrito dos criminosos e identificar a presença de ataques devem ser a prioridade máxima dos defensores. A realidade é que não se pode deter todos os ataques ou proteger tudo que pode e deve ser protegido. Contudo, se as iniciativas se concentrarem em eliminar o espaço operacional necessário para que os ataques dos criminosos digitais sejam eficientes e lucrativos, você pode evitar que os invasores acessem sistemas e dados essenciais sem que sejam detectados.

Este relatório organizou em categorias as diferentes abordagens utilizadas por invasores para comprometer e atacar usuários e sistemas. Utilizamos como base para criar as categorias (reconhecimento, agressão, fornecimento e instalação) o ponto da cadeia de ataque em que os ataques são normalmente lançados. Esse exercício pretende ilustrar quando, como e onde os criminosos lançam mão das vulnerabilidades e de outros pontos fracos para acessar um dispositivo ou sistema, iniciar suas campanhas e obter os resultados que desejam.

Sugerimos que os defensores adotem abordagens de segurança que possibilitem permanecer à frente dos processos básicos dos criminosos. Por exemplo, para impedir o sucesso dos invasores durante a fase de reconhecimento, as equipes de segurança devem:

● Coletar informações sobre as ameaças e vulnerabilidades mais recentes

● Garantir o controle do acesso às redes

● Limitar a exposição da empresa em uma superfície de ataque em expansão

● Gerenciar as configurações

● Desenvolver práticas e procedimentos de resposta coerentes que tomem este documento por base

Quando ameaças agressivas são disseminadas, os defensores devem aplicar todas as ferramentas em seu arsenal para evitar que elas se espalhem e se intensifiquem. É aí que uma arquitetura de segurança integrada passa a ser crucial. Ela oferece informações em tempo real sobre ameaças, bem como detecção e defesa automatizadas, que são essenciais para melhorar os mecanismos de detecção.

Na fase de instalação, as equipes de segurança devem manter-se informadas sobre a condição do ambiente enquanto respondem e investigam o comprometimento. Se esse ambiente for simples, aberto e automatizado, e se os defensores seguiram as demais etapas descritas acima, eles podem, então, concentrar seus recursos na resposta a perguntas importantes para a empresa como:

● O que os invasores acessaram?

● Como conseguiram invadir com sucesso?

● Para onde foram?

● Ainda estão agindo em nossa rede?

As respostas para essas perguntas permitem que as equipes de segurança tomem as medidas apropriadas para evitar futuros ataques e possam informar a diretoria e o conselho sobre possíveis exposições e divulgações necessárias. A empresa pode, então, dar início ao processo que visa garantir a viabilização de controles e reduções de risco abrangentes para solucionar quaisquer lacunas de segurança identificadas durante o comprometimento, ou seja, os pontos fracos que asseguram aos invasores o espaço operacional de que precisam para serem bem-sucedidos.

74


Sobre a Cisco

Sobre a CiscoA Cisco oferece segurança digital inteligente para o mundo real, disponibilizando um dos portfólios de soluções mais amplos para proteção avançada contra ameaças em todo o conjunto de vetores de ataque. A estratégia de segurança da Cisco com foco em ameaças reduz a complexidade e a fragmentação, proporcionando maior visibilidade, controle uniforme e proteção avançada contra ameaças antes, durante e depois de um ataque.

Os pesquisadores de ameaças do ecossistema da CSI (Collective Security Intelligence, Inteligência de segurança coletiva) da Cisco reúnem, em uma mesma área, a melhor inteligência de ameaças do setor, usando a telemetria obtida da ampla variedade de dispositivos e sensores, de feeds públicos e privados e da comunidade de código aberto. Isso equivale à entrada diária de bilhões de solicitações da Web e milhões de e-mails, amostras de malware e invasões de rede.

Nossa infraestrutura e nossos sistemas sofisticados consomem essa telemetria, ajudando pesquisadores e sistemas de aprendizado em máquina a monitorar ameaças em redes, data centers, endpoints, dispositivos móveis, sistemas virtuais, Web, e-mail e na nuvem, a fim de identificar as principais causas e o escopo dos ataques. A inteligência resultante é convertida em proteções em tempo real para nossas ofertas de produtos e serviços, que são disponibilizadas de imediato para clientes da Cisco no mundo inteiro.

Para obter mais informações sobre a estratégia de segurança concentrada em ameaças da Cisco, acesse www.cisco.com/go/security.

http://www.cisco.com/go/security

75


Sobre a Cisco

Colaboradores do Relatório Anual de Segurança Digital da Cisco de 2017.

CloudLock

A CloudLock, uma empresa da Cisco, é líder no fornecimento de soluções de agentes de segurança de acesso à nuvem (CASB) que ajudam empresas a usarem a nuvem com segurança. A CloudLock oferece visibilidade e controle para ambientes de software como serviço (SaaS), plataforma como serviço (PaaS) e infraestrutura como serviço (IaaS), englobando usuários, dados e aplicativos. A CloudLock oferece informações práticas sobre segurança digital por meio de seu laboratório CyberLab, liderado por cientistas de dados, e de dados analíticos de segurança provenientes de colaboração coletiva. Para obter mais informações, acesse https://www.cloudlock.com.

Security and Trust Organization

A Security and Trust Organization da Cisco destaca o compromisso da empresa em abordar duas das questões mais críticas que preocupam tanto as diretorias quanto os líderes mundiais. As principais missões da empresa são proteger os clientes públicos e privados da Cisco, permitir e assegurar as iniciativas do Cisco Secure Development Lifecycle e Trustworthy Systems no portfólio de produtos e serviços da Cisco e proteger a empresa Cisco contra ameaças cada vez mais sofisticadas. A Cisco adota uma abordagem holística para segurança e confiança abrangentes, que inclui pessoas, políticas, processos e tecnologia. A Security and Trust Organization fomenta a excelência operacional com enfoque em InfoSec, engenharia de credibilidade, proteção de dados e privacidade, segurança na nuvem, transparência e validação e pesquisa de segurança avançada e governo. Para obter mais informações, acesse http://trust.cisco.com.

Global Government Affairs

A Cisco interage com governos em muitos níveis para ajudar a modelar a política e os regulamentos públicos que oferecem suporte ao setor de tecnologia e ajuda esses governos a atingirem suas metas. A equipe Global Government Affairs desenvolve e influencia políticas públicas e regulamentos pró-tecnologia. Ao trabalhar de modo colaborativo com as partes interessadas do setor e os parceiros da associação, a equipe cria relacionamentos com os líderes governamentais para influenciar políticas que afetam os negócios da Cisco e a adoção geral de ICT, colaborando para tomar decisões políticas globais, nacionais e locais. A equipe Government Affairs é composta por ex-representantes eleitos, parlamentares, agências regulatórias, funcionários seniores do governo dos EUA e profissionais de assuntos governamentais. Eles ajudam a Cisco a promover e proteger o uso da tecnologia em todo o mundo.

Cognitive Threat Analytics

O Cognitive Threat Analytics da Cisco é um serviço em nuvem que detecta violações, malwares executados em redes protegidas e outras ameaças à segurança usando análise estatística de dados do tráfego de rede. Ele lida com defasagens nas defesas do perímetro identificando os sintomas de uma infecção por malware ou violação de dados usando a análise comportamental e a detecção de anormalidades. O Cognitive Threat Analytics conta com a modelagem estatística avançada e a aprendizagem automática para identificar novas ameaças de modo independente, aprender com o que é observado e fazer adaptações ao longo do tempo.

https://www.cloudlock.com

http://trust.cisco.com

76


Sobre a Cisco

Equipe do IntelliShield

A equipe do IntelliShield realiza pesquisas sobre ameaças e vulnerabilidades, análise, integração e correlação de dados e informações do Cisco Security Research & Operations e de fontes externas para produzir o IntelliShield Security Intelligence Service, que oferece suporte a vários produtos e serviços da Cisco.

Talos Security Intelligence and Research Group

Talos é a empresa que cuida da inteligência de ameaças da Cisco, um grupo de elite composto por especialistas em segurança e dedicado a fornecer mais proteção para clientes, produtos e serviços da Cisco. O Talos é formado pelos melhores pesquisadores de ameaças, com o apoio de sofisticados sistemas de criação de inteligência de ameaças para produtos Cisco que detectam, analisam e protegem contra ameaças novas e conhecidas. O Talos mantém os conjuntos de regras oficiais de Snort.org, ClamAV, SenderBase.org e SpamCop e é a principal equipe a contribuir com informações de ameaças para o ecossistema Cisco CSI.

Security Research and Operations (SR&O)

A Security Research & Operations (SR&O) é responsável pelo gerenciamento de ameaças e vulnerabilidade de todos os produtos e serviços da Cisco, inclusive a equipe Product Security Incident Response Team (PSIRT), que é líder do setor. A SR&O ajuda os clientes a entender o panorama de ameaças dinâmicas em eventos como o Cisco Live and Black Hat, bem como através da colaboração com seus colegas da Cisco e do setor. Além disso, a SR&O oferece novos serviços, como Cisco’s Custom Threat Intelligence (CTI), que pode identificar os indicadores de comprometimento que não foram detectados ou mitigados pelas infraestruturas de segurança atuais.

Índice do Cisco Visual Networking (VNI)

A previsão do tráfego IP global da Cisco VNI para 2015 a 2020 tem como base previsões de analistas independentes e dados de uso de rede reais. Com base nessa premissa são estabelecidas as próprias estimativas da Cisco para a adoção de serviços e tráfego IP global. Uma descrição da metodologia detalhada é incluída no relatório completo. Ao longo dos seus 11 anos de história, a pesquisa da Cisco VNI tornou-se uma medida de grande reputação do crescimento da Internet. Governos nacionais, reguladores da rede, pesquisadores acadêmicos, empresas de telecomunicações, especialistas em tecnologia e a imprensa e os analistas do setor e de negócios dependem do estudo anual para ajudá-los no planejamento do futuro digital.

Apêndice

78


Apêndice

ApêndiceEstudo comparativo de recursos de segurança da Cisco de 2017

Educação (Educação superior)

50%

49%

54%

49%

45%

54%

51%

55%

46%

38%

38%

46%

Criação de recomendações �nais da marca sobre as soluções

Setores

Tamanho da empresa CSO vs Op seg

Áreas de envolvimento com segurança

Setor não essencial

Empresas de médio porte Empresa CSO Op segEmpresa de

grande porte

2016

2015

2014

2016

2015

2014

Serviços/energia

Transporte

Telecomunicações

Varejo

Produtos farmacêuticos

Produção: não relacionada a computadores

Serviços de saúde

Governo

Serviços �nanceiros: bancos, seguradoras

Aprovação de orçamentos

De�nição de requisitos

Implementação e gerenciamento de soluções

Pesquisa e avaliação de soluções

De�nição de estratégia e visão global

74%76%

81%

73%75%

83%

72%75%

78%

54%57%

66%

71%73%

79%

67%71%

76%

12%

13%

3%3%

2%

1%2%2%

3%3%10%

15%14%

18%

9%12%12%

14%15%

12%

6%8%11%

8%5%6%

21%27%

16%

7%3%4%

6%4%

8%

2016 (n=2912) 2015 (n=2432) 2014 (n=1738)

Figure 69 Survey Capabilities Benchmark Study


Figura 69 Estudo comparativo de recursos de segurança

79


Apêndice

reais

64%

59%

58%

33%

37%

37%

3%

5%

5%

2014(n=1738)

2015(n=2432)

2016(n=2912)

Muito atualizada Melhores tecnologias disponíveis

Substituída/atualizada regularmente Não equipada com as melhores e mais recentes ferramentas

Substituída/atualizada somente quando necessário Não mais em operação, obsoleta ou com novas necessidades

Como você descreveria sua infraestrutura de segurança?

Figure 71 Majority of Security Professionals Feel Security Infrastructure Is Up to Date


Figura 70 Número de profissionais de segurança dedicados

Figura 71 A maioria dos profissionais de segurança considera que a infraestrutura de segurança está atualizada

2015 (n=2432)2014 (n=1738) 2016 (n=2912)

1-9

10-19

20-29

30-39

50-99

40-49

100-199

(200 ou mais)

Número médio de pro�ssionais exclusivos para segurança 30 25 33

17%

18%

17%

9%

4%

16%

9%

10%

18%

16%

12%

8%

4%

19%

9%

15%

15%

17%

13%

6%

8%

9%

19%

12%


Figure 70 Number of Dedicated Security Professionals

80


Apêndice

Bloqueiam contra ameaças à segurança conhecidas

Detectam anomalias na rede e defesa dinâmica contra alterações em ameaças que se adaptam

Permitem que adotemos políticas de segurança

Permitem que avaliemos possíveis riscos à segurança

Determinam o escopo de um compromisso, contêm um problema e corrigem explorações futuras


<1%

<1%

<1%

<1%

<1%

24%

27%

28%

29%

28%

51%

50%

49%

49%

49%

23%

21%

22%

20%

20%

2%

2%

2%

2%

2%

74%

71%

71%

69%

69%

Muito e�cazRazoavelmente e�caz

Não muito e�caz

Nada e�caz

Extremamente e�caz

Muito + extremamente e�caz

%


Figure 72 Percentages of Security Professionals Who Perceive Various Security Tools to Be Highly E�ective

Figura 72 Porcentagem de profissionais de segurança que consideram várias ferramentas de segurança como altamente eficientes

Figura 73 Porcentagem de profissionais de segurança que acreditam que a segurança é uma prioridade alta para os executivos

A liderança executiva na minha empresa considera a segurança uma prioridade alta

As funções e responsabilidades de segurança são esclarecidas na equipe executiva da minha empresa

As avaliações de risco digital são incorporadas rotineiramente ao nosso processo de avaliação de risco geral

2016

2015

2014

A equipe de executivos da minha empresa estabeleceu métricas claras para avaliação da e�cácia de nosso programa de segurança

2016

2015

2014

94%

96%

96%

63%

61%

59%

32%

35%

37%

40%

41%

44%

4%

4%

4%1%

1%

2% 94%

95%

96%

58%

58%

55%

5%

4%

4%1%

1%

2% 93%

95%

96%

57%

55%

53%

4%

4%

4%1%

1%

2%

93%

94%

95%

53%

53%

51%

6%

5%

4%1%

1%

2%

35%

36%

41%

36%

40%

43%

94%51%

ConcordoDiscordoDiscordo totalmente Concordo plenamente Concordo + concordo plenamente%2016 (n=2912)2015 (n=2432)2014 (n=1738)

Figure 73 Percentages of Security Professionals Who Believe Security Is a High Priority at the Executive Level


81


Apêndice

Revisamos e aprimoramos nossas práticas de segurança de forma regular, formal e estratégica ao longo do tempo

Nossos recursos de detecção e bloqueio de ameaças são mantidos atualizados

Avaliamos regularmente a atividade de conexão em rede para garantir que as medidas de segurança estejam operando como planejado

2016

2015

2014

Podemos melhorar os controles de segurança em recursos de alto valor, caso as circunstâncias exijam

A segurança é bem integrada em recursos comerciais e metas da nossa empresa

Nossas tecnologias de segurança são bem integradas para funcionar em conjunto e de forma e�ciente

2016

2015

2014

Investigamos incidentes de segurança rotineira e sistematicamente

Temos as ferramentas necessárias para analisar e fornecer feedback sobre os recursos da nossa prática de segurança

É fácil determinar o escopo de um comprometimento, contê-lo e corrigir as explorações

2016

2015

2014

95%

96%

96%

56%

56%

53%

38%

40%

42%

40%

41%

45%

41%

4%

4%

4%0%

1%

1% 94%

96%

95%

57%

56%

55%

5%

3%

4%0%

1%

1% 94%

96%

95%

58%

57%

53%

4%

3%

4%0%

1%

2%

94%

96%

95%

54%

56%

51%

5%

3%

4%0%

1%

1%

38%

40%

93%

96%

55%

56%

5%

4%1%

2%

94%

96%

95%

58%

56%

55%

5%

4%

4%1%

1%

2% 93%

95%

95%

56%

52%

53%

5%

4%

5%0%

1%

2%

95%53%5%0%

37%

40%

41%

36%

40%

40%

36%

39%

43%

38%

43%

42%

93%

95%

95%

53%

52%

49%

5%

4%

5%0%

1%

1% 89%

91%

92%

46%

45%

43%

9%

8%

7%1%

1%

2%40%

44%

46%

43%

46%

49%

ConcordoDiscordoDiscordo totalmente Concordo plenamente Concordo + concordo plenamente%2016 (n=2912)2015 (n=2432)2014 (n=1738)

Figure 74 Percentages of Respondents Who Strongly Agree with Security Operationalization Statements


Figura 74 Porcentagem de entrevistados que concordam plenamente com as instruções de operacionalização da segurança

82


Apêndice

Restrições

Figura 75 Os maiores obstáculos à segurança

35%39%

32% 28%

25%

22%

24%

24%

23%

22%

23%

25%

25%

24%

23%

22%

22%

22%

18%

17%

N/D

N/D

Restrições de orçamento

Problemas de compatibilidade

Requisitos de certi�cação

Falta de pessoal treinado

Outras prioridades

Carga de trabalho atual muito pesada

Relutância em comprar até obter comprovação

Cultura/atitude da empresa

A empresa não é um alvo de grande valor para os ataques.

Falta de conhecimento

A segurança não é uma prioridade de nível executivo

2015 (n=2432) 2016 (n=2912)

Figure 75 Biggest Obstacles to Security


1 a 5 produtos

Mais de 100 produtos

2016 (n=2860)

51 a 100 produtos

26 a 50 produtos

11 a 25 produtos

6 a 10 produtos

35%

2%

4%

11%

21%

29%

Figure 76 Number of Security Vendors and Products Used by Organizations


Figura 76 Número de fornecedores e produtos de segurança usados por empresas

Figura 77 Número de fornecedores de segurança usados por porte da empresa

Figura 78 Número de produtos de segurança usados por porte da empresa

46,9%

Quantos fornecedores de segurança diferentes (por exemplo, marcas, fabricantes) fazem parte do seu ambiente de segurança?

Empresas de médio porte250 a 1.000 funcionários

Empresa 1.000 a 10.000 funcionários

Grande empresa Mais de 10.000 funcionários

Total de empresas 1435 1082 333

6,9%2,8%1,4%Mais de 50

1-5

8,7%7,1%5,6%21-50

23,1%15,8%17,6%11-20

21,3%30,9%28,4%6-10

39,9%43,4%

Figure 77 Number of Security Vendors Used by Size of Organization


37,9%

Quantos produtos de segurança diferentes fazem parte do seu ambiente de segurança?

Empresas de médio porte 250 a 1.000 funcionários

Empresa 1.000 a 10.000 funcionários

Grande empresa Mais de 10.000 funcionários

Total de empresas 1442 1084 334

7,8%4,3%3,0%51-100

5,4%1,9%0,8%Mais de 100

1-5

15,6%10,5%9,6%26-50

23,7%20,4%19,8%11-25

22,5%30,1%29,0%6-10

25,1%32,7%

Figure 78 Number of Security Products Used by Size of Organization


83


Apêndice

Figura 79 Redução ano a ano do orçamento de segurança apresentado no orçamento de TI

Figura 80 Redução ano a ano do gasto com segurança como uma proporção do orçamento de TI

O orçamento de segurança faz parte do orçamento de TI? (Membros do departamento de TI) 2015 (n=2374)2014 (n=1673) 2016 (n=2828)

Tudo dentro da TI

Parcialmente dentro da TI

Completamente separado

58%

33%

9%

61%

33%

6%

55%

36%

9%


Figure 79 Year-over-Year Decrease of Security Budget Coming Within IT Budget

Gasto do orçamento de TI em segurança como função 2015 (n=2374)2014 (n=1673) 2016 (n=2828)

0%

1-5%

6-10%

16-25%

26%-50%

51% ou mais

11-15%

9%

3%

11%

31%

19%

4%

23%

7%

4%

12%

29%

21%

5%

23%

10%

4%

16%

26%

15%

2%

27%


Figure 80 Year-over-Year Decrease of Security Spend as a Proportion of the IT Budget

84


Apêndice

Impactos

Entrevistados de empresas que perderam receita no ano passado (n=778)

Zero (0%)

Tudo (100%)

De 80% a menos de 100%




Algumas, mas menos de 20%

1%

4%

3%

1%

10%

20%

62%

Figure 82 Percentages of Organization's Revenue Lost as a Result of Attacks


Figura 81 Porcentagem de oportunidades perdidas pela empresa como resultado de ataques

Figura 82 Porcentagem de receita perdida pela empresa como resultado de ataques

Figura 83 Porcentagem de clientes perdidos pela empresa como resultado de ataques

Entrevistados de empresas que perderam oportunidades no ano passado (n=625)

Zero (0%)

Todas (100%)





Algumas, mas menos de 20%

1%

5%

3%

0%

9%

25%

58%

Figure 81 Percentages of Organization's Opportunities Lost as a Result of Attacks


Entrevistados de empresas que perderam clientes no ano passado (n=641)

Zero (0%)

Todos (100%)





Alguns, mas menos de 20%

1%

6%

4%

1%

8%

21%

60%

Figure 83 Percentages of Organization's Customers Lost as a Result of Attacks


85


Apêndice

Resultados

Zero (0%)


Tudo (100%)





Parte, mas menos de 20%

4%

4%

1%

10%

21%

41%

18%

Figure 85 Percentages of Organization's Security Reliant Upon Third-Party Vendors


Figure 84 Percentages of Organizations Relying on Outsourcing

52%

47%

42%

44%

39%

36%

12%

51%

41%

35%

42%

34%

21%

53%

49%

46%

31%

31%

10%

51%

46%

45%

41%

45%

35%

52%

48%

46%

33%

33%

N/D


Auditoria

Resposta a incidentes

Monitoramento

Remediação

Inteligência de ameaças

Nenhum/Todos internos

Mais economia

Desejo de um insight independenteResposta mais oportuna a incidentes

Falta de experiência interna

Falta de recursos internos

Quais serviços de segurança são terceirizados?

Por que esses serviços são terceirizados?

2014(n=1738)

2015(n=2432)

2016(n=2912)

2015(n=2129)

2016(n=2631)


Figura 84 Porcentagem de empresas que confiam na terceirização

Figura 85 Porcentagem de empresas que confiam sua segurança a fornecedores terceirizados

86


Apêndice


Auditoria

Monitoramento


Remediação

Nenhum/Todos internos

Inteligência de ameaças

Quais serviços de segurança são terceirizados? Mercado intermediário (n=1459) Empresa (n=1102) Grandes empresas (n=351)

52%

47%

43%

44%

34%

11%

41%

50%

44%

46%

48%

35%

8%

41%

51%

50%

44%

39%

37%

11%

40%

Figure 86 Percentages of Security Services Outsourced by Size of Organization



Liderança executiva

Clientes

Funcionários


Watchdog e grupos de interesses

Reguladores

Investidores

Pressionar

Empresas de seguro

4%

4%

5%

5%

5%

4%

5%

5%

8%

20%

21%

22%

22%

23%

24%

23%

25%

28%

44%

41%

44%

43%

44%

43%

41%

41%

39%

30%

32%

28%

29%

26%

27%

28%

26%

21%

2%

2%

2%

2%

2%

2%

3%

3%

4%

74%

73%

72%

72%

70%

70%

69%

67%

60%

Muito analisada

Pouco analisada

Não é muito analisada

Não é analisada de forma alguma

Extremamente analisada

Muito + extremamente analisada

%


Figure 87 Sources of Increased Scrutiny

Figura 86 Porcentagem de serviços de segurança terceirizados por porte da empresa

Figura 87 Fontes de maior controle

87


Apêndice

Onde as redes estão hospedadas? 2015 (n=2417)2014 (n=1727) 2016 (n=2887)

Local como parte de uma nuvem privada

No local

Local, mas gerenciada por terceiros

Nuvem privada fora do local

Nuvem pública fora do local

51%

48%

24%

20%

10%

50%

54%

23%

18%

8%

50%

46%

27%

25%

9%


Figure 88 Increase of O�-Premises Private Cloud and Third-Party Managed On-Premises Hosting

Operações, políticas, procedimentos e recursos

2016(n=2754)

Diretor executivo de segurança (CSO)

Existe um executivo na sua empresa que tem responsabilidade e compromisso diretos com a segurança?Entrevistados que relataram a existência de funções e responsabilidades claras

Cargo do executivoEntrevistados que relataram a existência de executivos com responsabilidade pela segurança

2015(n=2288)

2014(n=1603)

8%

8%

9%

92%

92%

91%

SimNão

Outro cargo

Diretor executivo de operações (COO)

Diretor executivo de risco e conformidade (CRO) ou (CCO)

Diretor executivo de tecnologia (CTO)

Vice-presidente sênior (SVP) ou Vice-presidente (VP) de TI

Diretor executivo (CEO) ou equivalente

Diretor executivo de informações (CIO)

53%52%53%

14%15%16%

10%11%

10%

8%

4%

8%9%

3%2%4%

1%1%1%

N/AN/A

8%11%

7%

2016 (n=2530) 2015 (n=2095) 2014 (n=1465)

Figure 89 Proportion of Companies with a Security Executive


Figura 88 Aumento da nuvem privada fora das instalações e hospedagem no local gerenciada por terceiros

Figura 89 Proporção de empresas com um executivo de segurança

88


Apêndice

Figura 90 Porcentagem de empresas que têm uma estratégia de segurança formal global da empresa e seguem práticas de política de segurança padronizada

Figura 91 Porcentagem de entrevistados que concordam plenamente com as instruções do processo da segurança

Os funcionários da minha empresa são incentivados a relatar falhas e problemas na segurança

Os procedimentos e processos de segurança da minha empresa são claros e foram bem assimilados

Os gerentes de linha de negócios são incentivados a contribuir com os procedimentos e as políticas de segurança

2016

2015

2014

Os processos de segurança na minha empresa nos viabilizam antecipar e mitigar possíveis problemas de segurança de modo proativo

Os processos de segurança da minha empresa são mensurados e controlados usando dados quantitativos

Minha empresa otimizou seus processos de segurança e agora está concentrada na melhoria dos processos

2016

2015

2014

Minha empresa tem condições de detectar pontos fracos na segurança antes que se tornem incidentes de larga escala

Os gerentes de linha de negócios obtêm o envolvimento do grupo de políticas de segurança antes de tomar uma decisão de aplicação de linha de negócios

2016

2015

2014

92%

95%

96%

61%

62%

58%

32%

33%

38%

38%

43%

43%

41%

45%

46%

5%

4%

4%1%

1%

3% 91%

95%

96%

56%

57%

55%

6%

4%

4%<1%

1%

3% 92%

94%

95%

53%

55%

52%

5%

5%

4%1%

1%

3%

91%

95%

96%

53%

53%

53%

7%

4%

4%1%

1%

3% 91%

95%

95%

54%

53%

50%

6%

4%

4%1%

1%

3% 92%

95%

95%

53%

53%

52%

5%

4%

4%1%

1%

3%

91%

95%

96%

49%

51%

49%

6%

4%

4%1%

1%

3%

94%49%5%

36%

39%

40%

37%

42%

45%

45%

39%

40%

43%

39%

42%

43%

1% 94%51%

N/D

N/D

2016 (n=2912)2015 (n=2432)2014 (n=1738)

ConcordoDiscordoDiscordo totalmente Concordo plenamente Concordo + Concordo plenamente%

Figure 91 Percentages of Respondents Who Strongly Agree with Security Process Statements


Padrões de segurança Prática de política de segurança padronizada

Têm uma estratégia de segurança formal e documentada em toda empresa, que é revisada regularmente

Nenhuma das anteriores

Já certi�cadas

Atualmente em processo de certi�cação

Preparando-se para o processo de certi�cação

FSegue uma prática padronizada de política

de segurança das informações

2016 (n=1596)Seguem políticas de segurança padronizadas de saúde, como NIST 800‒66, ISO27799, ISO80001

De�nem formalmente os ativos empresariais importantes que exigem atenção especial quanto ao gerenciamento de riscos do tipo essencial para os negócios ou regulado para maior proteção

Seguem uma prática de política de segurança da informação padronizada, como a ISO 27001

62%

2% 65%

28%

7%

1%1%1%

66%59%

55%52%52%

43%38%

54%

N/DN/D

2016 (n=2912) 2015 (n=2432) 2014 (n=1738)

Figure 90 Percentage of Companies That Have a Formal Organization-Wide Security Strategy and Follow Standardized Security Policy Practices


89


Apêndice

Os direitos de acesso a redes, sistemas, aplicações, funções e dados são controlados de forma apropriada

Os controles técnicos de segurança em sistemas e redes são bem gerenciados

As instalações de computador dentro da minha empresa são bem protegidas

2016

2015

2014

2016 (n=2912)2015 (n=2432)2014 (n=1738)

Analisamos regularmente nossas práticas e ferramentas de segurança para assegurar que estejam atualizadas e funcionem adequadamente

Fazemos um bom trabalho de integração da segurança em sistemas e aplicações

Fazemos um bom trabalho de integração da segurança em nossos procedimentos para adquirir, desenvolver e manter sistemas

2016

2015

2014

Os ativos de informações estão inventariados e classi�cados de forma clara

Fazemos um excelente trabalho gerenciando segurança de RH

Fazemos um bom trabalho de integração da segurança em aplicações externas móveis voltadas ao cliente

2016

2015

2014

94%

97%

97%

61%

59%

55%

33%

38%

41%

35%

37%

40%

39%

42%

44%

4%

3%

3%<1%

1%

2% 95%

96%

96%

60%

57%

56%

3%

4%

4%<1%

0%

2% 94%

96%

96%

57%

56%

55%

4%

4%

4%<1%

1%

2%

93%

97%

96%

59%

60%

56%

5%

3%

4%<1%

1%

2% 93%

96%

96%

58%

54%

53%

5%

4%

4%<1%

1%

2% 94%

96%

96%

56%

56%

52%

4%

3%

4%<1%

1%

2%

93%

95%

95%

54%

53%

51%

6%

5%

4%<1%

1%

2% 93%

94%

94%

53%

51%

49%

5%

5%

5%

35%

38%

40%

35%

42%

43%

40%

44%

45%

36%

40%

41%

38%

41%

43%

N/D

N/D

43%1%

1%

2%

94%51%6%1%

ConcordoDiscordoDiscordo totalmente Concordo plenamente Concordo + Concordo plenamente%

Figure 92 Percentages of Respondents Who Strongly Agree with Security Process Statements


Figura 92 Porcentagem de entrevistados que concordam plenamente com as instruções do processo da segurança

90


Apêndice

Temos procedimentos e processos bem documentados para rastreamento e resposta a incidentes

Temos bons sistemas para veri�car se os incidentes de segurança realmente ocorreram

Fazemos um bom trabalho de noti�cação e colaboração com as partes interessadas sobre incidentes de segurança

2016

2015

2014

Temos um bom sistema para categorizar informações relacionadas a incidentes de segurança

Temos processos e�cientes para interpretar relatórios de incidentes, compreendê-los e priorizar sua entrada

Seguimos uma prática de resposta a incidentes padronizada, como RFC2350, ISO/IEC 27035:2011 ou US Cert

2016

2015

2014

Temos um bom protocolo de resposta de gerenciamento de crise

2016

2015

2014

94%

96%

95%

56%

54%

53%

37%

42%

42%

40%

43%

44%

44%

5%

4%

4%<1%

1%

2% 93%

95%

95%

54%

54%

53%

6%

5%

4%<1%

1%

1% 94%

95%

95%

51%

53%

52%

5%

4%

5%1%

1%

2%

93%

96%

96%

54%

53%

51%

5%

4%

4%<1%

1%

2% 93%

95%

96%

51%

52%

50%

5%

5%

4%<1%

1%

2% 90%

93%

93%

49%

49%

50%

8%

6%

6%1%

1%

2%

95%51%5%<1%

38%

41%

42%

42%

43%

45%

43%

42%

43%

41%

44%

44%

94%51%

N/D

N/D

ConcordoDiscordoDiscordo totalmente Concordo plenamente Concordo + Concordo plenamente%2016 (n=2912)2015 (n=2432)2014 (n=1738)

Figure 93 Percentages of Respondents Who Strongly Agree with Security Controls Statements


Figure 94 Management and E�cacy of Security Technologies

Firewall

Defesa contra DDoS

Prevenção contra perda de dados

Proteção de endpoints/antivírus, antimalware

Segurança da mobilidade

DNS seguro

Criptogra�a/privacidade/proteção de dados

Segurança de e-mail/envio de mensagens

Controle de acesso/autorização

Prevenção de intrusões

Quais são as tecnologias de segurança mais e cientes usadas pela empresa?2016 (n=2895)

Quais são as tecnologias de segurança de gerenciamento mais demorado e difícil para a equipe?(Menções acima de 10%) 2016 (n=2895)


28%

14%

14%

15%

10%

13%

17%

20%

16%

16%

12%

12%

12%

15%

12%

14%

10%

11%

11%

11%

Figura 93 Porcentagem de entrevistados que concordam plenamente com as instruções de controles de segurança

Figura 94 Gerenciamento e eficiência das tecnologias de segurança

91


Apêndice

Firewall** Segurança da mobilidade


Segurança da rede, �rewalls e prevenção

contra intrusões**

Autenticação

Análise de endpoint

Teste de penetração

Multi-Factor Authentication

Correção de falhas e con�guração

Varredura de vulnerabilidades

Segurança das informações e gerenciamento de

eventos (SIEM)

Peritagem judicial na área de redes

VPN

Prevenção contra intrusões**

Administração de identidades/provisionamento

de usuários

Sem �o seguro

Defesa contra DDoS

Controle de acesso/autorização

Proteção de endpoints/antimalware

Segurança da Web

Segurança de e-mail/envio de mensagens

DNS seguro

Criptogra�a/privacidade/proteção de dados

Prevenção contra perda de dados

Defesas através de serviços na nuvem

Defesas contra ameaças à segurança usadas pela empresa

Defesas através de serviços na nuvem

Defesas contra ameaças à segurança usadas pela empresa

* Entrevistados de segurança que usam defesas contra ameaças à segurança** O Firewall e a prevenção contra intrusões foram uni�cados em um código em 2014: "Segurança de rede, �rewalls e prevenção contra intrusões"

2016 (n=2912)2015 (n=2432)2014 (n=1738)

2016 (n=2725)2015 (n=2268)2014 (n=1646)

58%65%

34%31%

N/D N/D

N/D N/DN/D N/D

N/D N/D

N/DN/DN/D

N/DN/DN/D

N/DN/DN/D

N/DN/DN/D

N/DN/DN/D

N/DN/DN/D

N/DN/DN/D

N/DN/DN/D

N/DN/D

N/DN/D

N/D

N/DN/D

N/DN/DN/D

N/DN/DN/D

N/DN/DN/D

45%56%55%

35%44%

51%

32%40%

48%

32%41%

48%

32%38%

43%

30%

29%

32%39%

12%17%20%

8%1%1%1%

11%13%

27%34%

38%

26%26%

53%52%

60% 35%

31%

15%21%

25%

32%31%

42%

20%24%

28%

18%21%

26%

44%

42% 22%

53%53%

42%52%

56%

27%34%37%

41%51%

59%

40%48%

53%

37%41%

50%

38%37%36%

41%49%49%

35%45%

35%44%

45%

24%25%25%

19%19%

26%

17%20%

25%31%

37%

2016 2015 2014

Figure 95 Year-over-Year Use of Security Threat Defense


Figura 95 Uso ano a ano da defesa contra ameaças à segurança

92


Apêndice

Até que ponto a proteção do cliente in uencia sua tomada de decisão de segurança?

2016 (n=2878)Grá�co arredondado para o número inteiro mais próximo

1% 10% 45% 44%0% 89%

MuitoRazoavelmenteNão muitoNem um pouco Extremamente Muito + extremamente%


Figure 96 Extent That Customer Protection Factors into Security Decision-Making

Riscos e vulnerabilidades


Ataques direcionados

Ameaças persistentes avançadas

Proliferação de BYOD e dispositivos smart

Viabilidade da recuperação de desastres e da continuidade de negócios

Roubo de dados interno

Terceirização de processos comerciais essenciais (e falta de controle sobre os serviços de terceiros)

Ransomware

Computação em nuvem

Restrições de conformidade regulamentar

4%

4%

6%

6%

5%

6%

6%

6%

7%

18%

<1%

20%

22%

23%

23%

23%

25%

24%

36%

33%

28%

30%

26%

26%

25%

25%

26%

42%

43%

45%

42%

47%

46%

46%

44%

43%

78%

76%

74%

72%

72%

72%

71%

69%

69%

Risco moderadoRisco leveNão é um risco Alto risco Moderado + alto risco%


Figure 97 IT Security Personnel's Biggest Sources of Concern Related to Cyber Attacks

Figura 96 Grau em que a proteção do cliente afeta a tomada de decisões de segurança

Figura 97 As principais razões de preocupação da equipe de segurança de TI em relação a ataques digitais

93


Apêndice

Dispositivos móveis

Dados na nuvem pública

Infraestrutura em nuvem

Comportamento de usuário (por exemplo, clicar em links mal-intencionados em e-mail ou sites)

Dados do cliente

Servidores/Data Centers

Dados da empresa

Infra-estrutura de rede

Aplicativos

Sistemas operacionais do cliente (por exemplo, Windows 7, Windows 10, MacOS etc.)


10%

10%

11%

10%

11%

11%

12%

11%

11%

14%

30%

30%

30%

31%

32%

32%

32%

33%

34%

32%

38%

36%

38%

37%

37%

37%

37%

37%

36%

36%

20%

21%

19%

20%

18%

18%

17%

17%

16%

16%

3%

2%

2%

2%

2%

3%

2%

2%

2%

3%

58%

57%

57%

57%

54%

54%

54%

54%

52%

52%

Muito desa�ador

Razoavelmente desa�ador

Não muito desa�ador

Nem um pouco desa�ador

Extremamente desa�ador

Muito + extremamente desa�ador

%


Figure 98 Security Professionals' Biggest Sources of Concern Related to Cyber AttacksFigura 98 As principais razões de preocupação dos profissionais de segurança em relação a ataques digitais

Figura 99 Distribuição de iniciativas das equipes de segurança

Onde a equipe de segurança aplica a maioria de suas iniciativas? 47%29%23%

ServidoresDados do clienteEndpointsEquipe de segurança de TI (n=2854)


Figure 99 Distribution of Security Teams' E�orts

94


Apêndice


28% dos alertas investigados são legítimos

56% dos alertas vistos são investigados

tiveram um alerta de segurança93%

7% não tiveram um alerta de segurança

50%

15%

11%

8%

6%

4%

Menos que 5.000

Média de alertas enviados por uma empresa diariamente

De 5.000 a 10.000

De 10.000 a 50.000

De 50.000 a 100.000

De 100.000 a 150.000

Mais de 150.000

2016 (n=2796)

46% dos alertas legítimos são corrigidos

Figure 100 Percentages of Security Alerts That Are Investigated or Remediated


Figura 100 Porcentagem de alertas de segurança que são investigados ou corrigidos

Figura 101 Tempo médio para detectar violações de segurança

8 horas ou menos

De 9 a 24 horas

De 25 a 48 horas

Entre 2 dias e 1 semana

Entre 1 e 2 semanas

De 3 semanas a 1 mês

De 1 mês a 3 meses

Entre 3 meses e 1 ano

1 ano ou mais

2016 (n=2860)

43%

25%

15%

7%

3%

5%

1%

0%

1%

Figure 101 Average Time to DetectSecurity Breaches


95


Apêndice

46%45%

N/D

N/D N/D

40%40%

46%

36%34%

45%

31%33%

36%

30%32%

36%

22%26%

31%

21%21%

15%15%

32%

15%18%

22%

29%33%

38%

25%27%

35%

25%28%

33%

23%24%

28%

37%40%

Escritório do diretor-executivo

ou presidente

Todos os funcionários

Autoridades externas

Empresas de seguro


Marketing

Relações públicas

Produção

Engenharia

Jurídico

Recursos Humanos

Parceiros de tecnologia

Departamento �nanceiro

Operações

2016 (n=2912) 2015 (n=2432) 2014 (n=1738)

Figure 102 Groups Noti�ed in the Event of an Incident


Figura 102 Grupos notificados em caso de incidente

Figura 103 KPIs usados por empresas para avaliar o desempenho da segurança

59%

52%

44%

3%

30%

Tempo para detecção (por exemplo, hora que a ameaça entrou no ambiente para detecção)Tempo para patch (por exemplo, tempo para lançamento de patch para implementação)Tempo para contêiner (por exemplo, tempo da detecção para contêiner/quarentena)Tempo para correção (por exemplo, tempo da quarentena à operação)


2016 (n=2912)

Figure 103 KPI's Used by Organizations to Assess Security Performance


96


Apêndice

Figura 104 Uso ano a ano do processo para analisar sistemas comprometidos

Figura 105 Uso ano a ano do processo para eliminar a causa de incidentes de segurança

Processos para analisar sistemas comprometidos 2015 (n=2432)2014 (n=1738) 2016 (n=2912)

Log de �rewall

Análise de log do sistema

Análise de �uxo de rede

Análise de regressão de arquivo ou malware

Análise do registro

Análise de captura do pacote completo

Detecção de IOC

Análise de disco

Análise de log/evento correlacionado

Análise de memória

Equipes de resposta/análise de incidentes externos


57%

53%

49%

48%

47%

38%

35%

36%

37%

34%

33%

1%

61%

59%

53%

55%

50%

47%

38%

40%

42%

41%

37%

2%

56%

50%

49%

47%

43%

40%

38%

36%

35%

34%

34%

1%


Figure 104 Year-over-Year Use of Process to Analyze Compromised Systems

Processos para eliminar a causa de incidentes de segurança 2015 (n=2432)2014 (n=1738) 2016 (n=2912)

Quarentena ou remoção de aplicativos mal-intencionados

Análise da causa principal

Interrupção de comunicação de softwares mal-intencionados

Monitoramento adicional

Atualizações de políticas

Interrupção de comunicação de aplicações comprometidas

Desenvolvimento de correções em longo prazo

Repaginação do sistema para o estado anterior


55%

55%

53%

48%

47%

47%

40%

41%

1%

58%

55%

53%

52%

51%

48%

47%

45%

2%

52%

51%

48%

48%

45%

43%

41%

39%

1%


Figure 105 Year-over-Year Use of Process to Eliminate the Cause of Security Incidents

97


Apêndice

Semanal

Com que frequência sua empresa executa simulações de ataques?

2016 (n=2868)

Até que ponto os resultados das simulações de ataque geram melhorias em políticas de defesa de segurança, procedimentos ou tecnologias de segurança?

2016 (n=2736)Nunca

1 2 3 4 5Nem um pouco Em grande medida

Regularmente, mas menos de

uma vez por ano

Anualmente

Semestralmente

Trimestralmente

Mensalmente

28%

3% 0%

4%

4%

8%

21%

33%

47%44%

8%1%

Figure 107 Attack Simulations: Frequency and Extent of Driving Security Defense Improvements


Qual é a importância da atribuição para sua empresa ao responder a uma violação de segurança?

Grá�co da equipe de segurança de TI (n=2901) arredondado para o número inteiro mais próximo

1% 7% 41% 52%0% 92%

De muita importância

De importância relativa

Não muito importante

Nem todos são importantes

Extremamente importante

Muito + extremamente importante

%


Figure 108 Importance of Attributing Origin of a Security Breach

Figura 106 Uso ano a ano do processo para restaurar sistemas afetados

Figura 107 Simulações de ataque: frequência e grau de aprimoramento da defesa de segurança

Figura 108 Importância de atribuir a origem de uma violação de segurança

Implementação de controles e detecções novos ou adicionais com base em pontos fracos identicados após um incidente

Restauração usando um backup anterior ao incidente

Correção de falhas e atualização de aplicações consideradas vulneráveis

Restauração diferencial (remoção das alterações causadas por um incidente)

Restauração da Gold Image


Processos para restaurar sistemas afetados 2015 (n=2432)2014 (n=1738) 2016 (n=2912)

56%

59%

55%

51%

35%

1%

60%

57%

60%

56%

35%

2%

56%

55%

53%

50%

34%

1%


Figure 106 Year-over-Year Use of Process to Restore A�ected Systems

98


Apêndice

Violações e seus impactos

2014(n=1701)

2015(n=2347)

2016(n=2824)

53% 48% 49%

Figure 109 Percentage of Organizations Experience a Public Breach


0 hora, nenhuma interrupção 0%

Mais de 24 horas

17 a 24 horas

9 a 16 horas

5 a 8 horas

1 a 4 horas

Menos de 1 hora

61% ou mais

51‒60%

41‒50%

31‒40%

21‒30%

11‒20%

1‒10%

Tamanho das interrupções no sistema devido a violações

2016 (n=2665)

Porcentagem de sistemas afetados devido a violações

2016 (n=2463)

7% 1%

9%

11%

15%

20%

25%

13%

9%

6%

10%

15%

20%

22%

19%

Figure 111 Length and Extent of Outages Caused by Security Breaches


Figure 110 How Much Did the Breach Drive Improvements in Your Security Threat Defense Policies, Procedures, or Technologies?


1 2 3

Entrevistados afetados por uma violação de segurança (n=1388)

4 5Nem um pouco Em grande parte

0%

38%52%

9%1%

Figura 109 Porcentagem de empresas que passaram por uma violação pública

Figura 111 Tamanho e alcance das interrupções causadas por violações de segurança

Figura 110 Quantas melhorias a violação gerou nas suas tecnologias, políticas ou procedimentos de defesa contra ameaças de segurança?

99


Apêndice

Separaram a equipe de segurança do

departamento de TI

Aumento do treinamento de conscientização de segurança

entre os funcionários

Aumentaram o enfoque na análise e na redução

de riscos

Aumento do investimento nas tecnologias ou soluções

de defesa para segurança

Aumentaram o investimento em treinamento da equipe

de segurança

38%37% 37% 42% 37%38%43%

38% 37% 40%

2015 (n=1109) 2016 (n=1375)

Figure 112 Improvements Made to Protect Your Company from Security Breaches


Figura 112 Melhorias para proteger a sua empresa contra violações de segurança

100


Apêndice

ISO 27001Políticas globais da empresa sobre controles de acesso

a dados

Que políticas e processos de privacidade e proteção dos dados são mais importantes que um fornecedor tenha?

2016 (n=2912)

Que certi�cações e padrões de privacidade e proteção dos dados são necessários para um fornecedor trabalhar com a sua empresa?

2016 (n=2870)

Monitoramento e medição proativos/Conformidade

de auditoria

Políticas de retenção de dados

Diálogo ativo com o Conselho de Administração sobre

risco de dados

Políticas sobre compartilhamento de residência e soberania

de dados

Avaliação de risco de dados e maturidade organizacional

Privacidade de design na empresa

Treinamento contínuo e obrigatório dos funcionários

Políticas globais da empresa sobre acesso a dados

mantidos por fornecedor

Políticas globais da empresa sobre noti�cações de

violações

Programa de resposta a incidentes de dados

FISMA

FedRAMP

Regras de privacidade que ultrapassam a fronteira da APEC

(Cooperação Econômica da Ásia e do Pací�co)

Regras corporativas associadas

Conformidade com o PCI-DSS

Conformidade com a HIPAA

Cláusulas de modelo da UE

GAPP (Princípios de contabilidade geralmente aceitos)

Conformidade com o TRUSTe

Conformidade com o SOC (Controles de organização de serviços)

Privacy Shield

Padrões/Estrutura de segurança digital do NIST

ISO 27018

35%

33%

31%

27%

27%

26%

25%

24%

22%

13%

9%

39%

34%

28%

28%

28%

26%

26%

25%

25%

23%

23%

18%

18%

17%

Figure 113 Importance of Data Protection and Privacy for Vendors


Escolha de fornecedor e expectativas

Figura 113 Importância da privacidade e da proteção dos dados para os fornecedores

101


Apêndice

Modelo de maturidade do recurso de segurança

Superior-médio

Alto

Média

Baixa

Médio–baixo

OtimizaçãoFoco na melhoria dos processos

Modelo de 5 segmentos com base no Q9 Series

InicialProcessos ad hoc; imprevisíveis

Pode ser repetidoProcessos caracterizados pelos projetos; geralmente reativos

DenidoProcessos caracterizados pela organização; geralmente proativos

Gerenciado de forma quantitativaProcessos mensurados e controlados quantitativamente

Nível 5

Nível 1

Nível 2

Nível 3

Nível 4

Figure 115 Maturity Model Ranks Organizations Based on Security Process


Superior-médio

Alto

Média

Baixa

Médio–baixo

36%36%

39%

6%9%

8%

4%2%

1%

28%25%

23%

30%28%

26%

2016 (n=2852) 2015 (n=2401) 2014 (n=1637)

Figure 116 Segment Sizing for Maturity Model


5%

4%

10%

6%

13%

3%

5%

5%

16%

5%

7%

23%

7%

12%

4%

4%

9%

5%

4%

4%

10%

14%

5%

16%

22% N/D N/D N/D

16%

7%

7%

14%

4%

14%

4%

15%

6%

17% 31% 47%

21% 40%34%

16% 54%20%

35% 21% 31%

37% 32%25%

29% 36%32%

29%

31% 34% 31%

35% 30%19%

36% 31% 28%

36% 34%23%

25% 38%13%

31% 28% 34%

24% 39%24%

43%25% 27%

25% 30% 41%

24% 40%26%

35% 34%24%

22% 45%27%

25% 29% 41%

16% 44%27%

32% 32%22%

38% 29% 28%

18% 41%25%

40% 24%14%

34% 32%16%

32% 26% 35%

36% 23% 33%

20% 50%16%

21% 26% 47%

27% 32%26%

30% 27% 39%

35% 29%20%

35% 26% 32%

36%29%

2014

2015

2016

2014

2015

2016

2014

2015

2016

2016

ÍndiaChinaAustrália

ItáliaAlemanhaBrasilUSA

Reino Unido

Japão

Canadá

México Rússia França

Médio baixoBaixa Médio a alto Alto


Figure 114 Security Maturity by CountryFigura 114 Maturidade de segurança por país

Figura 115 O modelo de maturidade classifica as empresas com base no processo de segurança

Figura 116 Dimensionamento de segmentos do modelo de maturidade

102


Apêndice

Específico do setor

Figure 119 Most Common Security Measures Among the Healthcare Businesses with Medical Device Networks


SimNão, a(s) rede(s) de dispositivos médicos é(são) autônoma(s) e gerenciada(s) por um fornecedor

Não, a(s) rede(s) de dispositivos médicos é(são) isolada(s) e gerenciada(s) internamente

Não, não há uma rede de dispositivos médicos na nossa empresa

63%

15%

6%

16%

Quais destas medidas de segurança (se houver) foram implementadas pela sua empresa para proteger a rede de dispositivos médicos?Empresas com uma rede de dispositivos médicos (n=207)

Empresas de serviços de

saúde (n=219)

A sua empresa tem uma rede de dispositivos médicos que converge com a rede de um hospital central?

Controle de acesso de rede

Detecção/Proteção avançada contra malware

Autenticação multifator de dispositivos

IPS/IDS, inspeção detalhada de pacotes

Resposta/Defesa automatizadas contra ameaças

Análise de tráfego/Detecção de anomalias

Avaliações de postura e/ou geração de per�l

Segmentação/Microssegmentação

Nenhuma das anteriores 1%

59%

56%

49%

48%

45%

40%

48%

32%

Figure 118 Resources Healthcare Companies Use to Measure Themselves Against HIPAA Privacy Rules

Orientação de segurança da HIT

Que recursos são usados para avaliar as empresas em relação à segurança e às regras de privacidade da HIPAA?

Documento da HIPAA em vigor (atualmente Omnibus)

Estruturas de auditoria HHS.OCR

HITRUST ou outra estrutura privada

Avaliações de terceiros

Empresas de serviços de saúde em 2016 (n=219)

52%

52%

40%

37%

Nenhuma das anteriores 6%

24%


Figura 117 Porcentagem de empresas de serviços de saúde que implementaram políticas de segurança padronizadas

Figura 119 As medidas de segurança mais comuns entre as empresas de serviços de saúde com redes de dispositivos médicos

Figura 118 Recursos que empresas da área de saúde utilizam para avaliar a si próprias em relação às regras de privacidade da hIPAA

SO80001 (dispositivo médico)

ISO27799

NIST 800-66

74%

60%

45%

Políticas de segurança padronizadas As empresas de serviços de saúde seguem uma prática de política de segurança de informações especí�ca para o setor, 2016 (n=65)

Figure 117 Percentage of Healthcare Businesses That Have Implemented Standardized Security Policies


103


Apêndice

Figure 120 Sample Pro�le for Telecommunications

Em que subsetor de telecomunicação a sua empresa está envolvida?Empresas de telecomunicações (n=307)

Quais destes serviços a sua empresa oferece para os clientes? Empresas de telecomunicações (n=308)

Equipamento de comunicação

Provedor de serviços (tradicional)

Operador a cabo/satélite

Mídia/transmissão

Provedor acima das expectativas (Net ix, Hulu, etc.)

Data centers

Ambiente corporativo

Redes centrais de produção, como IP (Including Television), Mobile, etc.

Serviços de segurança gerenciados fornecidos para usuários �nais47%

33%

11%

2%

7%

71%

60%

59%

57%



Prioridade relativa para protocolos e estratégias de segurançaEmpresas de telecomunicações (n=308)

Figure 121 Security Strategies Factors for Telecommunications

34% 31%36%

Percentual médio de disponibilidade

Percentual médio de con�dencialidade

Percentual médio de integridade

Disponibilidade: garantia de acesso con�ável aos dados

Con�dencialidade: garantia de que os dados sejam acessados somente por quem tem esse direito

Integridade: garantia da precisão e da exatidão dos dados

Figura 120 Exemplo de perfil para telecomunicações

Figura 121 Fatores estratégicos de segurança para telecomunicações

Proteção dos data centers

Na rede central de produção que disponibiliza serviços móveis e/ou de IP

Prestação de serviços de segurança gerenciados

A rede corporativa e os dados internos


Classi�cação em termos de prioridade para a segurança na empresa Empresas de telecomunicações (n=308)

34% 24%21% 22%

26% 29%21% 24%

21% 19%30% 30%

20% 29%28% 24%

Figure 122 Security Priorities for Telecommunications

Classi�cado em 4ºClassi�cado em 3ºClassi�cado em 2ºClassi�cado em 1º

Figura 122 Prioridades de segurança para telecomunicações

104


Apêndice

Figure 123 Sample Pro�le for Transportation


Sim

Não, e não há planos imediatos de implementar um centro de operações de segurança

Não, mas há planos de implementar um centro de operações de segurança no próximo ano

Empresas de transportes

(n=179)75%

11%

14%

Sim

Não

88%

12%

Empresas de transportes

(n=179)

Em qual subsetor de transportes a sua empresa está envolvida?Empresas de transportes (n=180)

Em quais das seguintes áreas de segurança você tem responsabilidades?Empresas de transportes (n=180)

A sua empresa participa de entidades de padrões de segurança ou organizações do setor?

A sua empresa utiliza um SOC (centro de operações de segurança)?

Vehicles

Transporte marítimo

Aviação

Estradas

Trilho

Transporte coletivo

Frete e logística

Segurança de veículos

Segurança de infraestrutura essencial

Segurança de tecnologia operacional54%

11%

9%

7%

5%

9%

5%

84%

71%

43%

Figura 123 Exemplo de perfil para transportes

105


Apêndice


58%

42%Empresas de

serviços públicos/energia (n=116)

Petróleo e gás

Concessionárias de energia elétrica

Empresas de serviços públicos/energia (n=116)

Empresas de serviços públicos/energia (n=116)

Em qual subsetor de serviços públicos/energia a sua empresa está envolvida?

Com que frequência a sua empresa organiza um treinamento ou um exercício para testar o plano de resposta a um incidente de segurança digital?

Quando esses treinamentos ou exercícios são realizados, quem está envolvido?

Uma vez a cada 6 meses

Uma vez por ano

Uma vez a cada 2 anos

Raramente

Nunca

Parceiros de segurança

Pessoal interno não relacionado a segurança


Primeiros respondentes

Órgãos estaduais ou municipais

Órgãos federais

Outros fornecedores de serviços públicos


55%

37%

2%

0%

6%

84%

69%

33%

31%

26%

64%

20%

1%

Figure 124 Sample Pro�le for Utilities/Energy

Empresas de serviços �nanceiros (n=509)Grá�co arredondado para o número inteiro mais próximo

Quanto você acha que a segurança está sendo in�uenciada pelas seguintes tendências?

Em qual subsetor de serviços �nanceiros a sua empresa está envolvida?

Mercados �nanceiros

Bancos de varejo

Seguro

Negócio digital

FinTech

DevOps

TI bimodal

0%

88%42%

88%47%

85%39%

82%15%

13%

35%

46%

41%10%

10%

47%

48%

1% 1%

0%

0%

0%

1%

2%

2%

Nem um pouco Em grande parte As duas principais opções

%


Figure 125 Sample Pro�le for Financial Services

52%

25%

23%

Figura 124 Exemplo de perfil para serviços públicos/energia

Figura 125 Exemplo de perfil para serviços financeiros

106


Apêndice

2%

3%

3%

66%

61%

63%

1%

<1%

1%

32%

36%

33%

98%

97%

96%

Até que ponto você concorda ou discorda destas declarações?

Garantir a segurança dos dados de clientes do varejo é extremamente importante para a liderança executiva da minha empresaMinha empresa é capaz de manter a conformidade total com o Setor de Cartões de Pagamento (PCI)Os dados con�denciais de cartão de crédito do cliente permanecem seguros durante todo o ciclo de vida da minha empresa

Empresas do varejo (n=290), Grá�co arredondado para o número inteiro mais próximo

Concordo parcialmente

Discordo parcialmente

Discordo totalmente

Concordo plenamente

Concordo parcialmente + plenamente

%


Figure 126 Data Security for RetailFigura 126 Segurança de dados no varejo

107


Apêndice

0%

20%

40%

60%

80%

100%

Porc

enta

gem

de

hash

es D

ridex

0%

0.5%

1%

Porc

enta

gem

do

volu

me

tota

l de

hash



<24 horas De 1 a 2 dias De 3 a 10 dias

De 11 a 30 dias De 31 a 90 dias Mais de 90 dias


Figure 128 Hash Ages for the Dridex Malware Family and Percent of Total Hash Volume Observed Per Month

Figura 127 Combinações de MIME e extensão de arquivo para Dridex (vetores Web e e-mail)

Jan

Fev

Mar

Abr

Mai

o

Jun

Jul

Ago

Set

Out

Nov

Vetores exclusivos exe e aplicativo/msdos-program

dot e application/vnd.openxml...pdf e application/vnd.openxml...

rtf e application/mswordrtf e text/plain

rtf e application/xmldoc e application/xml

doc e application/vnd.openxml...exe e application/executable

no extension e application/vnd...no extension e application/rtf

rtf e application/vnd.openxml...js e text/plain

no extension e text/plainno extension e application/msword

doc e application/x-msworddoc e application/vnd.ms-word

doc e application/docdoc e application/x-msw6

doc e application/worddoc e aplicativo/winword

doc e aplicativo/vnd.msworddoc e aplicativo/texto

zip e aplicativo/zipzip e aplicativo/zip

pdf e aplicativo/mswordpxls e aplicativo/vnd.ms-exceldoc e texto/sem formataçãoexe e aplicativo/msdownload

doc e aplicativo/mswordxls e aplicativo/vnd.ms-excel

docm e aplicativo/vnd.openxml…docm e aplicativo/vnd.ms-word...

E-mail Web


Figure 127 File Extension and MIME Combinations for Dridex (Web and Email Vectors)

Figura 128 Envelhecimento de hash para a linha de malware Dridex e percentual do volume total de hash observado por mês

0

5

10

15

20


Med

iana

de

hora

s


20,416,9

10,27,2 5,5

Figure 129 TTD for the Dridex Malware FamilyFigura 129 TTD da linha de malware Dridex

Linhas de malware

108


Apêndice

Jan

Fev

Mar

Abr

Mai

o

Jun

Jul

Ago

Set

Out

Nov

Vetores exclusivos

vbs & text/plain

no extension & application/ziphtml & application/zip


js & text/plain

jpg & image/jpegrtf & application/msword

exe & application/msdownload

rtf & application/vnd.openxml...dotm & application/vnd.open...

doc & application/msword

E-mail Web


Figure 130 File Extension and MIME Combinations for the Family of Threats and Indicators That Lead to and Include the Cerber Payload (Web and Email Vectors)

Figura 130 Combinações de MIME e extensão de arquivo para a linha de ameaças e indicadores que geram e incluem o payload Cerber (vetores Web e e-mail)

0%

20%

40%

60%

80%

100%

Porc

enta

gem

de

hash

es C

erbe

r

0%

0,1%

0,2%

Porc

enta

gem

do

volu

me

tota

l de

hash



<24 horas

Mais de 90 dias


Figure 132 Hash Ages for the Cerber Malware Family and Percent of Total Hash Volume Observed Per Month

De 1 a 2 dias De 3 a 10 dias

De 11 a 30 dias De 31 a 90 diasFigura 131 TTD da linha de malware Cerber

Figura 132 Envelhecimento de hash para a linha de malware Cerber e percentual do volume total de hash observado por mês

Figura 133 Envelhecimento de hash para a linha de malware Locky por mês

Figura 134 Envelhecimento de hash para a linha de malware Nemucod por mês

120

160

0

40

80

Jan Fev Mar Abr Maio Jul Ago SetJun Out2016

Med

iana

de

hora

s


116,126,2

5,1 5,9

Figure 131 TTD for the Cerber Malware Family

0%

20%

40%

60%

80%

100%

Porc

enta

gem

de

hash

es N

emuc

od


<24 horas

Mais de 90 dias


Figure 134 Hash Ages for the Nemucod Malware Family Per Month



0%

20%

40%

60%

80%

100%

Porc

enta

gem

de

hash

es L

ocky


<24 horas

Mais de 90 dias


Figure 133 Hash Ages for the Locky Malware Family Per Month



109


Apêndice

0%

20%

40%

60%

80%

100%

Porc

enta

gem

de

hash

es A

dwin

d RA

T


<24 horas De 1 a 2 dias De 3 a 10 dias



Figure 135 Hash Ages for the Adwind RAT Malware Family Per Month

0%

20%

40%

60%

80%

100%

Porc

enta

gem

de

hash

es K

rypt

ic


<24 horas


Figure 136 Hash Ages for the Kryptik Malware Family Per Month



Figura 136 Envelhecimento de hash para a linha de malware Kryptik por mês

Figura 135 Envelhecimento de hash para a linha de malware Adwind RAT por mês

Download dos gráficos

O download de todos os gráficos deste relatório pode ser feito em: www.cisco.com/go/acr2017graphics

Atualizações e correções

Para ver atualizações e correções das informações deste relatório, acesse: www.cisco.com/go/acr2017errata

Sede nas AméricasCisco Systems, Inc.San Jose, CA

Sede na Ásia-PacíficoCisco Systems (USA) Pte. Ltd.Singapura

Sede na EuropaCisco Systems International BV Amsterdam,Holanda

A Cisco tem mais de 200 escritórios no mundo todo. Os endereços, números de telefone e de fax estão disponíveis no site da Cisco, em www.cisco.com/go/offices.

Publicação: janeiro de 2017

© 2017 Cisco e/ou suas afiliadas. Todos os direitos reservados.

A Cisco e o logotipo da Cisco são marcas comerciais ou marcas comerciais registradas da Cisco e/ou suas afiliadas nos EUA e em outros países Para obter uma lista de marcas comerciais da Cisco, acesse este URL: www.cisco.com/go/trademarks. Todas as marcas de terceiros citadas pertencem a seus respectivos detentores. O uso do termo "parceiro" não implica uma relação de sociedade entre a Cisco e qualquer outra empresa. (1110R)

Adobe, Acrobat e Flash são marcas registradas ou comerciais da Adobe Systems Incorporated nos Estados Unidos e/ou em outros países.

http://www.cisco.com/go/offices

http://www.cisco.com/go/trademarks

xTechxtech.com.br/config/imagens_conteudo/pdfs/... · 3 Sumário executivo e principais...

Documents

Transcript of xTechxtech.com.br/config/imagens_conteudo/pdfs/... · 3 Sumário executivo e principais...