(relaTÓ rio dbir) de 20 - Verizon Enterprise Solutions · espionagem cibernÉtica invasÕes a...

ESPIONAGEM CIBERNÉTICA

INVASÕES A PONTOS DE VENDAS

USO INDEVIDO POR PESSOAS DE DENTRO DA EMPRESA

ATAQUES DE DoS

CRIMEWARE

ATAQUES A APLICATIVOS NA WEB

EXTRATORES DE CARTÃO DE PAGAMENTO

ERROS DIVERSOS

FURTO E PERDA FÍSICA

Conduzidas pela Verizon com contribuições de 50 organizações de diferentes partes do mundo.

O UNIVERSO DAS AMEAÇAS PODE PARECER ILIMITADO, MAS 92% DOS 100.000 INCIDENTES QUE ANALISAMOS NOS ÚLTIMOS DEZ ANOS PODEM SER DESCRITOS POR APENAS NOVE PADRÕES BÁSICOS.

92%

RELATóRIO DE INVESTIgAÇÕESDE VIOLAÇÕES DE DADOS (RELATóRIO DBIR) DE 2014

RELATÓRIO DE INVESTIGAÇÕES DE VIOLAÇÕES DE DADOS (RELATÓRIO DBIR) DE 2014 DA VERIzONVERIzON

Colaboradores do Relatório DBIR 2014(consulte o Apêndice C para obter uma lista detalhada)

Malware Analysis & Threat Intelligence

DEFENSE

��SE��SE��

E

�N��ED�S��ES��F�

��E�

��

V C

D B

ii Verizon enterprise solutions

SUMÁRIOiNTRODUÇÃO ................................................................................................................................................................... 2

ANÁLiSE DO ANO DE 2013 ......................................................................................................................................... 3

DADOS DEMOGRÁFiCOS DAS VÍTiMAS ................................................................................................................. 5

UMA DÉCADA DE DADOS DO RELATÓRiO DBiR ................................................................................................. 7

RESULTADOS E ANÁLiSE...........................................................................................................................................13

iNVASõES A pONTOS DE VENDAS ........................................................................................................... 16

ATAQUES A ApLiCATiVOS NA WEB .......................................................................................................... 20

USO iNDEViDO DE pRiViLÉGiOS OU pOR pESSOAS DE DENTRO DA EMpRESA .................. 23

FURTO E pERDA FÍSiCA ................................................................................................................................ 27

ERROS DiVERSOS .......................................................................................................................................... 29

CRiMEWARE ..................................................................................................................................................... 32

ExTRATORES DE CARTõES DE pAGAMENTO ...................................................................................... 35

NEGAÇÃO DE SERViÇO ................................................................................................................................. 38

ESpiONAGEM ELETRôNiCA ....................................................................................................................... 43

TUDO O MAiS ................................................................................................................................................... 46

CONCLUSõES E RESUMO DAS RECOMENDAÇõES ........................................................................................48

ApÊNDiCE A: METODOLOGiA ..................................................................................................................................51

ApÊNDiCE B: ViOLAÇõES DE DADOS E FURTO DE iDENTiDADE: UMA QUESTÃO iNTRiCADA ......53

ApÊNDiCE C: LiSTA DE COLABORADORES.........................................................................................................55

NOTASFiNAiS .................................................................................................................................................................56

Perguntas? Comentários? Ideias brilhantes?Queremos ouvi-los. Envie-nos um email para [email protected], encontre-nos no LinkedIn ou poste no tweeter @VZdbir com a marca #dbir.

1RelatóRio de investigações de violações de dados (RelatóRio dBiR) de 2014 da veRiZon

mailto:dbir%40verizon.com?subject=

http://www.linkedin.com/company/verizon-enterprise

http://twitter.com/VZdbir

INTRODUÇãO

Bem-vindo ao Relatório de investigações de Violações de Dados (Relatório DBiR) de 2014.1 Seja você um leitor veterano que vem nos acompanhando desde nossa publicação inicial em 2008 ou um recém-chegado à nossa festa anual de dados, estamos sinceramente felizes por tê-lo conosco. Esperamos que a apresentação deste ano aumente a conscientização e melhore a prática no campo de segurança da informação e embase decisões e operações críticas desde as trincheiras até a sala da diretoria.

para os veteranos do Relatório DBiR, uma olhada geral no sumário irá revelar algumas mudanças significativas à estrutura do relatório com que você está acostumado dos anos anteriores. Em vez de nossa abordagem característica, organizada em torno de agentes, ações, ativos, linhas do tempo, etc., criamos seções baseadas em padrões comuns de incidentes, derivados diretamente dos dados propriamente ditos (mais sobre isso depois). Em cada um desses padrões, abrangemos os agentes que os causam, as ações que usam, os ativos visados, as linhas do tempo em que tudo isso ocorreu e oferecemos recomendações específicas para prevenir-se contra eles. A motivação para a mudança é tripla: primeiro, percebemos que a vasta maioria dos incidentes podia ser enquadrada em um entre nove padrões; segundo, podemos traçar uma correlação entre esses padrões de incidentes e os setores (o que de fato fizemos) e, terceiro, queríamos nos desafiar a olhar os dados de uma perspectiva original. A meta final é fornecer informações práticas apresentadas de maneira a permitir uma discussão detalhada das descobertas e recomendações mais relevantes à sua organização.

Todos sabemos que dados não crescem em árvores, e devemos expressar nossa gratidão às 50 organizações que contribuíram com este relatório, representando entidades públicas e privadas de diferentes partes do globo. Estamos orgulhosos de trabalhar com essas organizações e sentimos que o que você está lendo agora é prova dos benefícios do compartilhamento coordenado de dados sobre incidentes. para consultar a lista completa de colaboradores do Relatório DBiR 2014, confira o Apêndice C.

O conjunto de dados que serve de base para o Relatório DBiR consiste em mais de 63.000 incidentes de segurança confirmados – isso mesmo, mais de Sessenta e Três Mil. Esse número bastante assustador é um subproduto de outra mudança na filosofia com o relatório deste ano: não estamos mais restringindo nossa análise às violações de dados confirmadas. Essa evolução do Relatório DBiR reflete a experiência de muitos profissionais e executivos da segurança, que sabem que um incidente não precisa resultar na exfiltração de dados para ter um impacto significativo na empresa à qual foi direcionado.

por isso, preparar-se para digerir o que esperamos que sejam dados muito deliciosos preparados para você este ano. A seção sobre Metodologia, encontrada normalmente próximo ao início do relatório, agora está no Apêndice A. Em vez disso, começaremos com uma análise de 2013 do ponto de vista das manchetes, passando então para algumas amostras demográficas para orientá-lo com relação ao conjunto de dados. A seção a seguir – um resumo dos nossos 10 anos de dados sobre incidentes – pode muito bem ser a nossa favorita. (Mas, por favor, não conte isso às outras seções.) Em seguida, forneceremos uma análise dos padrões de classificação de incidentes mencionados acima, terminando com algumas conclusões e um exercício de mapeamento dos controles de segurança baseado nos padrões. Vamos começar!

50organizações globais Colaboradoras

1.367Violações de dados Confirmadas

63.437inCidenTes de segurança

95PaÍses rePresenTados

2 Verizon enterprise solutions

ANÁLISE DO ANO DE 2013

O ano de 2013 pode ficar marcado como o “ano da violação do varejista”, mas uma avaliação mais abrangente do ambiente de risco da Segurança da informação mostra que foi um ano de transição de ataques geopolíticos para ataques de larga escala a sistemas de cartões de pagamento.

2013 pode ser lembrado como o “ano da violação do varejista”, mas uma avaliação abrangente sugere que foi um ano de transição de ataques geopolíticos para ataques de larga escala a sistemas de cartões de pagamento.

JANEIROJaneiro testemunhou uma série de relatos de ataques direcionados perpetrados pelo que eram, provavelmente, agentes patrocinados pelo estado. A campanha de espionagem eletrônica Red October (Outubro vermelho) foi exposta como responsável por visar órgãos governamentais e instituições de pesquisa em todo o globo, mas em países de fala russa em especial. A inteligência quanto a uma série diferente de ataques que começou com um ataque “watering hole” (poço d'água, em inglês) ao site do Conselho de Relações Exteriores na Web (cfr.org) com início no primeiro dia útil após o Natal (Boxing Day) de 2012 foi vinculada a agentes que usaram a Estrutura Elderwood. Enquanto isso, o izz ad-Din al-Qassam Cyber Fighters (QCF) já estava havia quase um mês na Fase ii dos Ataques Distribuídos por Negação de Serviço (DDoS) da Operação Ababil em empresas de serviços financeiros nos Estados Unidos.

FEVEREIROA transição para fevereiro foi por conta do The New York Times e do Wall Street Journal, com novos relatórios de espionagem eletrônica direcionada. E a Sophos relatou um novo Cavalo de Troia baseado no Citadel criado para atacar sistemas de ponto de vendas (pDV) usando um processador canadense de cartões de pagamento. Logo saberíamos que www.iphonedevsdk.com havia se tornado um “watering hole”, usando um ataque surpresa ao Java mais para o final do mês. A maior parte dos profissionais de Segurança da informação se lembra bem de fevereiro como o mês em que a Mandiant (atual FireEye) lançou seu esplêndido relatório ApT1. Fevereiro também marcou o início dos relatórios de violações de dados de grandes empresas, cortesia do supracitado iphoneDevSDK: Facebook, Twitter, Apple e Microsoft foram todas vítimas. É digno de nota que violações de dados de pDV de varejistas foram relatadas pela Bashas’ e pela Sprouts, duas cadeias de supermercados independentes no sudoeste dos Estados Unidos. A Bit9 relatou uma violação de dados que teve início em julho de 2012 com o ataque de sua infraestrutura de assinatura de código.

MARÇOCinquenta milhões de usuários do Evernote se lembram de que março foi o mês em que foram forçados a alterar suas senhas. No dia 20 de março, a República da Coreia sofreu um ataque cibernético em larga escala que incluiu a corrupção de discos. Continuamos céticos com relação ao ataque de negação de serviço (DoS) Cyberbunker-CloudFlare-Spamhaus quase ter tirado a internet do ar no final de março. O Group-iB relatou o “Dump Memory Grabber” (também conhecido como BlackpOS), um novo Cavalo de Troia para pDV que chegaria às manchetes quando foi dada a notícia da violação das lojas Target em dezembro.

Essa seção é uma compilação dos parágrafos liderados pela iNTSUM publicados semanalmente em nosso blog, sendo 100% baseada em inteligência de fontes abertas (OSiNT). Mantemos uma política muito rigorosa contra a identificação de clientes de Resposta investigativa, e menções a organizações nesta seção não implica em absoluto que conduzimos uma investigação que as envolvesse ou que elas estejam entre as vítimas em nosso conjunto de dados.


ABRILEm abrir, outro varejista de supermercados nos Estados Unidos, a Schnucks, relatou uma violação de dados de pDV. O Exército Eletrônico Sírio (Syrian Electronic Army, SEA) causou danos ao sequestrar a conta da Associated press no Twitter, enviando um tweet que relatava uma explosão na Casa Branca e causando uma convulsão em Wall Street. A Operação Ababil continuou, mas o OSiNT não pôde apoiar a atribuição de ataques de DoS a vários bancos europeus ao QCF.

MAIOA espionagem eletrônica continuou em maio, com relatórios da QinetiQ e do Corpo de Engenheiros do Exército dos Estados Unidos (U.S. Army Corps of Engineers). O SEA sequestrou as contas tanto do The Guardian quanto do The Financial Times no Tweeter. Um ataque de “watering hole” foi direcionado a pesquisadores de armas nucleares nos Estados Unidos com fins de espionagem eletrônica, provavelmente da China. Mais campanhas de espionagem eletrônica relatadas em maio incluem a Operação Hangover, direcionada ao paquistão; Safe, com a Mongólia como alvo; e operações de agentes do Sunshop contra ativistas tibetanos. O Ministério da Justiça dos Estados Unidos fechou o Liberty Reserve, o banco mais frequentemente usado pelos criminosos cibernéticos.

JUNhONo início de junho, a Raley’s, outro supermercado estadunidense com lojas na Califórnia e em Nevada, informou que seus sistemas de cartões de pagamento haviam sido violados. A NetTraveller, uma campanha global de espionagem eletrônica direcionada a diplomatas em países com interesses não alinhados com os da China, teve lugar. No dia seguinte, o The Guardian publicou o primeiro vazamento de inteligência por Edward Snowden… e então a inteligência de Segurança da informação se transformou em um canal “totalmente voltado para o Snowden, todo o tempo”.

JULhOA maior violação de dados de varejistas de julho foi relatada pela Harbor Freight, uma fornecedora de ferramentas dos Estados Unidos com 445 lojas – quase 200 milhões de clientes e um número ainda desconhecido de registros foram comprometidos. O QCF iniciou a Fase iV da Operação Ababil. O SEA foi responsável por violações à Viber, Tango e Daily Dot. O Ministério da Justiça dos EUA indiciou quatro russos e um ucraniano por violações de dados ostensivas, que incluíram a Heartland e a Global payments.

AgOSTOEm agosto, o SEA sequestrou as contas do Twitter da CNN, The Washington post, Time Magazine, SocialFlow e tanto do The New York Times quanto do New York post. Os participantes do G8 Summit em St. petersburg, Rússia, foram alvo de espionagem eletrônica pelos agentes do Calc Team.

SETEMBROEm setembro, a Vodafone notificou dois milhões de clientes que seus dados pessoais e financeiros haviam sido violados. A espionagem relatada em setembro envolveu o Cavalo de Troia EvilGrab e, separadamente, os agentes Hidden Lynx, que parecem se dedicar tanto à espionagem quanto ao crime cibernético. Nova inteligência vinculou o ataque Bit9 de fevereiro à Operação Deputy Dog, ao Hidden Lynx e a ataques de “watering hole” a instituições financeiras japonesas. No final do mês, Brian Krebs deu início a seus relatórios sobre inteligência extraídos de ssndob[dot]ms. O site abrigava dados furtados de alguns dos maiores bancos de dados (“data brokers”) dos Estados Unidos: Lexis-Nexis, Kroll e Dun & Bradstreet. A Cryptolocker fez sua primeira aparição em setembro, extorquindo dinheiro de vítimas dispostas a pagar para descriptografar seus arquivos essenciais.

OUTUBROEm 3 de outubro, a Adobe anunciou que seus sistemas tinham sido violados. por fim, 38 milhões de contas foram identificadas como tendo sido afetadas. A inteligência conectou isso aos agentes do ssndob[dot]ms. A Nordstrom, loja de departamentos de luxo nos EUA, descobriu extratores de cartões de pagamento em algumas de suas caixas registradoras. Duas das grandes vitórias de 2013 também ocorreram em outubro: Dmitry “paunch” Fedotov, protagonista do kit de exploração Blackhole, foi detido na Rússia, e a Silk Road, um bazar de fraudes online, foi desativado.

NOVEMBRONovembro foi razoavelmente quieto, a proverbial calmaria antes da tempestade. O malware contra bancos evoluiu, com relatos de Neverquest e outra versão do iceix. O BipS, um grande processador europeu de pagamentos de bitcoins, foi vítima de um dos maiores roubos de bitcoins registrados até aquele momento.

DEZEMBROA última entrada significativa enquadrada como espionagem eletrônica em 2013 foram os ataques direcionados aos ministérios do exterior de países europeus pela Operação Ke3chang. O The Washington post relatou sua segunda violação do ano. E a inteligência de Segurança da informação se transformou no canal “todo alvo, todo o tempo”. Embora o porte da violação deste grande varejista estadunidense fosse ligeiramente maior que a metade da Heartland e três quartos o tamanho da TJx, ela está concorrendo como evento pelo qual 2013 sempre será lembrado..






DADOS DEMOgRÁFICOS DAS VíTIMASCom frequência, os leitores do Relatório DBIR nos abordam com duas perguntas importantes. Quão representativas em geral são as descobertas deste relatório? essas descobertas são relevantes para a minha organização? Para ajudá-lo a orientar-se com relação ao relatório deste ano, vejamos o que os dados nos mostram.

O Relatório DBiR 2013 apresentou violações que afetaram organizações em 27 países. O relatório deste ano eleva esse cômputo em 350%, para 95 países distintos (Figura 1). Todas as principais regiões do mundo estão representadas e agora temos

mais Equipes nacionais de Resposta a incidentes de Segurança de Computador (CSiRTs) do que nunca. Nossa capacidade de comparar tendências globais nunca foi tão alta.

Mas a coisa não é tão simples assim. A carta de direitos, o foco, os métodos e os dados diferem tanto entre as CSiRTs que fica difícil atribuir as diferenças a verdadeiras variações no ambiente de ameaças.2 No entanto, os pontos cegos regionais estão diminuindo, graças à nossa lista crescente de colaboradores (consulte o Apêndice C), e estamos muito felizes com isso.

Figura 1.Países representados no conjunto de casos combinado

países representados no conjunto de casos combinado (em ordem alfabética): Afeganistão, África do Sul, Albânia, Alemanha, Arábia Saudita, Argélia, Argentina, Armênia, Austrália, Áustria, Azerbaijão, Bahrain, Belarus, Bélgica, Bósnia e Herzegovina, Botsuana, Brasil, Brunei Darussalam, Bulgária, Camboja, Canadá, Catar, Cazaquistão, Chile, China, Chipre, Cingapura, Colômbia, Congo, Coreia (República da), Croácia, Dinamarca, Egito, Emirados Árabes Unidos, Eslováquia, Eslovênia, Espanha, Estados Unidos, Etiópia, Federação Russa, Filipinas, Finlândia, França, Geórgia, Grécia, Holanda, Hong Kong, Hungria, ilhas Virgens, Índia, indonésia, irã (República islâmica do), iraque, irlanda, israel, itália, Japão, Jordânia, Kuwait, Letônia, Líbano, Lituânia, Luxemburgo, Macedônia (Antiga República iugoslava da), Mali, Marrocos, Mauritânia, México, Moçambique, Moldávia (República da), Montenegro, Nepal, Nova Zelândia, Omã, paquistão, palestina (Território Ocupado da), peru, polônia, portugal, Quênia, Quirguistão, Reino Unido, República Tcheca, Romênia, Suíça, Tailândia, Taiwan (província da China), Tanzânia (República Unida da), Turcomenistão, Turquia, Ucrânia, Uganda, Uzbequistão, Vietnã.


setor Total Pequeno grande desconhecido

Hotelaria [72] 212 115 34 63

Administrativo [56] 16 8 7 1

Agricultura [11] 4 0 3 1

Construção [23] 4 2 0 2

Educação [61] 33 2 10 21

Entretenimento [71] 20 8 1 11

Finanças [52] 856 43 189 624

Saúde [62] 26 6 1 19

informação [51] 1.132 16 27 1.089

Gestão [55] 10 1 3 6

Manufatura [31,32,33] 251 7 33 211

Mineração [21] 11 0 8 3

profissionais liberais [54] 360 26 10 324

público [92] 47.479 26 47.074 379

imóveis [53] 8 4 0 4

Varejo [44,45] 467 36 11 420

Comércio [42] 4 3 0 1

Transporte [48,49] 27 3 7 17

Serviços públicos [22] 166 2 3 161

Outros [81] 27 13 0 14

Desconhecido 12.324 5.498 4 6.822

Total 63.437 5.819 47.425 10.193

Em seguida, vamos analisar os diferentes setores e portes das organizações vítimas no conjunto de dados deste ano (Figura 2). Os números astronômicos do Setor público são resultado, principalmente, das exigências de relatório aos órgãos do governos dos Estados Unidos, que abastecem alguns de nossos colaboradores com uma vasta quantidade de incidentes de pequeno porte (mais sobre isso mais tarde), em vez de ser um sinal de um direcionamento mais intenso ou de defesas fracas. A Figura 3 descarta as minúcias, restringindo o conjunto de dados somente àqueles incidentes que envolveram comprometimento confirmado dos dados. Deixando de lado a discrepância do Setor público, ambas as Figuras 2 e 3 mostram dados demográficos relativamente semelhantes aos anos anteriores.

setor Total Pequeno grande desconhecido

Hotelaria [72] 137 113 21 3

Administrativo [56] 7 3 3 1Construção [23] 2 1 0 1Educação [61] 15 1 9 5

Entretenimento [71] 4 3 1 0

Finanças [52] 465 24 36 405

Saúde [62] 7 4 0 3

informação [51] 31 7 6 18

Gestão [55] 1 1 0 0

Manufatura [31,32,33] 59 6 12 41

Mineração [21] 10 0 7 3


público [92] 175 16 26 133

imóveis [53] 4 2 0 2

Varejo [44,45] 148 35 11 102

Comércio [42] 3 2 0 1

Transporte [48,49] 10 2 4 4


Outros [81] 8 6 0 2

Desconhecido 126 2 3 121

Total 1.367 243 144 980

Testemunhamos alguns aumentos nos pontos em que acrescentamos novos colaboradores de setores específicos, de forma que as peças do quebra-cabeça estão se encaixando. Determinados setores sempre irão apresentar níveis mais altos na contagem de vítimas, dada sua atratividade para agentes financeiramente motivados – ou seja, aqueles que armazenam dados de cartões de pagamento ou outros dados financeiros. Mas, mesmo descontando esse fato, não vemos nenhum setor passando completamente despercebido. E essa é a real conclusão aqui – todos são vulneráveis a algum tipo de evento. Mesmo que você acredite que sua organização corre pouco risco de ataques externos, persiste a possibilidade de uso indevido e erros por parte de pessoas de dentro da empresa que podem prejudicar sistemas e expor dados.

Assim, não podemos afirmar que temos uma cobertura isenta de cada tipo e porte de organização no planeta (mas ficamos com os dedos cruzados quanto ao próximo ano!). Contudo, ousamos afirmar que a maior parte dos leitores poderá se identificar ou ver algo que se assemelhe o suficiente com sua situação nesta amostra.

para obter mais informações sobre os códigos NAiCS [mostrados a seguir], visite: https://www.census.gov/cgi-bin/sssd/naics/naicsrch?chart=2012

pequeno = organizações com menos de 1.000 funcionários, Grande = organizações com 1.000 ou mais funcionários

Figura 2. Número de incidentes de segurança por setor da vítima e porte da organização, conjunto de dados de 2013

Figura 3.Número de incidentes de segurança com perda de dados confirmada por setor da vítima e porte da organização, conjunto de dados de 2013


https://www.census.gov/cgi-bin/sssd/naics/naicsrch?chart_code=72&search=2012%20NAICS%20Search















































https://www.census.gov/cgi-bin/sssd/naics/naicsrch?chart=2012

UMA DéCADA DE DADOS DO RELATóRIO DBIROs leitores de longa data deste relatório saberão que nós não somos muito bons em manter o status quo. As fontes de dados crescem e se diversificam a cada ano. O foco da nossa análise se desloca. A maneira como visualizamos os dados e organizamos os resultados evolui com o tempo. E com o Relatório DBiR 2014, vamos dar uma sacudida geral.

Esta seção tenta criar um conjunto de descobertas “tão comparável quanto possível” com os Relatórios DBIR anteriores. Ela inclui “somente” violações entre 2004 e 2012, além dos 1.367 incidentes com comprometimento de dados confirmado em 2013.

Embora isso dificulte de fato uma comparação significativa de tendências ao longo do tempo, tem o efeito positivo de elucidar novas áreas sombrias a cada ano. A verdade é que estamos mais interessados em explorar e aprender do que em produzir grandes quantidades do mesmo material antigo toda vez, apenas para medir as variações.

isso posto, medir variações tem valor e sabemos que os leitores apreciam algum nível de continuidade entre os relatórios. Assim, esta seção tenta criar um conjunto de descobertas “tão comparável quanto possível” com os Relatórios DBiR anteriores. Ela inclui “somente” violações entre 2004 e 2012, além dos 1.367 incidentes com comprometimento de dados confirmado em 2013. É digno de nota que isso representa o ponto alto em dez anos de violações de dados, além de ser a primeira vez em que ultrapassamos a marca dos 1.000. (Uma salva de palmas a todos os colaboradores que continuam colocando lenha na fogueira.)

Começamos escrevendo muitos comentários para esta seção, mas então mudamos de ideia. Em vez disso, vamos apresentar algum colírio para os seus olhos que você poderá ruminar pelo tempo que quiser, com apenas algumas observações gerais de nossa parte.

Começamos escrevendo muitos comentários para esta seção, mas mudamos de ideia. Em vez disso, vamos apresentar algum colírio para os seus olhos que você poderá ruminar pelo tempo que quiser, com apenas algumas observações gerais de nossa parte.

INFORMAÇÕES BREVES SOBRE O VERIS E O VCDB

O Vocabulário para relato de eventos e compartilhamento de incidentes (VERiS, Vocabulary for Event Recording and incident Sharing) foi projetado para proporcionar uma linguagem comum para descrever incidentes de segurança de maneira estruturada e repetível. Ele converte a narrativa “quem fez o quê para o quê ou para quem com que resultado” no tipo de dados presente neste relatório. Com a esperança de facilitar o acompanhamento e o compartilhamento de incidentes de segurança, divulgamos o VERiS para uso gratuito pelo público. Obtenha informações adicionais no site da comunidade do VERiS; o esquema completo está disponível no GitHub. Ambos são boas referências concomitantes a este relatório para compreensão da terminologia e do contexto.www.veriscommunity.com | github.com/vz-risk/veris

Lançado em 2013, o projeto Banco de dados da comunidade VERiS (VCDB, VERiS Community Database) conta com a cooperação de voluntários na comunidade de segurança em uma tentativa de registrar todos os incidentes de segurança divulgados publicamente em um conjunto de dados gratuito e aberto.

Nós alavancamos o VCDB em algumas seções deste relatório, que estão claramente marcadas. Saiba mais sobre o VCDB visitando o site a seguir.vcdb.org


http://www.veriscommunity.com

http://github.com/vz-risk/veris

http://vcdb.org

A Figura 4 representa a contagem bruta de violações atribuídas a agentes externos, internos e parceiros nos dez anos de história de nossos dados de violações. A Figura 5 mostra esses dados como uma proporção de todas as violações e reorganiza as categorias de modo a destacar as exclusividades e sobreposições entre elas. Ela usa uma linha de tendência polinomial de terceiro grau para torná-los agradáveis e suaves, o que nos permite ver o comportamento básico com o passar do tempo. Juntas, elas ajudam a responder às principais perguntas de nosso interesse – quais agentes são responsáveis pelo maior número de violações e qual é a mudança relativa ao longo do tempo?

Visto que estamos deixando as visualizações falarem por si próprias aqui, faremos apenas algumas observações e deixaremos o resto de lição de casa.• Um período de dez anos oferece algumas boas estimativas de

mínimo/máximo/mais provável para vocês que gostam de criar modelos. Com exceção de 2006-2008, as proporções gerais são relativamente estáveis, especialmente quando se consideram as mudanças drásticas nos totais de violações e nas fontes que compõem o escopo a cada ano.

• 2007 é o único ano que mostra uma maioria de pessoas de dentro da empresa na Figura 4. isso resulta, principalmente, de um conjunto de casos de violações confirmadas excepcionalmente pequeno da Verizon e de um influxo de dados do Serviço Secreto dos Estados Unidos do período de 2006-2008. Em essência, fundimos duas amostras de tamanhos iguais – mas muito diferentes.

• Essa queda gigantesca no número de agentes externos em 2012 visível na Figura 4 coincide com uma queda geral no número de violações naquele ano, principalmente devido a poucos e grandes rompantes de invasões a pontos de vendas (pDVs) com várias vítimas direcionados a pequenas e médias empresas no conjunto de dados.

• Graças a vários novos parceiros cujo foco se concentra em crimes perpetrados por pessoas de dentro da empresa, a linha de tendência proporcional de agentes internos volta a subir nos últimos anos enquanto a de agentes externos se volta para baixo. Entretanto, se removêssemos a curva polinomial, veríamos uma regressão positiva dos agentes externos e uma regressão ligeiramente negativa dos agentes internos.

Figura 4. Número de violações por categoria de agente de ameaça ao longo do tempo

250

500

750

1000

2004 2005 2006 2007 2008 2009 2010 2011 2012 2013

ParceiroInterno

Externo

Figura 5. Porcentagem de violações por categoria de agente de ameaça ao longo do tempo

25%

50%

75%

100%

2004 2005 2006 2007 2008 2009 2010 2011 2012 2013

Partner

InternalCollusion

External

VIOLAÇÕES OU INCIDENTES?

Este relatório usa as seguintes definições: incidente: um evento de segurança que compromete a integridade, confidencialidade ou disponibilidade de um ativo de informação. Violação: um incidente que resulta na divulgação ou potencial exposição dos dados. divulgação de dados: uma violação para a qual tenha sido confirmada a divulgação de dados para uma parte não autorizada (não apenas a exposição).


Duas exibições diferentes que indicam como as motivações dos agentes de ameaças mudaram nos últimos cinco anos são apresentadas nas Figuras 6 e 7. O gráfico de linha (Figura 6) dá a porcentagem relativa das três principais motivações em nosso conjunto de dados, enquanto a Figura 7 usa uma plotagem de área das contagens totais de incidentes. • Sabíamos que a espionagem vinha aumentando nos últimos anos,

mas o gráfico de linha de tendência nos surpreendeu pelo grau de convergência com as motivações financeiras. isso irá continuar?

• Essa descoberta é meramente o resultado do acréscimo ao Relatório DBiR de novos colaboradores especializados em espionagem, ou o dinheiro está mesmo diminuindo como principal determinante do crime na internet? parece mais fácil imaginar a primeira opção do que a segunda, mas isso certamente nos faz querer continuar ampliando nossa coleção de dados de violação no futuro.

• A plotagem de área nos lembra que violações motivadas pelo dinheiro ainda excedem as outras em número com uma boa margem. para emprestar a frase do pink Floyd, a maior parte dos agentes ainda quer “agarrar essa grana com as duas mãos e estocar”.

A Figura 8 tem a tarefa desafiadora de exibir dez anos de ações de ameaças que levaram a violações de dados. Experimentamos maneiras alternativas de visualizar estes dados, mas achamos que a simplicidade deste gráfico funcionava melhor. Tenha em mente que as ações não são mutuamente exclusivas; várias podem contribuir para um incidente (o mesmo se dá com agentes e ativos).• Este gráfico faz um excelente trabalho de enfatizar o valor do

compartilhamento de dados. pode-se ver o número de violações e a diversidade das ameaças aumentarem à medida que o Relatório DBiR passa, de uma única amostra, a ser um metaestudo.

• Mas nem tudo se deve às mudanças no conjunto de amostras. Observe como as categorias de ação de hackers e malware passam por uma explosão de crescimento em 2009 e as táticas sociais dão início à sua ascensão em 2010. Elas têm histórias paralelas no mundo real (por exemplo, melhores ferramentas de ataque automatizadas e kits de malware “faça você mesmo”) e é fascinante vê-las refletidas nos dados.

2004 2005 2006 2007 2008 2009 2010 2011 2012 2013

Malware

Ação de hackers

Uso indevidoErro

Físico

Social

200

400

600

800

Figura 8. Número de violações por categoria de ação de ameaça ao longo do tempo

Figura 6. Porcentagem de violações por motivação do agente de ameaça ao longo do tempo

2013201120102009 2012

25%

50%

75%

100%

Ideologia/Diversão

Espionagem

Financeira

2013201120102009 2012

250

500

750

1000

Financeira

Espionagem

Ideologia/Diversão

Figura 7. Número de violações por motivação do agente de ameaça ao longo do tempo


A Figura 9 faz uma análise m

ais aprofundada das variedades específicas das ações de ameaça observadas nos últim

os cinco anos. As vinte mais im

portantes no intervalo de cinco anos estão relacionadas em colunas sucessivas, e as linhas que conectam

as colunas destacam

o modo com

o cada ação muda com

ao longo do tempo. para ser honesto, seria im

possível fazer um com

entário conciso sobre esta visualização. Sim, ela é incrivelm

ente intricada, mas tam

bém é incrivelm

ente densa em term

os de informações.

Deixe que seus olhos se ajustem e então explore aquilo que atrair sua atenção. p or exem

plo, siga os RAM scrapers ao longo dos anos. Eles com

eçam em

quinto lugar em 2009, sofrem

uma grande queda nos anos seguintes e então sobem

subitamente para o

quarto lugar em 2013. Falam

os sobre esse ressurgimento na seção sobre invasões a pontos de vendas (pDVs) deste relatório. Literalm

ente, cada item na Figura 9 tem

uma história, se você der a devida atenção. Aproveite.

Figura 9. V

inte principais variedades de ações de ameaça ao longo do tem

po

20102009

20122011

2013

Uso de credenciais furtadas [hac]422

Uso de credenciais furtadas [hac]203Uso de credenciais furtadas [hac]327



Dados exportados [mal]

327


183


309


233Dados exportados [m

al]103

Phishing [soc]245

Phishing [soc]181

Phishing [soc]62

Phishing [soc]11

Phishing [soc]10

RAM scraper [m

al]223

RAM scraper [m

al]27

RAM scraper [m

al]21

RAM scraper [m

al]17

Backdoor [mal]

165

Backdoor [mal]

209

Backdoor [mal]

214

Backdoor [mal]

104

Backdoor [mal]

267

Uso de backdoor ou C2 [hac]152





Spyware/Keylogger [mal]149




Spyware/Keylogger [mal]

28Downloader [m

al]144

Downloader [mal]

181

Downloader [mal]

59

Downloader [mal]

15

Downloader [mal]

13

Captura de dados armazenados [mal]133





C2 [mal]

119

C2 [mal]

183

C2 [mal]

61

C2 [mal]

15C2 [m

al]4

SQLi [hac]109

SQLi [hac]25

SQLi [hac]53

SQLi [hac]53

SQLi [hac]13

Força bruta [hac]108





Rootkit [mal]

106Rootkit [m

al]61

Rootkit [mal]

31

Rootkit [mal]

0Rootkit [m

al]0

Adulteração [fis]102





Desativação de controles [mal]2

Desativação de controles [mal]188Desativação de controles [mal]169



Password dumper [m

al]75

Password dumper [m

al]70

Password dumper [m

al]51

Password dumper [m

al]0

Password dumper [m

al]0

Abuso de privilégios [uso]65



Abuso de privilégios [uso]59Abuso de privilégios [uso]18

Varredura de rede [mal]

62


101


2


38


1

Adminware [m

al]39

Adminware [m

al]33

Adminware [m

al]28

Adminware [m

al]47

Adminware [m

al]81

Footprinting [hac]8

Footprinting [hac]4

Footprinting [hac]2

Footprinting [hac]185

Footprinting [hac]6

RAM scraper [m

al]90

10Verizon enterprise solutions

As Figuras 10 e 11 mostra como o mix de ativos comprometidos mudou com o passar do tempo. isso é útil por revelar a “zona de projeção” dos invasores à medida que se deslocam pelo ambiente da vítima em busca de dados. Enquanto defensores, isso nos dá uma noção do que requer uma atenção ou proteção extra.• Tipicamente, os servidores vêm encabeçando a lista,

provavelmente porque os invasores sabem que é lá que os dados estão armazenados.

• Dispositivos de usuário vêm crescendo com o tempo, provavelmente porque oferecem uma brecha fácil de entrada.

• Mídia é a única categoria de ativo com tendência à redução, provavelmente devido a uma concentração excepcionalmente alta de casos (parcialmente relacionados) em 2009 que envolveram numerosos furtos de documentos e mídia digital.

• Muitos perguntam por que a categoria Rede tem um valor tão baixo, visto que a maior parte dessas violações acontece pela rede. O foco aqui são dispositivos de rede específicos, como roteadores, switches, etc. O tráfego mal-intencionado definitivamente passa por eles, que, no entanto, não são normalmente comprometidos durante uma violação.

Seria difícil tratar da maneira devida uma década de furtos de dados sem abranger as variedades de dados furtados nesse período de tempo. Felizmente, a Figura 12 soluciona o problema nesse departamento.• Se você comparar essas tendências com as das motivações dos

agentes das Figuras 6 e 7, poderá traçar alguns paralelos. Criminosos com motivações financeiras buscam, naturalmente, dados que sejam facilmente convertidos em dinheiro, como informações bancárias e cartões de pagamento, enquanto grupos voltados à espionagem têm como alvo dados corporativos internos e segredos comerciais.

• A tendência do furto de cartões de pagamento é bastante fascinante: ela sobre rapidamente até atingir um pico em 2010 e, em seguida, prossegue para uma curva negativa. Um aumento ocorre em 2013, mas ainda assim esse foi o primeiro ano na história deste relatório em que a maior parte das violações de dados não envolveu cartões de pagamento.

• Credenciais de autenticação são úteis tanto no submundo do crime quanto no mundo sombrio dos clandestinos, e essa demanda se reflete aqui.

Figura 10. Porcentagem de violações por categoria de ativo ao longo do tempo

2013201120102009 2012

10%

20%

30%

40%

50%

Quiosque

Indivíduo

Mídia

Dispositivos de usuário

Rede

Servidor

Banco

Pagamento

Credenciais

Pessoal

Interno

Segredos

2004

2006

2005

2007

2009

2008

2010

2011

2013

2012

100

200

300

400

500

2004

2006

2005

2007

2009

2008

2010

2011

2013

2012

100

200

300

400

500

600 600

2004

2006

2005

2007

2009

2008

2010

2011

2013

2012

100

200

300

400

500

2004

2006

2005

2007

2009

2008

2010

2011

2013

2012

100

200

300

400

500

600 600

2004

2006

2005

2007

2009

2008

2010

2011

2013

2012

100

200

300

400

500

2004

2006

2005

2007

2009

2008

2010

2011

2013

2012

100

200

300

400

500

600 600

Figura 12. Contagem de violações por variedade de dados ao longo do tempo

Figura 11.Número de violações por categoria de ativo ao longo do tempo

2013201120102009 2012

200

400

600

QuiosqueIndivíduo

Mídia

Dispositivosde usuário

Rede

Servidor


Respire profundamente para acalmar-se antes de mergulhar neste último item, já que ele pode resultar em danos mentais e até corporais. Na Figura 13, contrastamos o tempo que demora até que o invasor comprometa um ativo com o tempo que o defensor leva para descobrir esse fato. Optamos por fixar a medida em “dias” para manter as coisas simples e rematadas (poder-se-ia acrescentar “tristes” a essa aliteração). • ignore o comportamento das linhas por um instante e concentre seu

foco na ampla lacuna entre as porcentagens das duas fases. Ela torna óbvio o fato de que os bandidos raramente precisam de dias para dar conta do recado, enquanto os mocinhos raramente conseguem terminar seu trabalho antes do dia de São Nunca.

• As linhas de tendências fazem com que esse baque inicial seja seguido de um golpe na cabeça. Elas mostram claramente que os invasores estão ficando melhores/mais rápidos no que fazem a uma taxa mais alta do que os defensores estão aprimorando sua arte. Os pratos da balança não estão se equilibrando, pessoal.

• pensamos em fazer a superposição de “gasto total com monitoramento de rede”, “número de produtos de segurança no mercado” e “número de profissionais com a certificação CiSSpS (Certified information Systems Security professionals) no local de trabalho”, mas tememos que pudesse resultar em muito dano autoinfligido na comunidade de segurança. E preferimos que vocês, rapazes e moças, fiquem por aqui nos ajudando a corrigir o problema.

Tendo lidado com esse último golpe relacionado às linhas de tempo, os leitores familiarizados com o fluxo tradicional do Relatório DBiR podem ouvir, cheios de esperança, o grito de guerra do Mortal Kombat “Finish him!” (Acabe com ele!) em suas mentes à medida que avançamos para a discussão dos métodos de descoberta das violações. Mas não haverá um anúncio triunfante de “Fatality!” (Fatalidade!) aqui. Em vez disso, vamos ser misericordiosos e terminar com um astral mais positivo.• Ficamos empolgados ao ver que o número de descobertas internas

superou o de detecções externas de fraudes pela primeira vez na história do Relatório DBiR!

• É ótimo que a segurança pública esteja constantemente ficando cada vez melhor na detecção de violações e notificação de vítimas!

• Terceiros sem vínculos, como CSiRTs e pesquisadores de ameaças, estão aumentando rapidamente como uma maneira importante e proeminente de as vítimas – especialmente as vítimas de espionagem – ficarem sabendo sobre as violações. Mantenham o bom trabalho, pessoal. Já estamos fazendo alguma diferença!

Esperamos que você tenha gostado tanto quando nós desta pequena viagem de dez anos de rememoração do passado. Este pequeno grupo de geeks é grato à Verizon por nos permitir passar tanto tempo em nosso playground de informações sobre violações. Também somos gratos às muitas organizações que participaram, tornando isto possível. Sem suas contribuições, os dados teriam se tornado obsoletos anos atrás. E finalmente, obrigado a todos vocês, leitores que baixam este documento e consideram estas tendências ao lutarem pela boa causa de proteger informações e clientes. Que os próximos dez anos possam nos encontrar a todos do lado vencedor da batalha.

Figura 13. Porcentagem das violações em que a relação entre tempo até o comprometimento (vermelho) e tempo até a descoberta (azul) foi de dias ou ainda menos

2004

2006

2005

2007

2009

2008

2010

2011

2013

2012

25%

50%

75%

100%

Tempo até o comprometimento

Tempo até a descoberta

Figura 14.Métodos de descoberta de violações ao longo do tempo

Interno

Detecção de fraudes

Segurançapública

Terceiros

2004

2006

2005

2007

2009

2008

2010

2011

2013

2012

20%

40%

60%

80%






RESULTADOS E ANÁLISE

As sementes da nossa abordagem ao Relatório DBiR 2014 começaram a germinar durante a fase final do esboço do relatório de 2013. Ao tentarmos apresentar estatísticas relacionadas às ações de ameaça de forma simples e significativa, nos demos conta de certas combinações de agentes, ações e ativos que ocorriam juntos com frequência em um cenário de incidente. Demos nomes a três delas e incluímos alguns cálculos em “papel de rascunho” que mostram que, coletivamente, elas descrevem 68% de todo o conjunto de dados (Figura 15). Os prazos de produção impediram a exploração mais a fundo desse fenômeno e, por isso, deixamos os leitores com este pensamento: “Talvez possamos reduzir a maior parte dos ataques concentrando nosso foco em um punhado de padrões de ataque.” Mas assim que fechamos a edição do Relatório DBiR 2013, retornamos à noção de padrões de incidentes e começamos a estudar nosso conjunto de dados a partir de uma

perspectiva muito nova, com um novo conjunto de técnicas. Agora, façamos um avanço rápido para o Relatório DBiR 2014. Temos mais incidentes, mais fontes e mais variação do que nunca – e tentar abordar dezenas de milhares de incidentes usando as mesmas técnicas não vai ser suficiente. Não só as características dos incidentes dominantes iriam abafar as sutilezas das variedades menos frequentes, mas também não poderíamos continuar estudando essas características

como se ocorressem de forma isolada. Uma lista as 20 ações mais importantes é útil, mas ainda mais útil é uma contabilização dos agentes que as executam, outras ações usadas em combinação com elas e os ativos que tendem a visar. para fisgar esse prêmio, vamos precisar de um barco maior. potência máxima, Sr. Hooper!

E isso nos traz de volta às combinações recorrentes de agentes, ações, ativos e atributos ou, mais formalmente, aos padrões de classificação de incidentes. A fim de expor esses padrões latentes nos dados, aplicamos uma técnica de agrupamento estatístico (o barco maior), criando uma matriz que agregasse os incidentes em cada uma das enumerações comuns do VERiS e calculando a “distância” numérica entre elas. isso nos permitiu encontrar agrupamentos, ou padrões, de enumerações do VERiS fortemente relacionadas no conjunto de dados de incidentes. Aqui, “fortemente relacionadas” significa, em essência, que ocorrem frequentemente juntas nos mesmos incidentes, sendo distintas, de alguma forma, de outras combinações.

Em um primeiro momento, lançamos todos os dados e observamos o agrupamento (do tipo hierárquico, se essa for a sua praia) das enumerações do VERiS. Alguns agrupamentos eram óbvios, como a ação social phishing com o vetor social email. No entanto, estávamos em busca de agrupamentos que descrevessem classificações abrangentes de incidentes, em vez de apenas emparelhamentos frequentes. por exemplo, incidentes que envolveram caixas eletrônicos perpetrados por grupos criminosos organizados para furtar cartões de pagamento se destacaram como um Wookie entre Ewoks. portanto, denominamos esse padrão “extratores”, removemos os incidentes correspondentes e voltamos a executar a análise de agrupamentos com os dados remanescentes em busca do próximo padrão.

No final, identificamos nove padrões que, juntos, descrevem 94% das violações de dados confirmadas coletadas em 2013.

Nove entre dez de todas as violações podem ser descritas por nove padrões básicos.

Mas (usando nossa melhor voz de infocomercial) isso não é tudo! Quando aplicamos o mesmo método aos últimos três anos de violações, 95% podem ser descritos por esses mesmos nove padrões.

Figura 15. Cálculos em papel de rascunho do Relatório DBIR 2013 de padrões de incidentes comumente observados

111 Arrebatamento à força de PDV

190 Caixa eletrônico físico

+ 120 Técnica de penetração garantida

421

÷ 621 Total de violações

68%


Mas espere — tem mais! Ligue já e incluiremos todos os incidentes de segurança – não apenas as violações – de todos os parceiros e do Banco de dados da comunidade VERiS (VCDB) dos últimos dez anos – grátis! Sim, tudo pelo mesmo preço de nove padrões e você poderá descrever 92% dos mais de 100 mil incidentes de segurança!

Você se lembra da promessa do ano passado – “Talvez possamos reduzir a maior parte dos ataques concentrando nosso foco em um punhado de padrões de ataque”? Considere-a cumprida. para nós, essa abordagem parece extremamente promissora como uma forma de simplificar drasticamente a matriz aparentemente infindável de ameaças com que devemos lidar para proteger nossos ativos de informações.

Analisamos a fundo cada padrão de incidente nas seções a seguir, mas pode-se ver na Figura 16 que invasões a pontos de vendas (pDV), ataques a aplicativos na Web, espionagem eletrônica e extratores de cartões estão entre as maiores preocupações quando o foco está na divulgação de dados. No entanto, não basta identificar e contar os padrões como um todo.

Figura 16. Frequência dos padrões de classificação de incidentes

Tudo o mais

Invasões a PDV

Espionagem eletrônica

Ataques a aplicativos da WebUso indevido por pessoas

Crimeware

Erros diversos

Extratores de cartões

Furto/perda física

Ataques de DoS

Violações de 2013, n=1.367

14%

6%

22%

35%

8%

4%

2%

9%

<1%

0%

12%

<1%

1%

6%

18%

20%

25%

<1%

Incidentes de 2013, n=63.437

14%

3%

31%

15%

21%

8%

4%

1%

14%

5%

Violações de 2011-2013, n=2.861

1%

0%

de dentro da empresa

Figura 17. Número de padrões de classificação de incidentes selecionados ao longo do tempo

250

500

750

1,000

2013201120102009 2012


Espionagemeletrônica

Invasões a PDV

Ataques a aplicativosda Web

Uso indevido por pessoasde dentro da empresa

Figura 18. Porcentagem de padrões de classificação de incidentes selecionados ao longo do tempo

2013201120102009 2012

25%

50%

75%

100%


Espionagem eletrônica

Invasões a PDV

aplicativos

Uso indevido

da Web

por pessoas de dentro da empresa

Ataques a


Obviamente, nem toda organização precisa concentrar seu foco em ataques a vendas. para que a análise tivesse um caráter prático, partimos de todos os incidentes em cada setor e aplicamos os padrões para criar a obra de arte que é a Figura 19. Ela mostra a proporção dos incidentes em cada setor representada pelos nove padrões nos últimos três anos.

para usar a Figura 19, identifique o seu setor na coluna da esquerda. Consulte o site do NAiCS se não tiver certeza quanto a onde sua organização se enquadra. As porcentagens são relativas a cada setor. por exemplo, 10% de todos os incidentes no Varejo se enquadram em “ataque a aplicativos na Web”. As cores devem ajudá-lo a identificar rapidamente os “pontos sensíveis” do seu setor e/ou a discernir diferentes perfis de ameaça entre os vários setores.

Antes de prosseguir para a discussão detalhada de cada padrão (que aparecem na ordem, de acordo com a Figura 18), pode ser uma boa ideia estudar a Figura 19. Consulte o setor (ou setores) que importam para você, identifique quais padrões são os mais relevantes e preste uma atenção especial a essas seções no relatório (logicamente, ainda será necessário ler o relatório todo). para aqueles que estiverem curiosos sobre a tendência desses padrões de incidentes ao longo do tempo, nós os retroagimos de forma a abarcar dados anteriores a 2013 para produzir as Figuras 17 e 18.

Nós ouvimos a crítica (construtiva) de alguns de vocês observando que é difícil especificar exatamente quais descobertas do Relatório DBiR se aplicam à sua organização e passamos muito tempo tentando equacionar como solucionar a questão. Esperamos que concordem que este é um passo na direção certa, não apenas para este relatório, mas também para a análise de ameaças e o suporte às decisões em geral.

Figura 19. Frequência dos padrões de classificação de incidentes por setor da vítima


seTor inVasão a PdV

aTaQues a

aPliCaTiVos da Web

uso indeVido

Por Pessoas

de denTro da

emPresa

furTo/Perda

erros diVersos

Crime-Ware

eXTraTores de

CarTões de PagamenTo

negação de

serViçoesPionagem eleTrôniCa

Tudo o mais

Hotelaria [72] 75% 1% 8% 1% 1% 1% <1% 10% 4%

Administrativo [56] 8% 27% 12% 43% 1% 1% 1% 7%

Construção [23] 7% 13% 13% 7% 33% 13% 13%

Educação [61] <1% 19% 8% 15% 20% 6% <1% 6% 2% 22%

Entretenimento [71] 7% 22% 10% 7% 12% 2% 2% 32% 5%

Finanças [52] <1% 27% 7% 3% 5% 4% 22% 26% <1% 6%

Saúde [62] 9% 3% 15% 46% 12% 3% <1% 2% <1% 10%

informação [51] <1% 41% 1% 1% 1% 31% <1% 9% 1% 16%

Gestão [55] 11% 6% 6% 6% 11% 44% 11% 6%

Manufatura [31,32,33] 14% 8% 4% 2% 9% 24% 30% 9%

Mineração [21] 25% 10% 5% 5% 5% 5% 40% 5%

profissionais liberais [54] <1% 9% 6% 4% 3% 3% 37% 29% 8%

público [92] <1% 24% 19% 34% 21% <1% <1% 2%

imóveis [53] 10% 37% 13% 20% 7% 3% 10%

Varejo [44,45] 31% 10% 4% 2% 2% 2% 6% 33% <1% 10%

Comércio [42] 6% 30% 6% 6% 9% 9% 3% 3% 27%

Transporte [48,49] 15% 16% 7% 6% 15% 5% 3% 24% 8%

Serviços públicos [22] 38% 3% 1% 2% 31% 14% 7% 3%

Outros [81] 1% 29% 13% 13% 10% 3% 9% 6% 17%


























iNVA

SõES

A p

ONTO

S DE

VEN

DAS

ATAQ

UES

A

A pLi

CATi

VOS

NA

WEB

USO

iNDE

ViDO

DE

pRiV

iLÉG

iOS

OU p

OR

pESS

OAS

DE D

ENTR

O DA

EM

pRES

A

FURT

O E

pERD

A FÍ

SiCA

ERRO

S Di

VERS

OSCR

iMEW

ARE

ExTR

ATOR

ES

DE C

ARTõ

ES D

E pA

GAM

ENTO

ESpi

ONAG

EM

ELET

RôNi

CAAT

AQUE

S

DE D

OSTU

DO

O M

AiS

INVASÕES A PONTOS DE VENDAS (PDV)

Não é de se surpreender que os setores mais comumente afetados pelas invasões de pDV sejam: restaurantes, hotéis, supermercados e outros varejistas com lojas físicas, todos alvos potenciais. Recentes violações altamente divulgadas de vários varejistas de grande porte trouxeram os comprometimentos de pDV ao primeiro plano. Mas, correndo o risco de bancar o sabe-tudo da segurança – já vínhamos falando disso há anos. Na verdade, essa é a principal causa da grande queda de 2012 vista em muitos gráficos “ao longo do tempo” neste relatório. Já vínhamos escrevendo sobre RAM scrapers antes de se ouvir falar sobre eles e, para ser bastante franco, não estamos mais dando muita atenção para eles porque seu estoque se esgotou e já se tornaram ferramentas convencionais.

piadas à parte, embora as ações de hackers em pontos de vendas estejam chamando mais atenção da mídia recentemente, elas já vinham acontecendo há anos e nós falamos bastante sobre elas nos Relatórios DBiR anteriores. O furor da mídia causa sensação, mas do ponto de vista da frequência, este continua sendo, em grande medida, um problema das empresas de pequeno e médio porte. Concentrar demais o foco em valores singulares e nas manchetes pode refletir um viés cognitivo. por exemplo, algumas pessoas podem se surpreender com o fato de o número de ataques a pDV em 2012 e 2013 ser substancialmente mais baixo

do que o número registrado em 2010 e 2011 (apesar destes anos terem contado com dez vezes mais colaboradores). A Figura 20 nos lembra que nossa compreensão do risco deve sempre se remeter aos dados, e não ao que gera boas manchetes ou argumentos de marketing. Do ponto de vista dos padrões de ataque, a narrativa mais simples é a seguinte: comprometer o dispositivo de pDV, instalar malware para coletar os dados da tarja magnética no processo, recuperar os dados e lucrar. Todos esses ataques têm em comum o ganho financeiro como motivação e a maior parte deles pode ser atribuída de forma conclusiva a grupos criminosos que operam a partir da Europa Oriental (assim como todo o resto deles, muito provavelmente).3 Esses grupos são muito eficientes no que fazem. Eles comem pDVs como os seus no café da manhã acompanhados de uma dose de vodca. Embora a maioria desses casos sejam muito parecidos, os passos seguidos para comprometer o ambiente de ponto de venda oferecem algumas variações interessantes.

de um relanCe

Descrição Ataques remotos a ambientes em que transações de varejo são conduzidas, especificamente onde compras são feitas com apresentação de cartão. Crimes que envolvem a adulteração ou substituição de dispositivos são abordados no padrão Extração de informações.

Principais setores

Serviços de hotelaria e alimentícios, Varejo

Frequência 198 incidentes no total

198 com divulgação de dados confirmada

Principais descobertas

Dadas as recentes manchetes, alguns de vocês podem se surpreender ao constatar que as invasões a pDVs estão apresentando uma tendência à redução nos últimos anos. isso se deve principalmente a termos testemunhado comparativamente menos rompantes de ataques envolvendo numerosas pequenas franquias. Ataques de força bruta a conexões para acesso remoto a pDVs ainda lideram como principal vetor de invasão. O ressurgimento do malware RAM scraper representa o desenvolvimento tático mais proeminente de 2013.

Sabemos que muitos de vocês vêm para esta seção esperando encontrar todos os detalhes sórdidos de uma determinada violação envolvendo um grande varejista dos Estados Unidos no final de 2013. preparar-se para uma decepção. Não citamos nomes de vítimas neste relatório nem divulgamos informações específicas a clientes relativas a quaisquer violações com que qualquer dos colaboradores do Relatório DBiR tenha lidado. Se quiser notícias atualizadas sobre violações específicas, é melhor procurar em outro lugar. Como prêmio de consolação, no entanto, esperamos que aceite nossa análise geral de duzentas invasões a pDV ocorridas em 2013, juntamente com recomendações sobre como você pode evitar de aumentar esse número em 2014.

Figura 20. Comparação dos padrões de classificação de incidentes Invasão a pontos de vendas e Ataques a aplicativos na Web, 2011-2013

2013201120102009 2012

20%

40%

60%

Ataques a aplicativos da Web

Invasões a PDV

iNVA

SõES

A p

ONTO

S DE

VEN

DAS


iNVASõES A pONTOS DE VENDAS

ATAQUES A ApLiCATiVOS NA

WEB

USO iNDEViDO DE pRiViLÉGiOS OU pOR pESSOAS DE DENTRO

DA EMpRESA

FURTO E pERDA FÍS iCA

ERROS DiVERSOSCRiM

EWARE

ExTRATORES DE CARTõES DE

pAGAMENTO

ESpiONAGEM

ELETR ôNiCAATAQUES

DE DOSTUDO

O MAiS

Comecemos com o cenário mais frequente, que afeta empresas de pequeno porte que podem ou não se dar conta do alvo lucrativo que representam. Essa cadeia de eventos começa com o comprometimento do dispositivo de pDV, com pouco ou nenhum trabalho de campo. Os dispositivos estão abertos para toda a internet e, para piorar as coisas, protegidos com senhas fracas ou padrão (às vezes até sem senha).

As três principais ações de ameaça contam bem essa história (Figura 21). Os criminosos fazem a varredura da internet em busca de portas de acesso remoto abertas e, se o script identificar um dispositivo como ponto de vendas, emite credenciais prováveis (Força bruta) para acessar o dispositivo. Em seguida, instalam malware (RAM scraper) para coletar e exfiltrar (Exportar dados) informações de cartões de pagamento.

Uma descoberta que nos intrigou foi o renascimento do malware RAM scraper como principal ferramenta usada para capturar dados. Os RAM scrapers permitem que os dados de cartões de pagamento sejam arrebatados enquanto estão sendo processados na memória (onde não estão criptografados) em vez de isso se dar enquanto armazenados em disco ou em trânsito pela rede (onde ficam (ostensivamente) criptografados).

É interessante, mas não necessariamente surpreendente, que os RAM scrapers ultrapassaram os keyloggers como funcionalidade de malware mais comum associada a comprometimentos de pDV. Uma teoria possível seria a de que os keyloggers (a maioria dos quais eram de variedades comuns, como perfect Keylogger e Artemis) podem ser detectados mais facilmente do que o código para extrair informações da memória que testemunhamos neste conjunto de dados. Ou talvez os RAM scrapers, que se fixam a processos específicos do software de pDV, simplesmente sejam melhores e mais eficientes de serviço.

Em anos anteriores, analisamos rompantes de ataques que abrangeram várias vítimas que não tinham nenhuma associação umas com as outras, a não ser o uso de senhas realmente horrorosas. Este relatório apresenta quase 200 incidentes, mas nos anos anteriores testemunhamos mais de 200 vítimas de um grupo de criminosos. Os dois maiores rompantes em nosso conjunto de dados de 2013, um envolvendo vários franqueados da mesma empresa e o outro afetando várias companhias, são um pouco diferentes e nos remetem ao nosso segundo cenário comum: o uso de credenciais de fornecedor furtadas. Em um dos casos, as credenciais furtadas pertenciam a um fornecedor de pontos de venda e foram comprometidas pelo malware Zeus, que infecta sistemas de fornecedores. O grande problema comum

a todos eles foi que a mesma senha era usada por todas as organizações gerenciadas pelo fornecedor. Depois de furtada, ela essencialmente se tornou uma senha padrão e os invasores também se inteiraram da base de clientes. Armados com essas informações, o modus operandi familiar de instalar código mal-intencionado que capturasse e transmitisse os dados desejados teve início.

Embora não sejam tão comuns quanto as invasões mais simples aos pDVs, nosso conjunto de dados inclui vários incidentes do primeiro trimestre de 2013 que apresentaram um comprometimento em uma localidade corporativa, o que levou ao comprometimento disseminado de localidades individuais e à instalação de código mal-intencionado em um grande número de lojas. Alguns casos começaram com o comprometimento de uma loja que levou à penetração da rede corporativa, mas a arquitetura hub-and-spoke permitiu a travessia eficiente da rede e o impacto do comprometimento foi ampliado, independentemente da localização do “dispositivo 0”.

Figura 21. Dez principais variedades de ação de ameaça entre as Invasões a pontos de vendas (n=196)

RAM scraper [mal]


Força bruta [hac]

Uso de credenciais furtadas [hac]

Quebra de senha offline [hac]Uso de backdoor

ou C2 [hac]Spyware/Keylogger [mal]

Backdoor [mal]

Configuração incorreta [err]

Phishing [soc]

37%

8%

2%

2%

1%

<1%

<1%

85%

79%

50%

38%

Força bruta

Uso de credenciais furtadas

Desconhecido

Quebra de senha offline

Uso de backdoor ou C2SQLi

2%

<1%

9%

9%

53%

Figura 22. Variedade de ação de hackers entre as Invasões a pontos de vendas (n=187)

35%

Desktop

Compartilhamento

Backdoor ou C2

Acesso físico

VPNAplicativo da Web

<1%

<1%

9%

1%

Shell de comandos 1%

55% de terceiros

de área de trabalho

Figura 23. Vetor de ação de hackers entre as Invasões a pontos de vendas (n=187)



iNVA

SõES

A p

ONTO

S DE

VEN

DAS

ATAQ

UES

A

A pLi

CATi

VOS

NA

WEB

USO

iNDE

ViDO

DE

pRiV

iLÉG

iOS

OU p

OR

pESS

OAS

DE D

ENTR

O DA

EM

pRES

A

FURT

O E

pERD

A FÍ

SiCA

ERRO

S Di

VERS

OSCR

iMEW

ARE

ExTR

ATOR

ES

DE C

ARTõ

ES D

E pA

GAM

ENTO

ESpi

ONAG

EM

ELET

RôNi

CAAT

AQUE

S

DE D

OSTU

DO

O M

AiS

Seja qual for o porte da organização vitimada ou os métodos usados para furtar informações de cartões de pagamento, existe mais um fator em comum compartilhado em 99% dos casos: um terceiro informou a vítima de que ela havia sofrido uma violação. isso não mudou com relação aos anos anteriores, e continuamos a ver notificações pela segurança pública ou por detectores de fraude como os métodos mais comuns de descoberta. Em muitos casos, investigações de violações acabam revelando outras vítimas, o que explica por que a segurança pública é o principal método de descoberta e o maior colaborador de casos de invasões a pDV em nosso conjunto de dados. para encurtar a história, ainda estamos descobrindo violações de cartões de pagamento somente depois que os criminosos começam a usar o que adquiriram de forma ilícita em fraudes e outras finalidades ilegais.

As linhas do tempo na Figura 25 reforçam tanto os vetores de comprometimento quanto os métodos de descoberta. A entrada costuma ser extremamente rápida, como seria de se esperar na exploração de senhas fracas ou furtadas. Na maior parte dos casos, demora semanas até a descoberta, e isso com base inteiramente em quando os criminosos decidem começar a lucrar com o produto do crime.

Figura 25. Lapso de tempo dos eventos em Invasões a PDV

Desc

ober

ta n

=178

Comp

rome

timen

to n=

169

Exfi

ltra

ção

n=16

9

Hora

s

Dias

Sem

anas

Mes

es

Anos

Nunc

a

Segu

ndos

Min

utos

0% 0% 0%

85%

0%13%

51%36%

1%

1% 1%

1%

1%

1%11%

11%

0%

1%

0%

0%0% 0%

88%

1%

Figura 24. Cinco principais métodos de descoberta de invasões a PDV (n=197)

1%Todos os internos

Ext - segurança pública

Ext - cliente

Ext - detecção de fraude

Int - NIDS

Int - relatado pelo usuário

Todos os externos

14%

<1%

<1%

11%

75%

99%

MITIgAÇãO DE BOTNETS: UM PROBLEMA DE INCENTIVO

De acordo com a NHTCU, o impacto dos botnets – o canivete suíço dos criminosos cibernéticos – continuou alto em 2013. Além disso, eles observam um aparente problema de incentivo no que tange à mitigação dessas habilidosas ameaças. Visto que o impacto de um botnet com frequência se espalha por todo o globo, as autoridades federais nem sempre são capazes de reunir recursos para combatê-lo no nível nacional. Ainda que o dano total de tal botnet possa ser grande, países específicos lidam somente com uma pequena parte desses danos. Os custos iniciais do combate de um botnet não parecem sobrepujar os benefícios de seu extermínio.Não obstante, a NHTCU continua a combater botnets. Em fevereiro de 2013, a emissora pública NOS apresentou descobertas sobre parte de uma zona de lançamento do botnet conhecido como pobelka. Depois que uma ferramenta de verificação online foi disponibilizada, 500.000 pessoas verificaram se suas máquinas haviam sido infectadas (em algum momento); desse grupo, 23.000 identificaram-se a si mesmos como vítimas.

Até então, a zona de lançamento havia sido examinada quanto a correlações com um surto de malware em 2012 que induziu a uma investigação criminal. Dezesseis organizações dentro da infraestrutura vital foram informadas de que haviam sido infectadas, e endereços ip relevantes infectados foram comunicados aos respectivos prestadores de serviços de internet (iSps).

iNVA

SõES

A p

ONTO

S DE

VEN

DAS




WEB


DA EMpRESA


ERROS DiVERSOSCRiM

EWARE


pAGAMENTO

ESpiONAGEM

ELETR ôNiCAATAQUES

DE DOSTUDO

O MAiS

REFLExÕES APóS O PRIMEIRO ANO DE OPERAÇÕES DO EC3

No ano passado, o Relatório DBiR apresentou um apêndice de Troels Oerting, Diretor Assistente do European Cybercrime Centre (EC3, Centro Europeu contra o Crime Cibernético), onde ele discutiu os planos e prioridades da divisão recém-estabelecida da Europol. Os órgãos de segurança pública desempenham um papel crítico neste relatório, e não é sempre que podemos acompanhá-los desde os estágios de sua formação. Assim, pensamos que seria interessante incluir algumas reflexões sobre o primeiro ano de operações do EC3.

A tarefa do EC3 não é nada pequena: ele atende a 28 estados membros da União Europeia (UE) e dezenas de países e coordena a proteção de 500 milhões de cidadãos, quase três quartos dos quais têm acesso à internet. Em termos de operações, o EC3 prioriza quatro áreas: inteligência cibernética, invasão, fraude online e abuso sexual de menores. Como acontece com qualquer novo empreendimento, muito do primeiro ano se concentrou na construção da infraestrutura e de capacidades para atender a essas prioridades. Conexões seguras via rede a parceiros, localizados na UE ou não, foram implementadas, assim como ambientes e ferramentas centralizadas de análise forense.

O EC3 treinou mais de 100 especialistas em segurança pública em toda a UE em investigação cibernética, ferramentas e na obtenção de evidências forenses. Criou um novo laboratório forense central para ajudar os colegas nos estados membros a obterem evidências. Distribuiu alertas, notificações de inteligência e avaliações de ameaças para diferentes grupos de interesse. Memorandos de entendimento (MoUs) foram assinados com os principais grupos de interesse privados, e um novo Grupo Consultivo, composto por especialistas de fora da comunidade de segurança pública, foi estabelecido (a Verizon está feliz em estar entre eles).

As tendências observadas pelo EC3 entre os estados membros em 2013 incluem aumentos consideráveis no número de invasões, malware, phishing, grooming, DDoS, espionagem e atividade de botnet. Ele também relata um grande avanço da infraestrutura criminosa na darknet, o crescimento de malware que afeta dispositivos móveis e uma distribuição mais ampla de malware a partir de serviços na nuvem. No combate a essas tendências, o EC3 priorizou a identificação de operações e casos de redes criminosas com potencial de grande impacto duradouro.

CONTROLES RECOMENDADOSPARA TODAS AS EMPRESASO vetor compartilhado pelos principais cenários é o software de acesso remoto terceirizado (por exemplo, pcAnywhere, LogMein). A segurança desses produtos não é a questão aqui. O que acontece é que com frequência os encontramos implementados de maneira muito perigosa.

Restringir o acesso remotoLimite qualquer acesso remoto aos sistemas de pDV por seu fornecedor de gerenciamento terceirizado e tenha sérias discussões de negócios com relação a como e quando eles irão realizar suas obrigações.

Fazer cumprir as políticas de senhasTenha absoluta certeza de que todas as senhas usadas para acesso remoto aos sistemas de pDV não sejam os padrões de fábrica, o nome do fornecedor de pDV, palavras encontradas no dicionário nem outras senhas fracas. Se um terceiro for responsável por essa informação, exija que isso seja feito e que eles não usem a mesma senha para outros clientes (e verifique).

O ponto é de “venda”, não de “encontros sociais”

Não navegue pela Web, envie emails, use mídias sociais, jogue jogos nem faça qualquer outra coisa que não sejam as atividades relacionadas ao ponto de vendas nos sistemas de pDV.

Implementar software antivírusinstale e mantenha um software antivírus nos sistemas de pDV.

Conclusão: dificulte para os vilões fazer login em um dispositivo que aceita a informação mais visada pelos criminosos com motivação financeira.

PARA EMPRESAS DE gRANDE PORTE/COM VÁRIAS LOJASEmpresas maiores, com várias lojas e franquias devem considerar mais algumas recomendações adicionais para limitar o impacto de uma violação a uma localidade específica e prevenir um comprometimento em massa.

Desmascarar a teoria da rede planaAvalie a interconectividade entre as lojas e as localidades centrais e trate-a como conexões semiconfiáveis. Segmente o ambiente de pDV separando-o da rede corporativa.

Procurar atividades suspeitas na redeMonitore o tráfego da rede que vem do pDV e vai para ele. Deve haver um padrão de tráfego normalizado e, embora seja fácil falar, qualquer tráfego anômalo deve ser identificado e investigado.

Usar autenticação por dois fatores Senhas de mais alta segurança eliminariam um grande quinhão do problema, mas as organizações de maior porte também devem considerar vários fatores para autenticar terceiros e usuários internos.



iNVA

SõES

A p

ONTO

S DE

VEN

DAS

ATAQ

UES

A

A pLi

CATi

VOS

NA

WEB

USO

iNDE

ViDO

DE

pRiV

iLÉG

iOS

OU p

OR

pESS

OAS

DE D

ENTR

O DA

EM

pRES

A

FURT

O E

pERD

A FÍ

SiCA

ERRO

S Di

VERS

OSCR

iMEW

ARE

ExTR

ATOR

ES

DE C

ARTõ

ES D

E pA

GAM

ENTO

ESpi

ONAG

EM

ELET

RôNi

CAAT

AQUE

S

DE D

OSTU

DO

O M

AiS

ATAQUES A APLICATIVOS NA WEB

Não há nenhuma dúvida de que a variedade e a combinação das técnicas disponíveis aos invasores tornam a proteção dos aplicativos na Web uma tarefa complexa. Lamentavelmente, nossa discussão sobre tal complexidade fica prejudicada pelo nível de detalhes fornecido sobre esses incidentes. A menos que uma investigação forense tenha sido conduzida (um pequeno subconjunto do banco de dados como um todo), as técnicas específicas utilizadas deixaram em grande medida de ser informadas ou foram registradas em amplas categorizações. Embora tenhamos material suficiente para discutir as violações de dados de aplicativos na Web em um alto nível, nossa capacidade de tirar conclusões é reduzida à medida que nos aprofundamos nos detalhes (que nem sempre estão disponíveis).

A ganância tem uma importância secundária em relação à ideologia quando se trata de ataques a aplicativos na Web no conjunto de dados de 2013. Um pouco menos de dois a cada três ataques a aplicativos na Web foram atribuíveis a grupos ativistas impulsionados por ideologia e “lulz”; um pouco menos de um a cada três veio de agentes com motivações financeiras; sendo o pequeno número restante vinculado à espionagem. Após destrinchar os dados, descobrimos alguns subpadrões muito diferenciados que compunham essa motivação. Os ataques financeiros e ideológicos merecem uma discussão específica, visto que o tratamento reservado a cada um pode ser ligeiramente diferente. Embora os ataques perpetrados por indivíduos motivados pela espionagem certamente sejam relevantes, sua discussão será abordada na seção Espionagem.

ATAQUES COM MOTIVAÇÕES FINANCEIRAS

invasores com motivações financeiras tem o foco ultraconcentrado em obter acesso ao dinheiro e, portanto, seus dois principais setores-alvo são os setores financeiro e de varejo (onde dados que podem ser facilmente convertidos em dinheiro são abundantes e, com demasiada frequência, acessíveis). No setor financeiro, seu foco se concentra mais em obter acesso à interface de usuário de aplicativos (bancários) na Web do que em explorar o aplicativo da Web propriamente dito, por o aplicativo conceder acesso lógico ao dinheiro. isso significa que eles visam credenciais de usuário e simplesmente usam os aplicativos na Web protegidos por um único fator (senha) como fio condutor até sua meta. Estes dados poderiam ter sido incluídos na seção sobre crimeware (e alguns de fato escaparam pelas brechas do algoritmo e acabaram parando lá), mas o uso de aplicativos na Web como vetor de ataque faz com que apareçam aqui. As táticas usadas pelos invasores são os suspeitos de sempre: a) técnicas de phishing para induzir ardilosamente o usuário a fornecer credenciais ou instalar malware no sistema cliente, b) a velha prerrogativa de adivinhar a senha por força bruta e c) casos mais raros de visar o aplicativo por meio da injeção de SQL ou de outros ataques no nível do aplicativo como meio de recuperar credenciais, burlar a autenticação ou visar de alguma outra forma o sistema de gerenciamento de usuários. Quando a atribuição é possível, a maioria dos invasores externos que usam credenciais furtadas em algum ponto da cadeia de ataque procede da Europa Oriental.

No setor de varejo, testemunhamos um foco ligeiramente diferente. O objetivo principal são as informações de cartões de pagamento (visadas em 95% dos incidentes), que com frequência ficam acessíveis simplesmente pela exploração do aplicativo na Web. Ações sociais (como phishing) são praticamente inexistentes, mais provavelmente porque explorar vulnerabilidades inerentes a aplicativos na Web funciona bem o suficiente. A injeção de SQL foi alavancada em 27 dos 34 ataques (80%) a aplicativos na Web no setor de varejo, seguida de técnicas de instalar e usar shells da Web (inclusão remota de arquivos, etc.) em cinco dos 34.

de um relanCe

Descrição Qualquer incidente em que um aplicativo na Web tenha sido o vetor de ataque. isso inclui explorações de vulnerabilidades no nível do código do aplicativo, bem como a burla de mecanismos de autenticação.

Principais setores

informação, Serviços públicos, Manufatura, Varejo

Frequência 3.937 incidentes no total



Os aplicativos na Web continuam sendo o proverbial saco de pancadas da internet. Eles são golpeados de uma entre duas maneiras: pela exploração de um ponto fraco no aplicativo (normalmente a validação inadequada dos dados inseridos) ou pelo uso de credenciais furtadas para personificação de um usuário válido. Muitos dos ataques em nosso conjunto de dados de 2013 visaram sistemas de gerenciamento de conteúdo prontos para uso (por exemplo, Joomla!, Wordpress ou Drupal) para ganhar o controle de servidores para uso em campanhas de DDoS.

Ideologia/Diversão

Financeira

Espionagem

65%

33%

2%

Figura 26. Motivações de agentes externos entre os Ataques a aplicativos na Web (n=1.126)

ATAQ

UES

A

A pLi

CATi

VOS

NA

WEB




WEB


DA EMpRESA


ERROS DiVERSOSCRiM

EWARE


pAGAMENTO

ESpiONAGEM

ELETR ôNiCAATAQUES

DE DOSTUDO

O MAiS

ATAQUES COM MOTIVAÇÕES IDEOLógICASA ideologia representa a porção maior das motivações identificadas para os ataques a aplicativos na Web, e os agentes também tendem a ser os mais diversificados em termos de localização geográfica. 74% concentram seu foco em explorações consagradas que visam, acima de tudo, entradas não validadas no código executado. Em nenhum lugar isso é explorado em mais larga escala do que nos Sistemas de Gerenciamento de Conteúdo (CMS), como Joomla!, Drupal e Wordpress e, mesmo ali, isso acontece mais nos plug-ins adicionados do que no código de núcleo do CMS propriamente dito.

Os agentes ideológicos (sejam suas motivações sociais, políticas ou mera diversão) estão menos preocupados com chegar às joias da coroa do que com conseguir uma plataforma (em todas as acepções da palavra) em que se posicionar. Com isso em mente, não é de se surpreender que nós vejamos dois tipos de resultados dos invasores ideológicos à caça de um servidor Web: desfiguração para enviar uma mensagem ou sequestro do servidor para atacar outras vítimas (inclusive por DDoS).

Esse foco em se apoderar oportunisticamente apenas do servidor Web fica claro quando se olha para os ativos comprometidos no ataque. O servidor Web foi o único ativo registrado em quase todos os incidentes atribuíveis a motivações ideológicas. Os agentes não pareciam estar interessados em se aprofundar ou se alastrar mais pela rede. isso pode ser resultado simplesmente de não se relatarem esses componentes secundários do incidente – portanto, não tome isso como recomendação de se concentrar somente no servidor Web – mas é lógico e um ponto de contraste com outros tipos de ataque em nosso conjunto de dados.

MéTODOS E LINhA DO TEMPO DAS DESCOBERTASQuando o agente tem motivação financeira e o método de descoberta é registrado, testemunhamos um método de notificação líder que não vemos em mais nenhum lugar: os clientes. Talvez os clientes notem a atividade fraudulenta antes de qualquer outro, mas algo definitivamente lhes serve de advertência antes de qualquer mecanismo interno. Com todos os métodos de descoberta interna combinados, somente 9% das vítimas descobriram as violações de dados por sua própria conta.

O método de descoberta parece um pouco mais sombrio para os ativistas. 99% das notificações vieram de fontes externas (principalmente CSiRTs) que entraram em contato com as vítimas para informá-las de que seus hosts estavam envolvidos em outros ataques. isso é grandemente influenciado por invasores ideológicos que usam a plataforma silenciosamente para atacar outras vítimas, em vez de, por exemplo, valer-se de simples desfigurações (que são raras no conjunto de dados).

Embora os dados da linha do tempo sejam um pouco esparsos, o quadro que delineiam é de uma entrada rápida, com 60% dos comprometimentos iniciais ocorrendo em questão de minutos ou menos. isso reflete as explorações altamente repetidas de CMS neste padrão; se funcionar, funciona rápido. pouco mais de 85% dos incidentes são descobertos em questão de dias ou mais, com cerca de 50% demorando meses ou mais tempo para serem descobertos. Contudo, depois de descobertos, vemos um tempo de reação bastante bom, com cerca de metade das organizações levando dias ou menos tempo para responder e conter o incidente. isso é muito melhor que a norma, tipicamente de semanas ou mais tempo.

Figura 27. Dez principais métodos de descoberta de incidentes com motivações financeiras entre os Ataques a aplicativos na Web (n=122)

Ext - cliente


Int - auditoria de TI

Ext - parte não relacionada


Int - detecção de fraude


Ext - divulgação pelo agente

Ext - auditoria

Ext - serviço de monitoramento

2%

2%

2%

2%

1%

1%

74%

3%

6%

Total de externos

Total de internos

88%

12%

4%

COMPARAÇãO DE ATAQUES A CRONOgRAMAS DE PATChES

Não seria maravilhoso saber que a aplicação (rápida) de patches contra vulnerabilidades em aplicativos na Web ajuda? Este ano, nós formamos uma parceria com a WhiteHat Security a fim de combinar e comparar os dados de incidentes que coletamos com os dados de avaliação de vulnerabilidades que eles coletam de dezenas de milhares de sites da Web de centenas das organizações mais conhecidas. Depois de algumas idas e vindas, decidimos por primeiro dividir os dados por setores (porque os padrões emergem entre os setores) e, em seguida, optamos por comparar dois pontos de dados sobre vulnerabilidades na Web com os dados de incidentes: a média de vulnerabilidades por site e a mediana dos dias até a aplicação do patch. partimos do pressuposto de que os setores com o menor número de vulnerabilidades e a aplicação mais rápida de patches estariam menos representados nos dados de violações (ou seja, teriam menos incidentes) e, assim, aplicamos algumas estatísticas à moda antiga. Reconhecemos que ficamos decepcionados quando não encontramos a relação4 que esperávamos.

O que encontramos não foi nada conclusivo e a única conclusão válida a ser tirada é que mais trabalho é necessário para se entender a relação entre as vulnerabilidades nos aplicativos na Web e os incidentes de segurança. Com isso, só podemos especular o motivo por que estamos testemunhando esses resultados. Talvez isso esteja nos dizendo que nenhum setor está fazendo o suficiente. Sabemos que três a cada quatro comprometimentos baseados na Web ocorrem em questão de horas ou menos a contar do primeiro contato e, talvez, corrigir as vulnerabilidades em 10 dias e não em 70 dias não ajude tanto. Além disso, o invasor explora apenas uma vulnerabilidade (talvez duas). Mas uma explicação diferente pode ser que o foco da nossa lente estava muito amplo, e talvez pudéssemos aprender mais fazendo a correspondência dos dados de alta qualidade da WhiteHat com dados de incidentes específicos na mesma amostra. Sejam quais forem as causas, sabemos com certeza que os ataques a aplicativos na Web ocorrem com frequência suficiente para repetirmos o que foi dito no WhiteHat Website Security Statistics Report,5 “O que precisamos é de software mais seguro e NÃO de mais software de segurança.”


WEB


https://www.whitehatsec.com/resource/stats.html

https://www.whitehatsec.com/resource/stats.html

iNVA

SõES

A p

ONTO

S DE

VEN

DAS

ATAQ

UES

A

A pLi

CATi

VOS

NA

WEB

USO

iNDE

ViDO

DE

pRiV

iLÉG

iOS

OU p

OR

pESS

OAS

DE D

ENTR

O DA

EM

pRES

A

FURT

O E

pERD

A FÍ

SiCA

ERRO

S Di

VERS

OSCR

iMEW

ARE

ExTR

ATOR

ES

DE C

ARTõ

ES D

E pA

GAM

ENTO

ESpi

ONAG

EM

ELET

RôNi

CAAT

AQUE

S

DE D

OSTU

DO

O M

AiS

CONTROLES RECOMENDADOS

Falha de senha únicapodem-se antever os acontecimentos fatais da autenticação por um único fator baseada em senha em qualquer coisa que esteja voltada para a internet. Embora isso possa tirá-lo de sua zona de conforto conhecida, se você estiver protegendo um aplicativo na Web, busque alternativas a esse método de verificação de identidade. Se você for um fornecedor no espaço de aplicativos na Web, considere também a exigência de métodos de autenticação alternativos de seus clientes.

Repensar o CMS E nos referimos a “repensar” de todas as maneiras. Se você estiver comprometido com uma plataforma ativa (Joomla!, Drupal, Wordpress, etc.), configure um processo de aplicação automatizada de patches. Se um processo de aplicação automatizada de patches não for viável, desenvolva um processo manual e se comprometa com ele. isso é especialmente verdadeiro para plug-ins de terceiros. Outra maneira de repensar o CMS é considerar uma estrutura de CMS estática. Em vez de executar o código a cada solicitação e gerar o conteúdo, o CMS estático irá gerar previamente essas mesmas páginas, eliminando a necessidade de executar código no servidor a cada solicitação.

Validar as entradas Embora estejamos enfrentando esse desafio há anos, a recomendação ainda é válida. A melhor maneira de ter certeza de que seu aplicativo não será explorado é ir atrás e lidar com as vulnerabilidades antes que os invasores o façam (e pode ter certeza de que eles irão fazê-lo). Se não tiver acesso ao código-fonte e/ou aos desenvolvedores, certifique-se de contar com algo (por exemplo, um contrato) para corrigir os problemas assim que encontrados.

Fazer cumprir as políticas de bloqueioOs ataques de força bruta não são o principal método nesta seção, mas ainda são dignos de nota. Quando se instituem contramedidas, como a desaceleração da velocidade de tentativas repetidas ou o bloqueio temporário de contas com várias tentativa malsucedidas, a taxa de tentativas por força bruta bem-sucedidas mais do que provavelmente irá se dissipar e desaparecer (embora talvez você ainda tenha que lidar com um bot incômodo bisbilhotando suas contas de tempos em tempos).

Monitorar as conexões de saídaEmbora muitos ataques baseados na Web dependam muito do protocolo de desvio de firewall (HTTp) existente, muitos outros transformam o servidor Web da vítima em um cliente. Os pontos críticos na cadeia de ataque são incluir malware adicional para continuar o ataque, exfiltrar os dados comprometidos ou atacar outras vítimas à vontade. Assim, a menos que seu servidor tenha um motivo legítimo para enviar seus dados para a Europa Oriental ou que ataques de negação de serviço (DoS) façam parte de seu plano de negócios, tente bloquear a habilidade de seu servidor Web de executar essas atividades.

Figura 29. Lapso de tempo dos eventos entre os Ataques a aplicativos na Web

Desc

ober

ta n

=70

Cont

ençã

o n=

41

0%

0%

3%

2%

11%17% 16%

11%

0%

5%

42%

22%29%

41%

Comp

rome

timen

to n=

43Ex

filt

raçã

o n=

33

0% 0%

0% 0%

3%

27%21% 21% 18%

9%

19%

42%

12%23%

0% 0% 0%5%

Hora

s

Dias

Sema

nas

Mes

es

Anos

Nunc

a

Segu

ndos

Min

utos

Figura 28. Cinco principais métodos de descoberta de incidentes com motivações ideológicas entre os Ataques a aplicativos na Web (n=775)





Ext - divulgação pelo agente

Ext - cliente

Int - desconhecido

Int - antivírus


Outro

<1%

<1%

<1%

<1%

<1%

<1%

93%

<1%

4%

Total de externos

Total de internos

98%

2%

1%

ATAQ

UES

A

A pLi

CATi

VOS

NA

WEB




WEB


DA EMpRESA


ERROS DiVERSOSCRiM

EWARE


pAGAMENTO

ESpiONAGEM

ELETR ôNiCAATAQUES

DE DOSTUDO

O MAiS

USO INDEVIDO DE PRIVILégIOS OU POR PESSOAS DE DENTRO DA EMPRESA

A propriedade intelectual de uma organização está entre seus ativos mais valiosos, determinando com frequência sua capacidade de competir no mercado. Em muitos casos, as organizações também têm a custódia de grandes quantidades de dados sobre os clientes que atendem, os funcionários que os atendem e os relacionamentos de que dependem para fazer negócios. Esses dados têm valor para a organização, mas também para aqueles que poderiam buscá-los para seu próprio benefício pessoal ou por inúmeros outros motivos. para o padrão de uso indevido, nosso foco se concentra naqueles que já têm um lugar de confiança dentro da organização. pode-se argumentar que o caso mais proeminente de uso indevido por alguém de dentro da organização nas manchetes neste último ano foi o do contratado do governo dos Estados Unidos, Edward Snowden. Embora esse seja um exemplo extremo do dano que determinadas pessoas de dentro da organização podem infligir, ele ilustra o risco presente quando uma organização precisa depositar sua confiança em indivíduos.

A Figura 30 relaciona as principais ações de ameaça observadas entre os incidentes que se enquadram no padrão de uso indevido. Observe que nem todos constam da categoria de uso indevido [mis]; fique ligado para saber mais sobre isso mais tarde. Não é nada inesperado que o abuso de privilégios – tirar vantagem dos privilégios de acesso ao sistema concedidos por um empregador e usá-los para cometer atos nefandos – encabece a lista. Entendemos que isso abrange uma variedade muito ampla de atividades, mas o tema geral e a lição diferem um pouco: a maior parte dos usos indevidos por pessoas de dentro da empresa ocorre dentro dos limites da confiança necessária para realização de tarefas normais. isso é que os torna tão difíceis de prevenir.

Lembre-se de que as variedades de ações no VERiS não são mutuamente exclusivas e é comum ver mais de uma em um único incidente. Hardware não aprovado e uso indevido de email/tratamento indevido de dados (um empate) representam as três principais ações na categoria de uso indevido, mas são mais uma função de como os dados são exfiltrados do que como são adquiridos. Hardware não aprovado refere-se a funcionários que usam dispositivos como unidades USB que sejam proibidas por completo ou permitidas, mas sujeitas a várias restrições. Um funcionário que envie propriedade intelectual para fora, para seu endereço pessoal, é um exemplo de uso indevido de email. Também analisamos casos em que administradores de sistemas abusaram do sistema de email, fazendo-se passar por outro usuário e enviando mensagens com aquela identidade, com a intenção de fazer com que a pessoa fosse demitida. O tratamento indevido de dados acontece quando alguém usa dados de maneira contrária às políticas da organização. por exemplo, um funcionário de call center que anota os números dos cartões de crédito dos clientes em um papel ou um engenheiro que burle a política levando documentos restritos para casa para examiná-los em um computador pessoal.

de um relanCe

Descrição Todos os incidentes na categoria de ação Uso indevido – qualquer uso não aprovado ou mal-intencionado de recursos organizacionais – se enquadram neste padrão. Trata-se principalmente de uso indevido por pessoas de dentro da empresa, mas pessoas de fora (por conluio) e parceiros (porque a eles também são concedidos privilégios) também dão as caras.

Principais setores

público, imobiliário, Administrativo, Transporte, Manufatura, Mineração




A maior parte dos crimes cometidos por pessoas de confiança são perpetrados para fins de ganho financeiro ou pessoal. Entretanto, as mudanças mais notáveis no conjunto de dados de 2013 foram um aumento na espionagem por pessoas de dentro da empresa direcionada a dados internos e segredos comerciais e uma variedade mais ampla de táticas. Dizemos “conjunto de dados de 2013” porque não acreditamos que a taxa real desses crimes tenha aumentado significativamente. O que estamos vendo é o benefício do aumento da visibilidade decorrente de nossos parceiros cujo foco se concentra em pessoas de dentro da organização.

Abuso de privilégios [uso]Hardware

Suborno [soc]Uso indevido de

Tratamento indevido de

Uso de credenciais

Solução alternativa

Furto [fis]Software

Estelionato [uso]

11%

11%

7%

5%

4%

4%

4%

88%

18%

16%não aprovado [uso]

email [uso]

dados [uso]

não aprovada [uso]

não aprovado [uso]

furtadas [hac]

Figura 30. Dez principais variedades de ação de ameaça entre os Usos indevidos por pessoas de dentro da empresa (n=153)

USO iNDEViDO DE pRiViLÉGiOS OU pOR p ESSOAS DE DENTRO

DA EMpRESA


iNVA

SõES

A p

ONTO

S DE

VEN

DAS

ATAQ

UES

A

A pLi

CATi

VOS

NA

WEB

USO

iNDE

ViDO

DE

pRiV

iLÉG

iOS

OU p

OR

pESS

OAS

DE D

ENTR

O DA

EM

pRES

A

FURT

O E

pERD

A FÍ

SiCA

ERRO

S Di

VERS

OSCR

iMEW

ARE

ExTR

ATOR

ES

DE C

ARTõ

ES D

E pA

GAM

ENTO

ESpi

ONAG

EM

ELET

RôNi

CAAT

AQUE

S

DE D

OSTU

DO

O M

AiS

Com mais incidentes do que nunca envolvendo pessoas de confiança, podemos ver mais facilmente como eles fazem para adquirir dados quando seu próprio acesso é insuficiente. Além de abusar dos privilégios e recursos que lhe são confiados, observamos técnicas de ação de hackers para elevar privilégios e contornar controles (com frequência pelo furto das credenciais de outras pessoas), várias formas de engenharia social e o uso de malware como keyloggers e backdoors. Essas patifes se valeram até de furto físico, pegando documentos como planos e outras propriedades intelectuais, com frequência negando sua disponibilidade à organização original por levarem a única cópia.

Também é digno de nota que a LAN corporativa foi o vetor em 71% desses incidentes e que 28% se aproveitaram do acesso físico dentro das instalações corporativas. isso significa que a maioria dos funcionários perpetraram suas ações enquanto estavam no escritório, bem debaixo do nariz de seus colegas, em vez de saltar de proxy em proxy na segurança relativa de seus lares. Se alguém quiser usar essas estatísticas para afrouxar as políticas de trabalho em casa e demolir os cubículos em prol de plantas mais abertas – esse alguém tem a nossa bênção.

Vamos dar uma olhada nas pessoas que estão cometendo esses crimes. Embora o pessoal da cadeia de pagamento e usuários finais ainda se sobressaíssem, gerentes (inclusive executivos) também se destacaram mais do que nos anos anteriores. Vocês conhecem o tipo: sem rodeios e com toda a pinta de alta gerência. Com frequência eles têm acesso a segredos comerciais e a outros dados de interesse da concorrência e, tragicamente, também têm maior probabilidade de estarem isentos das políticas de segurança devido a seu status privilegiado na empresa.6 Uma dessas “prisões resorts para colarinhos brancos” ainda é pouco para sua laia.Conforme mencionado no início desta seção, pessoas de dentro

da empresa não são os únicos a usar indevidamente privilégios e recursos que lhe são confiados. A Figura 33 apresenta os agentes externos e parceiros que participaram direta ou indiretamente de incidentes de uso indevido. Criminosos organizados subornam pessoas de dentro da empresa para furtarem dados para esquemas de fraude. Ex-funcionários exploram contas ainda ativas ou outros furos que somente eles conhecem. Concorrentes aliciam propriedade intelectual para obter vantagens de negócios. para montar uma defesa apropriada, as organizações devem levar em conta que o fato de que esses jogadores estão em campo.

Quase todos os incidentes de uso indevido anteriores a 2013 estavam centrados na obtenção de informações para uso com a finalidade de fraude. Como mostra a Figura 34, encontramos mais espionagem que nunca por pessoas de dentro da empresa que visavam dados organizacionais internos e segredos comerciais.

De acordo com o The Recover Report,7 publicado por um de nossos colaboradores no Relatório DBiR, a Mishcon de Reya, os dois cenários mais comuns envolvem a tomada de dados por criminosos para:• iniciar sua própria empresa concorrente (30%).• Ajudar a garantir o emprego em um rival (65%).

Esse tipo de coisa certamente não é novidade – deve-se em grande medida à adição de mais colaboradores que nunca com uma visão desse tipo de atividade. Assim, sejam dados prontos para fraudes vendidos rapidamente a criminosos ou segredos internos vendidos a um concorrente, o crime cometido por pessoas de dentro da organização ainda tem tudo a ver com a grana.

Figura 31. Vetor de ações de ameaça entre os Usos indevidos por pessoas de dentro da empresa (n=123)

Acesso à LAN

Acesso físico

Outros

Acesso remoto

Não corporativo

71%

28%

2%

1%

21%

Figura 32. Dez principais variedades de agentes internos entre os Usos indevidos por pessoas de dentro da empresa (n=99)

Operador de caixa

Usuário final

Finanças

Gerente

Call center

Executivo

Outros

Desenvolvedor

Administrador de sistema

Auditor

9%

7%

7%

6%

6%

1%

23%

13%

17%

13%

Figura 33. Variedade de agentes externos entre os Usos indevidos por pessoas de dentro da empresa (n=25)

Crime organizado

Ex-funcionário

Concorrente

Não afiliado

Conhecido

36%

24%

8%

24%

16%

Figura 34. Motivações dos agentes entre os Usos indevidos por pessoas de dentro da empresa (n=125)

72%Financeira

Espionagem

Conveniência

Ressentimento

Diversão

N/A

10%

3%

2%

4%

18%

USO

iNDE

ViDO

DE

pRiV

iLÉG

iOS

OU p

OR

pESS

OAS

DE D

ENTR

O DA

EM

pRES

A




WEB


DA EMpRESA


ERROS DiVERSOSCRiM

EWARE


pAGAMENTO

ESpiONAGEM

ELETR ôNiCAATAQUES

DE DOSTUDO

O MAiS

Desktops são o ativo comprometido com maior frequência neste padrão, o que faz sentido, porque os computadores desktop são uma das principais interfaces do funcionário com o resto da rede (Figura 36). Normalmente, é ali que os dados são armazenados, carregados, enviados por email para fora da organização ou copiados para uma mídia removível. Bancos de dados e servidores de arquivos, ambos repositórios de tantas informações valiosas, também são alvos regulares. Cartões de pagamento não se referem à variedade de dados, mas aos cartões propriamente ditos, que são processados por dispositivos de mão para extração de dados (ou copiados de alguma outra forma) no clássico cenário do “garçom demoníaco”. No que tange à propriedade dos ativos, vemos pessoas de dentro da empresa abusando de ativos de propriedade corporativa, e não de propriedade do funcionário e autorizado para uso corporativo (“BYOD”, ou traga seu próprio dispositivo). No entanto, vemos evidências de que eles com frequência se aproveitam de dispositivos pessoais não aprovados para ajudá-los a remover os dados da organização (que aparecem como uso de hardware não aprovado).

Os métodos de descoberta da maioria das violações têm sido dominados, tradicionalmente, por sinais externos. No caso do uso indevido por pessoas de dentro da empresa, no entanto, métodos internos (55%) são responsáveis pela detecção de mais incidentes do que métodos internos (45%). A maneira mais comum pela qual as organizações detectam crimes cometidos por pessoas de dentro é quando os funcionários os denunciam. Descobertas decorrentes de auditorias financeiras e de Ti também foram muito comuns. A revisão dos livros na manhã de segunda-feira é um exemplo das primeiras, e um exemplo promissor destas últimas é um processo regular de exame do acesso por funcionários desligados da empresa.

O CERT insider Threat Center (outro de nossos parceiros) concentra o foco de sua pesquisa em violações por pessoas de dentro da organização e concluiu que em mais de 70% dos casos de furto de ip, pessoas de dentro da empresa furtaram a informação em até 30 dias de anunciarem sua demissão.8 Em um número razoável de ocasiões, um exame da atividade de funcionários com acesso a informações sigilosas que deixaram a empresa permitiu às organizações afetadas detectar o incidente e agir rapidamente para recuperar as informações (com sorte antes de danos irreparáveis terem ocorrido).

Figura 35.Variedade dos dados em risco entre os Usos indevidos por pessoas de dentro da empresa (n=108)

Pessoais

Pagamento

Internos

Segredos

Bancários

Credenciais

Médicos

Desconhecido

Outros

Sigilosos

3%

3%

2%

1%

34%

29%

27%

18%

14%

9%

Figura 36. Dez principais ativos afetados entre os Usos indevidos por pessoas de dentro da empresa (n=142)

Desktop(dispositivo de usuário)

Banco de dados(servidor)

Outros(servidor)

Cartão de pagamento(mídia)

Operador de caixa(pessoas)

Arquivo(servidor)

Outros(pessoas)

Aplicativo na Web(servidor)

DesconhecidoLaptop

(dispositivo de usuário)

10%

9%

8%

8%

6%

5%

26%

12%

25%

22%

Figura 37. Dez principais métodos de descoberta entre os Usos indevidos por pessoas de dentro da empresa (n=122)

Ext - clienteInt - relatado pelo usuário

Int - desconhecido

Int - auditoria financeira

Int - auditoria de TI


Ext - desconhecido



Ext - auditoria

9%

8%

6%

6%

6%

3%

16%

10%

13%

Total de externos

Total de internos

45%

55%

11%

USO iNDEViDO DE pRiViLÉGiOS OU pOR p ESSOAS DE DENTRO

DA EMpRESA


iNVA

SõES

A p

ONTO

S DE

VEN

DAS

ATAQ

UES

A

A pLi

CATi

VOS

NA

WEB

USO

iNDE

ViDO

DE

pRiV

iLÉG

iOS

OU p

OR

pESS

OAS

DE D

ENTR

O DA

EM

pRES

A

FURT

O E

pERD

A FÍ

SiCA

ERRO

S Di

VERS

OSCR

iMEW

ARE

ExTR

ATOR

ES

DE C

ARTõ

ES D

E pA

GAM

ENTO

ESpi

ONAG

EM

ELET

RôNi

CAAT

AQUE

S

DE D

OSTU

DO

O M

AiS

Observe a linha do tempo das descobertas de uso indevido na Figura 38 – ela tem um aspecto muito diferente da linha do tempo geral que vemos em outros tipos de incidentes. A maior parte dos incidentes de uso indevido foi detectada em questão de dias (o que é excelente), mas também há um número nada insignificante de incidentes (70, para ser exato) que levou anos para ser descoberto (o que não é nada bom).

CONTROLES RECOMENDADOSA causa-raiz do furto de dados e de outros atos ilícitos por parceiros de confiança é, bastante obviamente, um funcionário passando para o lado dos bandidos. Não, não como o Walter White da série Breaking Bad. Mais no sentido de um crime de colarinho branco (embora o Walter tenha ***ALERTA DE ESTRAGA SURpRESA*** assassinado seu chefe e assumido o controle da empresa à força, o que vem a calhar). Embora seja impossível deter todos os funcionários desonestos, há algumas medidas que podem reduzir a probabilidade de ocorrência de um incidente, ou pelo menos aumentar suas chances de detectá-lo rapidamente.

Conhecer seus dados e quem tem acesso a eles

O primeiro passo da proteção de seus dados é saber onde eles estão e quem tem acesso a eles. A partir disso, crie controles para protegê-los e detectar seu mal uso. isso não irá impedir pessoas de dentro da empresa que estejam muito determinadas (porque elas já têm acesso aos dados), mas há muitos outros benefícios que justificam fazer isso.

Examinar as contas de usuáriosTendo identificado os cargos com acesso a dados sigilosos, implemente um processo para examinar a atividade de suas contas quando esses funcionários pedirem demissão ou forem dispensados. Desative a conta de usuário de um funcionário assim que ele deixar a empresa (e, se achar prudente, antes disso). Essa medida é comprovadamente bem-sucedida para impedir a saída dos dados da organização ou para recuperá-los rapidamente e refrear um incidente.

Ficar alerta quanto à exfiltração de dados

Entre as principais variedades de uso indevido, vemos ações que facilitam a transferência de dados para fora da organização – esses são excelentes pontos para estabelecer controles para detecção desse tipo de atividade. Muitos produtos para prevenção de perda de dados abrangem as ações mais comuns que levam ao furto de informações confidenciais e são certamente dignos de atenção.

Publicar os resultados das auditoriasDa perspectiva da conscientização, publique regularmente os resultados das auditorias de acesso sem citar nomes. Deixe os funcionários saberem que existem consequências e que as políticas estão sendo aplicadas. isso pode atuar como um poderoso dissuasor de maus comportamentos.

Horas

Dias

Semanas

Meses

Anos

Segundos

Minutos

11%

2%

18%

34%

22%

2%

11%

Figura 38. Linha do tempo da descoberta entre os Usos indevidos por pessoas de dentro da empresa (n=1.017)

USO

iNDE

ViDO

DE

pRiV

iLÉG

iOS

OU p

OR

pESS

OAS

DE D

ENTR

O DA

EM

pRES

A




WEB


DA EMpRESA


ERROS DiVERSOSCRiM

EWARE


pAGAMENTO

ESpiONAGEM

ELETR ôNiCAATAQUES

DE DOSTUDO

O MAiS

FURTO E PERDA FíSICA

para ser honesto, nós ponderamos se deveríamos ou não incluir uma seção sobre ativos perdidos ou furtados neste relatório. Decidimos, no entanto, que simplesmente não poderíamos ignorar o fato flagrante de que tais incidentes – por menos sexy ou “cyber” que fossem – estão entre as causas mais comuns da perda/exposição de dados denunciada pelas organizações. isso é especialmente aparente em setores como o de Saúde, onde a divulgação de todos os incidentes que possam potencialmente expor dados sigilosos é obrigatória. E se há alguma coisa que sabemos ser verdade com relação à natureza humana é que perder coisas e furtar coisas parecem ser predisposições inerentes.

O estudo dos achados rendeu algumas observações interessantes que podem ajudar a informar a prática, e é aí que concentraremos nossa atenção nesta seção. Ao começarmos, tenha em mente que estamos falando especificamente sobre ativos de informações10; o que quer que tenha sido perdido ou furtado teria que armazenar, processar ou transmitir informações para chamar nossa atenção.

A observação nº1 se relaciona aos dados demográficos: temos evidência de que todo tipo e porte de organização perde coisas e/ou tem coisas furtadas. isso pode não ser um grande choque, mas é pelo menos digno de nota que este seja o único padrão

de incidente que se aplica uniformemente. Até os fazendeiros têm problemas com pessoas que vêm e tentam arrebatar seus laptops.

Falando de laptops, eles são a variedade de ativo mais comum entre as denúncias deste padrão. Com frequência, os relatos de incidentes – especialmente para CSiRTs – não especificam o ativo perdido ou furtado. Assim, “algum tipo de dispositivo de usuário” é tudo que podemos inferir e explica por que “Outros (dispositivo de usuário)” é tão frequente. Além disso, é o que seria de se esperar: computadores, documentos e unidades de mídia.

O próximo item a se observar é a relação entre perda e furto: a perda de ativos de informações acontece com muito maior frequência do que o furto, com uma diferença de 15 para um. E isso é importante porque sugere que a vasta maioria dos incidentes neste padrão não se deve a ações mal-intencionadas ou intencionais. Assim, o principal desafio é a) evitar que os funcionários percam coisas (sem chance) ou b) minimizar o impacto quando eles perdem. O dinheiro bem investido é o da opção b, embora dispositivos de computação bioimplantados podem ser promissores no futuro para a opção a. isso é praticamente tudo que vamos dizer sobre perda, mas o furto ainda nos reserva algumas lições.

de um relanCeDescrição praticamente o que parece ser – qualquer incidente em que um ativo de informações tenha

desaparecido, seja por ter sido extraviado ou por má intenção.

Principais setores

Saúde, público, Mineração

Frequência 9.704 incidentes no total9



perdas são relatadas com mais frequência que furtos. Em um achado surpreendente, descobrimos que ativos são furtados de escritórios corporativos com mais frequência do que de veículos pessoais ou residências. E embora informações pessoais e médicas sejam comumente expostas, a maior parte das perdas/furtos é relatada devido a regulamentações de divulgação obrigatória e não por causa de fraude.

Outros(dispositivo de usuário)

Laptop(dispositivo de usuário)

Documentos(mídia)


Unidade Flash(mídia)

Unidade de disco(mídia)

Fitas(mídia)

Outros(servidor)

Outros(mídia)


108

102

37

36

27

12

11

308

140

8.929

Figura 39. Dez principais variedades de ação de Furto/perda (n=9.678)

Figura 40. Dez principais locais de furtos entre os Furtos/perdas (n=332)

Área de trabalho da vítima

Veículo pessoal

Residência pessoal

Área segura da vítima

Instalação de parceiro

Veículo de parceiro

Instalação pública

Dependências da vítima

Veículo público

Área pública da vítima

5%

4%

4%

3%

2%

2%

2%

43%

23%

10%



iNVA

SõES

A p

ONTO

S DE

VEN

DAS

ATAQ

UES

A

A pLi

CATi

VOS

NA

WEB

USO

iNDE

ViDO

DE

pRiV

iLÉG

iOS

OU p

OR

pESS

OAS

DE D

ENTR

O DA

EM

pRES

A

FURT

O E

pERD

A FÍ

SiCA

ERRO

S Di

VERS

OSCR

iMEW

ARE

ExTR

ATOR

ES

DE C

ARTõ

ES D

E pA

GAM

ENTO

ESpi

ONAG

EM

ELET

RôNi

CAAT

AQUE

S

DE D

OSTU

DO

O M

AiS

Achamos bastante surpreendente que a mais alta proporção de furtos ocorra na área de trabalho da vítima, o que basicamente se refere ao espaço no escritório principal ou cubículo (Figura 40). isso sugere simplesmente que ter informações sigilosas “a portas fechadas” não é o suficiente, já que existe muita gente por trás dessas portas fechadas.11 Observe que os furtos em áreas internas de alta segurança são muito menos comuns, mas ainda assim superiores aos ocorridos em instalações públicas. Esse último dado não é nada intuitivo a ponto de desafiar a lógica. Não podemos senão suspeitar que as pessoas cujos laptops são furtados durante uma ida ao banheiro na cafeteria relatam o fato como “perda” simplesmente para livrar a própria cara.

Residências pessoais e veículos pessoais/de parceiros/públicos são palco de quase 40% dos furtos e nos lembram que dispositivos em trânsito são passíveis de desaparecer.

Embora em geral não seja conhecido/relatado exatamente como os agentes tiveram acesso físico a esses locais, mais de 80% dos furtos para os quais temos essas informações envolveram a desativação ou evasão de controles. Os demais já tinham acesso, seja porque lhes tinham sido concedidos privilégios ou por se tratar de um local acessível ao público.

O conjunto final de observações abrange a variedade dos dados que foram comprometidos ou, com maior frequência, potencialmente expostos, no caso de perda ou furto de ativos. Vale enfatizar que o motivo principal de estes incidentes terem sido incluídos é o fato de acionarem algum tipo de requisito obrigatório de relato/divulgação. O ativo desapareceu, ficou determinado que continha informações regulamentadas que agora estão expostas a acesso não autorizado potencial e, portanto, teve que ser relatado. isso explica a predominância de dados regulamentados, como informações pessoais ou de identificação e prontuários médicos, na Figura 42.

CONTROLES RECOMENDADOSA principal causa-raiz dos incidentes neste padrão é descuido em algum grau. Acidentes acontecem. pessoas perdem coisas. pessoas furtam coisas. E isso nunca vai mudar. Mas há algumas coisas que você pode fazer para mitigar esse risco.

Criptografar os dispositivosConsiderando-se a alta frequência com que ativos são perdidos, a criptografia é a solução mais óbvia para esse padrão de incidentes. É claro que o ativo ainda está desaparecido, mas pelo menos pode poupar muita preocupação, constrangimento e processos judiciais potenciais poder simplesmente dizer que as informações nele contidas estavam protegidas. Além disso, verificar periodicamente para assegurar-se de que a criptografia ainda esteja ativa também não fica atrás. isso vai ser útil quando o auditor ou regulador fizer a temida pergunta: “Como você tem certeza de que estava criptografado?”

Ter sempre à vistaincentive os funcionários a manterem dispositivos sigilosos em sua posse e sempre à vista. Sim, isso se aplica a jantares luxuosos com clientes e a visitas ao toalete. Também não é um mau princípio a se aplicar a dispositivos móveis em um contexto corporativo. pode ser um pouco desajeitado, mas é mais seguro do que deixá-los no carro ou sem supervisão em uma sala cheia de pessoas estranhas. Se for absolutamente necessário deixá-los no carro, tranque-os no porta-malas antes de deixar o escritório e não os deixe lá durante a noite.

Fazer backupBackups regulares (e de preferência automáticos) têm uma finalidade tripla. Recuperam semanas/meses/anos de trabalho que de outra forma seriam irrecuperáveis, o tornam produtivo novamente em um novo dispositivo com um tempo de inatividade mínimo e ajudam a estabelecer quais dados estavam no dispositivo para determinar se há necessidade de divulgação.

TrancarÀ luz da evidência de que tantos furtos acontecem no escritório, prender os equipamentos com cabos ou de alguma outra forma a instalações fixas deve ser pelo menos levado em consideração. A grande advertência, no entanto, é que a maioria desses furtos foi de documentos tirados de arquivos físicos e dispositivos móveis (inclusive laptops). Uma estratégia mais eficaz seria transferir ativos altamente sigilosos ou valiosos para uma área segura separada e certificar-se de que fiquem por lá.

BÔNUS - Usar tecnologia que não seja chamativa

Sim, é uma recomendação bastante heterodoxa, mas pode de fato ser um dissuasor de furtos (embora talvez aumente a frequência das perdas). Um MacBook Air novinho e brilhante no banco do passageiro pode ser tentador demais para qualquer um resistir, mas somente os vilões realmente dedicados iriam correr o risco de ir para a cadeia por um laptop tipo tijolão de 10 cm de espessura de meados dos anos 90. Ou, se você realmente precisar da tranqueira mais rápida da galáxia, talvez exista um mercado pós-vendas lucrativo de tampas deselegantes para laptops. Ele pode não ficar com a melhor das aparências, mas dar conta do recado onde realmente importa.

Figura 42. Variedade dos dados em risco entre os Furtos/perdas (n=3.824)

Pessoais

Médicos

Pagamento

Internos

Bancários

Sigilosos

Credenciais

Desconhecido

Segredos

Outros

21

20

5

5

4

3

1

3.393

508

23

Figura 41. Vetor de acesso físico entre os Furtos/perdas (n=158)

Controles desativados

Controles burlados

Acesso privilegiado

Local sem controle

60%

26%

11%

3%

FURT

O E

pERD

A FÍ

SiCA




WEB


DA EMpRESA


ERROS DiVERSOSCRiM

EWARE


pAGAMENTO

ESpiONAGEM

ELETR ôNiCAATAQUES

DE DOSTUDO

O MAiS

ERROS DIVERSOS

Quase todo incidente envolve algum elemento de erro humano. por exemplo, deixar de aplicar um patch do Wordpress certamente deixa o aplicativo vulnerável a ataques, mas não compromete diretamente o sistema. Algum outro agente/ação de ameaça é necessário para que isso aconteça. Sem fazer essa distinção, esta categoria estaria tão inchada com “incidentes” que seria difícil extrair informações úteis.

É digno de nota que este padrão não inclui todos os incidentes na categoria Erro. A perda é um tipo de erro, mas nós a agrupamos com o furto (em Físico) em um padrão diferente porque eles compartilham certas semelhanças (você deixa de possuir o dispositivo) e porque, com frequência, fica difícil determinar se ocorreu perda ou furto. por favor, tenha isso em mente ao examinar as principais ações e ativos nesta seção.

Entrega indevida (enviar documentos impressos ou emails para o destinatário incorreto) é o erro que resulta em divulgação de dados visto com maior frequência.

Há apenas dois problemas difíceis na ciência da computação: invalidação de cache, atribuição de nomes e erros em que um loop iterativo é executado uma vez a mais ou a menos (off-by-one). Entrega indevida (enviar documentos impressos ou emails para o destinatário incorreto) é o erro que resulta em divulgação de dados visto com maior frequência. Um dos exemplos mais comuns é uma mala direta em que documentos e envelopes estão fora de sincronia (off-by-one) e documentos sigilosos acabam sendo enviados para o destinatário errado. Uma mancada corriqueira, é claro, mas que com muita frequência expõe dados a pessoas não autorizadas.

Entrega indevida

Erro de publicação

Erro de descarte

Configuração incorreta

Defeito

Erro de programação

Gafe

Omissão

Outros

Erro de manutenção

6%

3%

3%

1%

1%

1%

<1%

44%

22%

20%

Figura 43. Dez principais variedades de ação de ameaça entre os Erros diversos (n=558)

de um relanCe

Descrição incidentes em que ações não intencionais comprometem diretamente um atributo de segurança de um ativo de informações. Não inclui dispositivos perdidos, que estão, em vez disso, agrupados com furto.

Principais setores

público, Administrativo, Saúde

Frequência 16.554 incidentes no total12



Depois de escrutinar 16 mil incidentes, fizemos uma descoberta espantosa – às vezes as pessoas ferram as coisas. (prêmio Nobel, aqui vamos nós!) Os dados parecem sugerir que processos de negócios altamente repetitivos e mundanos que envolvam informações sigilosas são especialmente propensos a erros. Também é digno de nota que esse padrão contém mais incidentes causados por parceiros de negócios do que qualquer outro.

Documentos(mídia)



Arquivo(servidor)


Outros(servidor)

Email(servidor)

Mídia em disco (mídia)

Unidade de disco (mídia)

Outros(mídia)

5%

5%

4%

3%

1%

1%

7%

9%

14%

49%

Figura 44. Dez principais ativos afetados entre os Erros diversos (n=546)

ERROS DiVERSOS


iNVA

SõES

A p

ONTO

S DE

VEN

DAS

ATAQ

UES

A

A pLi

CATi

VOS

NA

WEB

USO

iNDE

ViDO

DE

pRiV

iLÉG

iOS

OU p

OR

pESS

OAS

DE D

ENTR

O DA

EM

pRES

A

FURT

O E

pERD

A FÍ

SiCA

ERRO

S Di

VERS

OSCR

iMEW

ARE

ExTR

ATOR

ES

DE C

ARTõ

ES D

E pA

GAM

ENTO

ESpi

ONAG

EM

ELET

RôNi

CAAT

AQUE

S

DE D

OSTU

DO

O M

AiS

Os Dicionários Oxford declaram que “selfie” (autorretratos) foi a palavra do ano de 2013,13 mas você sabia que postar conteúdo na Web e depois se arrepender também foi uma prática social no mundo corporativo? isso mesmo, a segunda variedade de erro mais frequente são os erros de publicação, que frequentemente envolvem a postagem acidental de informações que não são públicas em um recurso público, como o servidor Web da empresa. É por isso que os aplicativos na Web assumem o segundo lugar no gráfico de ativos afetados (Figura 44). para completar os três mais importantes nesta categoria vem o erro de descarte, em que o ativo afetado é jogado fora sem ser retalhado ou, no caso de mídia digital, sem que os dados sigilosos tenham sido devidamente apagados.

Quem está cometendo todos esses erros? Bem, são quase totalmente pessoas de dentro da empresa, é claro. Usuários finais, administradores de sistemas e desenvolvedores lideram o bando quando a questão é bagunçar as coisas, embora quase todos nós tenhamos alguma culpa.

Quem está cometendo todos esses erros? Bem, são quase totalmente pessoas de dentro da empresa, é claro. Usuários finais, administradores de sistemas e desenvolvedores lideram o bando quando a questão é bagunçar as coisas, embora quase todos nós tenhamos alguma culpa. Mas o interessante é que há um número bastante grande (70) de incidentes causados por erros de parceiros – mais do que em qualquer outro padrão.

As organizações descobrem os próprios erros somente em cerca de um terço das vezes. Caso contrário, uma entidade externa as inteira do incidente e, na maior parte das vezes, trata-se de clientes da própria organização. Você pode sempre tentar a tática do “inconcebível!” quando um cliente liga para dizer que encontrou seus próprios dados pessoais desprotegidos em seu website – mas se você continuar usando essa palavra, eles vão acabar descobrindo que ela não significa o que você pensa que significa.

ENTREgA INDEVIDA PELO gOVERNODe acordo com a nossa amostra, organizações governamentais frequentemente entregam informações que não são públicas ao destinatário incorreto. Na verdade, isso acontece com tamanha frequência que tivemos que removê-las da Figura 43 para que você pudesse ver as outras variedades de erro. por que esse número é tão grande? O governo federal dos Estados Unidos é o maior empregador desse país e mantém um volume gigantesco de dados, tanto sobre seus funcionários quanto seus eleitores, o que faz com que se possa esperar um alto número de incidentes de entrega indevida. Leis relativas a dados públicos e a obrigatoriedade de relatar incidentes de segurança também se aplicam a órgãos governamentais. Visto que temos maior visibilidade dos erros do governo, isso cria a impressão de que os erros do governo acontecem com mais frequência do que os de quaisquer outras entidades, o que pode não ser o caso. isso não é muito diferente do fato de vermos números mais altos de violações em geral nos estados dos Estados Unidos que têm leis de divulgação implementadas há mais tempo. Um exemplo típico: mesmo com as entregas indevidas pelo governo removidas dos resultados, entrega indevida ainda domina a lista de erros que resultaram em exposição de dados.

Horas

Dias

Semanas

Meses

Anos

Nunca

SegundosDescoberta n=127 Contenção n=55

Minutos

3%

9%

10%

17%

6%

8%

0%

6%

4%

38%

27%

13%

6%

2%

6%

47%

Figura 45. Linha do tempo da descoberta até a contenção entre os Erros diversos

Ext-cliente

Ext-parte não relacionada

Int-relatado pelo usuário

Outros

Int-desconhecido

Int-auditoria de TI

Ext-segurança pública

Ext-divulgação pelo agente

Ext-auditoria

Int-exame de registros

30%

25%

5%

3%

2%

2%

1%

1%

Total de externos

Total de internos

68%

12%

32%

18%

Figura 46. Dez principais métodos de descoberta dos incidentes de Erros diversos (n=148)

ERRO

S Di

VERS

OS




WEB


DA EMpRESA


ERROS DiVERSOSCRiM

EWARE


pAGAMENTO

ESpiONAGEM

ELETR ôNiCAATAQUES

DE DOSTUDO

O MAiS

CONTROLES RECOMENDADOSBob Ross, o pintor favorito de todo mundo, que pinta pequenas nuvens macias, uma vez disse, “Nós não cometemos erros, apenas temos acidentes felizes.” Ainda assim, as organizações podem tomar medidas para diminuir a frequência de todas as formas de acidentes reduzindo sua exposição a padrões de erro comuns que resultam na divulgação de dados.

Manter os dados no DLPConsidere a implementação de software de prevenção de perda de dados (DLp, da sigla em inglês) para reduzir os casos em que documentos sigilosos são enviados por email. O DLp pode identificar informações que seguem um formato comum, como números de cartão de crédito, números da previdência social ou códigos de faturamento médico.

Conferir a publicaçãoReduza a frequência dos erros de publicação tornando mais rigorosos os processos de postagem de documentos em sites internos e externos. por exemplo, conte com um segundo revisor para aprovar qualquer coisa a ser postada nos servidores da empresa, desenvolva processos para verificar regularmente as páginas públicas na Web em busca de dados que não sejam públicos e implemente uma proibição geral de armazenar documentos não editados em um servidor de arquivos que também tenha um servidor Web em execução. É incrível a facilidade que uma planilha tem de migrar para a pasta htmldocs. Certifique-se de que há um processo para testar os controles de segurança após qualquer alteração – vimos com frequência situações em que deixar de restabelecer os controles resultou em uma violação por publicação.

Nail the snail mail fail whale (Detectar falha de grandes malas postais no correio)Diga isso três vezes bem rápido. Ao enviar grandes malas postais (também propensas a erros dada a alta velocidade e a repetição), faça uma conferência por amostragem para assegurar-se de que a informação no documento coincida com o nome no envelope. Esteja atento também a envelopes com janela – às vezes a janela pode ser grande demais ou seu conteúdo pode não estar centrado corretamente e permitir a exposição de informações sigilosas. Muitos desses incidentes poderiam ter sido evitados se alguém tivesse pego alguns envelopes da pilha e inspecionado antes de colocá-los no correio.

A TI não produz lixoA Ti o queima. Qualquer descarte ou venda de ativos de informações deve ser coordenado pelo departamento de Ti. Eduque os usuários a pensarem em descartar um computador da mesma maneira como pensariam em descartar algum material perigoso. “Não dá para simplesmente jogar no lixo (ou vender no eBay)! Mande para a Ti para que manuseiem da forma adequada.” Teste o processo de descarte fazendo uma amostragem dos dispositivos para verificar se foram devidamente sanitizados. Se um terceiro for responsável pelo processo, assegure-se de que os contratos estipulem como transferir, armazenar e descartar os dados, bem como os papéis, responsabilidades, verificação e penalidades em caso de não conformidade.

RESPOSTA ENCARCERADA: O FUTURO DA RESPOSTA A INCIDENTES?Um exemplo do VCDB mostra o ponto em que as coisas podem chegar quando tudo dá errado com o descarte de documentos. Uma clínica médica contratou um fornecedor para fazer a coleta de documentos e retalhá-los antes do descarte. Aparentemente, a coleta foi feita com uma caminhonete aberta, porque os arquivos acabaram, em vez disso, na beira da estrada. “Era como se uma nevasca de papel branco tivesse atingido a área”, segundo uma testemunha. Tratava-se de antigos prontuários médicos com todo tipo de informação protegida. Quando as pessoas os encontraram e chamaram a segurança pública, uma equipe de reclusos que estava fazendo a coleta regular do lixo na área foi enviada para recuperar esses documentos sigilosos. E o som que os prisioneiros acorrentados faziam ao executar esse trabalho forçado era o de caixa registradora “cha-ching”.

ERROS DiVERSOS


iNVA

SõES

A p

ONTO

S DE

VEN

DAS

ATAQ

UES

A

A pLi

CATi

VOS

NA

WEB

USO

iNDE

ViDO

DE

pRiV

iLÉG

iOS

OU p

OR

pESS

OAS

DE D

ENTR

O DA

EM

pRES

A

FURT

O E

pERD

A FÍ

SiCA

ERRO

S Di

VERS

OSCR

iMEW

ARE

ExTR

ATOR

ES

DE C

ARTõ

ES D

E pA

GAM

ENTO

ESpi

ONAG

EM

ELET

RôNi

CAAT

AQUE

S

DE D

OSTU

DO

O M

AiS

CRIMEWARE

Muitos incidentes nesta seção vêm de nossos parceiros CSiRTs, o que reflete um agregado de muitas organizações vítimas. O nível de detalhes tende a ser menor porque não houve uma investigação forense ou análise aprofundada semelhante (ou o relatório não foi fornecido ao CSiRT), o que deixa as métricas do VERiS um pouco esparsas. Mas o alto número de incidentes ainda oferece algum discernimento quanto às infecções por malware no dia a dia, em que os escudos representados pelo antivírus (AV) e o sistema de prevenção de invasão (ipS) da vítima não puderam repelir um poder de fogo de tal magnitude.

Conforme esperado, este padrão de incidentes consiste principalmente em infecções oportunistas vinculadas a criminosos organizados com algum tipo de motivação financeira direta ou indireta (daí o título “crimeware”). Uma vez que o código mal-intencionado tenha adquirido algum nível de acesso e controle de um dispositivo, inúmeras possibilidades de ganhar algum dinheiro se abrem para o invasor.

A notícia não tão chocante é que o Zeus continua sendo a maneira favorita de ganhar algum dinheiro com o crimeware em 2013 (veja a barra lateral para obter mais detalhes). O foco do Zeus e de sua cria, o Citadel, se concentra principalmente no furto de dinheiro via tomada de controle de contas bancárias, embora também possam ser usados para outras funções. O Zitmo (“Zeus in the Mobile”, ou Zeus no celular) também aparece nos dados.14

A diferença é que este tem como principais alvos dispositivos móveis Android e Blackberry com propósitos semelhantes. Embora o Zeus sirva de exemplo das famílias de crimeware relatadas em todas as partes do mundo, outros tiveram uma presença mais localizada. O Nitol, por exemplo, foi muito comum entre os incidentes relatados para o MyCERT da Cybersecurity Malaysia, mas não temos ocorrências em que ele tenha afetado sistemas fora da Ásia. O Nitol permite o acesso por backdoor e com frequência faz com que os sistemas afetados participem de ataques de DDoS.

A expansão dos mercados online, em que especialistas oferecem cybercrime-como-um-serviço, se tornou uma tendência crescente em 2013. Um bom exemplo na Holanda foi a onda de ataques de DDoS a bancos e instituições específicas desde março de 2013. Os assim chamados “booter websites” disponibilizaram esse tipo de ataque a literalmente qualquer um que quisesse atacar uma empresa ou instituição. Naturalmente, um bando de outras famílias de malware fizeram aparições no ano passado, mas essas duas se destacaram para nós como dignas de uma breve menção.

de um relanCe

Descrição Qualquer incidente de malware que não tenha se enquadrado em outros padrões, como espionagem ou ataques de ponto de vendas. Rotulamos esse padrão como “crimeware”, já que o apelido descreve um tema comum entre os incidentes. Na verdade, o padrão abrange uma faixa de incidentes que envolvem malware de variados tipos e propósitos.

Principais setores

público, informação, Serviços públicos, Manufatura




A meta principal é obter o controle de sistemas como plataforma para usos ilícitos, como furtar credenciais, ataques de DDoS, spam, etc. Downloads da Web e drive-bys são os vetores de infecção mais comuns.

ZEUSO Zeus (também chamado “Zbot”) é tipo a barata do malware. Ele conseguiu sobreviver e até prosperar apesar de muitas tentativas de erradicá-lo. prisões internacionais e a suposta aposentadoria de seu autor original não reduziram seu ímpeto e, uma vez que o código-fonte por trás dele foi publicado, outros programadores puderam modificar e estender o Zeus para seus próprios propósitos, inclusive burlar o software antivírus. Na verdade, o Citadel começou como uma variante do Zeus, mas evoluiu consideravelmente. O Zeus pode ser usado para instalar outros malwares, mas com frequência arrebatam credenciais de login e bancárias de dentro dos navegadores. Apesar dos esforços de muitos, ele continuou a desconcertar os mocinhos que estão tentando acabar com ele.

Figura 47. Dez principais variedades de ação de ameaça entre os Crimewares (n=2.274)

C2

Desconhecido

Spyware/Keylogger

Downloader

Spam

Ataque do lado do cliente

Backdoor

DoS

Adware

Exportação de dados

10%

9%

6%

4%

4%

2%

1%

86%

24%

13%

CRiM

EWAR

E




WEB


DA EMpRESA


ERROS DiVERSOSCRiM

EWARE


pAGAMENTO

ESpiONAGEM

ELETR ôNiCAATAQUES

DE DOSTUDO

O MAiS

As vítimas nem sempre relatam a funcionalidade do malware, mas, quando o fazem, preferem C2 (segundo os CSiRTs mais interessantes do mundo, pelo menos). isso faz total sentido, já que a meta é obter e manter o controle de um dispositivo para comandá-lo para fazer o seu lance. independentemente de os pequenos servos comprometidos estarem participando de um botnet de spam, furtando credenciais bancárias ou sequestrando um navegador para aumentar artificialmente a receita dos anúncios, existem numerosas maneiras de aproveitar estações de trabalho comprometidas que não implicam em uma penetração mais profunda na rede.

A maior parte dos incidentes de crimeware começa com alguma atividade na Web – infecções por download ou do tipo drive-by por kits de exploração e similares – em vez de links ou anexos a email.15 Adware ainda comparece, embora felizmente o Bonzi Buddy continue extinto. para malware com um componente de engenharia social, tanto golpes quanto phishing desempenham papéis importantes16. Em geral, os ativos infectados não foram identificados, mas é interessante que, entre os casos em que essa informação foi relatada, havia mais servidores do que dispositivos de usuário. Uau. Tantos vetores. Muita família. Muitos incidentes.

Com relação aos incidentes de Crimeware, consta pouco em termos de linha do tempo e detalhes da descoberta, porque normalmente a resposta é simplesmente apagar os dados no sistema e voltar ao trabalho (lembre-se de que este padrão engloba muitas infecções isoladas que não se enquadram em outros padrões). Quando esses dados são conhecidos, a notificação por terceiros não relacionados (no caso, CSiRTs) foi, de longe, a maneira mais comum pela qual as vítimas ficaram sabendo do incidente.

Como nós, sua primeira reação pode ser “por que não usar tecnologias como iDS e antivírus?” isso reflete o papel dos CSiRTs como principais fornecedores de incidente de crimeware neste conjunto de dados. O método de descoberta não era conhecido em 99% dos incidentes. Em geral, não está em sua alçada de visibilidade ou responsabilidade. pelo que nos consta, os CSiRTs viram somente o 1% que não foi descoberto por antivírus ou iDS. A linha de tempo das descobertas na Figura 52 sugere que esse pode, de fato, ser o caso. Observe a diferença em N entre a Figura 51 e a Figura 52 e quantas infecções são descoberta em questão de segundos – somente métodos de detecção automatizados poderiam ser tão rápidos.

Figura 48. Dez principais vetores de ações de malware entre os Crimewares (n=337)

Drive-by na Web

Download da Web

Propagação pela rede

Anexo de email

Link em email

Download por malware

Outros

Injeção remota

Desconhecido

Mídia removível

5%

4%

2%

2%

1%

1%

1%

43%

38%

6%

Figura 49. Variedade dos dados em risco entre os Crimewares (n=73)

Credenciais

Bancários

Pagamento

Pessoais

Desconhecido

Internos

Segredos

71%

82%

14%

4%

4%

3%

1%

Figura 50.Dez principais ativos afetados entre os Crimewares (n=1.557)

Outros(servidor)

Outros(dispositivo de usuário)


Email(servidor)

Outros(pessoas)


DesconhecidoLaptop


Usuário final(pessoas)

Celular(dispositivo de usuário)

43%

13%

19%

10%

7%

3%

<1%

<1%

<1%

14%

Figura 51.Comparação entre métodos de descoberta externos e internos entre os Crimewares (n=183)

Descoberta externa

Descoberta interna

84%

16%

Figura 52. Linha do tempo da descoberta entre os Crimewares (n=1.017)

Segundos

Minutos

Horas

Dias

Semanas

Meses

Anos

32%

7%

8%

4%

<1%

22%

28%

CRiMEW

ARE


iNVA

SõES

A p

ONTO

S DE

VEN

DAS

ATAQ

UES

A

A pLi

CATi

VOS

NA

WEB

USO

iNDE

ViDO

DE

pRiV

iLÉG

iOS

OU p

OR

pESS

OAS

DE D

ENTR

O DA

EM

pRES

A

FURT

O E

pERD

A FÍ

SiCA

ERRO

S Di

VERS

OSCR

iMEW

ARE

ExTR

ATOR

ES

DE C

ARTõ

ES D

E pA

GAM

ENTO

ESpi

ONAG

EM

ELET

RôNi

CAAT

AQUE

S

DE D

OSTU

DO

O M

AiS

CONTROLES RECOMENDADOSEsses resultados nos levaram a desenvolver algumas recomendações específicas para ajudar a manter o número de incidentes de crimeware reduzido. A pergunta natural a se fazer é “o que aconteceu com o antivírus?”. Em primeiro lugar, as tecnologias antivírus desempenham um papel importante na detecção de muitos tipos de malware de commodity e na prevenção do comprometimento. portanto, este padrão reflete um tipo invertido de “viés de sobrevivência”, em que olhamos principalmente para os tipos de coisas que o antivírus não faz tão bem – ou para organizações que não usam o antivírus especialmente bem. O Nitol, em especial, infectou muitos sistemas na fábrica antes da remessa e provavelmente antes que os usuários ou administradores tivessem implementado algum tipo de antivírus. A família do Zeus e do Citadel teve a reputação bem merecida de evoluir rapidamente para burlar a detecção baseada em assinatura do tipo usado por muitos produtos antivírus.

Manter os navegadores atualizadosO Zeus frequentemente usa uma técnica chamada “man in the browser” (homem no navegador) que envolve o uso de vulnerabilidades do navegador e das funções complementares. Manter os navegadores e plug-ins seguros será muito útil para reduzir o impacto desse tipo de incidente. Aplique os patches de navegadores assim que os produtores de software os disponibilizarem.

Desativar o Java no navegadorAplicativos legados podem complicar isso, mas, se possível, evite usar plug-ins de navegador do Java, dada a dificuldade de restringir a área do conteúdo e seu histórico de vulnerabilidades.

Usar autenticação por dois fatores Nossos resultados vinculam o crimeware a credenciais furtadas com mais frequência do que qualquer outro tipo de dados. isso aponta para o principal papel do crimeware quando o objetivo do ataque é obter acesso a contas de usuários. A autenticação por dois fatores não irá impedir o furto de credenciais, mas fará muito por prevenir a reutilização fraudulenta dessas credenciais.

A mudança é uma coisa boa... exceto quando não é

Considere a melhor maneira de implementar o monitoramento de alterações da configuração do sistema. Diferentemente do pó de iocaína, muitos dos vetores e métodos de persistência usados pelo crimeware podem ser facilidade detectados pelo monitoramento dos principais indicadores nos sistemas. isso remete ao tema geral de melhorar a detecção e a resposta em vez de concentrar o foco somente na prevenção.

Alavancar feeds de ameaçaDada a alta incidência de comunicações C2, usar feeds de dados de ameaça que identificam endereços ip e nomes de domínio usados para controlar botnets e, então, fazer a correspondência desses dados com os registros de firewall ou proxy pode ajudar a acelerar a detecção e, assim, a contenção. Normalmente, não recomendamos usar essas listas para o bloqueio cabal devido a possíveis problemas operacionais. Mas os pesquisadores de malware fazem um bom trabalho ao implementarem sinkholes e fazerem a engenharia reversa do malware rapidamente para identificar a infraestrutura usada pelos bandidos.

UM ANO NA VIDA DO CERT POLONêS

por CERT polska/NASK

O panorama de ameaças na internet na polônia é definido, em grande medida, pelos Cavalos de Troia bancários – crimeware que objetiva furtar credenciais bancária online de usuários. Eles usam uma combinação de engenharia social e vulnerabilidades de software para obter acesso ao computador de um usuário e, subsequentemente, à sua conta bancária. Sempre que novos malwares ou métodos de ataque financeiros vêm à tona, os usuários poloneses estão sempre entre os primeiros a serem afetados. O ano de 2013 também testemunhou diversos botnets de malware financeiro que usaram propriedades de internet polonesas para fins de C2 (inclusive nomes de domínio ccTLD com a extensão .pl). Mais de 20 desses botnets foram derrotados ou desorganizados pelo CERT polska.

A ferramenta predileta do invasor é uma variedade de malwares injetados na Web (com Zeus/Citadel sendo a família de malware mais popular), que infecta a máquina do usuário e então injeta código no navegador sempre que o usuário visita um site de banco considerado de interesse (um ataque de “Man-in-the-Browser” [homem no navegador]). Um tema comum é o uso de técnicas de engenharia social para obter credenciais. por exemplo, são feitas tentativas de instalar ladrões de senha isolados para interceptar números de autenticação de transações móveis (mTANs) usados pelos bancos para autenticar transações. Em tais casos, o usuário é solicitado a fornecer seu número de celular, supostamente para instalação de um novo certificado de segurança projetado pelo banco em seu smartphone – mas que, na realidade, é malware usado para interceptar e redirecionar mensagens de texto para o invasor. Métodos mais brutos também são usados para subverter a autenticação por dois fatores: mensagens fictícias do banco são injetadas, notificando o destinatário quanto a uma transferência bancária errônea e solicitando que o dinheiro seja estornado – para a conta do invasor. Eventos do mundo real são explorados com frequência: uma recente fusão de marcas que envolveu o maior banco online polonês resultou em ataques que forçaram os usuários a redefinir listas de transferências permanentes – redirecionando-os para números de contas do invasor – sob os auspícios de mudanças resultantes da fusão.

No entanto, não se trata apenas de malware injetado na Web em ação: outros truques observados em 2013 incluem malware que mudam números de contas bancárias para os do invasor durante uma operação de copiar e colar no Microsoft Windows. Também nem é sempre uma questão de malware: o final de 2013 testemunhou ataques em grande escala contra roteadores domésticos, que tiveram suas configurações de servidor DNS subsequentemente reconfiguradas de modo a apontar para servidores DNS desonestos. Estes foram então usados em ataques Man-in-the-Middle (de intermediário), através de uma série de proxies, para subverteram mecanismos de SSL e autenticação por dois fatores usando métodos de engenharia social semelhantes aos descritos acima.

CRiM

EWAR

E




WEB


DA EMpRESA


ERROS DiVERSOSCRiM

EWARE


pAGAMENTO

ESpiONAGEM

ELETR ôNiCAATAQUES

DE DOSTUDO

O MAiS

ExTRATORES DE CARTÕES DE PAgAMENTO

para uma grande variedade de criminosos, desde as quadrilhas do crime altamente organizado até a variedade de inúteis que não estão virando boa coisa, como sua mamma avisou mesmo que seria, a extração de informações continua a florescer como uma maneira relativamente fácil de “enriquecer rapidamente”. Embora a maior parte dos incidentes esteja vinculada a agentes na Europa Oriental, quase todas as vítimas dos extratores de cartões de pagamento neste relatório são organizações estadunidenses (sendo que o Serviço Secreto dos Estados Unidos e as divulgações públicas são a principais fontes destes dados). Embora algumas pessoas não achem que devamos incluir esse tipo de ataque no Relatório DBiR, não podemos justificar a exclusão de um método consagrado usado por criminosos para furtar informações de cartões de pagamento.

Em 2013, a maior parte das extrações de informações ocorreu em caixas eletrônicos (87%) e bombas de gasolina (9%), devido à facilidade relativa com que podem ser abordados e adulterados. Com frequência, os extratores de cartões de pagamento de bombas de gasolina são instalados por um pequeno grupo de pessoas que agem de comum acordo. Um cenário envolve um ou mais conspiradores entrando no posto para fazer uma compra e distraindo a atenção do caixa, enquanto um parceiro no crime instala o dispositivo na máquina usando uma chave universal.

Extratores de cartões de pagamento em caixas eletrônicos, por outro lado, são instalados do lado de fora da máquina. Enquanto alguns dispositivos de extração de informações de caixa eletrônico são engenhocas desajeitadas feitas em casa que podem acabar sendo vistas por clientes, o design de muitos extratores de cartões de pagamento (tanto criados por criminosos quanto comprados “prontos para usar”) pode ter uma aparência tão realista que se tornam praticamente invisíveis aos olhos do usuário final. Na maioria dos casos, podem ser encaixados no lugar em questão de segundos e podem ser produzidos em quantidades suficientes para tornar os ataques escalonáveis e altamente organizados. Entretanto, essa vem sendo a norma já há algum tempo e demanda somente uma menção superficial neste relatório. O que mudou com o tempo, contudo, foram os métodos pelo qual os dados são recuperados pelos criminosos.

de um relanCe

Descrição Todos os incidentes em que um dispositivo de extração de informações foi fisicamente implantado (violação) de um ativo que lê dados de tarjas magnéticas de cartões de pagamento (por exemplo, caixas eletrônicos, bombas de gasolina, terminais de pontos de vendas, etc.).

Principais setores

Finanças, Varejo

Frequência 130 incidentes no total17



Não existe tanta variação neste padrão no nível do VERiS: grupos criminosos instalam extratores de cartões de pagamento em caixas eletrônicos (o mais comum) e em outros dispositivos de leitura de cartões. Em um nível mais qualitativo, os extratores de cartões de pagamento estão adquirindo uma aparência mais realista e tornando-se mais eficientes na exploração de dados pelo uso de Bluetooth, transmissão pela rede celular, etc.

Figura 53. Origem dos agentes externos entre os Extratores de cartões de pagamento (n=40)

Bósnia e Herzegovina

Irã, República Cuba

México

Nigéria

2%

2%

2%

2%

2%

Bulgária

Armênia

Brasil

Romênia

Estados Unidos

38%

18%

8%

18%

8%

Islâmica de

Figura 54.Ativos afetados entre os Extratores de cartões de pagamento (n=537)

Caixa eletrônico(terminal)

Terminal de combustível(terminal)

Acesso para leitura(rede)

Teclado de dispositivo de

(terminal)Terminal de PDV


Backup(servidor)


Email(servidor)

Mainframe(servidor)

Proxy(servidor)

2%

2%

1%

1%

1%

1%

1%

87%

9%

2%

entrada de PIN (PED)

ExTRATORES DE CARTõ ES DE

pAGAMENTO


iNVA

SõES

A p

ONTO

S DE

VEN

DAS

ATAQ

UES

A

A pLi

CATi

VOS

NA

WEB

USO

iNDE

ViDO

DE

pRiV

iLÉG

iOS

OU p

OR

pESS

OAS

DE D

ENTR

O DA

EM

pRES

A

FURT

O E

pERD

A FÍ

SiCA

ERRO

S Di

VERS

OSCR

iMEW

ARE

ExTR

ATOR

ES

DE C

ARTõ

ES D

E pA

GAM

ENTO

ESpi

ONAG

EM

ELET

RôNi

CAAT

AQUE

S

DE D

OSTU

DO

O M

AiS

No passado, era necessário que o criminoso retornasse à cena do crime e removesse fisicamente o dispositivo para coletar os dados furtados. Embora isso ainda exista, normalmente é indicativo dos vilões menos organizados e de menor nível tentando “descolar uma grana com algum tiozinho rico”. Com frequência, eles são apreendidos enquanto recuperam os dados extraídos dos cartões. De acordo com o que descobrimos sobre os ataques baseados em rede, o criminoso bem-sucedido é aquele que consegue manter uma distância segura entre si mesmo e o alvo. Assim, os criminosos mais altamente qualificados agora coletam os dados via Bluetooth ou chips com cache remoto e alertas de adulteração. Alguns dispositivos chegam a enviar um alerta por SMS para o criminoso cada vez que o caixa eletrônico é usado.

Com o subterfúgio e a fraude sendo os objetivos por trás da extração de informações, não é de se surpreender que esse padrão seja mais comumente detectado por um terceiro. Na maior parte do tempo, esse terceiro é uma empresa de cartões de pagamento ou um cliente que percebeu alguma atividade fraudulenta. Outras vezes, é um telefonema de um órgão de segurança pública depois de prenderem uma gangue com um porta-malas cheio de dispositivos de extração de informações e cartões plásticos brancos. Na rabeira desse bando de métodos de descoberta externos estão os usuários internos, que detectam a adulteração e a denunciam à gerência. É isso aí, moçada. No entanto, à medida que os extratores de cartões de pagamento se tornam mais difíceis de detectar visualmente, não podemos senão nos perguntar se este último cenário não irá se tornar cada vez mais raro.

Figura 55. Métodos de descoberta entre os Extratores de cartões de pagamento (n=42)

Total de externos

Total de internos



Ext - cliente




24%

26%

21%

17%

17%

12%

7%

76%

EVOLUÇãO DA ExTRAÇãO DE INFORMAÇÕES

Como acontece com qualquer tecnologia, a tendência é desenvolver-se de volumosa e lenta para agilizada e eficiente. Os dispositivos de extração de informações não são uma exceção. Muitas pessoas ainda pensam no extrator de cartões de pagamento como o golpe clássico – o pequeno extrator de mão usado por garçons para obter ilicitamente dados de tarjas magnéticas enquanto mantêm o cartão em sua posse, distante do cliente. porque eram tão fáceis de usar, eles se tornaram a especialidade da maioria dos criminosos por um bom tempo.

por outro lado, era relativamente fácil para os mocinhos identificar o culpado depois que a fraude tivesse sido descoberta. Algoritmos de ponto comum de compra (Cpp) podiam ser usados para determinar o restaurante responsável pelas cobranças fraudulentas. Quando a segurança pública chegava ao restaurante, podia obter acesso aos recibos e, com relativa facilidade, determinar que o mesmo garçom ou garçonete havia atendido a todas as vítimas. O indivíduo costumava ser entrevistado e... bem, você sabe o resto.

Agora um avanço rápido até o ano 2000, quando o primeiro extrator de cartões de pagamento de bomba de gasolina foi encontrado em um posto na Califórnia. O extrator de cartões de pagamento foi colocado dentro da bomba e (visto que capturava somente informações da tarja) os criminosos instalaram uma câmera de vídeo sem fio a 375 metros de distância em um compartimento a prova d'água. Nesse caso específico, a câmera foi descoberta e desconectada por um investigador. Em questão de minutos, os bandidos apareceram no posto para ver o que tinha dado errado e foram prontamente levados para a prisão.

O risco de descoberta durante a recuperação acabou se tornando grande demais e, por isso, mais criminosos começaram a fabricar extratores de cartões de pagamento e a vendê-los online. Essa nova onda de dispositivos era equipada com Bluetooth, o que permitia baixar os dados da tarja e do piN na segurança do estacionamento.

Agora é possível comprar online dispositivos de extração de informações com chips incorporados que permitem a configuração remota e o carregamento remoto de dados, além de contar com alertas de violação que, se acionados, fazem o cache dos dados e os enviam para fora imediatamente, o que reduz o risco em grande medida.

ExTR

ATOR

ES

DE C

ARTõ

ES D

E p A

GAM

ENTO




WEB


DA EMpRESA


ERROS DiVERSOSCRiM

EWARE


pAGAMENTO

ESpiONAGEM

ELETR ôNiCAATAQUES

DE DOSTUDO

O MAiS

CONTROLES RECOMENDADOSEmbora algumas pessoas possam questionar essa opinião, não encontramos nenhum erro óbvio ou omissão por parte das organizações que permitem que a extração de informações seja bem-sucedida quando isso normalmente não aconteceria. Mas há algumas coisas que podem ser feitas para dificultar para o criminoso e abreviar a janela de exposição.

PARA EMPRESAS

Projetar (ou comprar) terminais resistentes a violação

Enquanto comerciante, provavelmente isso é algo que você não pode fazer por sua própria conta, mas esteja ciente de que certos designs são mais susceptíveis a dispositivos de extração de informações do que outros. Muitos caixas eletrônicos modernos são projetados com isso em mente; escolha um desse tipo, se possível.

Usar controles evidentes contra violação

Faça coisas que tornam óbvio (ou enviam um alerta) quando ocorre uma violação. isso pode ser simples, como lacrar a porta de uma bomba de gasolina com um adesivo, ou táticas mais sofisticadas, como o monitoramento visual de anomalias em caixas eletrônicos.

Tomar cuidado com a violaçãoVerifique regularmente os terminais quanto a sinais de violação não autorizada. Além disso, treine os funcionários para detectar extratores de cartões de pagamento e reconhecer comportamentos suspeitos de indivíduos tentando instalá-los. Se um criminoso for capaz de colocar um extrator de cartões de pagamento de um de seus dispositivos, essas inspeções regulares ajudarão a restringir os danos.

PARA CONSUMIDORES

Proteger o PINAo inserir seu piN, cubra sua mão para impedir pequenas câmeras que possam estar gravando seus movimentos. Você não gostaria que seu piN caísse nas mãos de um pilantra sem vergonha, gostaria?

Confiar nos seus instintosSe alguma coisa parecer não estar normal em seu caixa eletrônico ou bomba de gasolina, pode ser que alguma coisa suspeita esteja mesmo acontecendo. Embora os criminosos estejam cada vez mais astuciosos ao projetar extratores de cartões de pagamento difíceis de detectar, talvez você ainda consiga notar algo fora do comum, especialmente se o terminal tiver um aspecto diferente dos outros ao seu redor. Se alguma dessas engenhocas não for igual às outras, não passe o seu cartão!

Não se calarSe algo lhe parecer fora do normal em um terminal de pagamento, não se cale. Não deixe de avisar o comerciante ou o banco que você pode ter detectado um extrator de cartões de pagamento. Você não estará ajudando apenas eles, mas também os outros consumidores.

ExTRATORES DE CARTõ ES DE

pAGAMENTO


iNVA

SõES

A p

ONTO

S DE

VEN

DAS

ATAQ

UES

A

A pLi

CATi

VOS

NA

WEB

USO

iNDE

ViDO

DE

pRiV

iLÉG

iOS

OU p

OR

pESS

OAS

DE D

ENTR

O DA

EM

pRES

A

FURT

O E

pERD

A FÍ

SiCA

ERRO

S Di

VERS

OSCR

iMEW

ARE

ExTR

ATOR

ES

DE C

ARTõ

ES D

E pA

GAM

ENTO

ESpi

ONAG

EM

ELET

RôNi

CAAT

AQUE

S

DE D

OSTU

DO

O M

AiS

ESPIONAgEM ELETRôNICA

É muito difícil obter informações abrangentes sobre espionagem eletrônica ou “cibernética”19. Normalmente, as organizações não estão obrigadas a divulgar publicamente quaisquer violações de informações internas e segredos comerciais, como é o caso com dados regulamentados do consumidor. Além disso, não existe um algoritmo de fraude que alerte as vítimas quanto ao uso ilícito de tais dados, o que impede que muitos casos de espionagem sejam detectados. A maior parte do que sabemos publicamente sobre esse gênero de ameaça vem de responsáveis pela resposta aos incidentes, analistas de inteligência e pesquisadores de malware que compilam e compartilham seu conhecimento com a comunidade. Assim, estamos empolgados em contar com alguns colaboradores desses círculos, cujas informações mais que triplicaram o número de incidentes de espionagem no conjunto de dados deste ano para 511.

Antes que alguém conclua que estamos afirmando que houve um grande aumento da espionagem em 2013, estamos seguros de que inúmeras organizações foram visadas de forma sistemática por vários anos. Em vez disso, atribuímos esse aumento principalmente ao nosso conjunto em constante expansão de colaboradores que conduzem pesquisas nessa área, somado ao compartilhamento de informações pela comunidade, o que aumenta as capacidades de descoberta. Como um poste de iluminação que ilumina os carros estacionados ao longo da rua, mais colaboradores nos permitem ver mais carros. infelizmente, também podemos ver que esses carros estão com as janelas quebradas e tiveram seu som furtado.

Figura 56. Número de incidentes por setor e porte da vítima entre as Espionagens eletrônicas

setor Total Pequenogrande desconhecido

Administrativo [56] 2 1 1 0

Construção [23] 1 0 0 1

Educação [61] 2 1 1 0

Finanças [52] 3 0 2 1

Saúde [62] 2 1 0 1

informação [51] 11 2 2 7

Gestão [55] 2 1 1 0

Manufatura [31,32,33] 81 5 17 59

Mineração [21] 5 0 2 3


público [92] 133 20 19 94

imóveis [53] 1 1 0 0

Varejo [44,45] 1 0 1 0

Transporte [48,49] 5 1 3 1


Outros [81] 5 5 0 0

Desconhecido 135 0 3 132

Total 511 49 58 404

de um relanCe

Descrição Os incidentes neste padrão incluem acesso não autorizado à rede ou ao sistema vinculado a agentes afiliados ao estado e/ou cuja motivação seja a espionagem.

Principais setores

profissional, Transporte, Manufatura, Mineração, público18

Frequência 511 incidentes no total



O que mais nos surpreende é o crescimento consistente e significativo do número de incidentes no conjunto de dados. Sabíamos que era generalizado, mas é um pouco desconcertante quando o valor é triplicado em relação ao número já muito maior do ano passado. A espionagem exibe uma variedade mais ampla de ações de ameaça do que qualquer outro padrão. As mudanças mais evidentes com relação a nosso último relatório incluem a elevação do número de comprometimentos estratégicos na Web e as regiões estratégicas mais amplas representadas tanto pelas vítimas quanto pelos agentes.


ESpi

ONAG

EM

ELET

RôNi

CA

























WEB


DA EMpRESA


ERROS DiVERSOSCRiM

EWARE


pAGAMENTO

ESpiONAGEM

ELETR ôNiCAATAQUES

DE DOSTUDO

O MAiS

para dar o tom, precisamos entender as vítimas representadas nestes dados. Nossos dados não abrangem toda a atividade de espionagem em 2013 – muito longe disso, na verdade. Como fica evidente na Figura 57, a amostra ainda é, em grande medida (mais da metade), baseada dos Estados Unidos, mas não com tanta exclusividade como nos anos anteriores. Esperamos que essa tendência continue, à medida que mais organizações globais vão se juntando à causa. Não podemos senão nos perguntar por que não temos exemplos de vítimas italianas de espionagem em nosso conjunto de dados. Nossa melhor hipótese é que agentes sofisticados devem se lembrar da gafe clássica que é “opor-se a um siciliano quando a morte está em jogo” ao escolher seus alvos

(a gafe mais famosa é, logicamente, se envolver em uma guerra territorial na Ásia). Assistiu A princesa prometida?

Além da ampliação geográfica, vemos uma distribuição ampla tanto por porte quanto por tipo das organizações vítimas. infelizmente, o porte das vítimas nem sempre é registrado, o que nos deixa com muitas incógnitas, aqui. Na medida em que podemos determinar a partir dos dados à nossa frente, contudo, o porte não parece ser um fator significativo na escolha do alvo. O setor, por outro lado, parece: os setores público, profissional e de Manufatura são mais visados pela espionagem do que o restante do campo (que ainda abrange uma variedade bastante ampla). Não há muita dúvida de que os números do setor público, que abrangem embaixadas, programas econômicos, organizações militares e outras organizações de apoio, são elevados por nossos colaboradores governamentais. Também há pouca dúvida de que eles são um dos principais alvos da espionagem. Normalmente, as vítimas da categoria Serviços profissional, Científicos e Técnicos lidam com serviços de programação de computadores personalizados, pesquisa e desenvolvimento, engenharia e projeto e práticas jurídicas. Muitas dessas organizações são visadas devido aos contratos e relacionamentos que têm com outras organizações. para alguns, eles podem atuar tanto como um ponto de agregação valioso dos dados da vítima quanto como um ponto de exfiltração confiável de várias organizações visadas. Finalmente, e nada inesperado, os setores de Manufatura também são alvo por sua propriedade intelectual, tecnologia e processos de negócios.

A atribuição também é de natureza probabilística. Desconfie de fornecedores de inteligência de ameaças que alegam ter 100% de certeza de que um ataque é do grupo x, do país Y, pelo motivo Z; eles estão “provavelmente” incorretos. Existem muitos métodos de se determinar a atribuição – algumas vezes é seguindo as migalhas deixadas pelos agentes. Outras vezes é excluindo as alternativas por meio de algo parecido com a análise de hipóteses concorrentes.20 Nenhum desses métodos é perfeito. É importante avaliar cuidadosamente as informações para se certificar de não estar sofrendo de algum tipo de viés cognitivo.21 Seria mais útil se uma linguagem probabilística, como as “palavras de probabilidades Estimativas”22 de Sherman Kent, fosse usada na descrição da atribuição a determinados países, regiões e agentes de ameaça. Com isso em mente, os dados a seguir se enquadrariam entre “provável” e “Quase certo”.

Conforme esperado, a maioria dos incidentes desta categoria é atribuída a agentes afiliados ao estado. Mas os dados também nos lembram de que grupos do crime organizado, concorrentes e funcionários23 e ex-funcionários também entram no jogo. Também percebemos que o jogo mais longo da espionagem nem sempre é a única motivação. Com frequência, também aparece um elemento financeiro mais direto de mais curto prazo. Um exemplo seria um furto no estilo mercenário de código-fonte ou certificados digitais contratado por uma organização rival ou outra parte interessada.

Figura 57. País da vítima entre as Espionagens eletrônicas (n=470)

Estados Unidos

Coreia do Sul

Japão

Federação Russa

Colômbia

Ucrânia

Vietnã

Belarus

Cazaquistão

Filipinas

3%

2%

2%

1%

1%

1%

1%

54%

6%

4%

Figura 58. Variedade de agentes externos entre as Espionagens eletrônicas (n=437)

Afiliado ao estado

Crime organizado

Ex-funcionário

Concorrente

Desconhecido

87%

11%

<1%

1%

1%

Figura 59. Região dos agentes externos entre as Espionagens eletrônicas (n=230)

Extremo Oriente

Não atribuído

Ásia Ocidental

Europa Oriental

América do Norte

49%

25%

<1%

Europa <1%

21%

4%

Sul da Ásia <1%

ESpiONAGEM

ELETR ôNiCA


iNVA

SõES

A p

ONTO

S DE

VEN

DAS

ATAQ

UES

A

A pLi

CATi

VOS

NA

WEB

USO

iNDE

ViDO

DE

pRiV

iLÉG

iOS

OU p

OR

pESS

OAS

DE D

ENTR

O DA

EM

pRES

A

FURT

O E

pERD

A FÍ

SiCA

ERRO

S Di

VERS

OSCR

iMEW

ARE

ExTR

ATOR

ES

DE C

ARTõ

ES D

E pA

GAM

ENTO

ESpi

ONAG

EM

ELET

RôNi

CAAT

AQUE

S

DE D

OSTU

DO

O M

AiS

Com respeito à origem dos agentes, a porcentagem dos incidentes atribuída ao Extremo Oriente é muito menos predominante no conjunto de dados deste ano. Dois países em especial, a República popular da China e a República popular Democrática da Coreia, representam essa região. isso enfatiza o ponto de vista que defendemos em nosso último relatório – de que, apesar de apenas a China constar de nossos resultados, a China definitivamente não era o único país conduzindo espionagem.

O conjunto de dados de 2013 mostra muito mais atividade atribuída a agentes da Europa Oriental, especialmente aqueles de fala russa. Como antes, não propomos que essas sejam as únicas regiões ou países ativos envolvidos em espionagem. A pesquisa mais abrangente dos diferentes grupos de agentes está possibilitando continuamente uma melhor detecção e atribuição, e esperamos que futuras versões deste relatório mostrem os frutos desses esforços. Em um alto nível, não parece haver muita diferença nos setores visados pelos grupos do Extremo Oriente e da Europa Oriental. Os agentes chineses parecem visar uma variedade mais ampla de setores, mas isso acontece porque havia mais campanhas atribuídas a eles.

Um aspecto deste padrão que o diferencia dos demais é a grande variedade de ações de ameaça. Muitos dos outros padrões têm histórias mais simples com relativamente menos ações do VERiS. A espionagem quebra radicalmente esse padrão, ainda que as ações específicas envolvidas não sejam uma surpresa para muitos leitores. Com frequência, os grupos afiliados ao estado empregam uma grande variedade de ferramentas (ou ferramentas com uma grande variedade de recursos), o que fica evidente na Figura 60.

O interessante é que, embora a gama de ferramentas seja diversificada, os métodos básicos de obter acesso ao ambiente da vítima não são. O mais prolífico é o bom e velho spear phishing. Nós (e outros) abordamos isso até a exaustão em relatórios anteriores, mas para aqueles dois leitores que talvez tenham perdido alguma coisa, aqui vai: Um email bem elaborado e relevante em termos pessoais ou profissionais é enviado para um ou mais usuários visados, solicitando a eles que abram o anexo ou cliquem em um link no corpo da mensagem. inevitavelmente, eles mordem a isca, ponto em que o malware se instala no sistema, um backdoor ou canal de comando se abre e o invasor dá início a uma cadeia de ações rumo a seu objetivo. A proporção de incidentes de espionagem que incorpora o phishing é mais baixa do que em nosso relatório anterior (era de 95%), mas não devido a uma queda na frequência real. isso se deve, principalmente a um grande aumento no uso de comprometimentos estratégicos na Web (SWCs) como método de obter o acesso inicial.

Em vez da isca por email, os SWCs colocam uma armadilha em sites (na maioria) legítimos, que provavelmente serão visitados pelo grupo demográfico visado. Quando eles visitam a página, a armadilha é disparada, o sistema é infectado e o resto é o mesmo descrito acima. Mesmo se detectado rapidamente, os SWCs podem proporcionar uma recompensa muito alta para os invasores. Além disso, o setor observou uma certa maturação da técnica de SWC, que ajuda os agentes a concentrarem o foco em seus alvos, evitando a detecção (veja a barra lateral na próxima página para saber mais sobre SWCs).

Figura 60. Principais variedades de ação de ameaça entre as Espionagens eletrônicas (n=426)

Uso de credenciais furtadas [hac]

Desativação de controles [mal]

Rootkit [mal]

Força bruta [mal]

Força bruta [hac]

Password dumper [mal]

Packet sniffer [mal]

Ram scraper [mal]

Outros [mal]

Ataque do lado do cliente [mal]

Uso de backdoor ou C2 [hac]

24%

19%

16%

14%

14%

13%

30%

24%

28%

Exploração de vulnerabilidade [mal]


37%

37%

24%

Phishing [soc]

Backdoor [mal]

Downloader [mal]

Captura de dados armazenados [mal]


Spyware/Keylogger [mal]

43%

38%

67%

57%

65%

C2 [mal]

70%

68%

60%

Figura 61. Vetor de ações de malware entre as Espionagens eletrônicas (n=329)

Anexo de email

Drive-by na Web

Instalação diretaDownload por

malwareLink em email

Execução automática de email

Propagação pela rede

Injeção remota

Desconhecido

4%

3%

<1%

2%

<1%

<1%

<1%

78%

20%

PESQUISAS DE CAMPANhAS PUBLICADAS EM 2013

O Relatório DBiR concentra seu foco nas tendências gerais e estatísticas relacionadas a campanhas de espionagem. Vários de nossos colaboradores publicaram pesquisas aprofundadas sobre agentes e campanhas específicos, das quais relacionamos alguns exemplos:• Deputy Dog (FireEye), agosto e setembro de 2013• Ephemeral Hydra (FireEye), novembro de 2013• MiniDuke (Kaspersky), fevereiro de 2013• Red October (Kaspersky), maio de 2007 a janeiro de 2013• Sunshop (FireEye), setembro de 2011 a outubro de 2013

(Mas provavelmente em andamento)• Troy (McAfee, parte da intel Security), janeiro a março de

2013 • Várias campanhas (U.S. Defense Security Service),

“Targeting U.S. Technologies”

ESpi

ONAG

EM

ELET

RôNi

CA


www.fireeye.com/blog/technical/cyber-exploits/2013/09/operation-deputydog-zero-day-cve-2013-3893-attack-against-japanese-targets.html

http://www.fireeye.com/blog/technical/cyber-exploits/2013/11/operation-ephemeral-hydra-ie-zero-day-linked-to-deputydog-uses-diskless-method.html

https://www.securelist.com/en/downloads/vlpdfs/themysteryofthepdf0-dayassemblermicrobackdoor.pdf

http://www.securelist.com/en/analysis/204792262/Red_October_Diplomatic_Cyber_Attacks_Investigation

http://www.fireeye.com/resources/pdfs/fireeye-malware-supply-chain.pdf

http://mcaf.ee/thnyr

http://www.dss.mil/documents/ci/2013%20Unclass%20Targeting%20US%20Technologies_FINAL.pdf



WEB


DA EMpRESA


ERROS DiVERSOSCRiM

EWARE


pAGAMENTO

ESpiONAGEM

ELETR ôNiCAATAQUES

DE DOSTUDO

O MAiS

Depois que o email de phishing ou o SWC tiver feito seu trabalho e um sistema interno estiver infectado, a questão passa a ser mover-se com determinação rumo à rede para buscar o prêmio. isso pode acontecer rapidamente, mas também pode se prolongar por anos. Métodos comuns que envolvem o carregamento de backdoors em sistemas para manter o acesso, instalar spyware/keyloggers e password dumpers para furtar credenciais de usuário e então usá-las para elevar privilégios e expandir o controle.

O exame das linhas do tempo e dos métodos de descoberta dos incidentes de espionagem revela que há muito o que melhorar. Embora com frequência essas informações não sejam conhecidas nem fornecidas (por vários motivos, inclusive a visibilidade e o foco de nossos colaboradores), há o suficiente para podermos discernir o estado geral das coisas. Normalmente demora meses ou até mais tempo até que as vítimas saibam que foram violadas e, em geral, isso acontece porque um terceiro as notifica.

O método de descoberta mais comum é a notificação ad hoc de organizações de inteligência e pesquisa de ameaça que observam, por exemplo, a vítima se comunicando com uma infraestrutura de C2 de um grupo de ameaça conhecido. Embora por si só isso não seja uma boa notícia, sugere que as operações de inteligência são uma importante ferramenta para o combate à espionagem.

Figura 62. Variedade dos dados em risco entre as Espionagens eletrônicas (n=355)

Internos

Segredos

Sistema

Credenciais

Sigilosos

Desconhecido

Pessoais

Pagamento

Direitos autorais

Outros

39%

31%

19%

2%

1%

<1%

<1%

85%

83%

80%

Figura 63. Dez principais métodos de descoberta entre as Espionagens eletrônicas (n=302)



Int - antivírus

Int - NIDS


Int - exame de registros

Int - desconhecido

Outros

Ext - cliente

Ext - auditoria

2%

1%

1%

1%

1%

<1%

67%

2%

16%

Total de externos

Total de internos

85%

15%

8%

FERRAMENTAS DO OFíCIO: COMPROMETIMENTO ESTRATégICO DE SITES

Os Comprometimentos estratégicos de sites (SWCs) são, comprovadamente, uma tática eficaz de ameaças afiliadas ao estado para se infiltrar nas redes de organizações-alvo. Em 2012, os SWCs fizeram sua estreia com o “VOHO Affair”24 e continuaram em 2013 com ataques cujo foco se concentrou nos setores público, de Manufatura, profissional e Técnico.

Os SWCs alavancam websites que sejam de valor crítico ou complementar para a linha de negócios de um setor para distribuir malware tradicionalmente contido em emails de spear phishing. Os visitantes se defrontam com um download do tipo drive-by que concede aos invasores acesso/propriedade de seu sistema. Os SWCs de 2013 afiliados ao estado exibiram três novas vulnerabilidades de dia zero baseadas em navegador (que constituíram mais de 75% dos SWCs divulgados publicamente), o que elevou a taxa de comprometimento por evento.

Então, por que aumentou o uso de SWCs nas campanhas de espionagem? Bem, não há dúvidas de que os invasores escalonaram bem essa tática e de que ela proporciona uma promessa razoável de ambiguidade. Optando por ficar fora de ataques diretos, como phishing, os invasores efetivamente removem-se das atribulações dos erros de gramática, varreduras e usuários astutos. E alavancando as explorações de dia zero, obtêm uma taxa mais alta de sucesso que não depende mais de ações cuidadosamente coagidas.

Em 2014, gostaríamos de prever o enfraquecimento dos SWCs, mas isso parece improvável. Embora haja desvantagens para o invasor com relação aos SWCs (alta visibilidade e alto custo de detonar e exaurir um dia zero), os benefícios de um modo de baixo custo de prestar suporte a operações de longo prazo costumam superam os riscos.

Horas

Dias

Semanas

Meses

Anos

Segundos

Minutos

0%

0%

9%

8%

16%

5%

62%

Figura 64. Linha do tempo da descoberta entre as Espionagens eletrônicas (n=101)

ESpiONAGEM

ELETR ôNiCA


http://blogs.rsa.com/wp-content/uploads/VOHO_WP_FINAL_READY-FOR-Publication-09242012_AC.pdf

http://blogs.rsa.com/wp-content/uploads/VOHO_WP_FINAL_READY-FOR-Publication-09242012_AC.pdf

iNVA

SõES

A p

ONTO

S DE

VEN

DAS

ATAQ

UES

A

A pLi

CATi

VOS

NA

WEB

USO

iNDE

ViDO

DE

pRiV

iLÉG

iOS

OU p

OR

pESS

OAS

DE D

ENTR

O DA

EM

pRES

A

FURT

O E

pERD

A FÍ

SiCA

ERRO

S Di

VERS

OSCR

iMEW

ARE

ExTR

ATOR

ES

DE C

ARTõ

ES D

E pA

GAM

ENTO

ESpi

ONAG

EM

ELET

RôNi

CAAT

AQUE

S

DE D

OSTU

DO

O M

AiS

CONTROLES RECOMENDADOSisolar a causa-raiz de uma violação relacionada à espionagem é um pouco como caçar unicórnios. É claro que as vítimas cometem erros (sejam pequenos ou não) que são explorados no processo, mas a verdadeira causa-raiz é um adversário determinado, habilidoso, paciente e bem aparelhado que continuará cutucando até encontrar (ou fazer) um furo. Com isso em mente, vamos dar uma olhada mais de perto nos furos e em outras brechas de que esses adversários frequentemente se aproveitam.

primeiro, vamos começar com algumas noções básicas de bloqueio e afrontamento que você deve pôr em prática, independentemente de estar ou não preocupado com espionagem. Se você não fizer isso, todas aquelas soluções de criptonita ApT ciberfantásticas podem se tornar irrelevantes.

Instalar patches em TODAS AS COISAS!

Explorar vulnerabilidades no navegador, sistema operacional e outros softwares de terceiros (por exemplo, Flash e Java) para infectar sistemas de usuários finais é uma etapa inicial comum para os invasores. Manter tudo atualizado irá dificultar um pouco essa etapa para eles.

Usar e atualizar um software antivírus (AV)Embora muitos proclamem que o antivírus está morto, não tê-lo é parecido com viver sem um sistema imunológico. Ele pode não protegê-lo do temido dia zero, mas sejamos honestos – muitas vítimas de espionagem ainda sucumbem a ataques de dia um-zero-zero (ou mais antigos). Um antivírus atualizado (em linha ou no ponto final) pode contribuir em grande medida para detectar anomalias em aplicativos e encontrar shells importunos, entre outros malwares.

Treinar os usuáriosAlguns podem considerar esta uma causa perdida, mas nosso contra-argumento é que, durante os anos em que fizemos esta pesquisa, os usuários descobriram mais violações do que qualquer outro processo interno ou tecnologia. Nem tudo tem a ver com prevenção. Arme-os com o conhecimento e as habilidades de que precisam para reconhecer e denunciar incidentes potenciais rapidamente.

Segmentar a redeUma boa segmentação da rede e das funções pode fazer maravilhas para conter um incidente, especialmente quando os agentes pretendem alavancar o acesso a um desktop como trampolim para toda a rede.

Manter bons registrosRegistre as atividades do sistema, da rede e dos aplicativos. isso não somente estabelece o alicerce necessário à resposta a incidentes, mas muitas contramedidas proativas também se beneficiarão.

Além do básico, há algumas práticas específicas que as organizações preocupadas com adversários afiliados ao estado, entre outros rivais determinados, devem levar em consideração. Em linhas gerais, elas seguem pontos críticos no caminho do ataque, em que as vítimas têm as melhores chances de reconhecer e responder.

Quebrar a cadeia de entrega-exploração-instalação25

Os usuários receberão a mensagem de phishing e terminarão por clicar nela. Temos os dados que comprovam isso. Concentre seu foco na implementação de uma solução que proteja mais completamente contra o phishing, como não depender exclusivamente da detecção de spam ou de listas de bloqueio, mas também fazer a análise de cabeçalhos, a correspondência de padrões com base em amostras detectadas no passado e a análise em áreas restritas de anexos ou links inclusos.

para organizações mais maduras, confira a coleção crescente de soluções de prevenção de execução de dados (DEp, Data Execution prevention) e Detecção e resposta de ameaça no ponto final (ETDR, Endpoint Threat Detection and Response) Não promovemos produtos específicos neste relatório, mas você encontrará boas opções nesse espaço começando sua pesquisa com alguns de nossos colaboradores.

Detectar o C2 e a exfiltração de dadosColete e/ou compre feeds de indicadores de ameaças. por si sós, não são propriamente inteligência, mas certamente são úteis às operações de inteligência e monitoramento.

Monitore e filtre o tráfego de saída quanto a conexões suspeitas e à potencial exfiltração de dados para hosts remotos. A fim de reconhecer o “anormal”, você precisará estabelecer uma boa linha de base do que é “normal”. Esses indicadores que você coleta ou compra podem vir a calhar.

Monitore suas conexões de DNS, entre as melhores fontes de dados em sua organização. Compare-as com sua inteligência de ameaça e minere esses dados com frequência.

Parar o movimento lateral dentro da redeDepois de obter acesso, os invasores começarão a comprometer sistemas em sua rede. O ETDR, mencionado acima, pode ajudá-lo aqui também.

A autenticação por dois fatores ajudará a conter a disseminação e a reutilização incontestada das contas de usuário.

Mencionamos algumas noções básica de segmentação da rede, mas como fazê-la bem pode ser um desafio, vamos mencioná-la aqui novamente. Não a faça de uma só tacada desde o paciente zero até uma infestação completa.

Observe anomalias no comportamento dos usuários advindas das contas comprometidas.

ESpi

ONAG

EM

ELET

RôNi

CA




WEB


DA EMpRESA


ERROS DiVERSOSCRiM

EWARE


pAGAMENTO

ESpiONAGEM

ELETR ôNiCAATAQUES

DE DOSTUDO

O MAiS

ATAQUES DE NEgAÇãO DE SERVIÇO

Espera um segundo. Ataques de DoS? No relatório de violações de dados?

Sabendo que esses ataques são os primeiros que vêm à mente de muitas organizações – especialmente à luz os eventos do final de 2012 e 2013 – decidimos expandir o escopo do Relatório DBiR de modo a incluí-los. Coletamos um bom tanto de dados sobre o tópico de várias fontes, inclusive das equipes da Akamai e da Verizon que passaram muito tempo nas trincheiras, combatendo ataques de DDoS em 2013. poderíamos ter mudado o nome para Relatório de incidentes de Segurança da Verizon (VSiR, da sigla em inglês), mas a Microsoft já havia exigido os direitos sobre o título “SiR”26.

Uma nova tendência começou a se desenvolver em setembro de 2012. No passado, os ataques de DoS eram gerados principalmente de computadores domésticos comprometidos ou por participantes dispostos. pense no sistema “desktop dos seus

pais” – já sabe, aquele que você está sempre limpando quando faz uma visita na época das festas. Obviamente, esses sistemas, reservados em grande medida para usuários domésticos normais da internet, têm relativamente pouca largura de banda de DSL ou modems a cabo. Os invasores podiam então, valendo-se de seu botnet de zumbis de DoS, enviar comandos para ataques diretos a um alvo específico. Faça um avanço rápido até setembro de 2012 e você verá um cenário totalmente distinto, bem como um método diferente de criar um botnet melhor. Nessa situação, os invasores faziam a varredura em busca de websites e CMSs vulneráveis e os exploravam. Então colocavam scripts de ataques DoS específicos nesses sites. O principal script usado por esses invasores é uma versão personalizada de um kit russo conhecido como Brobot ou itsoknoproblembro. Então, qual é a diferença? Bem, para começar, esses zumbis de botnet não estão confinados aos gargalos da internet dos usuários de banda larga doméstica.

104 106 108 1010 104 106 108

.1

.2

.3

.1

.2

.3

.1

.2

.3

Dens

idad

eDe

nsid

ade

Dens

idad

e

média = 4,7Gbps

média = 7,0Gbps

média = 10,0Gbpsmédia = 7,8Mpps

média = 0,4Mpps

média = 2,6Mpps

2011bits por segundo



2011pacotes por segundo



Figura 65. Níveis de largura de banda e contagem de pacotes de ataques de negação de serviço 2011-2013

de um relanCe

Descrição Qualquer ataque cujo objetivo seja comprometer a disponibilidade de redes e sistemas. inclui tanto ataques no nível da rede quanto do aplicativo.

Principais setores

Finanças, Varejo, profissional, informação, público




A atração do DDoS em nosso conjunto de dados de 2013 foi a campanha do QCF contra o setor financeiro, que comprometeu CMSs vulneráveis para criar ataques com alta largura de banda a partir de centros de hospedagem. Os ataques de reflexão de DNS também se tornaram “grandes”, mas avistamentos do equivalente do DoS ao Homem das Neves (DDoS que sirvam de distração para encobrir outras atividades nefastas) continuam raros.

ATAQUES DE DOS


iNVA

SõES

A p

ONTO

S DE

VEN

DAS

ATAQ

UES

A

A pLi

CATi

VOS

NA

WEB

USO

iNDE

ViDO

DE

pRiV

iLÉG

iOS

OU p

OR

pESS

OAS

DE D

ENTR

O DA

EM

pRES

A

FURT

O E

pERD

A FÍ

SiCA

ERRO

S Di

VERS

OSCR

iMEW

ARE

ExTR

ATOR

ES

DE C

ARTõ

ES D

E pA

GAM

ENTO

ESpi

ONAG

EM

ELET

RôNi

CAAT

AQUE

S

DE D

OSTU

DO

O M

AiS

Estão em data centers hospedados/ na nuvem/ em nuvens privadas/ etc. com alta largura de banda. Os servidores também são otimizados para tráfego intenso. Junte esses dois e terá os ingredientes para o que os gamers poderiam chamar de um BFG do DoS. Ou, se seu negócio for música – “bota o volume no 11”. Ataques com alto número de pacotes e alta largura de banda. Em alguns dos ataques por Brobot do ano passado, vemos mais de 97 Gbps/100 Mpps. Esses foram alguns dos maiores ataques que nós (e provavelmente qualquer um) jamais testemunhamos.

Então exatamente o que estava por trás dessa nova onda de ataques de DoS? A resposta simples é os izz ad-Din al-Qassam Cyber Fighters (ou QCF para abreviar). O grupo surgiu pela primeira vez em setembro de 2012 com o objetivo declarado de usar ataques de DoS para causar estragos nas instituições financeiras dos Estados Unidos – parte de uma campanha que eles apelidaram de Operação Ababil. E foi exatamente isso que fizeram. por várias semanas próximo ao fim de 2012 e durante boa parte do primeiro semestre de 2013, o QCF lançou onda atrás de onda de ataques de DoS contra bancos estadunidenses usando seus poderosos canhões de íons do Brobot (pense em Hoth).

A pergunta que fica no ar é: por que o QCF estava tão determinado a travar uma campanha contra proeminentes instituições financeiras dos Estados Unidos? Se você acreditar na propaganda que o grupo postava regularmente no pastebin durante seus ataques, a resposta à pergunta do que os motivava é simples: ideologia. Como um disco riscado, o QCF afirmava repetidas vezes que atacaria os bancos dos EUA até que todas as formas de um vídeo altamente polêmico e depreciativo chamado “A inocência dos Muçulmanos” fosse removido do YouTube. Eles até criaram uma fórmula matemática para converter o número de “curtidas” que o vídeo recebeu em por quanto tempo a campanha iria continuar.

Embora esse fosse o show que o QCF montou para consumo público, circulavam teorias na comunidade de segurança de que a Operação Ababil não era mais do que uma fachada para invasores afiliados ao estado baseados no irã. Essas teorias criaram um dilema no VERiS quanto a como classificar a variedade de agente do QCF. Eles são verdadeiros hacktivistas querendo remover vídeos do YouTube ou são agentes de ameaça afiliados ao estado sondando os pontos fracos da infraestrutura financeira dos Estados Unidos por ordem do governo iraniano? infelizmente, a infraestrutura de comando e controle em várias camadas utilizada na criação do botnet torna incrivelmente difícil determinar com certeza a partir de fontes abertas que o irã é de fato o grande mago por trás da cortina verde e, por isso, acabamos optando pelo propósito publicamente declarado dos agentes e o atribuímos ao hacktivismo.

Embora seja verdade que não se pode ter completa certeza quando a o que motivou o QCF, as táticas usadas para conduzir os ataques do grupo são bastante conhecidas. O grupo não só usou ataques mais tradicionais, como inundações de UDp e SYN para obstruir a largura de banda do website visado e congestionar os recursos do servidor, mas também conduziu ataques de DoS no nível dos aplicativos. Nesses ataques lentos e de baixo nível, o QCF teria enviado várias solicitações GET em HTTpS de arquivos em pDF no site visado. Esses tipos de ataques são especialmente frustrantes: não requerem recursos significativos, pode ser difícil se proteger contra eles e podem ser incrivelmente eficazes. O uso de HTTpS é especialmente problemático para a atenuação, porque os pacotes são criptografados, o que dificulta para os defensores distinguir o tráfego de lixo do tráfego legítimo.

Falando de ataques DoS que não requerem um vasto botnet para serem devastadores, observamos outra tendência no centro das atenções recentemente: ataques de reflexão de DNS. Não tão desajeitados ou aleatórios quanto um botnet, são uma arma elegante para uma era mais civilizada. Você se lembra do maior ataque de DoS da história?27 Se não se lembra, permita-nos refrescar sua memória. Em março de 2013, a organização antisspam Spamhaus foi alvo de um ataque de DoS em massa e sustentado cujo pico alguns fornecedores de segurança alegam ter chegado a quase 300 Gbps de tráfego. A palavra-chave aqui é pico (e toda ênfase possível não é suficiente); a quantidade média de tráfego que chegou à Spamhaus durante o ataque ficou na faixa de 85-120 Gbps, o que ainda representa um bombardeio considerável. O método por trás da geração de um ataque dessa magnitude é a reflexão de DNS.

E como funciona? Normalmente, o invasor envia um punhado de consultas DNS para abrir os resolvedores DNS. O invasor forja o endereço de origem em suas solicitações para fazer com que pareçam originadas de seu alvo desejado. Os resolvedores abertos então enviam suas respostas tipicamente maiores para o endereço visado, que é rapidamente inundado com tráfego aparentemente legítimo. Daí a “reflexão”. De modo bastante semelhante aos ataques lentos e de baixo nível descritos acima, a reflexão de DNS não requer recursos de computação significativos por parte do invasor para produzir um resultado devastador.

A MATEMÁTICA DO DOSSe há alguma coisa que aprendemos com o ataque ao Spamhaus e outros como ele, foi a importância de compreender os números por trás dos ataques de DoS. Vejamos um exemplo. Digamos que tenha havido um ataque de 200 Gbps a 25 Mpps: 200 Gbps = 2,14 x 1011 bps ou por aí. Divida isso por 25.000.000 e vai dar cerca de 8.500 bits por pacote ou um pouco mais de 1.000 bytes por pacote, em média. isso indica que muitos dos pacotes estão próximo ao tamanho máximo de pacote que a maioria dos iSps roteia. Testemunhamos ataques com uma taxa de pacotes mais alta, mas nunca nada perto disso em largura de banda. Tanto os invasores quanto os defensores tendem a criar sensacionalismo com relação a ataques como este. Ambos têm motivos para inflá-los. Os invasores querem chamar a atenção para seus ataques e os defensores dirão, “Olha, foi tão grande que não havia como mantermos aquele site funcionando.” Ou, se for um fornecedor, “Veja quão potente é o nosso serviço. podemos deter todos os ataques!”

isso posto, os dados compilados pela nossa equipe de defesa contra DoS mostram um aumento no tamanho médio dos ataques com relação aos últimos três anos – conforme mostrado na Figura 65. Em 2011, o ataque médio envolveu 4,7 Gbps de largura de banda com uma taxa de pacotes de 411 Kpps. Avance até 2012 e essas médias saltam para 6,7 Gbps a 2,5 Mpps. Você não deverá se surpreender ao saber que em 2013 o ataque médio de DoS registrou 10,1 Gbps e próximo a 8,1 Mpps. Embora o QCF e seu poderoso arsenal provavelmente arquem com parte da culpa por esse aumento ano a ano, a crescente popularidade dos ataques de reflexão e o poder que geram são os principais culpados.

ATAQ

UES

DE

DOS




WEB


DA EMpRESA


ERROS DiVERSOSCRiM

EWARE


pAGAMENTO

ESpiONAGEM

ELETR ôNiCAATAQUES

DE DOSTUDO

O MAiS

Com exceção do aumento do número de ataques de reflexão de DNS e da conversão de servidores Web em bots de DoS de alta potência, pouca coisa mudou nos últimos anos. É claro que sempre há novos kits de ferramentas de DoS se infiltrando no submundo e novas ondas de ataques acontecendo, mas os princípios gerais permanecem os mesmos, assim como os alvos. Vimos muitos ataques direcionados para os setores financeiro, de varejo, serviços profissionais e público. Existe melhor maneira de infligir dor a um banco ou varejista do que ir atrás de seu website – algo crítico ao atendimento ao cliente? E embora realizar um ataque de DoS não seja tão difícil quanto parece, os resultados podem variar. para o invasor financeiramente limitado, é possível baixar ferramentas de fonte aberta, como o Low Orbit ion Cannon (LOiC), mas ele irá precisar que MUiTOS amigos façam o mesmo para que o ataque tenha uma chance de ser bem-sucedido. por outro lado, se tiver algum dinheiro para gastar, o invasor pode alugar um botnet DirtJumper ou Athena e esmurrar o alvo de sua preferência por menos de $10 dólares por hora. Um indivíduo mais empreendedor (e voltado para o desenvolvimento) pode até chegar a programar seu próprio script de DoS e arrebanhar um botnet. E pode confiar que esses três cenários se desenrolam todos os dias no submundo do crime cibernético.

Ouvimos muitos clientes e colegas expressarem uma preocupação com relação aos invasores usarem ataques de DoS como uma “cortina de fumaça” para ocultar transferências fraudulentas na câmara de compensação automatizada (ACH), entre outras atividades ilícitas. Embora haja relatórios esporádicos desse fato, as provas concretas que conseguimos coletar não indicam que a incidência ou o impacto justifiquem o nível de ansiedade. Às vezes, na brincadeira, nos referimos a isso como o “Homem da Neve do DoS”, não porque não acreditemos que seja real, mas porque estamos intrigados e queremos capturá-lo em filme. A coleta de dados para o Relatório DBiR 2015 já está em andamento, e convidamos qualquer um que tenha filmagens tremidas com visão noturna disso a pôr um fim nas nossas dúvidas.

CONTROLES RECOMENDADOSAgora que já falamos detalhadamente sobre o problema, é uma boa hora para discutirmos o que pode ser feito para reduzir ou até mesmo prevenir ataques de DoS contra sua organização.

Comecemos pelo básicoServidores/serviços devem ser sempre desligados quando não estiverem em uso, ter os patches aplicados quando estiverem em uso e estar disponíveis somente para as pessoas que precisam deles, especialmente no caso de ataques de reflexão.

Isolar os principais ativosSegregue os principais ips/servidores do espaço ip que não é essencial. Qualquer espaço ip que não esteja sendo ativamente usado para os principais servidores deve ser anunciado em um circuito separado. pode até ser uma boa ideia comprar um pequeno circuito de backup e anunciar o espaço ip. Dessa forma, se for atacado, o ataque não irá comprometer suas instalações e servidores principais.

Ficar confortável Não hesite em usar o serviço anti-DDoS de seu provedor. Você deve poder testá-lo a cada trimestre sem cobrança. Certifique-se de que suas principais equipes de operações irão reagir em tempo hábil caso ocorra de fato um ataque. Mesmo que seu provedor ofereça a “mitigação automática”, esse não pode ser um serviço do tipo que se possa instalar e esquecer.

Ter um plano estabelecidoO que você pretende fazer? A quem você vai recorrer se seu anti-DDoS principal não funcionar? Você sabe o que fazer se um de seus circuitos ou servidores deixar de funcionar. Que diferença há entre um caso e outro?

Fazer os cálculosSaiba que a maior parte dos ataques tem a ver com os índices de FUD (Medo, incerteza e dúvida, da sigla em inglês) citados na mídia noticiosa. Eles estão acima da capacidade de seu servidor SSL ou talvez equivalham a algumas vezes a taxa de sua linha de circuito de ingresso. Mas os invasores também não têm recursos infinitos – o maior ataque será logo acima daquilo com que você consegue lidar.

Perguntar sobre a capacidadeEntenda que todo iSp terá que, em algum ponto, proteger sua rede geral em detrimento do tráfego específico de sua empresa. pergunte ao seu provedor de anti-DDoS sobre sua capacidade de troca de tráfego (peering) upstream. Se eles não conseguirem receber o tráfego (bom e ruim) independentemente da capacidade de mitigação que tenham, seu tráfego bom será abandonado na borda externa da rede do iSp e suas filas de chamadas irão se encher de clientes insatisfeitos.

ATAQUES DE DOS


iNVA

SõES

A p

ONTO

S DE

VEN

DAS

ATAQ

UES

A

A pLi

CATi

VOS

NA

WEB

USO

iNDE

ViDO

DE

pRiV

iLÉG

iOS

OU p

OR

pESS

OAS

DE D

ENTR

O DA

EM

pRES

A

FURT

O E

pERD

A FÍ

SiCA

ERRO

S Di

VERS

OSCR

iMEW

ARE

ExTR

ATOR

ES

DE C

ARTõ

ES D

E pA

GAM

ENTO

ESpi

ONAG

EM

ELET

RôNi

CAAT

AQUE

S

DE D

OSTU

DO

O M

AiS

TUDO O MAIS

“Então, porque não criar mais dois padrões?”, você pode perguntar. Excelente pergunta. permita-nos explicar.

primeiro, vamos descrever o que vemos aqui entre esses 7.269 incidentes. Os agentes são 99,9% externos. “Ação de hacker” genérica (variedade desconhecida), phishing e malware de quebra de navegador lideram as ações de ameaça conhecidas, com tudo o mais abaixo da linha do 1%. Três quartos de todos os incidentes envolveram servidores Web comprometidos; o resto era desconhecido.

“Então, por que vocês dizem que são espécies relacionadas?”, você pode contra-argumentar. Um pouco de investigação dos dados revela o fato de que esses incidentes representam, na verdade, ataques em massa denunciados a um CSiRT. Em um deles, milhares de servidores em instalações de hospedagem foram comprometidos e usados para hospedar sites de phishing. Outro envolveu centenas de servidores sequestrados para hospedar malware para explorações do tipo drive-by. Nada mais foi relatado sobre o método de comprometimento nem sobre as campanhas de phishing/malware propriamente ditas.

Figura 66. Agrupamento hierárquico de enumerações do VERIS para divulgações de dados confirmadas que ficam fora dos principais padrões de incidentes

20 10 0ativo.ativos.variedade.S - Banco de dados (9)

ativo.ativos.variedade.S - Aplicativo na Web (10)

agente.externo.variedade.Não afiliado (7)

atributo.confidencialidade.dados.variedade.Pessoal (5)

atributo.confidencialidade.dados.variedade.Segredos (12)

ativo.ativos.variedade.P − Finanças (5)

atributo.integridade.variedade.Transação fraudulenta (5)

atributo.confidencialidade.dados.variedade.Pagamento (11)

agente.externo.motivação.Financeira (22)

agente.externo.variedade.Crime organizado (9)

ação.social.variedade.Invenção de pretexto (12)

atributo.integridade.variedade.Alteração de comportamento (17)

atributo.confidencialidade.dados.variedade.Banco (9)

ação.social.vetor.Telefone (11)

ativo.ativos.variedade.P - Call center (9)

ativo.ativos.variedade.S - Arquivo (7)

atributo.integridade.variedade.Instalação de software (5)

atributo.integridade.variedade.Apropriação indébita (5)

ação.ação de hacker.variedade.Força bruta (5)

ação.ação de hacker.variedade.Uso de credenciais furtadas (18)

atributo.confidencialidade.dados.variedade.Credenciais (22)

de um relanCe

Descrição Este último “padrão” na verdade não é um padrão. Em vez disso, ele abrange todos os incidentes que não se enquadram nos confins ordenados dos outros padrões. isso posto, seria de se imaginar que você jamais encontraria um bando mais desprezível de escória e vilanagem do que este sortimento aleatório de rejeitados. Mas o que de fato encontramos não se parece nem de longe com a canalhada da cantina de Mos Eisley. O grupo é dominado quase inteiramente por duas espécies de incidentes relacionados.

TUDO

O

MAi

S




WEB


DA EMpRESA


ERROS DiVERSOSCRiM

EWARE


pAGAMENTO

ESpiONAGEM

ELETR ôNiCAATAQUES

DE DOSTUDO

O MAiS

Em suma, não muito informativo – e aí reside o problema. Logo se torna aparente que esses incidentes não são algo totalmente diferente, senão simplesmente lhes faltam detalhes suficientes para que possam ser mais bem classificados.

Uma visão ligeiramente mais interessante é encontrada pela restrição ao subconjunto que envolveu a divulgação confirmada de dados (81 incidentes).28 Usaremos o dendrograma da Figura 66 para sair à caça de padrões. Nós nos damos conta de que dendrogramas não são as visualizações inerentemente mais intuitivas29, mas a premissa básica é bastante direta e eles atendem bem a esse propósito.

As palavras no dendrograma são enumerações do VERiS. As enumerações estão organizadas em agrupamentos. Os agrupamentos estão conectados – direta ou indiretamente – por ramificações de níveis variados. Múltiplas enumerações no mesmo agrupamento ou ramificação de baixo nível (que se fundem mais à direita) significa um relacionamento próximo e diferenciado (ou seja, eles comumente aparecem juntos nos incidentes). Enumerações e agrupamentos separados por ramificações mais altas significam relacionamentos fracos ou pouco frequentes.

Quando aplicado à Figura 66, isso resulta em um agrupamento na parte inferior, que engloba credenciais furtadas e o uso dessas credenciais para obter acesso não autorizado. Agrupamentos

de nível mais alto (mais fracos/menos frequentes) na mesma ramificação sugerem que esse emparelhamento às vezes é visto em conjunção com ataques de força bruta, instalação de software não autorizado (malware) e apropriação indébita (uso ilegítimo/sequestro) de servidores de arquivo. isso não é exclusivo, veja bem, mas é um padrão reconhecido pelo algoritmo.

Acima dele, vemos um agrupamento fortemente relacionado que vincula engenharia social baseada em telefone por funcionários de call centers. incluir os agrupamentos próximos a todo esse segmento do meio acrescenta mais contexto: criminosos organizados com motivação financeira usando pretextos para furtar informações de pagamento de call centers bancários e conduzir transações fraudulentas.

O furto de segredos comerciais meio que se evidencia, como o dígito extra de um homem com seis dedos (sim, aquele que matou seu pai e deve se preparar para morrer – de novo A princesa prometida); provavelmente porque a fonte sabia o que foi tomado, mas não como foi tomado nem por quem.

Os clusters mais em cima parecem ser invasões genéricas a servidores Web e bancos de dados para furtar informações pessoais.

poderíamos nos aprofundar nessa toca de coelho, mas isto pelo menos nos dá uma ideia do que não se qualificou para os outros padrões. De qualquer forma, você já deve estar com o dendrograma pelas tampas a esta altura.

VOCê E EU SAINDO PARA UM PhIShINg NO ESCURO

No relatório do ano passado, examinamos dados do ThreatSim e chegamos à conclusão devastadora de que o phishing é uma maneira eficaz de obter acesso a uma organização. Ok, talvez isso não seja nenhuma novidade, mas a revelação de que uma campanha de phishing com apenas dez mensagens tem uma chance de mais de 90% de conseguir um clique foi surpreendente para muitos de nós.

Este ano, demos uma olhada nos dados do ThreatSim novamente e reconfirmamos imediatamente as descobertas do ano passado; que mesmo uma campanha composta por um pequeno número de mensagens de email tem uma alta probabilidade de sucesso. No entanto, este ano concluímos que a taxa de sucesso geral de uma mensagem de phishing foi ligeiramente mais baixa, de 18%. O motivo pode ser a maior conscientização quanto ao phishing, ou apenas uma variação natural nas amostras.

Também analisamos a taxa de sucesso de diferentes táticas de phishing. É mais provável que o usuário visite um link do que que execute um anexo? É mais provável que ele clique em um anexo do que que digite suas senhas em um formulário na Web? Em geral, parece que cerca de 8% dos usuários clicam em um anexo e cerca de 8% preenchem um formulário na Web. E, embora a maior parte dos usuários seja cética quanto a clicar em um anexo (ainda que não cética o suficiente), ficam menos temerosos quanto a visitar um link em um email. 18% dos usuários visitam o link em um email de phishing. Usuários não familiarizados com malware do tipo drive-by podem pensar que simplesmente visitar um link não irá resultar em comprometimento.

Figura 67.Taxas de sucesso de exercícios de phishing

Formulário/Entrada de dados

Drive-by

Clique em anexo 9%

18%

9%

Figura 68.Taxas de sucesso de phishing

0 10 3020 40

10%

20%

30%

40%

50%

60%

70%

50%80%

90%

100%

Ação de usuário(2014)

Infecções do tipo drive-by (2014)

Geral(2013)

TUDO O M

AiS


CONCLUSÕES E RESUMO DAS RECOMENDAÇÕES

É fascinante estudar o que deu errado. Mas o verdadeiro propósito desta pesquisa é ajudar a reduzir o risco de que essas coisas ruins aconteçam com você. No final das contas, fazemos este trabalho em suporte à gestão de risco baseada em evidência. Acreditamos que a perspectiva de estudar padrões de incidentes agrupados possibilita estratégias mais adaptadas a reduzir o risco e, no final, fizemos duas coisas específicas este ano. primeiro, mapeamos setores e padrões de ataques para ajudar a responder à pergunta, “Quais ameaças tenho mais probabilidade de enfrentar em meu setor?” Segundo, fizemos recomendações específicas para cada padrão, incluindo controles prioritários entre os Controles de Segurança Crítica (CSCs), com base em nossa colaboração com o Council on Cybersecurity (Conselho de Cibersegurança). isso inclui o mapeamento entre padrões e controles.

para concluir, vamos ligar os pontos de mais uma maneira. por termos usado os dados para mapear setores a padrões de incidentes e padrões a controles, nos demos conta de que também temos uma base decente para mapear os setores diretamente às recomendações de controles. A Figura 69 na próxima página mostra quais controles consideramos essenciais aos padrões de ameaça que cada setor tende a enfrentar. E pondera cada controle de acordo com a frequência com que vemos os padrões correspondentes no setor em questão. Essencialmente, fizemos um punhado de multiplicações para poupar trabalho a você.

Assim, por exemplo, na coluna do setor público, vemos que CSC 17 se destaca como uma prioridade. É claro que alguém poderia ter dito antes, “intuitivamente, a prevenção contra perda de dados deve, provavelmente, ser importante para o setor público.” Mas agora este relatório coloca alguns dados concretos por trás disso. Uso indevido, furto/perda e erro constituem uma vasta maioria dos padrões de ataque enfrentados pelo setor público e a prevenção da perda de dados ajuda a lidar com todos eles. Os outros 19 CSCs são ótimos (e certamente não estamos dizendo que ninguém deva ignorá-los), mas esta perspectiva é um argumento sólido para assegurar-se de que o setor dê ao CSC 17 o foco e os recursos que merece, especificamente aos subcontroles que abrangem a criptografia total do disco (17.3) e a detecção de informações indevidamente publicadas (17.6). Encare isso como evidência que pode ajudar a responder à questão “Com base no ponto em que meu setor se encontra agora (que reflete os controles já estabelecidos e as ameaças que enfrenta com frequência), onde devemos concentrar nosso foco neste momento?”

É verdade que um elemento disso é subjetivo, já que nós e os especialistas do Conselho decidimos quais controles seriam os melhores para cada padrão de ameaça. Mas baseamos essas decisões em cadeias de eventos observadas em nosso conjunto de dados. E a ponderação que fizemos se baseia firmemente nos dados de frequência que temos sobre os padrões e os setores. Assim, embora pequenas diferenças nesses números provavelmente não sejam muito significativas, acreditamos que existe um argumento sólido em prol de dar uma boa olhada nos controles que se destacaram.

Como sempre, esperamos que você considere o relatório deste ano valioso e ficamos ansiosos por ouvir seu feedback. Que a força esteja com você e divirta-se atacando o castelo (ainda a princesa prometida)!


COUNCIL ON CyBERSECURITyO Council on CyberSecurity (Conselho de Cibersegurança) foi estabelecido em 2013 como uma organização independente especializada, sem fins lucrativos e com um escopo global, comprometida com a segurança de uma internet aberta. O Conselho está comprometido com o desenvolvimento, suporte e adoção contínuos dos Controles de Segurança Crítica, com elevar as competências da força de trabalho de cibersegurança e com desenvolver políticas que levem a melhorias mensuráveis em nossa capacidade de operar de maneira segura, protegida e confiável no espaço eletrônico. para obter informações adicionais, visite o site do Conselho. www.counciloncybersecurity.org





http://www.counciloncybersecurity.org

Figura 69. Controles de segurança críticos mapeados para os padrões de incidentes. Com base nas recomendações fornecidas neste relatório.

Controles de segurança críticos (sans institute)

inva

sões

a pD

V

Ataq

ues a

ap

licat

ivos d

a W

ebUs

o in

devi

do

por p

esso

as

de d

entr

o da

em

pres

a

Furt

o/pe

rda

física

Erro

sdi

vers

os

Crim

ewar

e

Extr

ator

es d

e ca

rtõe

s

Espi

onag

em

elet

rôni

ca

Ataq

ues

de D

oS

inventário de software 2,4 ∑ ∑

Configurações padrão3,1 ∑3,2 ∑ ∑ ∑3,8 ∑

Defesas contra malware5,1 ∑ ∑ ∑5,2 ∑ ∑ ∑5,6 ∑ ∑

Desenvolvimento seguro6,4 ∑6,7 ∑

6,11 ∑Backups 8,1 ∑

pessoal qualificado9,3 ∑9,4 ∑

Acesso restrito11,2 ∑11,5 ∑11,6 ∑

Administração limitada

12,1 ∑ ∑12,2 ∑12,3 ∑12,4 ∑12,5 ∑

Defesa de fronteiras

13,1 ∑ ∑13,7 ∑ ∑ ∑ ∑

13,10 ∑13,14 ∑

Registros de auditoria 14,5 ∑ ∑

Gestão de identidade16,1 ∑

16,12 ∑16,13 ∑

prevenção de perda de dados17,1 ∑17,6 ∑ ∑17,9 ∑ ∑

Resposta a incidentes18,1 ∑18,2 ∑18,3 ∑

Segmentação da rede 19,4 ∑ ∑

para saber mais sobre os Controles de segurança críticos do SANS institute, visite: http://www.sans.org/critical-security-controls/


http://www.sans.org/critical-security-controls/control/2




































Figura 70. Priorização dos controles de segurança crítica por setor. Com base na frequência dos padrões de incidentes em cada setor e nas recomendações para cada padrão apresentado neste relatório. O sombreado é relativo a cada setor.

Controles de segurança críticos (sans institute)

Hote

laria

[72]

Adm

inis

trat

ivo

[56]

Cons

truç

ão [2

3]

Educ

ação

[61]

Entr

eten

imen

to [7

1]

Fina

nças

[52]

Saúd

e [6

2]

info

rmaç

ão [5

1]

Gest

ão [5

5]

Man

ufat

ura

[31,

32,3

3]

Min

eraç

ão [2

1]

Outr

os [8

1]

prof

issi

onai

s lib

erai

s [54

]

públ

ico

[92]

imóv

eis [

53]

Vare

jo [4

4,45

]

Com

érci

o [4

2]

Tran

spor

te [4

8,49

]

Serv

iços

púb

licos

[22]

inventário de software 2,4

Configurações padrão

3,1

3,2

3,8

Defesas contra malware

5,1

5,2

5,6

Desenvolvimento seguro

6,4

6,7

6,11

Backups 8,1

pessoal qualificado9,3

9,4

Acesso restrito11,2

11,5

11,6

Administração limitada

12,1

12,2

12,3

12,4

12,5

Defesa de fronteiras

13,1

13,7

13,10

13,14

Registros de auditoria 14,5

Gestão de identidade

16,1

16,12

16,13

prevenção de perda de dados

17,1

17,6

17,9

Resposta a incidentes

18,1

18,2

18,3

Segmentação da rede 19,4


para saber mais sobre os Controles de segurança críticos do SANS institute, visite: http://www.sans.org/critical-security-controls/






























































http://www.sans.org/critical-security-controls/

APêNDICE A: meTodologia

Com base no feedback, uma das coisas que os leitores mais valorizam com relação a este relatório é o nível de rigor e integridade que empregamos ao coletarmos, analisarmos e apresentarmos os dados. Saber que nossos leitores se importam com essas coisas e consomem essas informações com um olho clínico ajuda a nos manter honestos. Detalhar nossos métodos é uma parte importante da honestidade.

Nossa metodologia geral permanece intacta e em grande medida inalterada em relação aos anos anteriores. Com 50 organizações contribuindo com dados este ano, não houve apenas um meio de coleta e registro dos dados. Em vez disso, empregamos diferentes métodos para reunir e agregar os dados produzidos por uma variedade de abordagens por nossos colaboradores.

Depois de coletados, todos os incidentes incluídos neste relatório foram revisados individualmente e convertidos (se necessário) para a estrutura do VERiS para que se pudesse criar um conjunto de dados agregado anônimo em comum. Mas o método de coleta e as técnicas de conversão diferiram entre os colaboradores. Em geral, três métodos básicos (explicados a seguir) foram usados para tanto:

1) registro direto pela Verizon por meio do VERiS

2) registro direto pelos colaboradores por meio do VERiS

3) recodificação com o VERiS do esquema existente de um colaborador

Todos os colaboradores receberam instruções de omitir quaisquer informações que pudessem identificar as organizações ou indivíduos envolvidos, visto que tais detalhes não são necessários à criação do Relatório DBiR.

Compartilhar e publicar informações sobre incidentes não é fácil, e aplaudimos a disposição e o trabalho de todos esses colaboradores para tornar este relatório possível. Valorizamos sinceramente isso.

1. METODOLOgIA DE COLETA DE DADOS DA VERIZONA metodologia subjacente que usamos permanece inalterada em relação aos anos anteriores. Todos os resultados se baseiam em evidência de primeira mão coletada durante peritagens jurídicas externas pagas e operações de inteligência relacionadas que conduzimos entre 2004 e 2013. O conjunto de casos de 2013 é o foco analítico principal do relatório, mas há referências a toda a coletânea de dados em todo o documento. Quando uma investigação é concluída, nossos analistas usam evidência de caso, relatórios e entrevistas para criar um registro no VERiS do incidente ou incidentes. O registro é então revisado e validado por outros membros da equipe para garantir que os dados sejam confiáveis e consistentes.

2. METODOLOgIA PARA COLABORADORES QUE USAM O VERISOs colaboradores que se valeram deste método forneceram dados de incidentes à nossa equipe no formato do VERiS. por exemplo, os agentes do Serviço Secreto dos Estados Unidos (USSS) usaram um aplicativo interno baseado no VERiS para registrar detalhes pertinentes aos casos. Várias outras organizações registraram incidentes diretamente em um aplicativo que criamos especificamente para essa finalidade.30 para alguns colaboradores, capturamos os pontos de dados necessários por meio de entrevistas e requisitamos informações adicionais, conforme necessário. Seja qual fosse o processo exato de registro dos dados, esses colaboradores se valeram de observações investigativas, relatórios fornecidos pela vítima ou por outras firmas forenses, bem como sua própria experiência, obtida ao lidar com o incidente.

3. METODOLOgIA PARA COLABORADORES QUE NãO USAM O VERISAlguns colaboradores já coletam e armazenam dados de incidentes usando sua própria estrutura. Um bom exemplo disso é o CERT insider Threat Database31 (Banco de dados de ameaças por pessoas de dentro da organização do CERT), compilado pelo CERT insider Threat Center no Software Engineering institute (instituto de engenharia de software) da Carnegie Mellon University. No caso desta e de outras fontes de dados semelhantes, criamos uma conversão entre o esquema original e o VERiS32 e recodificamos os incidentes em registros válidos do VERiS para importação para o conjunto de dados agregados. Trabalhamos com os colaboradores para solucionar ambiguidades ou outros desafios à qualidade dos dados durante esse processo de conversão e validação.


http://www.cert.org/blogs/insider-threat/post.cfm?EntryID=76

http://www.cert.org/blogs/insider-threat/post.cfm?EntryID=76

INCIDENTES DE SEgURANÇA VERSUS DIVULgAÇãO DE DADOSTradicionalmente, o Relatório DBiR concentrou seu foco exclusivamente em eventos de segurança que resultaram na divulgação confirmada de dados33, em vez de concentrar-se no espectro mais amplo de todos os incidentes de segurança.34 No Relatório DBiR 2013, nós nos desviamos ligeiramente dessa tradição coletando e fazendo referência a um grande número de incidentes de segurança confirmados. O Relatório DBiR 2014 abandona completamente esse formato para ganhar uma visão mais ampla. Optamos por incluir esses incidentes para capturar eventos como ataques de negação de serviço, comprometimentos de sistemas sem perda de dados e uma categoria muito grande de incidentes nos quais a perda de dados foi simplesmente desconhecida. Embora achemos que essa mudança seja para melhor (e esperamos que você concorde conosco), isso não significa que nosso relatório sobre violações de dados irá incluir mais do que violações de dados.

UMA PALAVRA SOBRE O VIéS DAS AMOSTRASpor anos, a ciência e os estatísticos debateram a relação entre o fumo e o câncer de pulmão. Durante as décadas de 1940 e 1950, casos de carcinoma epidermoide do pulmão estavam em ascensão e os especialistas da área médica buscaram entender o motivo. Estudos individuais a partir dos anos 1950 estabeleceram uma correlação entre o fumo e o câncer de pulmão, mas cada um deles tinha falhas estatísticas em suas metodologias. Essas falhas não eram erros ou enganos de maneira alguma; as falhas estavam presentes porque o mundo real apresentava dados imperfeitos e os pesquisadores faziam o melhor que podiam para compensar a imperfeição dos dados. R. A. Fisher (um estatístico famoso e renomado, que era mostrado com frequência fumando seu cachimbo) era um franco opositor a esses estudos e investia esforços consideráveis em dissecar e refutar suas técnicas e conclusões. Suas crenças pessoais eram expressas por meio de sua competência em estatística a tal ponto que ele chegava a acusar os pesquisadores de manipular seus dados.

por fim, em 1959, Jerome Cornfield e vários outros pesquisadores recuaram um passo a fim de conduzir uma meta-análise35, que é a análise feita pela observação da combinação de vários outros estudos (uma abordagem que Nate Silver aplicaria às eleições presidenciais de 2012 dos Estados Unidos com grande sucesso). Eles mostraram como os resultados agregados de todos os outros estudos forneciam uma evidência incontestável que vinculava o fumo ao câncer de pulmão. Ainda que cada estudo tivesse falhas de alguma maneira, eram imperfeitos de maneiras diferentes, e o agregado apresentava consistência suficiente para refutar qualquer incerteza. Levaria anos até que isso se infundisse na cultura, mas a meta-análise de Cornfield foi o ponto crucial para o reconhecimento dos perigos do fumo para a saúde.

Embora acreditemos que muitos dos achados apresentados neste relatório se prestem à generalização, vieses e falhas metodológicas certamente estão presentes. No entanto, com 50 organizações colaboradoras este ano, estamos agregando os diferentes métodos de coleta, prioridades e metas de nossos parceiros. Esperamos que essa agregação ajude a minimizar a influência de quaisquer deficiências individuais em cada uma das amostras e que o todo da pesquisa seja maior do que a soma de suas partes.


APêNDICE B: Violações de dados e furTo de idenTidade, uma QuesTão inTriCadaPELO IDENTITy ThEFT RESOURCE CENTER (ITRC)

Nós concentramos nosso foco principalmente no lado corporativo das violações de dados neste relatório, mas claramente existe uma sobreposição com o mundo dos consumidores. porque esse mundo é muito primordial para o iTRC, pensamos que seria apropriado solicitar a eles que contribuíssem com sua perspectiva sobre um importante aspecto das violações: o furto de identidade do consumidor.

Então você recebe uma carta de notificação de violação de dados. isso significa que agora você é vítima do furto de identidade? Não necessariamente (ainda).

A relação entre violações de dados e furto de identidade é mais complicada do que você imagina. É mais intricada do que essas duas questões estarem relacionadas ou até mesmo correlacionadas. Existem estudos que apregoam a relação entre receber uma notificação de violação de dados e tornar-se vítima do furto de identidade, mas o iTRC acredita que isso é simplificar demais a questão.

TIPOS DE INFORMAÇÕESViolações de dados estão se tornando mais corriqueiras e compreendidas pelo público em geral, devido, em parte, à publicidade ao redor dos muitos incidentes de alto padrão que ocorreram no último ano. Como resultado, os consumidores estão enfrentando o fato de que suas informações de identificação pessoal (iip) estão sendo deixadas desprotegidas por aqueles a quem foram confiadas. Senhas, nomes de usuário, emails, informações de cartões de crédito/débito e contas financeiras e números de previdência social estão sendo comprometidas a um ritmo vertiginoso, colocando em risco as identidades de consumidores em todo o país.

A percepção da importância das iip abrange um continuum de importância e valor – bem como de risco. Essa questão da “percepção” se aplica a todos os envolvidos em um cenário de violação de dados – o consumidor, a entidade comercial e, logicamente, o “ladrão de dados”. Hesito em chamar o criminoso de “ladrão de identidade”, porque ainda desconhecemos sua motivação subjacente para o furto das iip.

IIP MENOS SIgILOSAS – IMPORTâNCIA E VALOR Com o tempo, os consumidores foram ficando cada vez mais conscientizados quanto a violações que expõem senhas, nomes de usuário e emails. À primeira vista, essas informações de iip menos sigilosas parecem não ter importância e/ou valor e, portanto, representam um risco relativamente baixo de prejuízo. Os consumidores usam essas informações entra dia, sai dia, mais provavelmente sem pensar sobre seu valor ou sobre as medidas instauradas para mantê-las seguras e confidenciais. para as empresas, a exposição desses dados normalmente nem aciona a necessidade de emitir uma notificação de violação.

Mas, existe o risco de furto de identidade? isso depende da engenhosidade e do nível de motivação do ladrão de dados. Embora seja verdade que os ladrões possam usar essas informações que não revelam a identidade do usuário para obter outras informações suas por engenharia social, isso requer algum grau de esforço.

IIP SIgILOSAS – IMPORTâNCIA E VALOR A maior parte dos consumidores identifica prontamente informações de cartões de crédito/débito e de contas financeiras como sendo importantes. Quando se trata dessas informações financeiras, eles entendem a necessidade de protegê-las – existem riscos associados ao seu comprometimento. Uma grande preocupação é quem é responsável por quaisquer perdas financeiras ou despesas incorridas como resultado dessa ocorrência. Muitos consumidores temem que a exposição de tais informações possa resultar em furto de identidade; sem se dar conta de que informações adicionais (veja Número de previdência Social, a seguir) são necessárias para se chegar a esse nível. Normalmente, o uso de informações financeiras é limitado a diversas formas de fraude financeira ou de fraude de contas existentes.

O valor das informações de contas financeiras pode ser alto, mas com frequência tem curta duração se o consumidor toma medidas e fecha as contas rapidamente. isso é facilitado por empresas que fazem notificações de violação prontamente e alertam o consumidor quanto à necessidade de tomar medidas proativas.


Números de previdência Social – o padrão ouro de todas as iip sigilosas – representam a informação extra que destranca inúmeras portas. Com esse dado em mãos, os ladrões agora podem obter acesso a novo crédito e a outros benefícios em nome da vítima – linhas de crédito, benefícios governamentais, restituição de impostos, empregos, serviços públicos, crédito imobiliário e até mesmo recursos médicos. O ladrão de dados é o que mais aprecia o valor dessa informação.

As empresas estadunidenses reconhecem a importância de proteger essas informações sigilosas porque sabem que a exposição desses dados acionará leis de notificação de violação em 46 estados do país. Existe um valor em absoluto para a empresa em implementar melhores práticas e protocolos para garantir a segurança dessas informações, já que, caso contrário, ela enfrentará os custos subsequentes de mitigação de uma violação.

IMPACTO PARA A VíTIMA – CUSTO PESSOAL (CUSTOS NãO FINANCEIROS)E embora nem todos os consumidores que recebem uma notificação de violação de dados irão se tornar vítimas do furto de identidade, muitos terão que enfrentar a necessidade de contatar agências de relatórios de crédito, instituições financeiras, provedores de seguro de saúde e possivelmente órgãos de segurança pública para denunciar que suas iip foram comprometidas. instituir Alertas de fraude ou Congelamentos de crédito, cancelar cartões de crédito e contas financeiras, alterar senhas e piNs e fechar ou alterar contas de email são apenas algumas das medidas possíveis que podem ser necessárias para minimizar o risco futuro de furto de identidade. isso posto, é pena para aqueles que não recebem uma carta de notificação de violação, já que não ficam sabendo que suas informações foram comprometidas.

Instituir Alertas de fraude ou Congelamentos de crédito, cancelar cartões de crédito e contas financeiras, alterar senhas e PINs e fechar ou alterar contas de email são apenas algumas das medidas possíveis que podem ser necessárias para minimizar o risco futuro de furto de identidade.

Muitas dessas medidas prejudicam pessoalmente os consumidores que, com frequência, não têm nenhuma ideia quanto a que providências devem tomar – mesmo quando isso é esclarecido na carta de notificação de violação ou no site da empresa. Tudo o que eles sabem é que estão muito furiosos, frustrados e confusos. Estão, com frequência, em um estado emocional e ansioso. Estão tentando entender quem é o responsável por quaisquer perdas financeiras. Quanto tempo vai levar para fazer as chamadas necessárias? para quem devem ligar? Qual é o número? por que a linha está sempre ocupada? Você pode ligar para mim? Solicitar um relatório de crédito pode afetar minha pontuação de crédito? Como a empresa pôde deixar uma coisa como essa acontecer?

COMO ENTENDER OS TIPOS DE IIP E A NECESSIDADE DE TOMADA DE PROVIDêNCIASDependendo do tipo de dado pessoal comprometido (sigiloso ou menos sigiloso) em qualquer incidente de violação de dados específico, muitos dos riscos associados para o consumidor dependerão de quão rapidamente ele responde à notificação de violação. Esse é o motivo pelo qual enviar a notificação em tempo hábil para os consumidores tem uma importância considerável. Legislação à parte, é melhor prevenir do que remediar. Um consumidor/cliente/funcionário/aluno ciente pode tomar medidas proativas para minimizar o risco de qualquer dano potencial.

Muitos dos riscos associados para o consumidor dependerão de quão rapidamente ele responde à notificação de violação.

Tendo dito isso, é extremamente importante para os consumidores entender as providências que podem tomar para manter suas informações tão privadas quanto possível.

RECOMENDAÇÕES PARA CONSUMIDORES• Acima de tudo, nunca leve seu cartão da previdência Social com você.• Elabore senhas de alta segurança – Não seja como os milhões de

outros que usam “12345678” ou “password”. Mesmo quando o hash é aplicado, essas senhas podem ser facilmente decifradas pelos ladrões de dados36.

• Não seja sociável demais na mídia social. Fornecer informações demais nesses locais tão públicos proporciona aos ladrões de dados informações suficientes para aplicarem o phishing às suas custas. Mesmo não sendo a maior celebridade da cidade, você pode ser mais popular do que qualquer outro na lista do ladrão.

• Retalhe documentos sigilosos – o que você não destruir, tranque em algum lugar seguro.

• Monitore extratos financeiros e fique de olho quanto a quaisquer transações fraudulentas.

• Faça todo o esforço possível para proteger suas informações médicas confidenciais. Minimize o número de vezes que as fornece a consultórios médicos. pergunte quem pode acessá-las, se serão criptografadas e se eles tomam providências para armazená-las com segurança. Seja você mesmo o cão de guarda de suas informações médicas confidenciais.


APêNDICE C: lisTa de ColaboradoresCSIRTS• CERT insider Threat Center• CERT polska/NASK• CERT-EU European Union• CERT.pT• Computer Emergency Response team of Ukraine (CERT-UA)• Computer incident Response Center Luxembourg (CiRCL),

National CERT, Luxembourg• CyberSecurity Malaysia, um órgão do Ministério da Ciência,

Tecnologia e inovação (MOSTi, da sigla em inglês)• industrial Control Systems Cyber Emergency Response Team

(iCS-CERT)• irish Reporting and information Security Service (iRiSS-CERT)• OpenCERT Canada• US Computer Emergency Readiness Team (US-CERT)

CyBER CENTERS• Centre for Cyber Security, Dinamarca • Council on CyberSecurity• Defense Security Service (DSS)• European Cyber Crime Center (EC3)• National Cybersecurity and integration Center (NCCiC)• Netherlands National Cyber Security Centre (NCSC-NL)

PROVEDORES DE DADOS FORENSES• Deloitte and Touche LLp• G-C partners, LLC• Guidance Software• S21sec• Verizon RiSK Team

PROVEDORES DE PRODUTOS E SERVIÇOS PARA SEgURANÇA DA INFORMAÇãO• Akamai• Centripetal Networks, inc.• FireEye• Kaspersky Lab• Malicious Streams• McAfee, parte da intel Security• ThreatGRiD, inc.• ThreatSim• Verizon DoS Defense• WhiteHat Security

ISACS• Center for internet Security (MS-iSAC)• Electricity Sector information Sharing and Analysis Center

(ES-iSAC)• Financial Services iSAC (FS-iSAC)• public Transit iSAC (pT-iSAC)• Real Estate iSAC (RE-iSAC)• Research & Education iSAC (REN-iSAC)

óRgãOS DE SEgURANÇA PÚBLICA• polícia Federal Australiana (AFp)• Unidade Central contra o Crime Cibernético da Guarda Civil

(Espanha)• polícia Nacional Dinamarquesa, NiTES

(Seção nacional de investigação de Ti)• polícia Holandesa: Unidade Nacional de Crimes de Alta Tecnologia

(NHTCU)• policía Metropolitana (Argentina)• policía Nacional de Colombia• Serviço Secreto dos Estados Unidos

OUTROS• Colaborador anônimo• Commonwealth of Massachusetts• identity Theft Resource Center• Mishcon de Reya• VERiS Community Database (VCDB)• Winston & Strawn


NOTAS FINAIS

1. Sim, continuaremos a chamá-lo de Relatório de investigações de Violações de Dados, mesmo que ele não analise exclusivamente incidentes que sejam violações ou derivados de investigações forenses. Ei! Talvez possamos chamá-lo de “Relatório de Dados”, porque essas duas palavras ainda mantêm toda a sua precisão.

2. Mas continue ligado. podemos nos aprofundar neste tópico quando estivermos livres das pressões de publicar o relatório principal.

3. para ser honesto, os maiores rompantes no conjunto de dados deste ano tiveram origem tanto na Romênia quanto na Alemanha.

4. para os iniciados, não poderíamos rejeitar a hipótese nula com valor de p de 0,21 e R2 igual a 0,134.

5. https://www.whitehatsec.com/resource/stats.html

6. Silowash, G., Cappelli, D., Moore, A., Trzeciak, R., Shimeall, T. e Flynn, L. (2012). Common Sense Guide to Mitigating insider Threats. in S.E. institute (Ed.), (4ª ed., pp. 17): Carnegie Mellon University. http://www.sei.cmu.edu/library/abstracts/reports/12tr012.cfm

7. http://www.mishcon.com/assets/managed/docs/downloads/doc_2714/Mishcon_Recover_Report.pdf

8. Silowash, G., Cappelli, D., Moore, A., Trzeciak, R., Shimeall, T. e Flynn, L. (2012). Common Sense Guide to Mitigating insider Threats. in S.E. institute (Ed.), (4ª ed., pp. 17): Carnegie Mellon University. http://www.sei.cmu.edu/library/abstracts/reports/12tr012.cfm

9. Suplementamos este padrão com dados do VCDB por se tratar de uma fonte valiosa de incidentes relacionados.

10. http://veriscommunity.net/doku.php?id=enumerations#assetvariety

11. Nota para mim mesmo: parar de deixar o laptop na sala de conferência ao dar um pulo na cantina.

12. Suplementamos este padrão com dados do VCDB por se tratar de uma fonte valiosa de incidentes relacionados.

13. http://blog.oxforddictionaries.com/2013/11/word-of-the-year-2013-winner/

14. Um importante investigação da NHTCU de grupos que usam malware em celulares mostrou que, em menos de um ano, cinco variações de malware para celular foram detectadas para um banco específico. Estimativas modestas sugerem que os criminosos ganharam cerca de €50.000 por semana usando essa forma específica de malware para celular, colhendo mais de 4.000 credenciais de usuário de 8.500 clientes bancários infectados em apenas alguns meses. O malware para celular não move a agulha em nossas estatísticas, visto que nosso foco se concentra em incidentes de segurança organizacionais, e não em comprometimentos de dispositivos de consumidor.

15. É quase certo que os dois vetores por email estão insuficientemente representados, com base no número de ações de phishing neste conjunto de dados. informações insuficientes foram fornecidas para que se pudesse discernir se esses incidentes de phishing usaram anexos de email ou links incorporados e, por isso, eles foram marcados como “desconhecido”. portanto, o número real de ambos os vetores por email é certamente mais alto do que mostrado aqui, mas ainda pode ser insuficiente para sobrepujar os vetores na Web.

16. Você pode obter mais dados sobre isto enviando-nos uma pequena taxa para cobrir os custos de transferência. Basta nos fornecer o número de sua conta bancária e nós lhe enviaremos as informações. Bitcoins são bem-vindos.

17. Suplementamos este padrão com dados do VCDB por se tratar de uma boa fonte de incidentes relacionados.

18. A espionagem não é um dos padrões mais comuns no setor público, mas se o foco se voltar exclusivamente às violações de dados, ela se torna bastante proeminente.


http://www.sei.cmu.edu/library/abstracts/reports/12tr012.cfm

http://www.mishcon.com/assets/managed/docs/downloads/doc_2714/Mishcon_Recover_Report.pdf

http://veriscommunity.net/doku.php?id=enumerations#assetvariety

http://blog.oxforddictionaries.com/2013/11/word-of-the-year-2013-winner/

19. para ser totalmente honesto, alguns de nós não são muito chegados nessa coisa de “cibernético”. Mas seja como for, esse é, cada vez mais, o adjetivo usado e compreendido coletivamente em relação ao tipo de ataque que discutimos aqui. Quando dizemos “cibernético”, estamos nos referindo a redes, sistemas e dispositivos de computador. prometemos não ficar nessa de cibernético-cibernético-cibernético!!! Vamos usar esse termo somente como uma maneira de nos referir a este padrão.

20. http://en.wikipedia.org/wiki/Analysis_of_competing_hypotheses

21. https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/books-and-monographs/psychology-of-intelligence-analysis/

22. https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/books-and-monographs/sherman-kent-and-the-board-of-national-estimates-collected-essays/6words.html

23. Consulte a seção sobre Uso indevido para conhecer a análise da espionagem por pessoas de dentro da empresa.

24. http://blogs.rsa.com/wp-content/uploads/VOHO_Wp_FiNAL_READY-FOR-publication-09242012_AC.pdf

25. Consulte Hutchins, E. M., Cloppert, M. J., & Amin, R. M. (2010). intelligence-Driven Computer Network Defense informed by Analysis of Adversary Campaigns and intrusion Kill Chains.

26. http://www.microsoft.com/security/sir/default.aspx

27. ...pelo menos até fevereiro de 2014, quando a reflexão de NTp se tornou a maior da história – mas tarde demais para editarmos este relatório além do ponto de acrescentar uma nota de rodapé.

28. É engraçado se pensarmos que este remanescente dos rejeitados tem um número aproximadamente igual ao número total de violações no Relatório DBiR 2009.

29. para obter informações breves sobre dendrogramas e técnicas de agrupamento hierárquico (nosso método de identificação de padrões neste relatório), consulte http://en.wikipedia.org/wiki/Hierarchical_clustering

30. Veja um exemplo aqui: https://incident.veriscommunity.net/s3/example

31. http://www.cert.org/blogs/insider_threat/2011/08/the_cert_insider_threat_database.html

32. por exemplo, o CERT tem um atributo chamado “Motivações e expectativas”, que pode ser mapeado muito satisfatoriamente para agente.interno.motivação no VERiS.

33. O VERiS define a violação de dados como um evento que resulta no comprometimento (exibição ou acesso não autorizado) confirmado de qualquer informação que não seja pública. Divulgações potenciais e outros eventos de “dados em risco” NÃO atendem a este critério e, portanto, tradicionalmente não fizeram parte do conjunto de amostra deste relatório.

34. O VERiS define um incidente como qualquer evento que comprometa um atributo de segurança de um ativo de informação (confidencialidade, integridade, disponibilidade).

35. Cornfield, Jerome, et al. “Smoking and Lung Cancer: Recent Evidence and a Discussion of Some Questions.” Journal of the National Cancer institute 22.1 (1959): 173-203.

36. Não acredita em nós? Basta consultar o Google 286755fad04869ca523320acce0dc6a4


http://en.wikipedia.org/wiki/Analysis_of_competing_hypotheses

https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/books-and-monographs/psychology-of-intelligence-analysis/

https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/books-and-monographs/psychology-of-intelligence-analysis/

https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/books-and-monographs/sherman-kent-and-the-board-of-national-estimates-collected-essays/6words.html

https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/books-and-monographs/sherman-kent-and-the-board-of-national-estimates-collected-essays/6words.html

http://www.microsoft.com/security/sir/default.aspx

http://en.wikipedia.org/wiki/Hierarchical_clustering

https://incident.veriscommunity.net/s3/example

http://www.cert.org/blogs/insider_threat/2011/08/the_cert_insider_threat_database.html

https://www.google.co.uk/search?q=286755fad04869ca523320acce0dc6a4&oq=286755fad04869ca523320acce0dc6a4

verizonenterprise.com/br © 2014 Verizon. Todos os direitos reservados. O nome e o logotipo da Verizon e todos os outros nomes, logotipos e slogans que identificam os produtos e serviços da Verizon são marcas comerciais e de serviço ou marcas comerciais e de serviço registradas da Verizon Trademark Services LLC ou de suas afiliadas, nos Estados Unidos e/ou em outros países. Todas as outras marcas comerciais e marcas de serviço são de propriedade de seus respectivos detentores. MC15912 pT-BR 04/14

SOBRE A CAPA

O “universo” de pontos coloridos na capa representa os 4.596 incidentes do conjunto de dados do Relatório DBiR, o que inclui todas as violações de dados confirmadas ocorridas durante os últimos três anos e uma amostra de 400 ataques de Negação de Serviço do ano passado. Calculamos a distância entre os pontos usando uma técnica de escala multidimensional (com o algoritmo de distância de Manhattan) com 65 campos do VERiS para cada incidente. isso exigiu mais de seis milhões de comparações, e as distâncias resultantes foram projetadas em um plano bidimensional. Quanto mais próximos estiverem os pontos, mais semelhantes são os incidentes, o que significa que compartilham muitas características do VERiS, como agentes de ameaça, ações, ativos, etc. As cores representam os nove padrões de classificação de incidentes discutidos neste relatório (consulte no Sumário uma seção que detalha como esses padrões foram derivados). padrões muito próximos (por exemplo, Uso indevido e Erro) compartilham muitas características do VERiS, enquanto padrões afastados (como Espionagem e invasões a pDV) têm pouco em comum. A concentração ou dispersão dos pontos em um padrão mostra a quantidade de incidentes nesse padrão. Os agrupamentos em subpadrões (pontos e linhas sobrepostos) foram criados usando-se dez anos de dados de incidentes (mais de 100.000 incidentes). Geramos um gráfico de rede direcionado por força a partir da frequência dos campos do VERiS e da relação entre eles e cada um dos agrupamentos.

http://www.verizonenterprise.com/br

(relaTÓ rio dbir) de 20 - Verizon Enterprise Solutions · espionagem cibernÉtica invasÕes a...

Documents

Transcript of (relaTÓ rio dbir) de 20 - Verizon Enterprise Solutions · espionagem cibernÉtica invasÕes a...