Relatorio Anual de Seguranca da Cisco

A Cisco possui mais de 200 escritórios no mundo todo. Os endereços, números de telefone e fax estão disponíveis no site da Cisco em www.cisco.com/go/offices.

Todo o conteúdo está protegido por leis de direitos autorais. Copyright © 2011-2013 Cisco Systems, Inc. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Cisco e o logotipo Cisco são marcas comerciais da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em outros países. Uma lista das marcas registradas da Cisco pode ser encontrada em www.cisco.com/go/trademarks. Todas as marcas de terceiros citadas pertencem a seus respectivos proprietários. O uso do termo "parceiro" não implica uma relação de sociedade entre a Cisco e qualquer outra empresa. (020813 v2)

Sede - América Cisco Systems, Inc. San Jose, CA

Sede - Ásia e Pacífico Cisco Systems (USA) Pte. Ltd. Cingapura

Sede - Europa Cisco Systems International BV Amsterdam, The Netherlands

Relatório de Segurança Anual da Cisco de 2013

2013 Cisco Annual Security Report2

Vivendo no mundo atual do sistema “any-to-any”.

3

Os criminosos cibernéticos estão se beneficiando do cenário de ataques atual, o qual encontra-se em rápida expansão e bastante presente no mundo do sistema “any-to-any”, no qual as pessoas fazem uso de qualquer dispositivo para acessar aplicativos empresariais em ambientes de rede que utilizam serviços em nuvem descentralizados. O relatório de segurança anual da Cisco® de 2013 destaca as tendências globais com base em dados do mundo real e oferece conhecimentos e análises que ajudam empresas e governos a melhorarem sua segurança no futuro. O relatório combina pesquisa especializada com inteligência de segurança agregados pela Cisco com enfoque em dados coletados durante o ano fiscal de 2012.


Conteúdo

5

A relação de dispositivos, nuvens e aplicativos 6

Multiplicação de endpoints 12

Os serviços estão presentes em muitas nuvens 18

A mistura entre uso corporativo e pessoal 22A Geração Y e o local de trabalho

Big Data 28Um bom negócio para as empresas de hoje

Estado da exploração 32O perigo se esconde em lugares surpreendentes

Ameaças em evolução 50 Novos métodos, mesmas explorações

Envio de Spam sempre presente 58

Perspectiva de segurança para 2013 70

Sobre a Cisco Security Intelligence Operations 74


A relação entre dispositivos, nuvens e aplicativos

7

O mundo do sistema any-to-any e a Internet de Todas as Coisas são uma evolução em termos de conectividade e colaboração que se desdobra rapidamente. A relação entre dispositivos, nuvens e aplicativos.

Embora essa evolução não seja inesperada, as empresas podem estar despreparadas para a realidade de navegação no mundo

"any-to-any" — pelo menos de uma perspectiva de segurança.

"O ponto principal da questão relacionada ao sistema de computação distribuída any-to-any é que alcançamos rapidamente o ponto em que é cada vez menos provável que um usuário acesse uma empresa por meio de uma rede corporativa," diz Chris Young, vice-presidente sênior do Grupo de segurança e governo da Cisco. “Cada vez mais, o foco volta-se para a cultura de qualquer dispositivo em qualquer local vindo de qualquer instanciação de rede. Os dispositivos habilitados para acessar a Internet — smartphones, tablets e muitos outros — tentam conectar aplicações que poderiam ser executadas em qualquer lugar, inclusive em uma nuvem de software como serviço (SaaS), em uma nuvem particular ou em uma nuvem híbrida.”

Ao mesmo tempo, outra evolução está a caminho — um movimento contínuo em direção da formação da "Internet de todas as coisas - The Internet of Everything". Essa é a conexão inteligente de:

• Pessoas: redes sociais, centros populacionais e entidades digitais

• Processos: sistemas e processos comerciais

• Dados: World wide web e informações

• Coisas: mundo físico, dispositivos e objetos

“Cada vez mais, o foco volta-se para a cultura de qualquer dispositivo em qualquer local vindo de qualquer instanciação de rede. Dispositivos com acesso à Internet — smartphones, tablets e outros — tentam se conectar a aplicativos que podem ser executados em qualquer lugar."

Chris Young, Vice-Presidente Sênior do grupo de segurança e governo da Cisco


A Internet de Todas as Coisas baseia-se na “Internet das coisas”1 que adicionando a inteligência de rede permite a convergência, a orquestração e a visibilidade por meio de sistemas previamente diferenciados. As conexões da Internet de Todas as Coisas não representam apenas dispositivos móveis ou laptops e desktops, mas também um número cada vez maior de conexões de máquina para máquina (M2M) que ficam conectadas on-line todos os dias. Essas “coisas” são objetos aos quais não damos muita importância, que geralmente usamos todos os dias e nem imaginamos que possam estar conectados — como um sistema de aquecimento doméstico, uma turbina eólica ou um carro.

A Internet de Todas as Coisas com certeza é uma condição futura, mas que não está tão distante quando a questão do any-to-any é considerada. Enquanto isso ela irá criar desafios de segurança para as empresas, mas também trará novas oportunidades. “Coisas incríveis acontecerão com o crescimento da Internet de Todas as Coisas”, diz Nancy

Cam-Winget, engenheira renomada da Cisco. “O crescimento e a convergência de pessoas, processos, dados e coisas na Internet tornará as conexões em rede mais importantes e valiosas do que nunca.” Além disso, a Internet de Todas as Coisas criará novos recursos, experiências mais valiosas e oportunidades econômicas sem precedentes para países, negócios e indivíduos."

Como a nuvem compromete a segurançaO desafio de proteger uma grande variedade de aplicações, dispositivos e usuários — seja no contexto do sistema "any-to-any" ou da Internet de Todas as Coisas — é dificultado pela popularidade da nuvem como meio de gerenciar sistemas corporativos. De acordo com dados reunidos pela Cisco, espera-se que o tráfego de data centers em termos globais seja quadruplicado nos próximos cinco anos, e o componente de crescimento mais rápido será a nuvem. Em 2016, o tráfego global em nuvem corresponderá a dois terços do tráfego total de data centers.

“O aumento do número de pessoas, processos, dados e coisas na Internet, e sua convergência, tornará as conexões em rede mais importantes e valiosas do que nunca.”

Nancy Cam-Winget, engenheira renomada da Cisco

Espera-se que o tráfego global de data centers seja quadruplicado nos próximos cinco anos, e o componente de crescimento mais rápido serão os dados em nuvem. Em 2016, o tráfego global em nuvem corresponderá a dois terços do tráfego total do data centers.

9

Soluções de segurança fragmentadas, como a aplicação de firewalls a uma borda de rede instável, não protegem dados que atualmente se movimentam constantemente entre dispositivos, redes e nuvens. Mesmo entre os data centers — que agora abrigam as "joias da coroa" (big data) das empresas — a virtualização torna-se mais a regra do que a exceção. Abordar desafios de segurança difundidos pela virtualização e pela nuvem requer repensar posturas de segurança para refletir sobre este novo paradigma — controles com base em perímetro e modelos antigos de acesso e contenção precisam ser alterados para proteger o novo modelo de negócios.

Funcionários conectados e privacidade de dadosOutro fator comprometedor na equação any-to-any são os funcionários jovens e móveis. Este grupo acredita que é capaz de fazer negócios onde quer que esteja e com qualquer dispositivo que tenha em mãos. Em destaque no Relatório de segurança anual da Cisco de 2013 estão as descobertas do Relatório Cisco Connected World Technology 2012, que foram reunidas na pesquisa realizada em 2011 sobre as novas atitudes que estudantes universitários e jovens profissionais em todo o mundo têm em relação ao trabalho, à tecnologia e à segurança.

O último estudo se concentra ainda mais nas atitudes desses funcionários em relação à segurança, com enfoque especial na privacidade e em quanto e com que

frequência uma empresa pode interferir no desejo do funcionário de usar livremente a Internet no trabalho. O estudo do Relatório Cisco Connected World Technology 2012 também analisa se a privacidade on-line ainda é algo com que todos os usuários se preocupam ativamente.

Análise de dados e tendências mundiais de segurançaO Relatório de segurança anual da Cisco de 2013 inclui uma análise profunda de tendências de malware e spam da Web, com base em pesquisas realizadas pela Cisco. Enquanto muitos que operam na "economia paralela" têm concentrado seus esforços no desenvolvimento de técnicas cada vez mais sofisticadas, a pesquisa da Cisco deixa claro que os criminosos cibernéticos frequentemente adotam métodos bem conhecidos e básicos para comprometer os usuários.

O aumento de ataques de negação de serviço distribuído (DDoS) no último ano é apenas um exemplo da tendência "o

Outro fator comprometedor na equação do sistema de computação distribuída any-to-any são os funcionários jovens e móveis. Este grupo acredita que é capaz de fazer negócios onde quer que esteja usando qualquer dispositivo que tenha em mãos.


antigo agora é novidade" em se tratando de crimes cibernéticos. Por vários anos, os ataques de DDoS — que podem paralisar provedores de serviços de Internet (ISPs) e afetar o tráfego para e de sites visados — não tiveram muita importância na lista de prioridades de segurança de TI para muitas empresas. Entretanto, campanhas recentes de várias empresas famosas — incluindo instituições financeiras dos EUA2 — servem como lembrete de que qualquer ameaça à segurança cibernética pode causar uma interrupção significativa e até mesmo um dano irreparável, caso a organização não esteja preparada para isso. Portanto, ao criar planos de gerenciamento de continuidade de negócios, as empresas devem considerar como reagiriam e se recuperariam de um evento cibernético prejudicial — caso um evento se torne um ataque DDoS direcionado à empresa, um importante recurso de fabricação ativado pela Internet de repente ficar off-line, um ataque a diversos estágios avançados por um criminoso oculto ou algo nunca visto antes.

"Enquanto a discussão de segurança de TI sofreu mais que sua cota de alarmismo nos último anos, vemos algumas mudanças perturbadoras no ambiente de ameaças que governos, empresas e sociedades enfrentam," diz John N. Stewart, vice-presidente sênior e chefe de segurança da Cisco. "O crime cibernético já não é mais um mero um aborrecimento ou mais uma despesa feita quando fechamos negócios. Abordamos um ponto decisivo em que as perdas econômicas geradas pelo crime cibernético ameaçam suplantar os benefícios econômicos criados pela tecnologia da informação. Está claro que precisamos de novas ideias e de um novo enfoque para reduzir o dano que o crime cibernético causa no bem-estar mundial.”

"Vemos algumas mudanças incômodas no ambiente de ameaças com que se deparam governos, empresas e sociedades.”

John N. Stewart, vice-presidente sênior e chefe de segurança da Cisco.


Multiplicação de endpoints

13

A evolução do sistema "any-to-any" já envolve bilhões de dispositivos conectados à Internet; em 2012, o número destes dispositivos no mundo subiu para mais de 9 bilhões.3

Considerando que atualmente menos de 1% das coisas no mundo físico estão conectadas, resta um vasto potencial para “conectar o não conectado.”4 Estima-se que com uma Internet que já tenha uma projeção de 50 bilhões de “coisas” conectadas a ela, o número de conexões aumentará para 13.311.666.640.184.600 em 2020. Adicionar apenas mais uma "coisa" conectada à Internet (50 bilhões + 1) aumentará o número de conexões em mais 50 bilhões.5

Quanto às “coisas” que finalmente compreenderão o “todas as coisas,” estas variarão de smartphones e sistemas de aquecimento doméstico a turbinas eólicas e carros. Dave Evans, futurista-chefe do grupo de soluções de negócios de Internet da Cisco, explica assim o conceito da multiplicação de terminais: “Num futuro próximo, quando seu carro estiver

conectado à Internet de Todas as Coisas, o número de coisas na Internet simplesmente aumentará em um. Pense nos vários outros elementos com os quais seu carro poderia se conectar— outros carros, semáforos, sua casa, equipe de serviços, relatórios de meteorologia, sinais de alerta e até mesmo a própria rodovia.”6

“Num futuro próximo, quando seu carro estiver conectado à Internet de Todas as Coisas, o número de coisas na Internet simplesmente aumentará em um. Pense nos vários outros elementos com os quais seu carro poderia se conectar— outros carros, semáforos, sua casa, equipe de serviços, relatórios de meteorologia, sinais de alerta e até mesmo a própria rodovia.”

David Evans, futurista-chefe da Cisco


De pessoas para máquina (P2M)

De pessoas para pessoas (P2P)

De máquina para máquina (M2M)

Pessoas

Dados

Processo

Coisas

Negócios

Residência Móvel

Figura 1: A Internet de Todas as CoisasA Internet de Todas as Coisas é a conexão inteligente de pessoas, processos, dados e coisas.

Na Internet de Todas as Coisas, as conexões são os fatores mais importantes. Os tipos de conexões, não o número, são o que criam valor entre pessoas, processos, dados e coisas.

15

Na Internet de Todas as Coisas, as conexões são os fatores mais importantes. Os tipos de conexões, não o número, são o que criam valor entre pessoas, processos, dados e coisas. Por fim, o número de conexões reduzirá o número de coisas.7 A explosão de novas conexões, que já faz parte da Internet de Todas as Coisas, é impulsionada principalmente pelo desenvolvimento cada vez maior de dispositivos habilitados por IP, como também pelo aumento da disponibilidade mundial de banda larga e do advento do IPv6. Os riscos de segurança criados pela Internet de Todas as Coisas não se relacionam apenas à multiplicação de endpoints any-to-any que nos aproxima diariamente de um mundo ainda mais conectado, mas também à oportunidade de agentes maliciosos utilizarem ainda mais incursões para comprometer usuários, redes e dados. As próprias novas conexões criarão riscos porque irão gerar ainda mais dados em movimento que precisam ser protegidos em tempo real — incluindo os volumes crescentes de big data que as empresas continuarão a coletar, armazenar e analisar.

“A Internet de Todas as Coisas ganha forma rapidamente, portanto o profissional de segurança precisa pensar em como mudar seu enfoque da simples proteção de endpoints e do perímetro de rede," diz Chris Young. “Haverá muitos dispositivos, conexões e tipos de conteúdo e aplicativos — e esse número só irá crescer. Neste panorama, a própria rede se torna parte do paradigma de segurança que permite que as empresas estendam a política e o controle sobre os ambientes de rede."

“A Internet de Todas as Coisas ganha forma rapidamente, portanto o profissional de segurança precisa pensar em como mudar seu enfoque da simples proteção de endpoints e do perímetro de rede".

Chris Young, Vice-Presidente Sênior do grupo de segurança e governo da Cisco


Atualização da consumerização de TI da CiscoA multiplicação de endpoints é um fenômeno que a Cisco conhece bem em sua própria organização de 70.000 funcionários em todo o mundo Desde a formalização da prática de consumerização de TI há dois anos, a empresa presenciou uma taxa de crescimento de 79% no número de dispositivos móveis em uso na empresa.

O relatório de segurança anual da Cisco de 20118 analisou primeiro a jornada de consumerização de TI em desenvolvimento na Cisco, a qual faz parte da ampla e contínua transição da organização para tornar-se uma “empresa virtual.” No momento, a Cisco alcança o último estágio de sua planejada jornada, que durará vários anos. A Cisco será cada vez mais uma empresa independente de locais e serviços e ainda assim seus dados estarão seguros.9

Em 2012, a Cisco adicionou cerca de 11.000 smartphones e tablets em toda a empresa — ou aproximadamente 1.000 novos dispositivos com acesso à Internet por mês. “No final de 2012, havia quase 60.000 smartphones e tablets em uso na organização — incluindo quase 14.000 iPads — e todos eles faziam parte da tendência de consumerização (BYO, bring your own),” diz Brett Belding, gerente sênior de supervisão da Cisco IT Mobility Services. “Os dispositivos móveis na Cisco agora fazem parte da tendência de consumerização (BYO, bring your own), ponto.”

O tipo de dispositivo que teve o maior aumento em sua utilização na Cisco foi o iPad da Apple. "É fascinante pensar que há três anos este produto nem mesmo existia," diz Belding. “Agora há mais de 14.000 iPads sendo usados na Cisco todos os dias por nossos funcionários para uma variedade de atividades — relacionadas tanto ao uso pessoal quanto ao trabalho. E os funcionários estão usando iPads além de seus smartphones.”

Quanto aos smartphones, o número de iPhones da Apple em uso na Cisco quase triplicou em um período de dois anos, quase atingindo a marca de 28.600 aparelhos. Os dispositivos RIM BlackBerry, Google Android e Microsoft Windows também estão incluídos no programa consumerização de TI da Cisco. Os funcionários optam por trocar o acesso a dados corporativos em seu dispositivo pessoal mediante acordo sobre controles de segurança. Por exemplo, usuários que desejam verificar e-mails e calendários em seus dispositivos precisam obter o perfil de segurança da Cisco, o qual aplica recursos como limpeza remota, criptografia e senha.

“Comportamos mais dispositivos do que antes e ,ao mesmo tempo, temos tido o menor número de casos de suporte. Nosso objetivo é que algum dia um funcionário possa simplesmente trazer qualquer dispositivo para usar o Cisco Identity Services Engine (ISE) e configurar nossas principais ferramentas de colaboração de WebEx, incluindo Meeting Center, Jabber e WebEx Social.”

Brett Belding, gerente sênior responsável pela supervisão do Cisco IT Mobility Services

17

Figura 2: desenvolvimento de dispositivos móveis da Cisco

Desde o princípio o apoio social tem sido um componente fundamental do programa de consumerização de TI da Cisco. "Nos apoiamos fortemente na [plataforma de colaboração corporativa] WebEx Social como nossa plataforma de sustentação para a consumerização de TI e ela nos rende grandes dividendos," diz Belding. “Comportamos mais dispositivos do que antes e ,ao mesmo tempo, temos tido o menor número de casos de suporte. Nosso objetivo é que um dia um funcionário possa simplesmente trazer qualquer dispositivo para usar o Cisco Identity Services Engine (ISE) e configurar nossas principais ferramentas de colaboração da WebEx, incluindo Meeting Center, Jabber e WebEx Social.”

A próxima etapa da consumerização de TI na Cisco, de acordo com Belding, é melhorar ainda mais a segurança com o aumento da visibilidade e do controle sobre todas as atividade e dispositivos, tanto na rede física quanto na infraestrutura virtual, além de aprimorar a experiência do usuário. "Preocupar-se com a experiência do usuário é a tendência principal da consumerização de TI," diz Belding. “Tentamos aplicar este conceito à nossa organização. Temos que fazer isso. Acho que atualmente estamos testemunhando uma "TI-zação" dos usuários. Antes eles perguntavam, "Posso usar este dispositivo no trabalho?" Agora eles dizem, "Entendo que você precisa manter a empresa segura, mas não interfira na minha experiência de usuário.’”

iPhone

iPad

BlackBerry

Android

Outros

TOTAL

PLATAFORMA

DEZ 2010

DEZ 2011

DEZ 2012


Os serviços estão presentes em muitas nuvens

19

O tráfego mundial de dados está em ascensão. De acordo com o Cisco Global Cloud Index, espera-se que o tráfego mundial de data centers seja quadruplicado nos próximos cinco anos. Ele aumentará a uma taxa de crescimento anual composta (CAGR) de 31% entre 2011 e 2016.10

Deste enorme aumento, o componente com crescimento mais rápido são os dados em nuvem O tráfego global em nuvem aumentará seis vezes nos próximos cinco anos, crescendo a uma taxa de 44% de 2011 a 2016. Na verdade, o tráfego em nuvem corresponderá a dois terços do tráfego total de data centers em 2016.11

Esta explosão do tráfego em nuvem levanta questões sobre a habilidade das empresas gerenciarem estas informações. Na nuvem, as linhas de controle não são claras: uma empresa pode posicionar redes de segurança em torno de seus dados de nuvem quando não possui e opera o data

center? Como ferramentas de segurança básica, como firewalls e softwares antivírus, podem ser aplicadas quando a borda de rede não pode ser definida?

Não importa quantas questões de segurança sejam levantadas, é claro que cada vez mais empresas adotam os benefícios das nuvens — e aquelas que o

O tráfego global em nuvem aumentará seis vezes nos próximos cinco anos, crescendo a uma taxa de 44% de 2011 a 2016.


fizeram provavelmente não retornarão a um modelo privado de data center. Embora as oportunidades da nuvem apresentadas para empresas sejam muitas, — incluindo economias de custos, maior colaboração da força de trabalho, produtividade e emissão de carbono reduzida — os possíveis riscos de segurança que as empresas enfrentam como resultado da transferência de dados de negócios e processos para a nuvem incluem:

Hipervisores Se comprometido, este software que cria e executa máquinas virtuais poderia causar um ataque de hackers em massa ou comprometer dados relacionados a vários servidores — apresentando a mesma facilidade de gerenciamento e acesso que a virtualização oferece a um hacker bem-sucedido. Um hipervisor malicioso (controlado por “hyperjacking”) pode obter controle total de um servidor.12

Custo reduzido de entrada A virtualização reduziu o custo de entrada para oferecer serviços como um servidor virtual privado (VPS). Comparado a modelos de data center com base em hardware, observamos um crescimento rápido, barato e uma infraestrutura facilmente disponível para atividades criminosas. Por exemplo, há vários serviços de VPS disponíveis para compra instantânea (com a possibilidade de compra usando Bitcoin ou outros tipos de pagamento difíceis de rastrear) que são destinados ao submundo do crime. A virtualização tornou a infraestrutura muito mais barata e fácil de ser disponibilizada

— com pouca ou nenhuma verificação das atividades.

“Dissociação” de aplicações virtualizadasComo as aplicações virtualizadas são dissociadas dos recursos físicos que usam, fica mais difícil para as empresas aplicarem abordagens de segurança tradicionais. Provedores de TI buscam minimizar os custos com uma oferta bastante flexível em que os recursos podem ser movidos conforme necessário — em contraste com o grupo de segurança que busca reunir serviços com esta postura de segurança e os mantém longe de outros que podem ser menos seguros.

Um hipervisor malicioso (controlado por “hyperjacking”) pode obter controle total de um servidor.12

21

"A virtualização e a computação em nuvem criam problemas iguais aos da consumerização de TI (BYOD), mas totalmente reformulados," diz Joe Epstein, antigo CEO da Virtuata, uma empresa adquirida pela Cisco em 2012 que disponibiliza recursos inovadores para proteger informações virtuais em nível de máquina em data centers e ambientes de nuvem. "Aplicativos e dados de alto valor atualmente são movidos em torno do data center. O conceito de cargas de trabalho virtuais deixam as empresas desconfortáveis. No ambiente virtual, como você sabe que pode confiar no que está executando? A resposta é que você não tem sido capaz disso até agora — e essa incerteza tem sido o principal obstáculo para a adoção da nuvem."

Mas Epstein observou que é cada vez mais difícil para as empresas ignorarem a virtualização e a nuvem. “O mundo compartilhará tudo,” ele diz. “Tudo será virtualizado e compartilhado. Não fará sentido continuar executando apenas data centers privados. As nuvens híbridas estão onde a TI está.”

A resposta para estes desafios crescentes de nuvem e virtualização é a segurança adaptativa e responsiva. Neste caso, a segurança deve ser um elemento programável integrado de forma contínua na estrutura do data center subjacente, de acordo com Epstein. Além disso, a segurança precisa ser criada na fase de design, ao invés de ser imposta na fase de pós-implementação.

“A virtualização e a computação em nuvem criam problemas assim como os da consumerização de TI, mas totalmente reformulados... Aplicativos e dados de alto valor movem-se atualmente em torno do data center.”

Joe Epstein, antigo CEO da Virtuata


Mistura de negócios e uso pessoalA Geração Y e o local de trabalho

23

Os funcionários modernos — principalmente os jovens da “Geração Y” — querem liberdade para navegar na Internet não apenas quando e como querem, mas também com os dispositivos de sua escolha. Entretanto, eles não querem que essas liberdades sejam infringidas por seus chefes, o que prenuncia uma situação de tensão para profissionais de segurança.

De acordo com o estudo do Relatório Cisco Connected World Technology 2012, dois terços dos entrevistados acreditam que os chefes não deveriam rastrear as atividades on-line dos funcionários em dispositivos da empresa. Em resumo, eles acham que os chefes não deveriam monitorar seu comportamento. Apenas cerca de um terço (34%) dos funcionários entrevistados disse que não se importaria se os chefes rastreassem seu comportamento on-line.

Apenas um em cinco entrevistados disse que seus chefes rastreiam suas atividades on-line em dispositivos da empresa, enquanto 46% disseram que seus chefes

não rastreiam as atividades. Descobertas do último estudo Connected World também mostram que a Geração Y tem fortes opiniões sobre os chefes rastrearem a atividade on-line dos funcionários — mesmo aqueles que relataram que trabalham em empresas onde isso não ocorre.

Apenas um em cinco entrevistados disse que seus chefes rastreiam suas atividades on-line em dispositivos da empresa, enquanto 46% disseram que seus chefes não rastreiam as atividades.


Parece haver uma divergência entre o que os funcionários acham que podem fazer com os dispositivos fornecidos pela empresa e quais políticas o setor de TI realmente dita sobre o uso pessoal, o que aumenta ainda mais os desafios para os profissionais de segurança. Quatro dos 10 entrevistados disseram que devem usar dispositivos fornecidos pela empresa para atividades de trabalho, enquanto um quarto disse que tem permissão para usar os dispositivos da empresa para atividades não relacionadas ao trabalho. Entretanto, 90% dos profissionais de TI entrevistados disseram que têm de fato políticas que proíbem que dispositivos fornecidos pela empresa sejam usados para atividades on-line pessoais — apesar de 38% saber que os funcionários quebram políticas e usam dispositivos para atividades pessoais além das atividades relacionadas ao trabalho. (É possível encontrar mais informações sobre a perspectiva da Cisco em relação a estes desafios de consumerização de TI na página 16.)

Privacidade e geração YDe acordo com o Relatório Cisco Connected World Technology 2012 a Geração Y aceitou o fato de que, graças à Internet, a privacidade pessoal pode ser algo ultrapassado. 90% dos jovens consumidores entrevistados disseram que a era da privacidade está ultrapassada e acreditam que não podem controlar a privacidade de suas informações. Um terço dos entrevistados relatou que não se preocupa com os dados que são armazenados e capturados sobre eles.

Em geral, a Geração Y também acredita que sua identidade on-line é diferente de sua identidade off-line. 40% disseram que estas identidades geralmente são diferentes dependendo da atividade em questão, enquanto 36% acreditam que estas identidades são totalmente diferentes. Apenas 8% acreditam que estas identidades são iguais.

Jovens consumidores também têm grandes expectativas de que os sites respeitarão a privacidade de suas informações, geralmente sentindo-se mais seguros em compartilhar dados com as principais mídias sociais ou sites comunitários devido ao anonimato que o número expressivo de usuários proporciona. Entre os entrevistados, 46% disseram esperar que determinados sites mantenham suas informações seguras, enquanto 17%

Parece haver uma divergência entre o que os funcionários acreditam que podem fazer com os dispositivos disponibilizados pela empresa e quais políticas o setor de TI realmente dita sobre o uso pessoal desses dispositivos.

25

afirmaram acreditar que a maioria dos sites mantenha a privacidade de suas informações. Entretanto, 29% disseram não acreditar que os sites mantenham a privacidade de suas informações e se preocupam com segurança e roubo de identidade. Compare o conceito acima com a ideia de compartilhar dados com um empregador que entende o contexto de quem eles são e o que fazem.

“A Geração Y está iniciando no mercado de trabalho e trazendo novas práticas e atitudes relacionadas à informação e à segurança. Essa geração acredita no fim da privacidade — ou seja, que na prática ela não existe —, e é com base nesse paradigma que as empresas devem trabalhar. Esse conceito é alarmante para as gerações anteriores que estão no mercado de trabalho atual", diz Adam Philpott, diretor da EMEAR Security Sales da Cisco. “As empresas podem, entretanto, disponibilizar treinamentos sobre a segurança de informações, alertando seus funcionários sobre os riscos envolvidos, e oferecer orientações sobre como compartilhar melhor as informações e usufruir das ferramentas on-line que fazem parte da área de segurança de dados”.

“A Geração Y está iniciando no mercado de trabalho e trazendo novas práticas e atitudes relacionadas à informação e à segurança. Essa geração acredita no fim da privacidade — ou seja, que na prática ela não existe —, e é com base nesse paradigma que as empresas devem trabalhar. Esse conceito é alarmante para as gerações anteriores que estão no mercado de trabalho atual".

Adam Philpott, diretor da EMEAR Security Sales


Por que as empresas precisam propagar informações que gerem conhecimento sobre a desinformação das mídias sociaispor Jean Gordon Kocienda, analista de ameaças mundiais da Cisco

As mídias sociais têm sido um grande benefício para muitas empresas. A capacidade de estabelecer conexões diretamente com clientes e outros públicos com o uso do Twitter e do Facebook ajudou muitas empresas a criar o reconhecimento da marca por meio da interação social on-line.

O lado negativo desta comunicação direta super rápida é que as mídias sociais podem permitir que informações imprecisas e enganosas sejam espalhadas a uma velocidade incrível. Não é difícil imaginar um cenário em que um terrorista coordena ataques em terra usando tweets enganosos com a intenção de obstruir rodovias e linhas telefônicas, ou enviar pessoas para caminhos perigosos. Por exemplo: o governo da Índia bloqueou centenas de sites e textos controlados13 em uma tentativa de restaurar a calma na parte nordeste do país depois que fotos e mensagens de texto foram postadas. Os rumores incitaram pânico em milhares de trabalhadores migrantes, que sobrecarregaram estações de trem e ônibus.

Campanhas de desinformação de mídia social também têm afetado os preços de mercado. Uma informação roubada da página da Reuters no Twitter relatou que o Exército Livre da Síria tinha sucumbido em Alepo. Alguns dias depois, um feed de notícias do Twitter foi comprometido e um suposto diplomata russo publicou no site que o presidente sírio Bashar Al-Assad estava morto. Antes dessas contas serem desacreditadas, o preço do petróleo nos mercados internacionais disparou.14

Profissionais de segurança precisam estar em alerta para estas publicações de mídia social de rápida propagação e possivelmente prejudiciais, especialmente se essas publicações forem direcionadas à própria empresa — é necessário uma ação rápida para defender as redes contra malwares, advertir os funcionários sobre tentativas de phishing (roubo de identidade), reencaminhar uma entrega ou oferecer consultoria sobre segurança aos funcionários. Os executivos de segurança desejam evitar a todo custo alertar gerentes sobre notícias de última hora que podem vir a ser uma farsa.

A primeira defesa que temos contra notícias fabricadas é confirmá-las através de várias fontes. Antigamente, os jornalistas faziam isso por nós. Quando líamos ou ouvíamos uma notícia, ela já havia sido confirmada. Atualmente, assim como nós, muitos jornalistas obtêm suas histórias de fontes como o Twitter, e se vários de nós acreditarmos na mesma história, podemos facilmente confundir re-tweets com a confirmação do fato.

Para as notícias de última hora que exigem ação rápida, a melhor aposta pode ser usar o antigo “teste da primeira impressão.” Se a história parecer artificial, pense duas vezes antes de repeti-la ou citá-la.15

27

Para as notícias de última hora que exigem ação rápida, a melhor aposta pode ser usar o antigo “teste da primeira impressão.” Se a história parecer artificial, pense duas vezes antes de repeti-la ou citá-la.


Big dataUm bom negócio para as empresas de hoje

29

No mundo dos negócios, "big data" é o assunto do momento — além disso, a possibilidade de obter material analítico valioso por meio dos vastos volumes de informações que as empresas coletam, geram e armazenam tem tido bastante visibilidade. O relatório Cisco Connected World Technology 2012 analisou o impacto da tendência do big data em empresas — e mais especificamente, em suas equipes de TI. De acordo com as descobertas do estudo, aproximadamente três quartos (74%) das empresas em todo o mundo coletam e armazenam dados, e os administradores usam a análise de big data para a tomada de decisões de negócios. Além disso, sete entre dez entrevistados do setor de TI relataram que o big data será uma prioridade estratégica para suas empresas e equipes no próximo ano.

O desenvolvimento ou surgimento da mobilidade, da nuvem, da virtualização, da multiplicação de endpoints e de outras tendências de rede, abrirá caminho para um uso ainda maior de big data e de

oportunidades analíticas com foco para negócios. Mas há preocupações em torno da segurança do big data. As descobertas do estudo do Connected World mostram que um terço dos entrevistados (32%) acredita que o big data compromete os requisitos de segurança e proteção de dados e redes porque há muitos dados e muitas formas de acessá-los. Em resumo, o big data aumenta os vetores e ângulos que equipes de segurança empresarial — e soluções de segurança — devem proteger.

Aproximadamente 74% das organizações em todo o mundo coletam e armazenam dados, e os administradores usam a análise de big data para a tomada de decisões de negócios.


A Coreia (45%), a Alemanha (42%), os Estados Unidos (40%) e o México (40%) têm as mais altas porcentagens de entrevistados do setor de TI que acreditam que o big data compromete a segurança. Para garantir a segurança, a maioria dos entrevistados do setor de TI — mais de dois terços (68%) — acredita que toda a equipe desse setor deve participar da preparação de estratégias e da administração dos esforços que envolvem o big data em suas empresas. Gavin Reid, diretor de pesquisa de ameaças da Cisco Security Intelligence Operations, diz “O big data não compromete a segurança — ele a torna possível. Na Cisco coletamos e armazenamos 2,6 trilhões de registros todos os dias — isso forma a plataforma de onde podemos iniciar a detecção e o controle de incidentes.”

Há obstáculos que impedem a adoção de soluções projetadas para ajudar as empresas a gerenciar melhor e a extrair todo o potencial do grande volume de dados (big data) que geram. Os entrevistados apontaram a falta de orçamento, de tempo para estudar o big data, de soluções apropriadas, de equipes

de TI e de profissionais especializados nesse setor. Um entre quatro entrevistados em todo o mundo (23%) disse que a falta de mão de obra especializada e de pessoal foi um fator inibidor para que sua empresa usasse o big data de forma eficiente. Isso indica a necessidade de que mais profissionais iniciantes no mercado de trabalho sejam treinados nesta área.

Da mesma forma, a nuvem é o fator de sucesso do big data de acordo com 50% dos entrevistados do setor de TI para o estudo Connected World. Eles acreditam que suas empresas precisam trabalhar em planos e implantações de nuvem para tornar o big data um negócio rentável em todo o mundo. Essa percepção teve destaque na China (78%) e na Índia (76%), onde mais de três entre quatro entrevistados acreditavam que havia uma dependência da nuvem antes do big data realmente se tornar um sucesso. Como resultado, em alguns casos o estudo indica

Coreia, Alemanha, Estados Unidos e México possuem as mais altas porcentagens de entrevistados do setor de TI que acreditam que o big data complica a segurança.

Há obstáculos que impedem a adoção de soluções que são especificamente projetadas para ajudar as empresas a gerenciar melhor e a extrair todo o potencial do grande volume de dados (big data) que geram. Os entrevistados apontaram a falta de orçamento, de tempo para estudar o big data, de soluções apropriadas, de equipes de TI e de profissionais especializados nesse setor.

31

que a adoção da nuvem afetará a taxa de adoção — e os benefícios — dos esforços relacionados ao big data.

Mais da metade dos entrevistados gerais do setor de TI também confirmou que as discussões sobre o big data em suas empresas ainda não são produtivas. Isso não é surpreendente se considerarmos que apenas agora o mercado tenta entender como aproveitar, analisar e usar de forma estratégica o big data. Em alguns países, entretanto, discussões sobre big data resultam em decisões significativas sobre estratégia, direção e soluções. China (82%), México (67%), Índia (63%) e Argentina (57%) lideram neste ponto. Mais da metade dos entrevistados destes países afirmam que as discussões sobre big data em suas empresas estão bem encaminhadas — e geram ações e resultados sólidos.

Três entre cinco entrevistados do setor de TI do relatório Mundo conectado 2012 acreditam que o big data pode ajudar os países e suas economias a se tornarem mais competitivos no mercado mundial.

Em alguns países, entretanto, discussões sobre big data resultam em decisões significativas sobre estratégia, direção e soluções. China, México, Índia e Argentina lideram neste ponto. Mais da metade dos entrevistados desses países afirmam que discussões sobre big data em suas empresas estão bem encaminhadas — e geram ações e resultados sólidos.


Estado da exploraçãoO perigo se esconde em lugares surpreendentes

33

Muitos profissionais de segurança — e certamente uma grande comunidade de usuários on-line — têm ideias pré-concebidas sobre quais os possíveis locais em que as pessoas podem se deparar com um perigoso malware da Web.

De modo geral, acredita-se que os sites que promovem atividades criminosas — como sites de venda de produtos farmacêuticos ilegais ou de produtos de luxo falsificados — têm mais chance de hospedar um malware. Nossos dados revelam a verdade sobre este conceito ultrapassado. No cenário atual das ameaças cibernéticas as ocorrências de malware na Web geralmente não são produto de sites de conteúdo duvidoso.

"As ocorrências de malware da Web aparecem em todos os locais visitados pelos usuários da Internet — incluindo os mais conceituados sites, os quais são visitados com frequência, mesmo que seja com o intuito de conduzir negócios," diz Mary Landesman, pesquisadora de segurança sênior da Cisco. "Na verdade, sites de empresas e indústrias são uma das três principais categorias visitadas quando uma ocorrência de malware é encontrada. Obviamente os sites de negócios não são projetados para serem nocivos. Os perigos, entretanto, frequentemente estão

em anúncios exploratórios bem visíveis que são distribuídos para sites legítimos ou em hackers que visam comunidades de usuários nos sites comuns mais usados.

Além disso, sites infectados por malware são predominantes em muitos países e regiões — não apenas em um ou dois países, o que distorce a noção de que sites de alguns países podem hospedar mais conteúdo malicioso que outros. “A Web é o mecanismo de disponibilização de malware mais impressionante que já vimos até hoje. Ela supera até mesmo o worm ou os vírus mais produtivos em sua capacidade de atingir — e infectar — um público em massa silenciosamente e com eficiência," diz Landesman. “As empresas precisam de proteção, mesmo se bloquearem os sites

Os perigos estão frequentemente escondidos em anúncios on-line de cunho exploratório de alta visibilidade.


Figura 3: riscos de acordo com o tamanho da empresaAté 2,5 vezes mais riscos de encontrar malware da Web em grandes organizações.

250 ou menos

251–500

501–1000

1001–2500

2501–5000

5001–10.000

10.001–25.000

Mais de 25.000

Risk by Company Size

Número de funcionários

Todas as empresas — independente do tamanho — enfrentam um risco significativo de descobertas de malware da Web. Toda empresa deve concentrar-se nos fundamentos da proteção de sua rede e propriedade intelectual.

35

de conteúdo duvidoso mais comuns, com um foco ainda mais preciso na inspeção e na análise.”

Descobertas de malware por tamanho da empresaAs empresas maiores (com mais de 25.000 funcionários) têm um risco 2,5 vezes maior de encontrar malware do que empresas pequenas. Este risco elevado pode ser causado por uma maior propriedade intelectual de alto valor. Por isso as grandes empresas são um alvo mais frequente.

Enquanto empresas pequenas possuem menos ocorrências de malware da Web por usuário, é importante observar que todas as empresas — independentemente do tamanho — enfrentam um risco significativo de ocorrências de malware. Toda empresa deve concentrar-se nos fundamentos da proteção de sua rede e propriedade intelectual.

Descobertas de malware por paísA pesquisa da Cisco mostra uma mudança significativa no panorama mundial para as ocorrências de malware da Web por país em 2012. A China, que foi a segunda da lista de ocorrências de malware da Web em 2011, caiu drasticamente seis posições em 2012. A Dinamarca e a Suécia agora estão no terceiro e quarto lugar, respectivamente. Os Estados Unidos permaneceram no topo do ranking em 2012, assim como em 2011, com 33% de todas as ocorrências de malware por meio de sites hospedados nesse país.

Mudanças na localização geográfica entre 2011 e 2012 provavelmente refletem mudanças tanto na detecção quanto nos hábitos do usuário. Por exemplo, "malvertising", ou o malware disponibilizado através de anúncios on-line, tiveram uma função mais significativa nas descobertas de malware da Web em 2012 do que em 2011. Vale lembrar que descobertas de malware da Web ocorrem com mais frequência através da navegação normal em sites legítimos que podem ter sido comprometidos ou estão apresentando anúncios maliciosos involuntários. Um anúncio malicioso pode afetar qualquer site, independente de sua origem.

Em geral, os dados geográficos de 2012 demonstram que a Web pode causar infestações de forma uniforme — ao contrário das percepções de que apenas um ou dois países sejam responsáveis por hospedar malware da Web ou de que qualquer país esteja mais seguro que outro. Assim como a disponibilização de conteúdo dinâmico da Web 2.0 permite a monetização de sites em todo o mundo, também é possível facilitar a disponibilização de malware da Web mundialmente.

Claro, há uma diferença distinta entre onde uma descoberta de malware da Web ocorre e onde o malware realmente está hospedado. Em malvertising, por exemplo, a descoberta normalmente ocorre quando visitamos um site legítimo e com boa reputação que por acaso apresenta um anúncio de terceiros. Entretanto, o


Figura 4: ocorrências de malware da Web por paísUm terço de todas as ocorrências de malware da Web foram encontradas em domínios hospedados nos Estados Unidos.

GANHOS DE 2011 DECLÍNIO DE 2011

Estados Unidos

Alemanha

33,14%

Rússia9,79%

Holanda2,27%

Dinamarca9,55%

Turquia2,63%

Suécia9,27%

6,11%

China5,65%

Reino Unido

4,07%

Irlanda1,95%

1 2

43

6

5

8

710

9

37


Estados Unidos

Alemanha

33,14%

Rússia9,79%

Holanda2,27%

Dinamarca9,55%

Turquia2,63%

Suécia9,27%

6,11%

China5,65%

Reino Unido

4,07%

Irlanda1,95%

1 2

43

6

5

8

710

9

Em geral, os dados geográficos de 2012 demonstram que a Web pode causar infestações de forma uniforme — ao contrário das percepções de que apenas um ou dois países sejam responsáveis por hospedar malware da Web ou de que qualquer país esteja mais seguro que outro.


Figura 5: principais tipos de malware da WebDescobertas de malware do software Android cresceram 2.577% em 2012, apesar de que os malwares de aparelhos móveis compreendem uma pequena porcentagem do total de ocorrências de malware da Web.

JAN FEV MAR ABR MAI JUN JUL AGO SET OCT NOV DEZ

Android Growth

Kit de malware/hacker 0,057%Ransomware 0,058%

Scareware 0,16%

Dispositivo móvel 0,42%

Vírus 0,48%

Worm 0,89%

Baixador 1,1%

Roubo de Informações 3,4%

Exploração de 9,8%

Mal script/iframe 83,4%

Crescimento do Android: 2577%

39

malware destinado para distribuição está hospedado em um domínio completamente diferente. Como os dados da Cisco são baseados no local da ocorrência, eles não tem relação alguma com a origem do malware. Por exemplo, a popularidade elevada das mídias sociais e dos sites de entretenimento na Dinamarca e na Suécia, juntamente com os riscos de malvertising, é altamente responsável pelo aumento das ocorrências de sites hospedados nessas regiões, mas este não é um indicativo da origem real do malware.

Principais tipos de malware da Web em 2012Os malwares do software Android cresceram substancialmente mais rápido que qualquer outra forma de malware disponibilizado através da Web. Uma tendência importante, pois foi relatado que o Android possui a maior participação de mercado de dispositivos móveis do mundo. É importante observar que as descobertas de malware para dispositivos móveis compreenderam apenas 0,5% de todas as descobertas de malware em 2012, com o Android obtendo mais de 95% de todas essas descobertas de malware da Web. Além disso, em 2012 ocorreu o surgimento do primeiro botnet de Android documentado em livre circulação, o que indica que os desenvolvimentos de malware para dispositivos móveis em 2013 precisam de muita atenção.

Enquanto alguns especialistas afirmam que o Android é uma "grande ameaça" ou que deve ser o enfoque principal das equipes de segurança corporativa em 2013 — os dados reais mostram o contrário. Conforme observado acima, o malware da Web para dispositivos móveis, em geral, compõe menos de 1% do total de ocorrências — número distante do cenário "apocalíptico" que muitos detalham. O impacto da consumerização de TI e da proliferação de dispositivos não pode ser ignorado. No entanto, a maior preocupação das empresas devem ser ameaças, tais como a perda de dados acidental, devendo garantir que os funcionários não "vasculhem" ou façam "jailbreak" em seus dispositivos, instalando apenas aplicações de canais de distribuição oficiais e confiáveis. Caso os usuários optem por não usar mais as lojas de aplicativos móveis oficiais, eles devem ter certeza de que, antes de fazer o download, conhecem e confiam no autor do aplicativo e podem provar que o código não foi violado.

Quando analisamos de modo mais amplo o panorama de malwares da Web, não nos surpreendemos com o fato de que scripts e iFrames maliciosos corresponderam a 83% das ocorrências achadas em 2012. Embora seja relativamente compatível com o ano anterior, é uma descoberta sobre a qual vale a pena discutir. Estes tipos de ataques frequentemente representam códigos maliciosos em webpages "confiáveis" que podem ser visitadas por usuários todos os dias — o que significa que um invasor é capaz de comprometer os usuários sem mesmo levantar suspeitas.


As explorações ficam em segundo lugar, com 10% do número total de ocorrências de malware no ano passado. Entretanto, estes dados são em grande parte um resultado de onde o bloqueio ocorreu em comparação com a concentração real de explorações na Web. Por exemplo, 83% de scripts maliciosos e iFrame ocultos são bloqueios que ocorrem em um estágio anterior, antes do acontecimento de qualquer exploração. Por isso, podem artificialmente diminuir o número de explorações observadas.

As explorações ainda são uma grande causa das infecções via Web e sua presença continuada enfatiza a necessidade de os fornecedores adotarem as melhores práticas de segurança nos ciclos de vida de seus produtos. As organizações devem se concentrar na segurança como parte do design e do processo de desenvolvimento do produto, com divulgações de vulnerabilidade oportunas e ciclos de correção imediatos/regulares. As empresas e os usuários também precisam ser orientados a respeito dos riscos de segurança associados ao uso de produtos que não são mais respaldados pelos fornecedores. Isso também é essencial para que as empresas possam manter um processo de gerenciamento das principais vulnerabilidades e para que os usuários possam manter seu hardware e software atualizados.

Entre os cinco principais estão os ladrões de informações, com 3,5% do total de descobertas de malware da Web em 2012,

baixadores (1,1%) e worms (0,8%). Mais uma vez, estes números são um reflexo de onde o bloqueio ocorre, geralmente no ponto em que o script ou iFrame malicioso é encontrado pela primeira vez. Como resultado, estes números não refletem o número real de ladrões de informações, baixadores ou worms que são distribuídos através da Web.

Principais tipos de conteúdo de malwareCriadores de malware buscam constantemente maximizar seu retorno sobre o investimento (ROI) encontrando maneiras de atingir o maior número de possíveis vítimas com o menor esforço e, quando possível, se aproveitam de tecnologias de plataforma cruzada. Para estes fins, kits de ferramentas geralmente distribuem explorações em uma ordem específica. Assim que uma exploração de sucesso for distribuída, não será possível fazer tentativas de nenhuma outra exploração. A alta concentração de pacotes de exploração do software Java—87% do total de explorações da Web— mostra que são feitas tentativas de inserção dessas vulnerabilidades anteriormente a outros tipos de pacotes de exploração. Isso demonstra também que os invasores estão obtendo sucesso usando os pacotes de exploração do software Java. Além disso, com mais de 3 bilhões de dispositivos executando Java,16 a tecnologia representa um caminho aberto para que hackers escalem seus ataques através de várias plataformas

41

Figura 6: principais tipos de conteúdo de malware para 2012Explorações de Java corresponderam a 87% do total de explorações da Web.

J F M A M J J A S O N D


AplicaçãoTextoImagemVídeoÁudioMensagem

JavaPDFFlashActive-X

0%

20%

40%

60%

80%

100%

0%

20%

40%

60%

80%

100%

Aplicação

65.05%

Texto

33.81%

Imagem

1.09%

Vídeo

0.05%

Áudio

0.01%

Mensagem

0.00%

Tipos dos principais conteúdos mensais

Total dos principais tipos de conteúdo

Tipos de conteúdo explorado

A alta concentração de pacotes de exploração do software Java mostra que são feitas tentativas de inserção dessas vulnerabilidades anteriormente a outros tipos de pacotes de exploração. Isso demonstra também que os invasores estão obtendo sucesso usando os pacotes de exploração do software Java.


Figura 7: categoria dos principais sitesSites de compras on-line são 21 vezes mais propensos a disponibilizar conteúdo malicioso que sites de software falsificado.

Observação: A categoria “conteúdo dinâmico” está no topo da lista da Cisco dos principais locais para probabilidade de infecções de malware. Esta categoria inclui sistemas de disponibilização de conteúdo, como estatísticas da Web, análise de sites e outros conteúdos de terceiros não relacionados a publicidade.

Jogos 6,51%

Hospedagem de sites 4,98%

Mecanismos de busca e portais4,53%

Computadores e Internet 3,57%

Compras 3,57%

Viagem 3,00%

Comunidades on-line 2,66%

Entretenimento 2,57%

Armazenamento e backup on-line 2,27%

Notícias 2,18%

Esportes e divertimentos 2,10%

Serviços de transferência de arquivos 1,50%

SaaS e B2B 1,40%E-mail

baseado na Web 1,37%

Educação 1,17%

Transporte 1,11%

Saúde e nutrição 0,97%

Conteúdo dinâmico e CDN 18,30%Propagandas

16,81%Negócios e indústria 8,15%

Top Site Category for Web Malware Encounter

43

Duas outras plataformas cruzadas — PDF e Flash — levaram o segundo e o terceiro lugares na análise da Cisco dos principais tipos de conteúdo para distribuição de malware. Apesar de o Active X ainda estar sendo explorado, os pesquisadores da Cisco têm observado um uso constantemente baixo da tecnologia como um veículo para malware. Entretanto, conforme observado anteriormente em relação ao Java, números menores de certos tipos de explorações são em grande parte uma reflexão da ordem em que foram feitas as tentativas de exploração.

Ao analisar conteúdo de mídia, os dados da Cisco revelam quase o dobro de malware com base em imagem em comparação do que em vídeos que não são em Flash. Entretanto, isso deve-se em parte, à forma como os navegadores lidam com tipos de conteúdo declarado e aos esforços dos invasores para manipular estes controles declarando tipos de conteúdo errados. Além disso, sistemas de comando e controle de malware frequentemente distribuem informações do servidor através de comentários escondidos em arquivos de imagem comuns.

Principal categoria de siteConforme mostram os dados da Cisco, a ideia de que infecções de malware resultam mais comumente de sites "arriscados", como os de software falsificado, é um engano. A análise da Cisco indica que a grande maioria das ocorrências de malware da Web ocorrem por meio da navegação comum em sites populares. Em outras palavras, a maioria das ocorrências acontece nos locais mais visitados pelos usuários— onde eles acreditam serem sites seguros.

Em segundo lugar na lista estão os anúncios on-line, que correspondem a 16% do total de descobertas de malware da Web. A publicação de anúncios é um meio comum de monetizar sites, portanto um único anúncio malicioso distribuído dessa maneira pode causar um impacto negativo e de alto impacto.

A grande maioria das descobertas de malware da Web ocorrem por meio da navegação comum em sites populares. Em outras palavras, a maioria das descobertas acontece nos lugares mais visitados pelos usuários— e que pensam ser seguros.


Analisando os outros colocados na lista de categorias de sites em que foram encontradas ocorrências de malware, os sites de empresas e indústrias—os quais incluem tudo, desde sites corporativos a recursos humanos e serviços de frete—ficaram em terceiro lugar. Jogos on-line estão em quarto lugar, seguidos por sites de hospedagem da Web e os mecanismos de busca ficaram em quinto e sexto lugares, respectivamente. As 20 principais categorias de site não contam com os sites normalmente considerados como maliciosos. Há uma mistura saudável de tipos de site populares e legítimos, como compras on-line (nº 8), notícias (nº13) e aplicativos de SaaS/business-to-business (nº 16).

Os criminosos cibernéticos prestaram muita atenção aos hábitos modernos de navegação para expor o maior número de pessoas possível aos malwares da Web. Onde os usuários on-line estiverem, os criadores de malware os seguirão e se aproveitarão de sites confiáveis através do comprometimento direto ou de redes de distribuição de terceiros.

Aplicativos populares por acessosAs mudanças em como as pessoas usam seu tempo on-line aumentam o terreno para que criminosos cibernéticos lancem explorações. Empresas de todos os portes estão adotando as mídias sociais e o compartilhamento de vídeos on-line. A maioria das marcas tem presença no Facebook e no Twitter e muitos estão integrando as mídias sociais em seus próprios produtos. A medida que estes destinos da Web vão atraindo o público de modo massivo e vão sendo incorporados dentro das configurações empresariais, mais oportunidades de distribuição de malware vão sendo criadas.

De acordo com o Cisco Application Visibility and Control (AVC), a grande maioria (91%) das solicitações da Web foi dividida entre mecanismos de busca (36%), sites de vídeo on-line (22%), redes de anúncios (13%) e redes sociais (20%).

Os criminosos cibernéticos prestaram muita atenção aos hábitos modernos de navegação para expor o maior número de pessoas possível aos malwares da Web.

Empresas de todos os portes estão adotando as mídias sociais e o compartilhamento de vídeos on-line. A maioria das marcas tem presença no Facebook e no Twitter e muitos estão integrando as mídias sociais em seus próprios produtos.

45

Figura 8: aplicativos populares por acessosAs mídias sociais e o compartilhamento de vídeos on-line mudaram o modo como os funcionários dispõem de seu horário de trabalho — expondo novas vulnerabilidades.

Se os dados nos principais sites visitados na Internet estão correlacionados à categoria mais perigosa de sites, os mesmos locais em que os usuários on-line têm a maior exposição a malwares, como mecanismos de busca, estão entre as principais áreas que guiam às ocorrências

de malware da Web. Esta correlação mostra mais uma vez que os criadores de malware estão concentrados em maximizar seu ROI — e, portanto, centralizarão seus esforços nos lugares onde o número de usuários e a facilidade de exposição são maiores.

Se os dados nos principais sites visitados na Internet estão correlacionados à categoria mais perigosa de sites, os mesmos locais em que os usuários on-line têm a maior exposição a malwares, como mecanismos de busca, estão entre as principais áreas que guiam às ocorrências de malware da Web.

36%

9% Mecanismo de pesquisa

Anúncios

Rede Social

Outros

20%

13%22%

Vídeo on-line

Top Web Applications by Hits


When Gothic Horror Gives Birth to Malwarede Kevin W. Hamlen Professor Associado, Departamento de Ciências da Computação da Universidade do Texas, Dallas

A camuflagem do malware é uma ameaça emergente que profissionais de segurança enfrentarão cada vez mais. Enquanto a maioria dos malwares usam mutação ou ofuscação para diversificar e tornar a aplicação de engenharia reversa mais difícil, o malware com auto-camuflagem é ainda mais furtivo, misturando-se com o software específico já presente em cada sistema infectado por esse tipo de malware. Isso pode enganar as defesas que procuram por anomalias de software com descompactação de tempo de execução ou código criptografado, que frequentemente expõem malwares mais convencionais.

A última tecnologia de malware de auto-camuflagem — apropriadamente apelidada de Frankenstein17 — é um produto de nossa pesquisa deste ano no Cyber Security Research and Education Center na Universidade do Texas, em Dallas. Assim como a história fictícia do cientista louco no romance de terror de Mary Shelley, o “malware Frankenstein” cria mutantes que roubam partes de corpos (ou seja, códigos) de outros softwares e as une para criar variantes exclusivas de si mesmo. Cada Frankenstein mutante é, portanto, composto totalmente de um software não anômalo e de aparência benigna, não executa descompactação de tempo de execução ou criptografia suspeita e tem acesso a um conjunto sempre em expansão de transformações de códigos dos vários programas que ele encontra.

Sorrateiramente, o Frankenstein dá vida às suas criações usando uma variedade de técnicas extraídas de teorias de compiladores e análises de programas. Primeiro, os binários da vítima são examinados em busca de pequenas sequências de bites que decodificam sequências de instruções possivelmente úteis, chamadas de gadgets. Em seguida, um pequeno interpretador abstrato infere os possíveis efeitos semânticos de cada gadget descoberto. É aplicada uma pesquisa retroativa para descobrir sequências de gadgets que, quando executadas em ordem, têm o efeito de implementar o comportamento malicioso da carga útil do malware.

Assim como a história fictícia do cientista louco no romance de terror de Mary Shelley, o “malware Frankenstein” cria mutantes que roubam partes de corpos (ou seja, códigos) de outros softwares e as une para criar variantes exclusivas de si mesmo.

47

17 Vishwath Mohan e Kevin W. Hamlen. “Frankenstein: Stitching Malware from Benign Binaries.” In. Proceedings of the USENIX Workshop on Offensive Technologies (WOOT), pp. 77-84, agosto de 2012.

18 Mohammad M. Masud, Tahseen M. Al-Khateeb, Kevin W. Hamlen, Jing Gao, Latifur Khan, Jiawei Han e Bhavani Thuraisingham. “Cloud-based” Malware Detection for Evolving Data Streams. 311 ACM Transactions on Management Information Systems (TMIS), 2(3), outubro de 2011.

Cada sequência descoberta é finalmente montada para formar um novo mutante. Na prática, o Frankenstein descobre mais de 2.000 gadgets por segundo, acumulando mais de 100.000 dos binários de apenas duas ou três vítimas em menos de cinco segundos. Com um conjunto tão grande de gadgets à sua disposição, os mutantes resultantes raramente compartilham alguma sequência de instruções comuns; cada uma delas, portanto, parece exclusiva.

Em geral, nossa pesquisa sugere que malwares de última geração podem cada vez mais evitar mutações simples com base em criptografia e compactação em favor de ofuscações binárias metamórficas avançadas, como as usadas pelo Frankenstein. Essas ofuscações são fáceis de implementar, apoiam a propagação rápida e são eficientes para ocultar o malware das fases de análise estática da maioria dos mecanismos de detecção de malware. Para enfrentar esta tendência, os defensores precisarão desenvolver algumas das mesmas tecnologias usadas para desenvolver o Frankenstein, que incluem análise estática com base em semântica ao invés de sintática, extração de recursos e assinaturas semânticas derivadas do aprendizado de máquina,18 em vez da análise puramente manual.

Este artigo relata uma pesquisa apoiada em parte pelo prêmio nº 1054629 da National Science Foundation (NSF) e pelos EUA. Prêmio FA9550-10-1-0088. da Air Force Office of Scientific Research (AFOSR) Qualquer opinião, descoberta, conclusão ou recomendação externada são do autor e não necessariamente reflete a da NSF ou da AFOSR.

Em geral, nossa pesquisa sugere que malwares de última geração podem cada vez mais evitar mutações simples com base em criptografia e compactação em favor de ofuscações binárias metamórficas avançadas, como as usadas pelo Frankenstein.


Análise de vulnerabilidade e ameaças de 2012O gráfico de categorias de vulnerabilidades e ameaças mostra um aumento significativo no total de ameaças — em 2012, o número de ameaças aumentou 19,8% com relação ao ano de 2011. Esse aumento acentuado das ameaças aplica uma forte pressão na capacidade de as empresas manterem os sistemas de gerenciamento de vulnerabilidades atualizados e corrigidos — especialmente com a mudança para ambientes virtuais.

As empresas também estão tentando adotar um uso maior de softwares open-source e de terceiros a serem incluídos em seus produtos e ambientes. "Uma única vulnerabilidade nas soluções open-source ou de terceiros pode impactar uma grande variedade de sistemas em todo o ambiente, o que torna difícil a identificação e a correção ou a atualização de todos esses sistemas,” diz Jeff Shipley, gerente da Cisco Security Research and Operations.

Quanto aos tipos de ameaças, o maior grupo é o de ameaças ao gerenciamento de recursos; isso geralmente inclui vulnerabilidades de negação de serviço, ameaças à validação de entradas como erros de injeção SQL e criação de script de site cruzado e fluxos de buffer que resultam na negação de serviço. A preponderância de ameaças semelhantes de anos anteriores, combinada com a elevação acentuada nas ameaças, indica que o segmento de segurança precisa se preparar melhor para a detecção e a manipulação dessas vulnerabilidades.

As Cisco IntelliShield Alert Urgency Ratings refletem o nível da atividade de ameaças relacionadas a vulnerabilidades específicas. O aumento substancial nas taxas de urgência de nível 3 indica que mais vulnerabilidades realmente estão sendo exploradas. Isso aconteceu provavelmente por causa do aumento na publicidade que liberou explorações por pesquisadores ou ferramentas de teste e a incorporação dessas explorações nos kits de ferramentas de ataque. Esses dois fatores permitem que mais explorações fiquem disponíveis e sejam usadas livremente por hackers e grupos criminosos.

As Cisco IntelliShield Alert Severity Ratings refletem o grau do impacto das explorações de vulnerabilidades bem-sucedidas. As taxas de gravidade também mostram um aumento notável nas ameaças de nível 3 — pelas mesmas razões indicadas acima em relação à pronta disponibilidade de ferramentas de exploração

Figura 9: taxas de urgência e gravidade

Números de alertas mensais de 2012



JaneiroFevereiro

MarçoAbrilMaio

JunhoJulho

AgostoSetembro

OutubroNovembroDezembro

417 259 158 417430 253 177 847518 324 194 1364375 167 208 1740322 174 148 2062534 294 240 2596422 210 212 3018541 286 255 3559357 167 190 3916418 191 227 4334476 252 224 4810400 203 197 5210

Total Reamp NovoTotal Reamp NovoTotal Reamp Novo

6292 3488 28045301 2684 26175210 2780 2430

010002000300040005000600070008000


2010 2011 2012

2010 2011 2012

Gravidade >=3

Gravidade >=4

Gravidade >=5

Urgência >=3

Urgência >=4

Urgência >=5

0 10 20 30 40 50 60 0 500 1000 1500 2000

Classi�cação Classi�cação

403 237 166 403400 176 224 803501 276 225 1304475 229 246 1779404 185 219 2183472 221 251 2655453 213 240 3108474 226 248 3582441 234 207 4023558 314 244 4581357 195 162 4938363 178 185 5301

552 344 208 552551 317 234 1103487 238 249 1590524 306 218 2114586 343 243 2700647 389 258 3347514 277 237 3861591 306 285 4452572 330 242 5024517 280 237 5541375 175 200 5916376 183 193 6292

49

Figura 10: categorias de vulnerabilidades e ameaças

"Uma única vulnerabilidade nas soluções open-source ou de terceiros pode impactar uma grande variedade de sistemas em todo o ambiente, o que torna difícil a identificação e a correção ou a atualização de todos esses sistemas”.

Jeff Shipley, gerente da Cisco Security Research and Operations.




JaneiroFevereiro

MarçoAbrilMaio

JunhoJulho

AgostoSetembro

OutubroNovembroDezembro

417 259 158 417430 253 177 847518 324 194 1364375 167 208 1740322 174 148 2062534 294 240 2596422 210 212 3018541 286 255 3559357 167 190 3916418 191 227 4334476 252 224 4810400 203 197 5210

Total Reamp NovoTotal Reamp NovoTotal Reamp Novo

6292 3488 28045301 2684 26175210 2780 2430

010002000300040005000600070008000


2010 2011 2012

2010 2011 2012

Gravidade >=3

Gravidade >=4

Gravidade >=5

Urgência >=3

Urgência >=4

Urgência >=5

0 10 20 30 40 50 60 0 500 1000 1500 2000

Classi�cação Classi�cação

403 237 166 403400 176 224 803501 276 225 1304475 229 246 1779404 185 219 2183472 221 251 2655453 213 240 3108474 226 248 3582441 234 207 4023558 314 244 4581357 195 162 4938363 178 185 5301

552 344 208 552551 317 234 1103487 238 249 1590524 306 218 2114586 343 243 2700647 389 258 3347514 277 237 3861591 306 285 4452572 330 242 5024517 280 237 5541375 175 200 5916376 183 193 6292


Ameaças em evoluçãoNovos métodos, mesmas explorações

51

Hoje em dia, não importa qual exploração cibernética é escolhida — contanto que o método selecionado aja com eficiência.

Isso não quer dizer que os agentes na economia paralela não continuam comprometidos com a criação de ferramentas e técnicas ainda mais sofisticadas para afetar usuários, infectar redes, roubar dados confidenciais, entre muitos outros objetivos. Em 2012, no entanto, houve uma tendência que tentava resgatar os "bons e velhos" malwares para descobrir novas maneiras de criar interrupções ou evadir proteções de segurança corporativa.

Os ataques DDoS são um exemplo importante — várias grandes instituições financeiras dos Estados Unidos foram alvos famosos de duas campanhas importantes e relacionadas lançadas por grupos de hacktivistas estrangeiros nos últimos seis meses de 2012 (para análise detalhada, consulte a seção tendências de ataques de negação de serviço distribuídos em 2012). Alguns especialistas em segurança avisam que esses eventos são apenas o início e que os "hacktivistas, redes criminosas organizadas e até mesmo

Estados-nação, serão os responsáveis"19 por esses ataques no futuro, trabalhando tanto de forma colaborativa como de forma independente.

“Nós estamos percebendo no DDoS uma tendência na qual os invasores acrescentam contexto adicional ao site alvo do ataque para que a interrupção se torne mais significativa," diz Gavin Reid, diretor da Threat Research for Cisco Security Intelligence Operations, "Em vez de fazer um fluxo SYN, agora, o DDoS tenta manipular um aplicativo específico da empresa — o que possivelmente provocará um conjunto de danos em cascata, no caso de falha.”

Em 2012 houve uma tendência que tentava resgatar os "bons e velhos" malwares para descobrir novas maneiras de criar interrupções ou evadir proteções de segurança corporativa.


Embora as empresas possam acreditar-se adequadamente protegidas contra a ameaça do DDoS, muito provavelmente suas redes não poderiam ser defendidas contra os tipos de ataques implacáveis e em alto volume testemunhados em 2012.

"Mesmo contra adversários sofisticados — mas medianos—, a "modernidade"' atual na segurança de rede é frequentemente ultrapassada de forma significativa," diz Gregory Neal Akers, Vice-Presidente Sênior do Advanced Security Initiatives Group da Cisco.

Outra tendência na comunidade de crimes cibernéticos gira em torno da

"democratização" de ameaças. Vemos cada vez mais que atualmente as ferramentas e técnicas — e a inteligência sobre como explorar vulnerabilidades — são "amplamente compartilhadas" na economia paralela. “Recursos de táticas de espionagem se desenvolveram muito," diz Akers. “Agora vemos mais especialização e colaboração entre agentes maliciosos". É uma linha de produção de ameaças: alguém desenvolve um bug, outra pessoa cria o malware, outra projeta o componente de engenharia social e assim por diante."

A criação de poderosas ameaças que os ajudarão a obter acesso ao grande volume de ativos de alto valor encontrados na rede é um dos motivos pelos quais o criminosos cibernéticos estão combinando suas expertises com mais frequência. Mas, na comunidade de crimes virtuais, como em qualquer empresa do mundo real que terceiriza suas tarefas, eficiência e redução de custos estão entre os principais estimuladores da abordagem "criar uma ameaça". O "talento autônomo" contratado para essas tarefas normalmente anuncia suas habilidades e paga taxas para a ampla comunidade de crimes cibernéticos por intermédio de mercados on-line secretos.

"Mesmo contra adversários sofisticados — mas medianos—, a "modernidade" atual da segurança de rede é frequentemente ultrapassada de forma significativa."

Gregory Neal Akers, vice-presidente sênior do Advanced Security Initiatives Group da Cisco

53

Ataques de amplificação e reflexãoAtaques de amplificação e reflexão de DNS20 utilizam resolvedores recursivos de sistema de nomes de domínio (DNS) ou servidores oficiais de DNS para aumentar o volume de tráfego de ataques enviados a uma vítima. Ao falsificar21 mensagens de solicitação de DNS, esses ataques escondem a verdadeira fonte do ataque e enviam consultas de DNS que retornam mensagens de resposta de DNS 1.000 a 10.000% maiores que a mensagem de solicitação de DNS. Esses tipos de perfis de ataque são comumente observados durante ataques 22 DDoS.

As empresas participam inadvertidamente desses ataques ao deixar resolvedores recursivos abertos pela Internet. Eles podem detectar os ataques usando várias ferramentas23 e tecnologias de telemetria 24 de fluxo que podem ajudar a proteger 25 seu servidor DNS ou mensagens de resposta26 de DNS com limite de taxa.

Tendências ataques de negação de serviço distribuídos em 2012A análise a seguir é derivada do repositório do Arbor Networks ATLAS, que compreende dados mundiais reunidos a partir de várias origens, de 240 ISPs, tráfego de monitoração de pico de 37,8 Tbps.27

Os tamanhos dos ataques continuam a ser uma tendência ascendente Em geral, houve um aumento no tamanho médio de ataques no ano passado. Houve um aumento de 27% em volume de ataques (de 1.23 Gbps em 2011 para 1.57 Gbps em 2012) e um aumento de 15% nos pacotes por segundo usados em ataques (de 1,33 Mpps em 2011 para 1,54 Mpps em 2012).

Demografia dos ataques As três principais fontes de ataques monitoradas, depois de remover 41% de fontes para as quais não há atribuição devido ao anonimato de dados, são a China (17,8%), Coreia do Sul (12,7%) e Estados Unidos (8%).

Os maiores ataques O maior ataque monitorado foi medido em 100,84 Gbps e durou aproximadamente 20 minutos (a fonte do ataque é desconhecida devido ao anonimato de dados). O maior ataque monitorado em pps correspondente foi medido em 82,36 Gbps e durou aproximadamente 24 minutos (a fonte do ataque é desconhecida devido ao anonimato de dados).


Figura 11: evasões do Sistema de Prevenção de Intrusos (IPS)

A Cisco Security Research and Operations mantém vários laboratórios de malware para observar o tráfego de elementos maliciosos na prática. O malware é liberado intencionalmente nesses laboratórios para garantir se os dispositivos de segurança são eficientes; os computadores também são deixados intencionalmente vulneráveis e expostos à Internet.

Protocolo de controle de transmissão, Src Porta: 32883 (32883), DstDCE RPC Bind, Fragmento: Único, FragLen: 820, Call: 0 Versão: 5 Versão (inferior): 0 Tipo de Pacote: bind (11) Sinalizadores do pacote: 0x03 Representação de dados: 10000000 Comprimento do fragmento.: 820 Comprimento autorizado: 0 ID de chamada: 0 Transm. máx. de frag.: 5.840 Recup. máx. de frag.: 5.840 Grupo de assoc.: 0x00000000 Número de itens de contexto: 18 ID de contexto: 0 Número de itens de transm.: 1 UUID da interface: c681d4c7-7f36-33aa-6cb8-535560c3f0e9 ID de contexto: 1 Número de itens transf.: 1 Interface UUID: 2ec29c7e-6d49-5e67-9d6f-4c4a37a87355

55

Armamento de técnicas modernas de evasãoCriminosos cibernéticos desenvolvem constantemente novas técnicas para passar por dispositivos de segurança. Os pesquisadores da Cisco observam de forma cautelosa as novas técnicas e o "armamento" de técnicas bem conhecidas.

A Cisco Security Research and Operations mantém vários laboratórios de malware para observar o tráfego de elementos maliciosos na prática. O malware é liberado intencionalmente nesses laboratórios para garantir se os dispositivos de segurança são eficientes; os computadores também são deixados intencionalmente vulneráveis e expostos à Internet.

Durante esse teste, a tecnologia Cisco Intrusion Prevention System (IPS) detecta um ataque bem conhecido à Chamada de Procedimento Remoto da Microsoft (MSRPC). Uma análise cuidadosa determinou que o ataque utiliza uma tática de evasão de malware nunca vista em uma tentativa de passar pelos dispositivos de segurança.28 A evasão enviou vários IDs de contexto de ligação dentro da solicitação de ligação inicial. Este tipo de ataque pode evadir proteções a menos que o IPS monitore e determine quais IDs foram bem-sucedidas.

Criminosos cibernéticos desenvolvem constantemente novas técnicas para passar por dispositivos de segurança. Os pesquisadores da Cisco observam de forma cautelosa as novas técnicas e o "armamento" de técnicas bem conhecidas.


ESTUDO DE CASO

Operação AbabilDurante setembro e outubro de 2012, a Cisco e a Arbor Networks monitoraram uma campanha de ataques de DDoS direcionada e muito séria conhecida como "Operação Ababil", que tinha como alvo instituições financeiras com base nos EUA. Os ataques a DDoS foram premeditados, concentrados, anunciados e executados à risca. Os invasores foram capazes de deixar vários sites financeiros importantes indisponíveis para clientes legítimos por minutos — e nas ocorrências mais graves, por horas. Durante os eventos, vários grupos assumiram a responsabilidade pelos ataques. Pelo menos um grupo alegou estar protestando contra a legislação de direitos autorais e de propriedade intelectual nos Estados Unidos. Outros divulgaram seu envolvimento como uma resposta a um vídeo publicado no YouTube que apresentava conteúdo ofensivo para uma parcela de muçulmanos.

Do ponto de vista de segurança cibernética, a Operação Ababil é notável porque aproveitou aplicativos da Web e servidores de hospedagem comuns que são tão populares quanto vulneráveis. Outro fator óbvio e incomum usado nessa séries de ataques foi que ataques simultâneos, em alta largura de banda, foram lançados contra várias empresas do mesmo setor (financeiro).

Como é observado frequentemente no setor de segurança, o antigo torna-se atual novamente.

Em 18 de setembro de 2012, o "Cyber Fighters of Izz ad-Din al-Qassam" postou no Pastebin29 fazendo um apelo aos muçulmanos para que atacassem instituições financeiras e plataformas de negociação de commodities. As ameaças e alvos específicos foram expostos perante o mundo durante quatro semanas consecutivas. A cada semana, novas ameaças junto a novos alvos foram seguidos por ações ocorridas nos horários e datas indicados. Na quinta semana, o grupo parou de nomear alvos, mas deixou claro que as campanhas continuariam. Conforme prometido, as campanhas recomeçaram no começo de dezembro de 2012, mais uma vez tendo como alvo várias grandes instituições financeiras dos EUA.

A fase 2 da Operação Ababil também foi anunciada no Pastebin.30 Ao invés de infectar máquinas, uma variedade de aplicativos da Web de PHP, incluindo o Sistema de Gerenciamento de Conteúdo Joomla, serviram como os principais robôs da campanha. Além disso, muitos sites do WordPress, frequentemente usando o plug-in TimThumb desatualizado, foram comprometidos mais ou menos ao mesmo tempo. Os invasores também tiveram como alvo servidores sem manutenção que hospedavam esses aplicativos e carregaram webshells de PHP para desenvolver mais ferramentas de ataque. O conceito de "comando e controle" não foi aplicado da maneira típica. Os invasores conectaram-se a ferramentas diretamente ou usaram servidores, scripts e proxies intermediários. Durante os eventos cibernéticos em setembro e outubro de 2012, uma grande quantidade de arquivos e ferramentas com base em PHP foram usados, não apenas o “tsoknoproblembro” (conhecido como “Brobot”) relatado. A segunda fase da atividade também utilizou ferramentas de ataque atualizadas como o Brobot v2.

A Operação Ababil desenvolveu uma combinação de ferramentas com vetores que atacam a camada de aplicações em HTTP, HTTPS e DNS com tráfego de ataque volumétrico em uma variedade de protocolos TCP, UDP, ICMP e outros protocolos IP. A análise da Cisco mostrou que a maioria dos pacotes foram enviados para TCP/UDP porta 53 (DNS) ou 80 (HTTP). Enquanto o tráfego em UDP porta 53 e TCP portas 53 e 80 representam um tráfego normalmente válido, pacotes destinados para UDP porta 80 representam uma anomalia geralmente não usada por aplicações.

Um relatório detalhado dos padrões e cargas úteis da campanha da Operação Ababil pode ser encontrado no Resposta ao evento da Cisco: Ataques de negação de serviço distribuídos em instituições financeiras.31

57

Lições aprendidasEmbora eles representem uma parte fundamental de qualquer portfólio de segurança de rede, os dispositivos IPS e de firewall dependem de uma inspeção de tráfego stateful. As técnicas da camada de aplicativos usadas na campanha da Operação Ababil derrubaram facilmente as tabelas de estados e, em vários casos, fizeram com que elas falhassem. A tecnologia inteligente de mitigação de DDoS foi uma das medidas preventivas eficientes utilizadas.

Os serviços de segurança gerenciados e os provedores de serviço da Internet (ISPs) têm seus limites. Durante um típico ataque DDoS, acredita-se que os ataques volumétricos devem ser combatidos na rede. Para as campanhas da camada de aplicativos implantadas mais próximas às vítimas, eles devem ser tratados no data center ou na "borda do cliente". Como várias empresas foram alvejadas simultaneamente, os centros de depuração de rede ficaram sobrecarregados.

É fundamental manter o hardware e o software atualizados nos dispositivos de mitigação de DDoS. As implantações mais antigas nem sempre estão aptas a combater as ameaças mais recentes. Também é importante ter a capacidade certa nos locais certos. Ser capaz de mitigar um grande ataque é inútil se o tráfego não puder ser canalizado para o local onde a tecnologia foi implantada.

Embora a mitigação de ataques de DDos em nuvem ou de rede geralmente apresente uma largura de banda muito mais elevada, as soluções implantadas localmente oferecem um melhor tempo de reação contra os ataques, além de melhor controle e visibilidade sobre eles. A combinação dos dois cria uma solução mais completa.

Em conjunto com tecnologias de DDoS em nuvem e de rede, e como parte do material de apoio produzido para os eventos da Operação Ababil, a Cisco resumiu as tecnologias de detecção e mitigação no Identifying and Mitigating the Distributed Denial of Service Attacks Targeting Financial Institutions Applied Mitigation Bulletin.32 Essas técnicas incluem o uso de filtro da Lista de controle de acesso de trânsito (tACL), análise de dados de NetFlow e unicast Reverse Path Forwarding (uRPF). Além disso, há várias melhores práticas que devem ser regularmente revisadas, testadas e implementadas que ajudarão muito as empresas a se prepararem e a reagirem a eventos de rede. Uma biblioteca com conteúdo sobre essas melhores práticas pode ser encontrada no Cisco SIO Tactical Resources33 e no Service Provider Security Best Practices.34


Envio de spam sempre presente

59

Os volumes de spam estão continuamente em declínio em todo o mundo, de acordo com uma pesquisa da Cisco, mas o spam ainda é uma ferramenta prática para muitos criminosos cibernéticos, que o veem como uma maneira eficiente e conveniente de expor os usuários a malwares e para possibilitar uma ampla gama de golpes.

Entretanto, apesar da percepção de que o malware é normalmente desenvolvido através de anexos de e-mail de spam, a pesquisa da Cisco mostra que atualmente muito poucos spammers utilizam esse método; ao invés disso, lançam mão de links maliciosos no e-mail como um mecanismo de distribuição muito mais eficiente.

O spam é algo menos "disperso" que no passado, com muito mais spammers preferindo como alvo grupos específicos de usuários na esperança de gerar retornos financeiros mais altos. Marcas famosas de empresas farmacêuticas, relógios de luxo e eventos como a temporada fiscal, estão no topo da lista das coisas mais promovidas por spammers em suas campanhas. Com o tempo, os spammers aprenderam que

a maneira mais rápida de atrair cliques e compras — e de gerar lucro — é promover marcas falsificadas e se aproveitar de eventos atuais que atraem a atenção de grandes grupos de usuários.

Tendências mundiais de spamDesde as retiradas de botnet em grande escala de 2010, os spans enviados em altos volumes não são tão eficientes como antes e os spammers aprenderam isso e mudaram sua tática. Existe uma clara evolução que segue na direção de campanhas menores e com maior direcionamento, baseadas em eventos mundiais e em subconjuntos específicos de usuários. Grandes volumes de spam também têm maior probabilidade de ser


Figura 12: tendências mundiais de spamOs volumes de spam global estão abaixo de 18%, com a maioria dos spammers mantendo horários comerciais em fins de semanas.

Estados Unidos

Arábia Saudita

Brasil

11,38%

3,60%

Polônia2,72%

Taiwan2,94%

Vietnã4,00%

3,60%

Índia12,3%

Rússia3,88%

China4,19%

Coreia4,60%

10

98

7

6

5

4 32

1


Rússia5%

Catalão3%

Japonês3%

Dinamarquês2%

Francês1%

Romeno1%

Espanhol1%

Alemão1%

English 79% Chinês

1%

Spam Language

61

Estados Unidos

Arábia Saudita

Brasil

11,38%

3,60%

Polônia2,72%

Taiwan2,94%

Vietnã4,00%

3,60%

Índia12,3%

Rússia3,88%

China4,19%

Coreia4,60%

10

98

7

6

5

4 32

1


Rússia5%

Catalão3%

Japonês3%

Dinamarquês2%

Francês1%

Romeno1%

Espanhol1%

Alemão1%

English 79% Chinês

1%

Spam Language

Grandes volumes de spam têm maior probabilidade de ser observados por provedores de e-mail, que os encerrarão antes que seu objetivo possa ser concluído.


observados por provedores de e-mail, que os encerrarão antes que seu objetivo possa ser concluído.

Em 2011, os volumes gerais de spam mundiais ficaram abaixo de 18%. Isso está longe da queda radical de volume observada em 2010, seguinte às retiradas de botnet, mas a diminuição da tendência ainda é considerada como um avanço positivo.

Os spammers continuam concentrados na minimização de esforços enquanto maximizam o impacto. De acordo com a pesquisa da Cisco, o volume de spans caiu 25% nos finais de semana, quando os usuários muitas vezes não acessam e-mails. O volume de spans subiu nos níveis mais altos nas terças e quartas-feiras — uma média de 10% mais alto que em outros dias da semana. Essa atividade reforçada no meio da semana e volumes mais baixos no final de semana permitem que spammers vivam "vidas normais".

Isso também oferece a eles tempo para investir na criação de campanhas adaptadas com base em eventos mundiais no começo da semana que os ajudarão a gerar uma taxa de resposta mais alta.

Em 2012 houve vários exemplos de spammers que usaram notícias sobre eventos mundiais — e até grandes tragédias — para tirarem proveito dos usuários. Durante a supertempestade Sandy, por exemplo, os pesquisadores da Cisco identificaram um golpe de ação de "bump and dump" com base em uma campanha de spam. Utilizando uma mensagem de e-mail pré-existente que fazia um apelo às pessoas para que elas investissem em penny stocks (ações de baixo valor) voltadas para a exploração de recursos naturais, os spammers começaram a anexar às mensagens manchetes sensacionalistas sobre a supertempestade Sandy. Um aspecto incomum dessa campanha é que os spammers utilizaram endereços IP exclusivos para enviar um lote de spam — e não ativaram esses endereços desde então.

Origem do spamNo mundo do spam, alguns países permanecem nas mesmas posições enquanto outros mudaram notavelmente suas classificações. Em 2012, a Índia permaneceu no topo do ranking como uma fonte mundial de spans. Os Estados Unidos subiram da sexta posição em 2011, para a segunda em 2012. Completando os cinco principais países originadores de spam estão a Coreia (na terceira posição), a China (na quarta posição) e o Vietnã (na quinta posição).

Em 2012 houve vários exemplos de spammers que usaram notícias sobre eventos mundiais — e até grandes tragédias — para tirarem proveito sobre os usuários.

63

Figura 13: origem do spamA Índia mantêm a liderança de spans e os Estados Unidos dispararam para a segunda posição.

menos de 25%

mais de 10%SEGUNDA-FEIRA

TERÇA-FEIRA

QUARTA-FEIRA

QUINTA-FEIRA

SEXTA-FEIRA

SÁBADO

DOMINGO

GANHOS NA METADE DA SEMANA

DECLÍNIO PARA FINS DE SEMANA

menos de 18%DECLÍNIO DE 2011 PARA 2012

VOLUMES DE SPAM

SPAM VOLUMESCISCO ASR / JAN 28, 2013 200 pm

De modo geral, a maioria dos spammers concentra seus esforços na criação de mensagens de spam que apresentam os idiomas falados pelos mais frequentes usuários de e-mails. De acordo com a pesquisa da Cisco, o principal idioma para mensagens de spam em 2012 foi o inglês, seguido pelo russo, catalão, japonês e dinamarquês. É importante observar que

há diferenças entre a origem de envio do spam e os idiomas que são usados na mensagem de spam; por exemplo, enquanto a Índia foi o país número um em origem de spans em 2012, os dialetos locais não se classificaram entre os 10 principais em termos de idiomas usados em spam enviado da Índia. O mesmo foi observado para Coreia, Vietnã e China.


Figura 15: spam de IPv6Embora os e-mails com base em IPv6 permaneçam representando uma porcentagem muito pequena do tráfego geral, eles estão crescendo com o aumento de usuários de e-mails migrando para uma infraestrutura com o IPv6 habilitado.

Figura 14: anexos de e-mailApenas 3% dos spans possuem anexos em comparação com 25% de e-mails válidos, mas anexos de spam são 18% maiores.

Only 3% of Spam has an Attachment, versus 25% of Valid Email

3% 25%

18%

E-mail válidoE-mail de spam

Anexos de spam são 18% maiores

Email Attachments

JUN JUL AGO SET OUT NOV DEZ

Aumento de e-mails por IPv6: 862%

Aumento de spans por IPv6: 171%

IPv6 Spam

65

Anexos de e-mailO spam foi considerado por muito tempo como um mecanismo de disponibilização de malware, especialmente quando um anexo está envolvido. Mas uma pesquisa recente da Cisco sobre o uso de anexos de e-mail em campanhas de spam, mostra que esta percepção pode ser um mito.

Apenas 3% do total de spans possui um anexo, contra 25% de e-mails válidos. Nos raros casos em que uma mensagem de spam não inclui um anexo, ela é em média de 18% maior que um anexo normal que seria incluído em um e-mail válido. Como resultado, esses anexos tendem a ser contrastantes.

Nos e-mails modernos, os links reinam. Os spammers projetam suas campanhas para convencer os usuários a visitarem os sites onde podem comprar produtos ou serviços (geralmente duvidosos). Uma vez ali, as informações pessoais dos usuários são coletadas, com frequência sem seu conhecimento, ou eles são comprometidos de alguma outra maneira.

De acordo com a análise "Marcas Falsificadas", exibida posteriormente nesta seção, foi revelado que a maioria dos spans são originados em grupos que buscam

vender um conjunto de mercadorias de marcas famosas muito específico - de relógios de luxo a produtos farmacêuticos - os quais, na maior parte dos casos, são falsos.

Spam de IPv6Embora os e-mails com base em IPv6 permaneçam representando uma porcentagem muito pequena do tráfego geral, eles estão crescendo com o aumento de usuários de e-mails migrando para uma infraestrutura com o IPv6 habilitado.

No entanto, apesar do volume geral de e-mails crescer rapidamente, esse não é o caso dos spans de IPv6. Isso sugere que os spammers estão evitando o tempo e os gastos despendidos com a migração para o novo padrão da Internet. Não há uma necessidade que estimule os spammers - e praticamente nenhum ou mesmo zero benefícios - para que seja feita tamanha mudança no momento atual. Devido ao esgotamento dos endereços IPv4 e ao crescimento explosivo do uso do IPv6, impulsionado pelos dispositivos móveis e pela comunicação M2M, prevê-se que os spammers atualizem sua infraestrutura e agilizem seus esforços.

Nos e-mails modernos, os links reinam. Os spammers projetam suas campanhas para convencer os usuários a visitarem os sites onde podem comprar produtos ou serviços. Uma vez ali, as informações pessoais dos usuários são coletadas, com frequência sem seu conhecimento, ou eles são comprometidos de alguma outra maneira.


Figura 16: marcas falsificadasOs spammers têm como alvo produtos farmacêuticos, relógios de luxo e temporadas fiscais.

Medicamentos prescritos

Relógios de luxo

Cartão de crédito

Análises de negócios

Redes pro�ssionais

Transferência �nanceira eletrônica

Software de contabilidade

Rede social

Associações de pro�ssionais

Companhia aérea

Correio

Perda de peso

Organização governamental

Software do Windows

Empresa de celular

Classi�cados on-line

Impostos

Hormônio de crescimento humano

Notícias

Serviços de pagamento eletrônico

Cartões

Carros de luxo

Serviços de folha de pagamento

JAN FEV MAR ABR MAY JUN JUL AGO SET OUT NOV DEZ

5% 50% 100%

Visualização do consumidor do Windows 8

Spans relacionados a aparelhos celulares coincide com o lançamento do iPhone 5

Spans relacionados a redes sociais pro�ssionais

Software de contabilidade durante a temporada �scal dos EUA

Spoofed Brands for Spam

67

Marcas falsificadasCom e-mails de spam de marcas falsificadas, os spammers usam empresas e produtos para enviar suas mensagens na esperança de que usuários on-line cliquem em um link ou façam uma compra. A maioria das marcas falsificadas são de medicamentos prescritos, como ansiolíticos ou antibióticos. Além disso, marcas de relógios de luxo também fazem parte do "burburinho" que permanece constante durante todo o ano.

A análise da Cisco mostra que os spammers também têm a habilidade de vincular suas campanhas aos eventos de notícias. De janeiro a março de 2012 os dados da Cisco mostraram um aumento no número de spans relacionados ao software Windows, o que coincidiu com o lançamento do sistema operacional Windows 8. De fevereiro a abril de 2012, durante a temporada fiscal dos EUA, a análise mostra um aumento vertiginoso de spans desenvolvidos para softwares fiscais.

De janeiro a março de 2012, e então novamente de setembro a dezembro de 2012 — o inicio e o final do ano — o spam relacionado a redes profissionais teve grandes aparições, talvez porque os spammers sabiam que as pessoas muitas vezes começam a procurar por trabalho durante estes períodos do ano.

De setembro a novembro de 2012, os spammers executaram uma série de campanhas passando-se por empresas de telefonia móvel, coincidindo com o lançamento do iPhone 5.

Resumindo: os spammers desempenham essa atividade pelo dinheiro e, ao longo dos anos, aprenderam que a maneira mais rápida de atrair cliques e compras é oferecendo produtos farmacêuticos e artigos de luxo e adaptando seus ataques a eventos que chamem a atenção da maior parte do mundo.

Em resumo, os spammers desempenham essa atividade pelo dinheiro e, ao longo dos anos, aprenderam que a maneira mais rápida de atrair cliques e compras é oferecendo produtos farmacêuticos e artigos de luxo e adaptando seus ataques a eventos que chamem a atenção da maior parte do mundo.


Gerenciamento de vulnerabilidades: um fornecedor deve fazer mais do que enumerar de forma ambivalente35 Como um fornecedor divulga os problemas de segurança de seu produto é o aspecto mais visível de suas práticas de gerenciamento de vulnerabilidades. Na Cisco, os avisos de segurança36 são pesquisados e publicados pelo Product Security Incident Response Team (PSIRT), um grupo de especialistas em segurança sêniores que entende que a proteção de clientes da Cisco e da corporação devem estar conectadas.

“Os avisos de segurança divulgam nossos problemas de segurança do produto mais graves e são, geralmente, a primeira evidência de uma vulnerabilidade de um produto da Cisco,” diz Russell Smoak, Diretor Sênior do Cisco Security Research and Operations, “Como tal, é importante que eles sejam um veículo de comunicações eficiente, que ajudem os clientes a tomarem decisões bem informadas e a gerenciar seus riscos. Combinados com técnicas de mitigação avançadas37oferecemos a nossos clientes formas de alavancar os recursos presentes nos mecanismos instalados da Cisco. Somos capazes de oferecer o maior número de detalhes possível para responder de forma rápida e confiável."

O gerenciamento de vulnerabilidades, entretanto, começa muito antes de seu ciclo de vida e pode se estender além da divulgação inicial. "A melhoria contínua das práticas de gerenciamento de vulnerabilidades é imprescindível para acompanhar o ritmo de mudanças do ambiente de segurança, as quais resultam da evolução de ameaças, bem como de novos produtos e tecnologias," diz Smoak.

Em outras palavras, um fornecedor que não desenvolve tecnologias de combate às ameaças cibernéticas — e que não divulga ameaças - corre o risco de não acompanhar o ritmo do mercado. Por exemplo, a inovação da ferramenta de gerenciamento de vulnerabilidades interna da Cisco atua na área software de terceiros. O software de terceiros é qualquer código incluído em um produto do fornecedor que não foi criado pelo próprio. Geralmente incluem softwares comerciais de terceiros ou softwares livres.

A Cisco utiliza ferramentas personalizadas que usam dados de vulnerabilidade do Cisco IntelliShield38 para notificar as equipes de desenvolvimento do produto quando um problema de segurança originado em um software de terceiros pode afetar um produto da Cisco. Esta ferramenta, denominada Cisco Internal Alert Manager, tem ampla capacidade de gerenciar problemas de segurança que são originados em códigos que não pertencem à Cisco.

Um fornecedor que não desenvolve tecnologias de combate às ameaças cibernéticas — e que não divulga ameaças - corre o risco de não acompanhar o ritmo do mercado.

69

As melhorias de práticas de divulgação de segurança também devem ser contínuas. No começo de 2013, a Cisco começará a usar um novo tipo de documento — o Cisco Security Notes — para divulgar problemas de segurança de produto com níveis de gravidade de baixa a média. O Cisco Security Notice melhorará a eficiência da comunicação relacionada a problemas de segurança não considerados graves o suficiente para justificar um Cisco Security Advisory. Esses documentos estarão disponíveis publicamente e serão indexados por um identificador Common Vulnerability and Exposure (CVE) para a obtenção de uma melhor visibilidade.

Para melhorar ainda mais a divulgação do relatório contínuo de problemas de segurança, os fornecedores (incluindo a Cisco) começaram a incluir os formatos Common Vulnerability Reporting Framework (CVRF)39 e Open Vulnerability Assessment Language (OVAL)40 em suas divulgações Esses padrões em desenvolvimento ajudam os usuários finais a avaliarem as vulnerabilidades através de várias plataformas e tecnologias com segurança — e os padrões são capazes de aumentar devido aos benefícios do formato legível por máquina. “Assegurar que nossos clientes tenham as ferramentas necessárias para avaliar adequadamente ameaças às suas redes ajuda a reduzir riscos e permite a priorização das tarefas exigidas para a proteção de suas infraestruturas,” diz Smoak.

No próximo ano, para obter atualizações adicionais e análises detalhadas sobre tendências de segurança, além de informações sobre as publicações mais recentes da Cisco relacionadas à segurança corporativa, visite o site Cisco Security Reports. http://www.cisco.com/go/securityreport

Para acompanhar continuamente as ideias e opiniões dos especialistas da Cisco sobre uma grande variedade de tópicos de segurança, visite o Cisco Security Blog. blogs.cisco.com/security


Perspectivas de segurança para 2013

71

O cenário de ameaças hoje não é um problema cuja causa se dá devido a usuários desinformados que visitam site maliciosos, nem tampouco será resolvido pelo bloqueio de locais na Web conhecidos por serem "corrompidos".

Esse relatório demonstrou como os invasores têm se tornado cada vez mais sofisticados, buscam sites, ferramentas e aplicativos menos prováveis de levantar suspeitas, os quais são visitados pelo usuários com mais frequência. As ameaças modernas são capazes de infectar públicos em massa de forma silenciosa e eficiente, sem discriminar segmentos de mercado, tamanho, empresa ou país. Os criminosos cibernéticos estão se beneficiando do cenário de ataques atual, o qual encontra-se em rápida expansão e bastante presente no mundo do sistema “any-to-any”, onde as pessoas fazem uso de qualquer dispositivo para acessar as redes de suas empresas.

Com a migração contínua das principais infraestruturas nacionais, empresas e mercados financeiros globais para serviços com base na nuvem e para a conectividade móvel, uma abordagem integrada e em camadas voltada para a

segurança é necessária para proteger a próspera Internet de Todas as Coisas. “Os hackers e criminosos cibernéticos tiram proveito do fato de que toda empresa dos setores privado e público possui seu próprio programa de segurança de TI," diz John Stewart. "Sim, nós participamos de conferências e permanecemos em contato uns com os outros, mas nós realmente precisamos sair do formato de segurança de TI individualizado para um que tenha base em um compartilhamento de inteligência em tempo real e na responsividade coletiva."

As ameaças modernas são capazes de infectar públicos em massa de forma silenciosa e eficiente, sem discriminar segmentos de mercado, tamanho, empresa ou país.


Construir uma infraestrutura de segurança melhor não significa criar uma arquitetura mais complexa — na verdade, é exatamente o contrário. Significa fazer a infraestrutura e os elementos nela trabalharem juntos, com mais inteligência, para detectar e reduzir ameaças. A rápida adoção da consumerização de TI (BYOD), a realidade de hoje que se define pela utilização de vários dispositivos por usuário e o crescimento de serviços com base na nuvem, determinou o fim da era do gerenciamento de recursos de segurança em cada endpoint isoladamente. Nós devemos adotar um método holístico de segurança que garanta que estejamos monitorando ameaças em todos os vetores, compreendendo desde e-mails e a Web até os próprios usuários", diz Michael Covington, gerente de produtos da Cisco SIO. "A inteligência voltada ao combate de ameaças deve estar acima das plataformas individuais para que seja possível a obtenção de uma perspectiva de rede."

As ameaças miram cada vez mais usuários e organizações em vários vetores; as empresas precisam coletar, armazenar

e processar toda a atividade de rede relevante à segurança para entenderem melhor o escopo e extensão dos ataques. É possível, então, aumentar o nível de análise utilizando o contexto das atividades de rede para estabelecer um processo de tomada de decisões relacionadas à segurança mais preciso e adequado. Com o aumento da sofisticação dos invasores, é importante que as empresas projetem recursos de segurança na rede desde o início de suas operações, utilizando soluções que reúnam inteligência voltada para o combate de ameaças, políticas de segurança e controles aplicáveis em todos os pontos de contato da rede.

As ferramentas utilizadas para impedir os avanços dos invasores devem ser aprimoradas para que acompanhem seus níveis crescentes de sofisticação. Como a rede disponibiliza uma malha comum para comunicação nas plataformas, ela também servirá como meio de proteção para os dispositivos, os serviços e os usuários que diariamente a utilizam para realizar trocas de conteúdo confidencial. A rede do futuro é inteligente e deve oferecer uma melhor segurança utilizando uma estrutura de colaboração, a qual não era viável no passado, por meio da soma de seus componentes individuais.

A rede do futuro é inteligente e deve oferecer uma melhor segurança utilizando uma estrutura de colaboração, a qual não era viável no passado, por meio da soma de seus componentes individuais.


Sobre a Cisco Security Intelligence Operations

75

Gerenciar e proteger as redes distribuídas e ágeis de hoje tornou-se um desafio crescente.

Os criminosos cibernéticos continuam a explorar a confiança dos usuários em aplicativos e dispositivos de consumo, o que aumenta os riscos para empresas e funcionários. A segurança tradicional, baseada em camadas de produtos e no uso de vários filtros, não é suficiente para a defesa contra a mais recente geração de malwares, que se espalha rapidamente, tem objetivos mundiais e usa vários vetores para se propagar.

A Cisco se mantém à frente das mais novas ameaças, usando a inteligência voltada ao combate de ameaças em tempo real da Cisco Security Intelligence Operations (SIO). A Cisco SIO é o maior ecossistema de segurança com base na nuvem do mundo. Nele são analisados todos os dias mais de 75 terabits de feeds de dados em tempo real de soluções implantadas de e-mail, Web, firewall e IPS da Cisco.

A Cisco SIO agrega dados de vetores de ameaças e os analisa usando algoritmos automatizados e processamento manual, em uma tentativa de entender como as ameaças se propagam. A SIO então categoriza as ameaças e cria regras usando mais de 200 parâmetros. Os pesquisadores de segurança também analisam informações sobre eventos de segurança que têm o potencial para provocar um impacto generalizado sobre redes, aplicativos e dispositivos. As regras são transferidas de forma dinâmica aos dispositivos de segurança da Cisco a cada três a cinco minutos.

A Cisco SIO é o maior ecossistema de segurança com base na nuvem do mundo. Nele são analisados todos os dias mais de 75 terabits de feeds de dados em tempo real de soluções implantadas de e-mail, Web, firewall e IPS da Cisco.


A equipe da Cisco SIO também publica as melhores práticas de segurança, além de orientações táticas para bloquear ameaças. A Cisco está empenhada em oferecer soluções completas de segurança que sejam integradas, adequadas, abrangentes e eficazes, que permitam uma segurança holística para empresas em todo o mundo. Com a Cisco, as empresas podem economizar tempo com pesquisas sobre ameaças e vulnerabilidades, concentrando-se mais em uma abordagem proativa da segurança

Para saber mais sobre a inteligência de alertas, análise de ameaças e vulnerabilidades e soluções comprovadas de mitigação da Cisco, visite: http://www.cisco.com/security.

MetodologiaA análise apresentada neste relatório é baseada em dados que foram reunidos de várias fontes mundiais anônimas, e incluem soluções de segurança de e-mail, Web,

firewall e sistema de prevenção de intrusos (IPS) da Cisco. Essas plataformas são colocadas na linha de frente para proteger redes de clientes de conteúdo malicioso e invasores. Além desses mecanismos de proteção de clientes, a Cisco também coleta dados de uma implantação mundial de sensores que executam funções como armadilhas de spam e análise cautelosa da Web para encontrar ativamente novas instâncias de malware.

Utilizando essas ferramentas e os dados coletados por elas, a grande área de rede da Cisco oferece aos sistemas e pesquisadores da SIO uma perspectiva sobre uma amostragem significativa de atividades tanto legítimas como maliciosas ocorrendo na Internet. Nenhum fornecedor de segurança possui visibilidade total sobre todas as ocorrências maliciosas. Os dados apresentados nesse relatório representam a perspectiva da Cisco sobre o estado atual do panorama de ameaças e representa nossa melhor tentativa de normalizar os dados e refletir as tendências e padrões mundiais com base nos dados disponíveis no momento.

A Cisco coleta dados de uma implantação mundial de sensores que executam funções como armadilha de spam e análise cautelosa da Web para buscar ativamente por novas instâncias de malware.

77

Cisco Security IntelliShield Alert Manager ServiceO Cisco Security IntelliShield Alert Manager Service é uma solução abrangente e de baixo custo que oferece a inteligência de segurança que as empresas necessitam para identificar, prevenir e atenuar ataques aos seus departamentos de TI. Este serviço de alerta contra ameaças e vulnerabilidades, configurável e baseado na Web, permite que a equipe de segurança tenha acesso a informações precisas, em tempo útil e com credibilidade sobre ameaças e vulnerabilidades que possam afetar seus ambientes. O IntelliShield Alert Manager permite que as empresas salvem tempo na pesquisa por ameaças e vulnerabilidades e concentrem-se mais em uma abordagem proativa da segurança

A Cisco oferece uma versão gratuita durante 90 dias do Cisco Security IntelliShield Alert Manager Service. Ao registrar-se para o período de teste, você terá acesso completo ao serviço, incluindo ferramentas e alertas contra ameaças e vulnerabilidades.

Para saber mais sobre o Cisco Security IntelliShield Alert Manager Services, visite: https://intellishield.cisco.com/security/alertmanager/trialdo?dispatch=4.

Saiba mais

Cisco Security Intelligence Operations www.cisco.com/security

Cisco Security Blog blogs.cisco.com/security

Cisco Remote Management Services www.cisco.com/en/US/products/ps6192/serv_category_home

Cisco Security Products www.cisco.com/go/security

Cisco Corporate Security Programs Organization www.cisco.com/go/cspo

http://blogs.cisco.com/security


1 “ The Internet of Things,” por Michael Chui, Markus Löffler, and Roger Roberts, McKinsey Quarterly, março de 2010: http://www.mckinseyquarterly.com/The_Internet_of_Things_2538.

2 “ Cisco Event Response: Distributed Denial of Service Attacks on Financial Institutions,” 1º de outubro de 2012: http://www.cisco.com/web/about/security/intelligence/ERP-financial-DDoS.html.

3 Cisco Internet Business Solutions Group.

4 “ The World Market for Internet Connected Devices — 2012 Edition,” lançamento de mídia, IMS Research, 4 de outubro de 2012: http://imsresearch.com/press-release/Internet_Connected_Devices_Approaching_10_Billion_to_exceed_28_Billion_by_2020&cat_id=210&type=LatestResearch.


6 “ Internet of Everything: It’s the Connections That Matter,” by Dave Evans, Cisco Blog, 29 de novembro de 2012: http://blogs.cisco.com/news/internet-of-everything-its-the-connections-that-matter/.


8 Relatório anual de segurança da Cisco, dezembro de 2011: http://www.cisco.com/en/US/prod/collateral/vpndevc/security_annual_report_2011.pdf.

9 “ Remote Access and BYOD: Enterprises Working to Find Common Ground with Employees,” 2011 Cisco Annual Security Report, dezembro de 2011, p. 10: http://www.cisco.com/en/US/prod/collateral/vpndevc/security_annual_report_2011.pdf.

10 “ Cisco Global Cloud Index: Forecast and Methodology, 2011–2016”: http://www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/ns1175/Cloud_Index_White_Paper.html.

11 Ibid.

12 “ A Deep Dive Into Hyperjacking,” by Dimitri McKay, SecurityWeek, 3 de fevereiro de 2011: http://www.securityweek.com/deep-dive-hyperjacking.

13 India Asks Pakistan to Investigate Root of Panic,” by Jim Yardley, The New York Times, 19 de agosto de 2012: http://www.nytimes.com/2012/08/20/world/asia/india-asks-pakistan-to-help-investigate-root-of-panic.html?_r=1&.

14 “ Twitter Rumor Sparked Oil-Price Spike,” by Nicole Friedman, WSJ.com, 6 de agosto de 2012: http://online.wsj.com/article/SB10000872396390444246904577573661207457898.html.

15 Este artigo foi publicado originalmente no Cisco Security Blog: http://blogs.cisco.com/security/sniffing-out-social-media-disinformation/

16 Java.com: http://www.java.com/en/about/.

17 Vishwath Mohan and Kevin W. Hamlen. Frankenstein: Stitching Malware from Benign Binaries. In. Proceedings of the USENIX Workshop on Offensive Technologies (WOOT), pp. 77-84, agosto de 2012.

18 Mohammad M. Masud, Tahseen M. Al-Khateeb, Kevin W. Hamlen, Jing Gao, Latifur Khan, Jiawei Han e Bhavani Thuraisingham. Cloud-based Malware Detection for Evolving Data Streams. ACM Transactions on Management Information Systems (TMIS), 2(3), October 2011.

19 “DDoS Attacks: 2013 Forecast, Experts Say Recent Hits Only the Beginning,” by Tracy Kitten, BankInfoSecurity.com, 30 de dezembro de 2012: http://ffiec.bankinfosecurity.com/ddos-attacks-2013-forecast-a-5396.

79

20 “ Maliciously Abusing Implementation Flaws in DNS,” DNS Best Practices, Network Protections, and Attack Identification, Cisco.com: http://www.cisco.com/web/about/security/intelligence/dns-bcp.html#3.

21 “ IP Spoofing,” por Farha Ali, Lander University, disponível no Cisco.com: http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_10-4/104_ip-spoofing.html.

22 “ Distributed Denial of Service Attacks,” por Charalampos Patrikakis, Michalis Masikos e Olga Zouraraki, National Technical University of Athens, The Internet Protocol Journal - Volume 7, Número 4. Disponível em: http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html.

23 “ DNS Tools,” The Measurement Factory: http://dns.measurement-factory.com/tools.

24 Para obter mais informações sobre Ferramentas DNS, consulte DNS-OARC (https://www.dns-oarc.net/oarc/tools) e The Measurement Factory (http://dns.measurement-factory.com/tools/index.html).

25 “ Secure BIND Template Version 7,3 07 Aug 2012,” por TEAM CYMRU, cymru.com: http://www.cymru.com/Documents/secure-bind-template.html.

26 “ Response Rate Limiting in the Domain Name System (DNS RRL),” RedBarn.org: http://www.redbarn.org/dns/ratelimits.

27 Os dados do sistema de monitoramento da Internet ATLAS, da Arbor Networks, são derivados de honeypots implantados em redes de provedores de serviços no mundo inteiro, da pesquisa de malware da ASERT (Equipe de Engenharia e Respostas de Segurança da Arbor Networks) e de um feed de dados anônimos publicado a cada hora com base na correlação entre NetFlow, BGP e SNMP. Os dados anônimos disponibilizados pelos clientes do Peakflow SP da Arbor são comparados e analisados quanto à sua tendência no ATLAS para oferecer uma visão detalhada sobre os padrões de ameaças e tráfego na Internet.

28 “ IPS Testing,” Cisco.com: http://www.cisco.com/web/about/security/intelligence/cwilliams-ips.html.

29 “ Bank of America and New York Stock Exchange under attack unt [sic],” Pastebin.com, 18 de Setembro de 2012: http://pastebin.com/mCHia4W5.

30 “Phase 2 Operation Ababil,” Pastebin.com, 18 de setembro de 2012: http://pastebin.com/E4f7fmB5.

31 “ Cisco Event Response: Distributed Denial of Service Attacks on Financial Institutions”: http://www.cisco.com/web/about/security/intelligence/ERP-financial-DDoS.html.

32 Identifying and Mitigating the Distributed Denial of Service Attacks Targeting Financial Institutions Applied Mitigation Bulletin: http://tools.cisco.com/security/center/viewAMBAlert.x?alertId=27115.

33 “ Security Intelligence Operations Tactical Resources,” Cisco.com: http://tools.cisco.com/security/center/intelliPapers.x?i=55.

34 “ Service Provider Security Best Practices,” Cisco.com: http://tools.cisco.com/security/center/serviceProviders.x?i=76.

35 Anagrama oferecido como cortesia pela anagramgenius.com.

36 Cisco Security Advisories: http://cisco.com/go/psirt.

37 Cisco Applied Mitigation Bulletins, Cisco.com: http://tools.cisco.com/security/center/searchAIR.x.

38 Cisco Intellishield Alert Manager Service: http://www.cisco.com/web/services/portfolio/product-technical-support/intellishield/index.html.

39 CVRF, ICASI.com: http://www.icasi.org/cvrf.

40 OVAL, Oval International: http://oval.mitre.org/.

Relatorio Anual de Seguranca da Cisco

Technology

Transcript of Relatorio Anual de Seguranca da Cisco