11

RIVD 2012: RESUMO EXECUTIVOCom quase toda certeza, o ano de 2011 ficará na história como um ano de insurreição civil e cultural. Cidadãos se revoltaram, desafiaram e até mesmo derrubaram seus governos em um efeito dominó que já foi denominado a “Primavera Árabe”, apesar de ter se estendido além de uma única estação. Os insatisfeitos com o que perceberam como sendo o “1%” fomentador de riqueza ocuparam Wall Street, bem como outras cidades e locais espalhados pelo globo. Não faltam exemplos disso.

Contudo, essa agitação que caracterizou 2011 não se limitou ao mundo físico. O mundo on-line esteve repleto de confrontos ideológicos, que tomaram a forma de ativismo, protestos, retaliação e peças. Embora essas atividades tenham englobado mais do que violações de dados (por exemplo, ataques de negação de serviço distribuído, ou DDoS), o furto de informações corporativas e pessoais foi certamente uma tática central. Esse espectro reimaginado e revigorado do “hacktivismo” se insurgiu para atormentar organizações ao redor do mundo. Muitos, perturbados pela natureza sombria de suas origens e por sua propensão a embaraçar as vítimas, acharam que essa tendência era mais assustadora do que as outras ameaças, sejam reais ou imaginárias. Duplamente preocupante para muitas organizações e executivos foi que a seleção de alvos desses grupos não seguiu as linhas lógicas de quem tem dinheiro e/ou informações valiosas. O inimigos são ainda mais assustadores quando não se pode prever seu comportamento.

No entanto, nem tudo foram protestos e “lulz”. Os criminosos cibernéticos tradicionais continuaram a automatizar e a agilizar seus métodos de ataques de baixo risco e em alto volume do dia contra alvos mais fracos. Muito menos frequentes, mas discutivelmente mais danosos, foram os ataques continuados que visaram segredos comerciais, informações classificadas e outras propriedades intelectuais. Certamente encontramos muitas faces, táticas variadas e diversas motivações no ano passado e, de muitas maneiras, o Relatório de Investigações de Violações de Dados de 2012 (RIVD) é um novo relato das muitas facetas do furto de dados corporativo.

855 incidentes, 174 milhões de registros comprometidos.

Este ano, nosso RIVD inclui mais incidentes, derivados de mais colaboradores, e representa um escopo mais amplo e mais geograficamente diversificado. O número de registros comprometidos entre esses incidentes subiu vertiginosamente de

RELATÓRIO DE INVESTIGAÇÕES DE VIOLAÇÕES DE DADOS DE 2012Um estudo conduzido pela Equipe RISK da Verizon com a cooperação da Polícia Federal Australiana, a Unidade Nacional Holandesa de Crimes de Alta Tecnologia, o Serviço Irlandês de Relatório e Segurança da Informação, a Unidade Central de Crimes Eletrônicos da Polícia e o Serviço Secreto dos Estados Unidos.

Esse espectro reimaginado e revigorado do “hacktivismo” se insurgiu para atormentar

organizações ao redor do mundo.

2

volta para os 174 milhões depois de uma baixa recorde (ou alta, dependendo do seu ponto de vista) de quatro milhões no relatório do ano passado. Na verdade, 2011 ostenta a segunda maior perda de dados desde que começamos a ficar de olho em 2004.

Mais uma vez, estamos orgulhosos em anunciar que o Serviço Secreto dos Estados Unidos (USSS – United States Secret Service) e a Unidade Nacional Holandesa de Crimes de Alta Tecnologia (NHTCU – Dutch National High Tech Crime Unit) se uniram a nós para a elaboração do relatório deste ano. Também damos as boas-vindas à Polícia Federal Australiana (AFP – Australian Federal Police), ao Serviço Irlandês de Relatório e Segurança da Informação (IRISS – Irish Reporting & Information Security Service) e à Unidade Central de Crimes Eletrônicos da Polícia (PCeU - Police Central eCrime Unit) da Polícia Metropolitana de Londres (London Metropolitan Police). Essas organizações ampliaram tremendamente o escopo do RIVD em relação às violações de dados ocorridas ao redor do globo. Agradecemos a eles de coração por seu espírito de cooperação e sinceramente esperamos que este relatório sirva para aumentar a conscientização quanto ao crime cibernético, bem como nossa capacidade coletiva de combatê-lo.

Com o acréscimo do conjunto de casos de 2011 da Verizon e dos dados contribuídos pelas organizações relacionadas acima, a série do RIVD agora se estende por oito anos, bem mais de 2.000 violações e mais de um bilhão de registros comprometidos. Esta tem sido uma jornada fascinante e informativa, e somos gratos por tantos de vocês terem optado por se juntarem a nós. Como sempre, nossa meta é que os dados e as análises apresentadas neste relatório sejam úteis aos esforços de planejamento e segurança de nossos leitores. Começamos com alguns destaques, a seguir.

COLETA DE DADOSA metodologia subjacente usada pela Verizon permanece relativamente inalterada em relação aos anos anteriores. Todos os resultados se baseiam em evidência de primeira mão coletada durante peritagens jurídicas externas pagas conduzidas pela Verizon entre 2004 e 2011. As entidades USSS, NHTCU, AFP, IRISS e PCeU diferiram precisamente quanto ao modo como coletaram os dados contribuídos para este relatório, apesar de compartilharem a mesma abordagem básica. Todos se valeram do VERIS como denominador comum, mas usaram mecanismos variados para entrada dos dados. Entre as numerosas investigações com que essas organizações trabalharam em 2011 e mantendo-se o foco do RIVD, o escopo foi restringido a apenas aquelas que envolveram violações confirmadas de dados organizacionais.

INFORMAÇÕES BREVES SOBRE O VERISVERIS é uma estrutura projetada para proporcionar uma linguagem comum para descrição de incidentes relacionados à segurança de maneira estruturada e repetível. Ele converte a narrativa “quem fez o quê para o quê ou para quem com que resultado” no tipo de dados presente neste relatório. Porque muitos leitores indagaram sobre a metodologia por trás do RIVD e porque esperamos facilitar o compartilhamento de mais informações sobre incidentes de segurança, lançamos o VERIS para uso gratuito pelo público. Uma breve visão geral do VERIS está disponível em nosso site1 e a estrutura completa pode ser obtida no wiki da comunidade VERIS2. Ambos são boas referências concomitantes a este relatório para compreensão da terminologia e do contexto.

1 http://www.verizonbusiness.com/resources/whitepapers/wp_verizon-incident-sharing-metrics-framework_en_xg.pdf2 https://verisframework.wiki.zoho.com/

Essas organizações ampliaram tremendamente o escopo do RIVD em relação às violações de dados ocorridas ao redor do globo. Agradecemos a eles de coração por seu espírito de cooperação e sinceramente esperamos

que este relatório sirva para aumentar a conscientização quanto ao crime cibernético, bem como nossa capacidade coletiva de combatê-lo.

3

RESUMO DAS ESTATÍSTICAS

QUEM ESTÁ POR TRÁS DAS VIOLAÇÕES DE DADOS?

98% oriundas de agentes externos (+6%)Nenhuma surpresa aqui: o pessoal de fora ainda está dominando a cena do furto de dados corporativos. Os criminosos tramaram seus delitos típicos e estiveram por trás da maioria das violações em 2011. Grupos ativistas também criaram sua cota de infelicidade e caos no ano passado – e furtaram mais dados do que qualquer outro grupo. Sua entrada no palco também serviu para mudar um pouco o panorama no tocante às motivações por trás das violações. Embora as boas e antiquadas ganância e cobiça ainda tenham sido os principais determinantes, a dissidência ideológica e o prazer em ver o sofrimento dos outros assumiram um papel proeminente em todo o conjunto de casos. Como seria de se esperar com tamanho aumento no número de invasores externos, a proporção de incidentes causados por pessoas de dentro da empresa diminuiu ainda mais este ano, chegando aos comparativamente escassos 4%.

4% com funcionários internos implicados (-13%)

<1% comprometido por parceiros comerciais (<>)

58% de todos os furtos vinculados a grupos ativistas

COMO AS VIOLAÇÕES ACONTECEM?Incidentes que envolveram a ação de hackers e malware aumentaram consideravelmente no ano passado, sendo que a ação de hackers estava vinculada a quase todos os registros comprometidos. Isso faz sentido, visto que essas ações de ameaça continuam sendo as ferramentas favorecidas pelos agentes externos, que, conforme descrito acima, estiveram por trás da maioria das violações. Muitos ataques continuam a frustrar ou contornar a autenticação por meio da combinação de credenciais furtadas ou adivinhadas (para obtenção de acesso) com backdoors (para reter o acesso). Um número menor de casos de ataques de extração de informações específicas em caixas eletrônicos e bombas de gasolina este ano serviu para reduzir a proporção de ataques físicos neste relatório. Dada a queda no número de agentes internos, a categoria de uso indevido não teve outra escolha senão acompanhar essa queda. Táticas sociais sofreram uma pequena redução, mas foram responsáveis por uma grande quantidade de perda de dados.

81% usaram alguma forma de ação de hackers (+31%)

69% incorporaram malware (+20%)

10% envolveram ataques físicos (-19%)

7% empregaram táticas sociais (-4%)

5% resultaram do uso indevido de privilégios (-12%)

4

QUAIS SÃO OS PONTOS EM COMUM?

79% das vítimas foram alvos oportunos (-4%)As descobertas do ano passado continuam a mostrar que a seleção dos alvos se baseia mais em oportunidade do que em escolha. A maioria das vítimas se tornou presa porque foi descoberto que tinha um ponto fraco passível de exploração (com frequência com facilidade) e não por ter sido pré-identificada para o ataque.Tendo sido visada ou não, a grande maioria das vítimas sucumbiu a ataques que não podem ser descritos como sendo de alto nível de dificuldade. Mesmo os que tenderam para o lado mais sofisticado, geralmente exibiram esse traço em estágios posteriores do ataque, depois que o acesso inicial tinha sido obtido.Isso dito, não é de se surpreender que a maioria das violações poderia ter sido evitada (pelo menos retrospectivamente) sem a necessidade de ações corretivas difíceis ou dispendiosas. Os baixos níveis de aderência ao PCI DSS enfatizam inúmeros problemas de toda espécie para as organizações relacionadas.Embora com frequência exista pelo menos alguma evidência das violações, normalmente as vítimas não descobrem seus próprios incidentes. Com frequência, elas são informadas por terceiros e, infelizmente, isso normalmente acontece semanas ou meses depois.Você se deu conta de como a maior parte disso piorou em 2011?

96% dos ataques não foram altamente difíceis (+4%)

94% de todos os dados comprometidos envolveram servidores (+18%)

85% das violações demoraram semanas ou ainda mais tempo para serem descobertas (+6%)

92% dos incidentes foram descobertos por terceiros (+6%)

97%das violações poderiam ter sido evitadas por meio de controles simples ou de nível intermediário (+1%)

96% das vítimas sujeitas ao PCI DSS não tinham atingido a conformidade (+7%)

5

ONDE OS ESFORÇOS DE ATENUAÇÃO DEVEM SE CONCENTRAR?

Mais uma vez, este estudo nos lembra de que nossa profissão tem as ferramentas necessárias para dar conta do recado. O desafio dos “mocinhos” reside na seleção das ferramentas corretas para o trabalho à nossa frente e em não deixar que elas acabem ficando ineficazes e enferrujadas com o tempo. A evidência mostra que, quando isso acontece, os “bandidos” são rápidos em se aproveitar da situação.Como você verá em breve, contrastamos as descobertas relativas a organizações de menor ou maior porte ao longo de todo este relatório. Você terá uma noção de quão diferentes (e em alguns casos quão semelhantes) seus problemas tendem a ser. Por isso, faz sentido que as soluções para esses problemas também sejam diferentes. Assim, a maioria das recomendações fornecidas ao final deste relatório diz respeito às organizações de grande porte. Não que estejamos ignorando as organizações de menor porte – o caso é que, embora o crime cibernético moderno seja uma praga em suas vidas, o antídoto é relativamente simples e quase universal.As organizações de grande porte exibem um conjunto mais diversificado de problemas que precisa ser abordado por meio de um conjunto igualmente variado de medidas corretivas. Esperamos que os achados neste relatório ajudem a priorizar esses esforços, mas adequar verdadeiramente uma estratégia de tratamento às suas necessidades requer uma avaliação bem informada e introspectiva de seu panorama específico de ameaças.

Organizações de menor porteImplementar um firewall ou uma Lista de controle de acesso (ACL) nos serviços com acesso remotoAlterar as credenciais padrão de sistemas de ponto de vendas (POS) e de outros dispositivos voltados para a InternetSe um fornecedor terceirizado estiver lidando com os dois itens acima, certifique-se de que tenha feito isso de fato

Organizações de maior porteEliminar dados desnecessários; vigiar de perto os que permanecerem

Garantir que os controles essenciais sejam cumpridos; conferir regularmente se esse continua sendo o caso

Monitorar e minerar os registros de eventos

Avaliar seu panorama de ameaças a fim de priorizar sua estratégia de tratamento

Consultar a conclusão deste relatório para obter indicadores e atenuantes para as ameaças mais comuns

VISÃO GERAL DOS EVENTOS DE AMEAÇASNo RIVD do ano passado, apresentamos pela primeira vez a grade de eventos de ameaça do VERIS preenchida com contagens de frequência. Além dos novos parceiros de compartilhamento de dados, essa foi uma das novidades mais bem recebidas no relatório. A estatística apresentada em todo este relatório fornece uma análise em separado dos Agentes, Ações, Ativos e Atributos observados, mas a grade apresentada aqui reúne todas essas informações de modo a mostrar as intersecções entre os quatro As. Ela proporciona uma exibição centralizada do panorama geral dos eventos de ameaças associados às violações de dados de 2011. A Figura 1 (conjunto de dados geral) e a Figura 2 (organizações de maior porte) usam a estrutura da Figura 1 da seção Metodologia do relatório completo, mas substituem os TE#s pelo número total de violações em que cada evento de ameaça fez parte do cenário do incidente3.1Esta é a nossa exibição mais consolidada das 855 violações de dados analisadas este ano, sendo que há vários pontos dignos de nota.

Quando observamos o conjunto geral dos dados a partir da perspectiva do gerenciamento de ameaças, somente 40 dos 315 possíveis eventos de ameça têm valores superiores a zero (13%). Antes de ir mais além, precisamos reafirmar que nem todas as intersecções na grade são factíveis. Os leitores também devem se lembrar de que o foco deste relatório se concentra exclusivamente nas violações de dados. Durante as interações em que trabalhamos com organizações a fim de “VERIS-cizar” todos os seus incidentes de segurança no transcorrer de um ano, foi muito interessante observar quão diferente é o aspecto dessas grades quando comparadas com os conjuntos de dados do RIVD. Pode-se formular a hipótese de que Erro e Uso indevido, bem como perdas de Disponibilidade, demonstram ser muito mais comuns.

3 Em outras palavras, 381 das 855 violações em 2011 envolveram malware externo que afetou a confidencialidade de um servidor (o evento de ameaça no canto superior esquerdo).

6

Voltemos agora para as grades, cujos resultados do conjunto de dados em geral compartilham muitas semelhanças com o nosso último relatório. As maiores alterações são que as zonas de concentração nas áreas de Uso indevido e Físico estão um pouco mais controladas, enquanto Malware e Ação de hackers contra Servidores e Dispositivos de usuário estão mais intensos que nunca. Da mesma forma, a lista dos principais eventos de ameaça na Tabela 3 no relatório completo parece assustadoramente familiar.

Malware Ação de hackers Social Uso indevido Físico Erro Ambiental

Ext. Int. Parc. Ext. Int. Parc. Ext. Int. Parc. Ext. Int. Parc. Ext. Int. Parc. Ext. Int. Parc. Ext. Int. Parc.

Serv

idor

es

Confidencialidade e posse 381 518 1 9 8 1 2 1

Integridade e autenticidade 397 422 1 6 1 1

Disponibilidade e utilidade 2 6 5

Rede

s

Confidencialidade e posse 1

Integridade e autenticidade 1 1

Disponibilidade e utilidade 1 1 1

Disp

ositi

vos d

e usu

ário Confidencialidade

e posse 356 419 1 86

Integridade e autenticidade 355 355 1 1 86

Disponibilidade e utilidade 1 3

Dado

s off

-line Confidencialidade

e posse 23 1

Integridade e autenticidade

Disponibilidade e utilidade

Pess

oas

Confidencialidade e posse 30 1

Integridade e autenticidade 59 2

Disponibilidade e utilidade

Figura 1. Grade A4 do VERIS representando a frequência dos eventos de ameaça de alto nível

Os resultados do conjunto de dados em geral compartilham muitas semelhanças com o nosso último relatório. As maiores alterações são

que as zonas de concentração nas áreas de Uso indevido e Físico estão um pouco mais controladas, enquanto Malware e Ação de hackers contra

Servidores e Dispositivos de usuário estão mais intensos que nunca.

7

Separar os eventos de ameaça das organizações de maior porte na Figura 2 resulta em mais alguns pontos dignos de nota. Algumas pessoas podem se surpreender por esta versão da grade estar menos “coberta” do que a Figura 1 (22 dos 315 eventos – 7% – foram vistos pelo menos uma vez). Seria de se esperar que a maior superfície de ataque e os controles mais reforçados associados às organizações de maior porte espalhariam os ataques por uma porção mais vasta da grade. Isso pode ser verdade, e nossos resultados não devem ser usados para contradizer esse argumento. Acreditamos que a menor densidade da Figura 2 em comparação com a Figura 1 seja resultado principalmente das diferenças de tamanho dos conjuntos de dados (855 comparadas com 60 violações). Com respeito à diversidade das ameaças, é interessante observar que a grade das organizações de maior porte mostra uma distribuição comparativamente mais uniforme entre os eventos de ameaça no escopo (ou seja, uma aglomeração menos intensa ao redor de Malware e Ação de hackers). Com base nas descrições na imprensa de ataques proeminentes que se aproveitam de formas de engenharia social e afins, isso não chega a ser um choque.

Malware Ação de hackers Social Uso indevido Físico Erro Ambiental

Ext. Int. Parc. Ext. Int. Parc. Ext. Int. Parc. Ext. Int. Parc. Ext. Int. Parc. Ext. Int. Parc. Ext. Int. Parc.

Serv

idor

es

Confidencialidade e posse 7 33 3 2 1

Integridade e autenticidade 10 18 1

Disponibilidade e utilidade 1

Rede

s

Confidencialidade e posse

Integridade e autenticidade

Disponibilidade e utilidade 1 1

Disp

ositi

vos d

e usu

ário Confidencialidade

e posse 3 6 10

Integridade e autenticidade 4 2 10

Disponibilidade e utilidade 1

Dado

s off

-line Confidencialidade

e posse 1 1

Integridade e autenticidade

Disponibilidade e utilidade

Pess

oas

Confidencialidade e posse 7

Integridade e autenticidade 11

Disponibilidade e utilidade

Figura 2. Grade A4 do VERIS representando a frequência dos eventos de ameaça de alto nível – ORGANIZAÇÕES DE MAIOR PORTE

8

Naturalmente, o relatório completo se aprofunda quanto aos agentes de ameaça, ações e ativos envolvidos nas violações de 2011 em muito mais detalhe. Também fornece informações adicionais sobre a metodologia de coleta de dados da Verizon e dos outros colaboradores.

RIVD 2012: CONCLUSÕES E RECOMENDAÇÕESEste ano, estamos incluindo algo novo nesta seção. No entanto, por sermos um grupo com consciência ambiental, vamos reciclar este aviso mais uma vez:

“Criar uma lista de recomendações eficazes fica mais difícil a cada ano em que publicamos este relatório. Pense: nossas descobertas se modificam e evoluem com o tempo, mas raramente são completamente novas ou inesperadas. Por que seria diferente para as recomendações baseadas nessas descobertas? É lógico que poderíamos “encher linguiça” com uma longa lista de recomendações até atingir a nossa cota, mas acreditamos que isso já esteja disponível em outros lugares. Estamos mais interessados em qualidade do que em quantidade.”

Em seguida, vamos reduzir e reutilizar parte do material que incluímos no Relatório suplementar do RIVDs de 2009, e reformulá-lo de maneira um pouco diferente, que esperamos possa ser útil. Conforme mencionamos, também produzimos algo novo, mas nos asseguramos de que tivesse uma pequena pegada de carbono (e pouco espaço na página). Se isso for combinado com a energia economizada por evitarmos a viagem do investigador, a comprovação da remessa e os incontáveis ciclos computacionais, estas recomendações realmente fazem por merecer seu emblema “verde”.

Comecemos pelo “algo novo”. Percebemos que muitas das organizações abrangidas por este relatório provavelmente não estão captando a mensagem sobre sua segurança. Estamos falando sobre as organizações de menor porte que têm um sistema de posto de vendas (ou uma porção deles). O recorte a seguir foi criado especialmente para elas e precisamos de sua ajuda. Nós convidamos você, nosso leitor, a recortá-lo e entregá-lo em restaurantes, varejistas, hotéis ou outros estabelecimentos que frequenta. Ao fazer isso, você estará ajudando a disseminar a mensagem que eles precisam ouvir. Isso para não dizer que se trata de uma mensagem que o restante de nós também precisa que eles ouçam. Estas dicas podem parecer simples, mas toda a evidência à nossa disposição sugere que um enorme bloco do problema das empresas de menor porte seria eliminado se elas fossem amplamente adotadas.

Figura 3. Custo das medidas preventivas recomendadas por porcentagem de violações*

* Somente o conjunto de casos da Verizon

TODAS AS ORGANIZAÇÕES ORGANIZAÇÕES DE MAIOR PORTE

3% Difícil e dispendiosa

Desconhecido

63%Simples e

barata

31%Interme-

diária

40%Simples e

barata55%

Intermediária

5% Difícil e dispendiosa

9

Para aqueles que não se lembram (ora, ora), o Relatório suplementar do RIVD de 2009 foi um tipo de enciclopédia sobre as principais ações de ameaça observadas naquela ocasião. Cada entrada continha uma descrição, os agentes de ameaça associados, ativos relacionados, pontos em comum, indicadores, atenuantes e um estudo de caso. Para fornecer recomendações relevantes e práticas para organizações de maior porte este ano, estamos adaptando a parte sobre “indicadores” e “atenuantes” daquele relatório.

• Indicadores: sinais de advertência e controles que podem detectar ou indicar que uma ação de ameaça ocorreu ou está em andamento.

• Atenuantes: controles que podem deter ou impedir ações de ameaça ou ajudar na recuperação/resposta (conter os danos) na esteira de sua ocorrência.

DICAS DE SEGURANÇA PARA PONTO DE VENDASaudações. Você recebeu este cartão porque alguém aprecia o seu estabelecimento. Essa pessoa quis ajudá-lo a proteger seu negócio, bem como às suas próprias informações pessoais e de pagamento.

É fácil pensar “isso nunca vai acontecer comigo” quando o assunto é hackers furtando suas informações. Mas você pode se surpreender ao saber que a maior parte dos ataques é direcionada contra pequenas empresas, sendo que a maioria deles pode ser evitada com alguns poucos passos pequenos e relativamente simples. A seguir, você encontrará algumas dicas baseadas na pesquisa da Verizon conduzida com milhares de violações de segurança que afetaram empresas como a sua, que usam sistemas de ponto de venda (POS) para processar os pagamentos dos clientes. Se nada disto fizer sentido para você, por favor, encaminhe estas informações para a gerência.

9Altere as senhas administrativas em todos os sistemas de ponto de venda (POS) – Os hackers fazem a varredura da Internet em busca de senhas que possam ser facilmente adivinhadas.

9 Implemente um firewall ou uma lista de controle de acesso nos serviços com acesso remoto/administrativos – Se os hackers não puderem acessar o seu sistema, não será fácil para eles furtar de você.

Depois disso, pode ser uma boa ideia levar o seguinte em consideração:• Evite usar os sistemas de POS para navegar pela Web (ou qualquer outra coisa na Internet)• Certifique-se de que seu POS esteja em um aplicativo em conformidade com o PCI DSS (pergunte ao

seu fornecedor)

Se um fornecedor terceirizado cuidar de seus sistemas de POS, recomendamos pedir a ele que confirme que essas providências já foram tomadas. Se possível, obtenha a documentação comprobatória. Seguir estas simples práticas evitará o desperdício de muito tempo e dinheiro, bem como outros problemas para sua empresa e seus clientes.Para obter mais informações, visite www.verizon.com/enterprise/databreach (mas não de seu POS).

O recorte a seguir foi criado especialmente para organizações de menor porte e precisamos de sua ajuda. Nós convidamos você, nosso leitor, a recortá-lo e entregá-lo em restaurantes, varejistas, hotéis ou outros estabelecimentos que frequenta.

10

Nossas recomendações se basearão na Tabela 7 do relatório completo, que consta da seção Visão geral das ações de ameaça e mostra as dez principais ações de ameaça contra organizações de maior porte. Em vez de repetirmos toda a lista aqui, resumiremos os pontos que acreditamos que representam as maiores oportunidades de reduzir nossa exposição coletiva à perda:

• Keyloggers e o uso de credenciais furtadas• Backdoors e controle de comando• Adulteração• Invenção de pretextos• Phishing• Força bruta• Injeção de SQL

Ação de hackers: uso de credenciais furtadasDescrição Refere-se a instâncias em que um invasor obtém acesso a um sistema ou dispositivo

protegido usando credenciais válidas, mas furtadas.Indicadores Presença de malware no sistema, análise comportamental do usuário indicativa de

anomalias (ou seja, local de origem ou horário de logon anormais), uso da faixa “último logon” (pode indicar acesso não autorizado), monitorar toda a atividade administrativa/privilegiada.

Atenuantes Autenticação com dois fatores, alteração de senhas diante da suspeita de furto, regras de horário de utilização, listas negras de IP (considere bloquear grandes blocos/regiões de endereços, caso não tenham um propósito comercial legítimo), restrição de conexões administrativas (ou seja, somente de fontes internas específicas). Para prevenir-se contra credenciais furtadas, consulte as entradas Keyloggers e Spyware, Invenção de pretextos e Phishing.

Malware: backdoors, comando e controleAção de hackers: Exploração de backdoor ou canal de comando e controleDescrição Ferramentas que proporcionam acesso remoto a sistemas infectados e/ou controle de tais

sistemas. Programas de backdoor e comando/controle burlam os mecanismos normais de autenticação e outros controles de segurança habilitados em um sistema, sendo projetados para serem executados secretamente.

Indicadores Comportamento ou desempenho incomum do sistema (várias vítimas observaram o cursor navegando pelos arquivos sem que ninguém estivesse tocando no mouse); atividade incomum da rede; IDS/IPS (para versões não personalizadas); monitoramento do Registro; monitoramento dos processos do sistema; monitoramento de rotina dos registros; presença de outro malware no sistema; antivírus desativado.

Durante as investigações que envolveram suspeita de malware, comumente examinamos processos de sistemas ativos e criamos uma lista de todo o conteúdo do sistema classificado por data de criação/modificação. Com frequência, esses esforços revelaram arquivos mal-intencionados no diretório Windows\system32 e em diretórios temporários do usuário.

11

Malware: backdoors, comando e controleAção de hackers: Exploração de backdoor ou canal de comando e controleAtenuantes Filtragem de egresso (essas ferramentas frequentemente operam através de portas

ímpares, protocolos e serviços); uso de proxies para o tráfego de saída; lista negra de IPs (considere bloquear grandes blocos/regiões de endereços, caso não tenham um propósito comercial legítimo); monitoramento de IDS de host (HIDS) ou de integridade; direitos administrativos para usuários restritos; firewalls pessoais; ferramentas de prevenção de perda de dados (DLP); antivírus e antisspyware (embora o aumento da personalização deixe o antivírus menos eficaz – descobrimos uma backdoor reconhecida por apenas um entre os quarenta fornecedores de antivírus que experimentamos); políticas de navegação na Web.

Físico: AdulteraçãoDescrição Alteração não autorizada ou interferência com o estado normal ou com a operação de um

ativo. Refere-se a formas físicas de adulteração em vez de, por exemplo, a alteração do software ou das configurações do sistema.

Indicadores Uma manutenção não planejada ou não programada do dispositivo. Presença de arranhões, resíduos de adesivos, furos para câmeras ou uma sobreposição nos teclados. Não espere que a adulteração seja óbvia (extratores de informações por sobreposição podem ser personalizados para se mesclarem com um dispositivo específico, enquanto a adulteração interna pode não ser visível do lado de fora). O selo à prova de violação pode estar quebrado. Em alguns casos, um sinal de Bluetooth desconhecido pode estar presente e persistir. Lembre-se de que os extratores de informações específicas de caixas eletrônicos/bombas de gasolina podem ficar instalados apenas por horas, e não por dias ou semanas.

Atenuantes Treinar funcionários e clientes para procurarem e detectarem sinais de adulteração. As organizações que operam esses dispositivos devem fazer exames no decorrer do dia (por exemplo, como parte da troca de turno). À medida que a inspeção ocorre, lembre-se de que, se o dispositivo recebe um cartão e uma senha, em geral ambos são visados (veja os indicadores).

Estabelecer um procedimento para técnicos de serviço e treinar todo o pessoal, certificando-se de que inclua um método para programar e autenticar o técnico e/ou os prestadores de serviços de manutenção.

Insistir com os fornecedores quanto a tecnologia/recursos antiviolação ou comprar somente postos de venda e dispositivos com senha com tecnologia antiviolação (por exemplo, interruptores contra violação que zeram a memória, componentes eletrônicos cobertos de epóxi).

Keylogger/Form-grabber/SpywareDescrição Malware especificamente projetado para coletar, monitorar e registrar as ações de um

usuário do sistema. Normalmente usado para coletar nomes de usuário e senhas como parte de um cenário mais amplo de ataque. Também usado para capturar informações de cartões de pagamento em dispositivos de ponto de venda comprometidos. A maioria é executada secretamente, para evitar de alertar o usuário quanto às suas ações estarem sendo monitoradas.

12

Keylogger/Form-grabber/SpywareIndicadores Comportamento ou desempenho incomum do sistema; atividade incomum da rede; IDS/IPS

(para versões não personalizadas); monitoramento do Registro; monitoramento dos processos do sistema; monitoramento de rotina dos registros; presença de outro malware no sistema; sinais de adulteração física (por exemplo, acoplamento de um dispositivo estranho). Para informar-se sobre os indicadores de que credenciais furtadas estão em uso, consulte Ação de hackers: uso de credenciais furtadas.

Durante as investigações que envolveram suspeita de malware, comumente examinamos processos de sistemas ativos e criamos uma lista de todo o conteúdo do sistema classificado por data de criação/modificação. Com frequência, esses esforços revelaram arquivos mal-intencionados no diretório Windows\system32 e em diretórios temporários do usuário.

Atenuantes Restringir os direitos administrativos dos usuários; sinalização de código; uso de CDs para inicialização a quente; senhas para uso uma única vez; antivírus e antispyware; firewalls pessoais; filtragem e lista negra de conteúdos da Web; filtragem de egresso (essas ferramentas costumam enviar dados para fora através de portas ímpares, protocolos e serviços); monitoramento de IDS de host (HIDS) ou de integridade; políticas de navegação na Web; treinamento de conscientização quanto a segurança; segmentação da rede.

Invenção de pretextos (Engenharia social)Descrição Uma técnica de engenharia social em que o invasor inventa uma situação para persuadir,

manipular ou induzir seu alvo a executar uma ação ou a divulgar informações. Esses ataques exploram “bugs no hardware humano” e, infelizmente, não existe um patch para isso.

Indicadores Muito difícil de detectar, visto que é projetado para explorar fraquezas humanas e burlar mecanismos de alerta tecnológicos. Comunicação incomum, solicitações fora do fluxo normal de trabalho e instruções para fornecer informações ou agir de maneira contrária às políticas devem ser vistas como suspeitas. Registros de chamadas; registros de visitantes; registros de e-mails.

Atenuantes Treinamento geral de conscientização quanto a segurança; políticas e procedimentos claramente definidos; não “treinar” o pessoal a ignorar políticas por meio de ações oficiais que as violem; treinar o pessoal para reconhecer e denunciar suspeitas de tentativas de invenção de pretextos; verificar solicitações suspeitas por meio de métodos e canais confiáveis; restringir o acesso pelo público aos diretórios corporativos (e a fontes de informações semelhantes).

Ataque de força brutaDescrição Um processo automatizado de iteração por possíveis combinações de nome de usuário/

senha até que uma seja bem-sucedida.Indicadores Monitoramento de rotina dos registros; numerosas tentativas malsucedidas de login

(especialmente as que indiquem adivinhação sequencial generalizada); chamadas ao suporte ao usuário sobre bloqueios de contas.

Atenuantes Meios técnicos de imposição de políticas de senhas (comprimento, complexidade, níveis de recorte); bloqueios de contas (após n tentativas); limitação de senhas (aumento do atraso após logins malsucedidos sucessivos); testes de descoberta de senhas; listas de controle de acesso; conexões administrativas restritas (ou seja, somente de fontes internas específicas); autenticação por dois fatores; CAPTCHA.

13

Injeção de SQLDescrição A Injeção de SQL é uma técnica de ataque usada para explorar como páginas da Web se

comunicam com bancos de dados de back-end. O invasor pode emitir comandos (na forma de instruções SQL especialmente criadas) para um banco de dados usando campos de entrada em um site da Web.

Indicadores Monitoramento de rotina dos registros (especialmente de servidores da Web e bancos de dados); IDS/IPS.

Atenuantes Práticas seguras de desenvolvimento; validação de entradas (técnicas de saída e listas brancas); uso de procedimentos parametrizados e/ou armazenados; aderência a princípios de menores privilégios para contas de bancos de dados; remoção de serviços desnecessários; reforço do sistema; desabilitação da saída de mensagens de erro do banco de dados para o cliente; verificação de vulnerabilidades dos aplicativos; teste de penetração; firewall para aplicativos da Web.

Acesso não autorizado com credenciais padrãoDescrição Refere-se a instâncias em que o invasor obtém acesso a um sistema ou dispositivo

protegido por nomes de usuário e senhas padrão predefinidos (e, portanto, amplamente conhecidos).

Indicadores Análise comportamental do usuário (por exemplo, tempo de logon ou localização anormais do usuário); monitorar toda a atividade administrativa/privilegiada (inclusive de terceiros); uso da faixa “último logon” (pode indicar acesso não autorizado).

Atenuantes Alterar credenciais padrão (anteriormente à implantação); excluir ou desabilitar a conta padrão; verificar a presença de senhas padrão conhecidas (após a implantação); rotação de senhas (porque ajuda a reforçar a alteração da senha padrão); inventário de serviços administrativos remotos (especialmente aqueles usados por terceiros). Para terceiros: contratos (estipulando requisitos de senha); considerar o compartilhamento das tarefas administrativas; verificar se há senhas conhecidas (para ativos cujo suporte seja realizado por terceiros).

Phishing (e todas as variações que terminam com *ishing)Descrição Uma técnica de engenharia social em que o invasor usa comunicação eletrônica fraudulenta

(geralmente por e-mail) para induzir o destinatário a divulgar informações. A maioria parece vir de uma entidade legítima e apresenta conteúdo com aparência autêntica. Com frequência, o ataque incorpora um componente de site fraudulento na Web, além do engodo.

Indicadores Difícil de detectar dada a natureza quase técnica e a capacidade de explorar as fraquezas humanas. Comunicação incomum e não solicitada; instruções para fornecer informações ou executar ações contrárias às políticas; solicitações fora do fluxo normal de trabalho; erros de gramática; um falso caráter de urgência; registros de e-mail.

Atenuantes Treinamento geral de conscientização quanto à segurança; políticas e procedimentos claramente definidos; não “treinar” o pessoal a ignorar políticas por meio de ações oficiais que as violem; políticas com relação ao uso de e-mail para funções administrativas (por exemplo, solicitações de alteração de senha, etc.); treinar o pessoal para reconhecer e denunciar suspeitas de mensagens de phishing; verificar suspeitas de solicitações por meio de métodos e canais confiáveis; configurar clientes de e-mail para apresentar e-mails em HTML como texto; antispam; verificação e filtragem de vírus em anexos de e-mail.

RELATÓRIO DE INVESTIGAÇÕES DE VIOLAÇÕES DE DADOS DE 2012

Um estudo conduzido pela Equipe RISK da Verizon com a cooperação da Polícia Federal Australiana, a Unidade Nacional Holandesa de Crimes de Alta Tecnologia, o Serviço Irlandês

de Relatório e Segurança da Informação, a Unidade Central de Crimes Eletrônicos da Polícia e o Serviço Secreto dos Estados Unidos.

verizon.com/enterprise/br© 2012 Verizon. Todos os direitos reservados. MC15244 PT-BR 04/12. Os nomes e logotipos da Verizon e Verizon Business e todos os outros nomes, logotipos e slogans que identificam os produtos e serviços da Verizon são marcas comerciais e de serviço ou marcas comerciais e de serviço registradas da Verizon Trademark Services LLC ou de suas afiliadas, nos Estados Unidos e/ou em outros países. Todas as outras marcas comerciais e marcas de serviço são de propriedade de seus respectivos detentores.