A Cisco divulgou o relatório de segurança – Midyear Security Report 2015 –, que analisa a inteligência e as tendências das ameaças de segurança digital. O documento revela a necessidade crucial na redução do tempo de detecção (TTD) por parte das empresas para minimizar as consequências dos ataques, que estão cada vez mais sofisticados. Entre as principais descobertas, destaque para o Angler Exploit Kit, que representa os tipos de ameaças comuns que irão desafiar as organizações, com a economia digital e a Internet de Todas as Coisas (IoE – Internet of Everything), criando novos vetores de ataque e oportunidades de monetização para os adversários.
O estudo mostra que novos riscos associados ao Flash, a evolução do Ransomware e as ações do malware mutante Dridex reforçam a necessidade de redução de tempo de detecção. Com a digitalização dos negócios e a IoE, a capacidade de infiltração de malware e ameaças é ainda maior. Ao mesmo tempo, estimativas da indústria de segurança apontam que, atualmente, o tempo de detecção varia entre 100 a 200 dias. Em contrapartida, a média de TTD do serviço de Proteção Avançada contra Malware da Cisco (Advanced Malware Protection - AMP), que dispõe de análise retrospectiva dos ataques que passam pelos atuais sistemas de defesa, é de 46 horas.
As conclusões também ressaltam a necessidade de implantação de soluções integradas nas empresas, em vez de produtos pontuais, de trabalhar com fornecedores de confiança e listar os provedores de serviços de segurança para orientação e avaliação. Além disso, especialistas em geopolítica afirmam que é necessário ter uma estrutura global de governança cibernética para sustentar o crescimento econômico.
Principais conclusões do estudo:
- Angler - Invasores atacam no escuro: Angler é atualmente um dos exploit kits mais sofisticados e amplamente utilizados porque usa, de forma inovadora, as vulnerabilidades do Flash, Java, Internet Explorer e do Silverlight. Ele também se destaca na tentativa de evitar a detecção empregando a técnica de shadowing - duplicação de domínios, detendo a maior parte da atividade de shadowing de domínio.
- O Flash está de volta: os exploits de vulnerabilidades do Adobe Flash integrados ao Angler e ao Nuclear exploit kits estão em ascensão. Isso ocorre devido à falta de aplicação de patches automatizadas e aos usuários que não fazem a atualização imediata.
- No primeiro semestre de 2015, o número de vulnerabilidades do Adobe Flash Player aumentou em 66%, em comparação com todo o ano de 2014, reportado pelo Common Vulnerabilities and Exposure, CVE (Common Vulnerabilities and Exposure). Nesse ritmo, o Flash está prestes a estabelecer um recorde no número de CVEs relatados em 2015.
- A evolução do Ransomware – O malware Ransomware mantém-se altamente lucrativo para os hackers, pois continua lançando novas variantes. Os ataques do Ransomware amadureceram ao ponto de serem totalmente automatizados e realizados por meio da dark web. Para despistar transações de pagamento da aplicação da lei, os resgates são pagos por meio de moedas encriptadas, como a bitcoin.
- Dridex: ações mutantes - Os criadores dessas ações mutantes têm um conhecimento sofisticado de evasão de medidas de segurança. Como parte de suas táticas de evasão, os invasores mudam rapidamente o conteúdo dos e-mails, os agentes do usuário, os anexos ou os referrers (registros) e lançam novas campanhas, forçando os sistemas antivírus tradicionais a detectá-los de novo.
- Spams - O spam e e-mail phishing continuam a desempenhar um papel importante nos métodos de ataque mais utilizados. O volume de spam em todo o mundo se manteve relativamente consistente. A região das Américas registrou tendências para aumento do volume de spam. Enquanto os Estados Unidos registraram um aumento de 14% no volume de spam, o Brasil registrou 9% de queda no volume de spam.
- Bloqueios – O relatório analisou os países e regiões onde a atividade de bloqueio a malwares se origina. Os países foram selecionados para o estudo com base no volume de tráfego de Internet. Hong Kong lidera a lista de países que hospeda mais servidores com conteúdo vulnerável que são bloqueados. O Brasil ocupa a sexta posição entre os 10 países com mais bloqueios, com uma taxa de 1.135, sendo que 1.0 é a taxa normal esperada de atividade de ataque.
Atenção à segurança
A competição de inovação entre invasores e provedores de segurança está cada vez mais rápida, colocando os usuários finais e as organizações em risco crescente. Os provedores devem estar atentos ao desenvolvimento de soluções integradas de segurança que tornem as empresas mais proativas no alinhamento de pessoas, processos e tecnologia mais adequados.
Defesa Integrada contra ameaça - As organizações enfrentam desafios significativos com soluções pontuais e precisam considerar uma arquitetura integrada de defesa contra ameaças, incorporando a segurança a todos os ambientes e que seja aplicada em qualquer ponto de controle.
Serviços tapa-buraco – O setor de segurança tem que lidar com maior fragmentação, um cenário de ameaças dinâmico e um déficit crescente de talentos qualificados, portanto as empresas devem investir em soluções de segurança eficazes, sustentáveis e confiáveis , além de serviços profissionais.
Estrutura de Governança Cibernética Global – A atual governança cibernética mundial não está preparada para lidar com o cenário de ameaças emergentes ou os atuais desafios geopolíticos. A questão das fronteiras - como os governos recolhem dados sobre os cidadãos e as empresas e compartilham entre as jurisdições - é um obstáculo significativo para se atingir uma governança digital coesa, com a limitação da cooperação mundial. Uma estrutura colaborativa de governança digital, com diversos stakeholders, se faz necessária para sustentar a inovação dos negócios e o crescimento econômico global.
Fornecedores de confiança - As organizações devem exigir que seus fornecedores de tecnologia sejam transparentes com relação à capacidade de demonstração de segurança presente em seus produtos, para que sejam considerados confiáveis. As empresas devem levar esse conhecimento a todas as etapas de desenvolvimento de produtos, da cadeia de abastecimento, passando por todas as etapas de implantação de seus produtos. Deve-se exigir dos fornecedores reivindicações contratuais, garantindo assim uma segurança melhor.
Para John N. Stewart, vice-presidente sênior, diretor da área de Security & Trust da Cisco, "As empresas não podem simplesmente aceitar que o comprometimento é inevitável, mesmo que acreditem que seja assim atualmente. O setor de tecnologia deve estar à frente do jogo e oferecer produtos e serviços confiáveis e resilientes, e a indústria de segurança deve oferecer recursos para detecção, prevenção e recuperação de ataques significativamente melhores e mais simplificados. É esse segmento que estamos liderando. Recebemos informações constantes de que a estratégia de negócios e a estratégia de segurança são os dois principais problemas dos nossos clientes, e eles necessitam de uma parceria segura. A confiança está diretamente ligada à segurança, e a transparência é a chave, portanto uma tecnologia líder da indústria é apenas metade do caminho. Estamos empenhados em oferecer os dois, tanto os recursos que definem a segurança da indústria e soluções de confiança em todas as nossas linhas de produtos".
“Os hackers, como não têm obrigações, contam com maior agilidade, inovação e ousadia. Vemos isso o tempo todo, sejam os invasores, malware, exploit kits ou ransomware em nível nacional. Uma abordagem puramente preventiva provou-se ineficaz e estamos muito adiante para aceitar um tempo de detecção de centenas de dias. A questão de ‘o que fazer quando se está comprometido’ salienta a necessidade de investimento em tecnologias integradas por parte das empresas, que trabalhem em conjunto para a redução no tempo de detecção e correção do problema em questão de horas. O próximo passo é que as empresas exijam que seus fornecedores as ajudem a reduzir essa métrica para minutos", disse Jason Brvenik, engenheiro principal, área de Security da Cisco
