RELATÓRIO DE INVESTIGAÇÕES DE VIOLAÇÕES DE DADOS DE 2015

Transcrição

1 RELATÓRIO DE INVESTIGAÇÕES DE VIOLAÇÕES DE DADOS DE 2015 Resumo executivo US$ 400 MILHÕES A perda financeira estimada a partir de 700 milhões de registros comprometidos mostra a real importância de gerenciar os riscos de uma violação de dados. Conduzidas pela Verizon com contribuições de 70 organizações de diferentes partes do mundo. SAÚDE EDUCAÇÃO SETOR PÚBLICO HOTELARIA SERVIÇOS FINANCEIROS VAREJO ENTRETENIMENTO PROFISSIONAIS LIBERAIS MANUFATURA TECNOLOGIA SETOR ADMINISTRATIVO TRANSPORTE RELATÓRIO DE INVESTIGAÇÕES DE VIOLAÇÕES DE DADOS (Relatório DBIR) DE 2015 DA VERIZON resumo executivo 1

2 Bélgica Holanda Luxemburgo Suíça Bósnia e Herz. Montenegro Albânia Macedônia Armênia Azerbaijão Canadá Suécia Finlândia Noruega Estônia Rússia Letônia México EUA Rep. Dominicana Porto Rico Saara Ocidental Portugal Irlanda Mauritânia Reino Unido Espanha Marrocos França Argélia Mali Dinamarca Belarus Alemanha Polônia República Tcheca Ucrânia Áustria Croácia Eslovênia Itália Hungria Lituânia Grécia Bulgária Moldova Turquia Egito Cyprus Síria Iraque Israel Jordânia Arábia Saudita Iêmen Cazaquistão Uzbequistão Turcomenistão Afeganistão Irã Paquistão Emirados Árabes Omã Unidos Índia India Nepal China Tailândia Vietnã Camboja Venezuela Colômbia Colombia Guiana Francesa Brasil Congo Angola Uganda Etiópia Quênia Tanzânia Moçambique Filipi Malásia Indonésia Chile Argentina Uruguai Namíbia Botsuana África do Sul Figura 1 Países abrangidos Em 2015, adicionamos incidentes de 61 países (mostrados em vermelho). Agora, nosso conjunto de dados completo abrange eventos de segurança de cerca de 100 países. Esses incidentes incluem organizações tanto de grande quanto de pequeno porte e setores que vão desde a agricultura até os serviços públicos. Austrália Relatório DBIR 2015 Por que a segurança dos dados é relevante para você Proteger sua organização contra uma violação de dados pode fazer com que ela economize dezenas de milhares de dólares e ajudar a manter a fidelidade dos clientes e a confiança dos acionistas. A segurança dos dados não é algo que deva ser deixado a cargo do departamento de TI. É tão importante que não apenas os líderes, mas funcionários de todas as funções deveriam se importar com ela. As motivações dos ataques são variadas: os invasores podem estar em busca de dados de cartões de pagamento ou informações comerciais sigilosas, ou podem simplesmente querer prejudicar seus negócios. E os métodos de ataque estão se tornando cada vez mais sofisticados com frequência envolvendo uma combinação de phishing, ação de hackers e malware. E, além disso, há a velocidade desconcertante com que os invasores conseguem violar suas defesas em questão de segundos. No entanto, embora não demande muito tempo para os invasores comprometerem um sistema, em muitos casos pode levar meses ou mesmo anos até que as organizações descubram que foram vítimas. 70 órgãos de segurança pública e empresas de segurança de TI forneceram dados violações de dados analisadas incidentes de segurança classificados 2 Verizon Enterprise Solutions

3 O Relatório de Investigações de Violações de Dados (Relatório DBIR) de 2015 da Verizon fornece uma análise detalhada de quase incidentes, que incluem violações de dados confirmadas. Este resumo abrange algumas das principais conclusões. Novas oportunidades emergiram O aumento do uso de mobilidade e da Internet das coisas (IoT) o deixa mais vulnerável a ataques a seus dados e sistemas? Analisamos a atividade mal-intencionada em todos os dispositivos sem fio em um período de seis meses e concluímos que a incidência de todos os tipos de malware foi extremamente baixa e que a maior parte dela consistiu em infecções que desperdiçaram recursos, mas foram de baixo impacto. Houve poucos incidentes que envolveram dispositivos máquina a máquina (M2M). Mas isso não significa que você deve ignorar essa área ao planejar suas defesas. Certifique-se de contar com controles de acesso robustos e criptografe dados sigilosos. Técnicas antigas ainda representam uma ameaça O phishing continua popular entre os invasores. As campanhas evoluíram de modo a incluir a instalação de malware. E nossos dados sugerem que esses ataques estão se tornando mais eficazes, já que agora 23% dos destinatários estão abrindo mensagens de phishing e 11% estão abrindo anexos. E a coisa fica ainda pior. Em média, não demora mais do que meros 82 segundos até que uma campanha de phishing consiga seu primeiro clique. Entre as organizações que analisamos, ocorreram 170 milhões de eventos de malware interceptados. Entre 70% e 90% deles foram específicos a uma única organização. Não estamos falando de malware direcionado a uma vítima específica embora também tenhamos encontrado isso. Estamos nos referindo a hackers que introduzem modificações simples no código cada vez que o usam. Isso altera a assinatura de identificação visada por produtos antivírus tradicionais, o que permite a penetração do código mal-intencionado e o comprometimento do sistema. Vulnerabilidades antigas continuam abertas Descobrimos que dez vulnerabilidades foram responsáveis por quase 97% das explorações em Os 3% restantes consistem em de outras vulnerabilidades. A maioria dos ataques explorou vulnerabilidades conhecidas, para as quais havia um patch disponível havia meses, com frequência anos. Entre as vulnerabilidades detectadas em 2014, encontramos mais que datavam de 2007 do que de qualquer outro ano desde então. Padrões familiares persistem No ano passado, identificamos nove padrões de incidentes que abrangem a maioria dos desafios que é provável que você enfrente. Este ano, esses padrões responderam por 96% de todos os incidentes. E há mais boas notícias. Em seu setor, é provável que a maior parte das ameaças seja abarcada por apenas três desses padrões. Usando nossos nove padrões de classificação de incidentes, você pode priorizar com eficácia seus esforços e construir bases sólidas para suas defesas. Totalização dos custos Com frequência, as organizações nos pedem para estipular o valor do custo de uma violação para ajudá-las a demonstrar o valor que estão proporcionando e justificar seus orçamentos de segurança de dados. Este ano, pela primeira vez, o Relatório DBIR estima os custos incorridos que podem ser esperados em caso de falha na proteção dos dados. Outros modelos tendem a simplificar excessivamente o custo de uma violação. Usamos dados reais de sinistros de seguros de responsabilidade eletrônica para desenvolver um modelo mais robusto que responda pela incerteza de custos à medida que aumenta o número de registros envolvidos. Usando esse modelo, estimamos que a perda média no caso de uma violação de registros fica entre US$ e US$ US$ 52 a US$ 87 por registro. Em contraste, a perda média causada por uma violação que afete 10 milhões de registros fica entre US$ 2,1 milhão e US$ 5,2 milhões US$ 0,21 a US$ 0,52 por registro. 23 % Concluímos que no ano passado, 23% dos destinatários abriram mensagens de phishing e 11% clicaram nos anexos. 96 % No ano passado, relatamos que 92% dos incidentes que testemunhamos em um período de dez anos se enquadravam em apenas nove padrões. Embora tenhamos observado muitas mudanças no panorama de ameaças nos últimos 12 meses, esses padrões ainda abrangeram a vasta maioria dos incidentes (96%). RELATÓRIO DE INVESTIGAÇÕES DE VIOLAÇÕES DE DADOS (Relatório DBIR) DE 2015 DA VERIZON resumo executivo 3

4 US$ 15 mi US$ 10 mi Figura 2 Intervalo estimado do custo de uma violação de dados Nosso novo modelo do custo de uma violação leva em conta a incerteza à medida que a contagem de registros aumenta. US$ 5 mi 20 milhões de registros 40 milhões de registros 60 milhões de registros 80 milhões de registros 100 milhões de registros Custo de uma violação US$ 254 O custo esperado por registro de violações que envolvam 100 registros é de US$ No caso de violações que envolvam 100 milhões de registros, esse valor cai para apenas US$ 0,09 embora, logicamente, o custo total seja muito mais alto. Quanto custa uma violação de dados? Agora podemos fornecer uma estimativa melhor dos custos em que você pode incorrer em caso de falha na proteção de seus dados. Analisamos quase 200 sinistros de seguros de responsabilidade eletrônica referentes a casos de violações de dados. Isso nos permitiu proporcionar a você o que acreditamos ser um panorama muito mais preciso do risco financeiro de uma violação de dados. Além da média Seguindo o modelo usado por outros analistas, começamos pelo cálculo de um custo médio por registro. O resultado foi US$ 0,58 um valor muito inferior a outras estimativas baseadas em dados de pesquisas. Mas quando o aplicamos a nossos exemplos de custos reais, ficou claro que não se tratava de uma estimativa muito precisa. O custo da violação não segue um modelo linear. Na verdade, o custo por registro decresce à medida que o número de registros perdidos aumenta. Isso significa que, quando uma média é usada, a variância cresce ainda mais à medida que o número de registros aumenta e queríamos que nosso modelo abrangesse uma ampla variedade de incidentes, inclusive aqueles com mais de registros furtados. Assim, em vez de usar uma média simples, criamos um modelo da variação real do custo com o número de registros. Acreditamos que isso proporciona um indicador muito mais confiável. 4 Verizon Enterprise Solutions

5 E nosso modelo pode ser usado para estimar o custo das violações sofridas por todas as organizações. O porte da empresa não tem nenhum efeito no custo de uma violação. As manchetes sobre perdas divulgadas por organizações de grande porte podem ser explicadas pelo fato de envolverem a perda de um número maior de registros. Violações com um número comparável de registros apresentam um custo semelhante, independentemente do porte da organização. O melhor modelo disponível Nós calculamos um custo esperado de US$ de uma violação com 100 registros perdidos (US$ 254/registro), podendo chegar a quase US$ 9 milhões se a perda for de 100 milhões de registros (US$ 0,09/ registro). Mas é claro que o verdadeiro custo da violação depende de muito mais do que apenas o número de registros perdidos. Um dos fatores mais significativos é o tipo de dado perdido, que pode ser qualquer coisa, desde informações de cartões de pagamentos até prontuários médicos. Para proporcionar um panorama preciso do custo provável de uma violação, precisamos considerar um intervalo, e não apenas um único valor. A tabela a seguir mostra os limites de dois intervalos ao redor de nosso valor esperado trata-se de intervalos com 95% de confiança da média e de um único evento. A faixa mais estreita (também mostrada no gráfico à esquerda) representa a média de vários incidentes que envolveram o mesmo número de registros perdidos, e o intervalo externo refere-se a qualquer incidente individualmente. Assim, por exemplo, nosso modelo afirma que a perda de uma violação que envolva registros ficará entre US$ e US$ 1,5 milhão. Trata-se de um intervalo amplo, visto que precisa abarcar muitos tipos de discrepâncias. Se analisarmos o custo médio de uma violação dessa quantidade de registros, ele ficará entre US$ e US$ O que isso significa para mim? Os custos de uma violação podem superar de longe o esforço e os recursos necessários para manter seu negócio em segurança. Esperamos que este modelo o ajude quando você estiver tentando explicar as implicações financeiras de uma violação de dados em sua organização. 53 % Nossa análise sugere que o número de registros perdidos responde por 53% da variação no custo de uma violação. O restante provavelmente se reduz a diversos fatores, que incluem o nível de prontidão. Figura 3 DECOMPOSIÇÃO DO CUSTO DE UMA VIOLAção Registros Previsão (inferior) Média (inferior) Esperado Média (superior) Previsão (superior) 100 US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ US$ RELATÓRIO DE INVESTIGAÇÕES DE VIOLAÇÕES DE DADOS (Relatório DBIR) DE 2015 DA VERIZON resumo executivo 5

6 0% 5% 10% 15% 20% 25% 0,1 % DoS 3,3 % Furto e perda física 3,1 % Extratores de cartões Figura 4 FREQUÊNCIA DE VIOLAÇÕES POR PADRÃO DE CLASSIFICAção DE INCIDENTES 8,1 % 9,4 % 10,6 % Crimeware Espionagem eletrônica Uso indevido de privilégios ou por pessoas de dentro da empresa Aplicativos na Web Erros diversos 18,8 % 18,0 % 28,5 % PDV COMO OS INVASORES ATUAM No ano passado, identificamos nove padrões de incidentes que abrangem a maioria dos incidentes de segurança que é provável que você enfrente. Esses padrões abarcam 96% das violações no conjunto de dados deste ano. E a maior parte das ameaças que você enfrenta provavelmente se enquadram em apenas três desses padrões. 96 % Os nove padrões acima abrangem a vasta maioria dos incidentes testemunhados. As ameaças enfrentadas por seus dados estão se tornando cada vez mais complexas e diversificadas. Mas, usando métodos estatísticos para identificar agrupamentos de incidentes e violações semelhantes, desenvolvemos uma estrutura que o ajudará a identificar as maiores ameaças e priorizar seus investimentos em segurança. Se analisarmos todos os incidentes, inclusive aqueles em que não houve uma perda confirmada de dados, veremos que o denominador comum entre os três principais padrões são as pessoas seja pelo envio de um para a pessoa errada, por deixar de retalhar informações confidenciais ou tirar proveito de seu cargo para obter dados confidenciais. Observar somente as violações de dados confirmadas (veja a Figura 4, acima) proporciona discernimento com relação aos pontos em que as empresas apresentam as maiores lacunas em suas defesas atuais: incidentes em pontos de vendas (PDV), crimeware e espionagem eletrônica. 6 Verizon Enterprise Solutions

7 Mineração (99%) Manufatura (98%) Hotelaria (98%) Entretenimento (93%) Varejo (91%) Administração (90%) Profissionais liberais (87%) Informação (86%) Gestão pública (85%) 25 % 50 % 75 % 100 % As três Principais ameaças em seu setor É claro que cada setor tem seu próprio perfil de ameaças. Compreender as principais ameaças enfrentadas pelo seu setor permite a você tomar decisões mais bem informadas sobre como construir suas defesas. A boa notícia é que, na maioria dos setores, mais de três quartos das violações são abarcadas por apenas três dos nove padrões de incidentes (veja a Figura 5, à esquerda). Em média, 83% das violações em cada setor foram abarcadas por apenas três padrões. Finanças (81%) Outros serviços (75%) Saúde (74%) Você também pode saber onde concentrar melhor seus esforços analisando diferentes setores em outras organizações com modelos operacionais semelhantes. No Relatório DBIR 2015, investigamos mais profundamente nossa definição de perfis, a fim de identificar semelhanças nos perfis de ameaça de subsetores dos diferentes setores. Crimeware Educação (73%) Espionagem eletrônica Ataques de negação de serviço Uso indevido de privilégios ou por pessoas de dentro da empresa Figura 5 DIVULGAção DE DADOS, TRÊS PRINCIPAIS PADRÕES POR SETOR Erros diversos Extratores de cartões de pagamento Furto e perda física Invasões em pontos de vendas Ataques a aplicativos da Web RELATÓRIO DE INVESTIGAÇÕES DE VIOLAÇÕES DE DADOS (Relatório DBIR) DE 2015 DA VERIZON resumo executivo 7

8 Os nove padrões Os nove padrões de classificação de incidentes que identificamos no ano passado facilitam a compreensão do panorama de ameaças, o que permite a você concentrar o foco de sua estratégia e priorizar seus investimentos em segurança de forma mais eficaz. 11 % 16,5 % CAIXA FINANÇAS EXECUTIVO OUTROS GERENTE DESENVOLVEDOR CALL CENTER ADMIN. DE SISTEMA RECURSOS HUMANOS 37 % USUÁRIO FINAL Figura 6 CRIMINOSOS DE DENTRO DA EMPRESA RESPONSÁVEIS PELO USO INDEVIDO Invasões em PDV Quando invasores comprometem os computadores e servidores que executam aplicativos de ponto de venda (PDV) com a intenção de capturar dados de pagamentos. Setores mais afetados: hotelaria, entretenimento e varejo Violações menores com frequência envolvem invasores que simplesmente adivinham senhas ou se valem de força bruta. Violações maiores podem envolver a violação de um sistema secundário para obtenção de acesso ao sistema de PDV. Em 2014, houve várias ocorrências em que os fornecedores de serviços de PDV foram os responsáveis pelo comprometimento. Houve uma mudança da confiança em credenciais padrão para o uso de informações de login furtadas, capturadas por meio de engenharia social direta aplicada aos funcionários. O que você pode fazer? A conformidade com PCI DSS proporciona uma linha de base sólida para proteção de sistemas de PDV. Nosso Relatório de Conformidade com PCI de 2015 concluiu que as áreas em que as empresas são reprovadas com maior frequência são verificação de vulnerabilidades e testes. Crimeware Esta é uma categoria ampla, que abrange qualquer uso de malware para comprometer sistemas. É tipicamente oportunista e motivada por ganhos financeiros. Setores mais afetados: gestão pública, informação e varejo Este ano, ocorreram centenas de incidentes que incluíram phishing na cadeia de eventos. E, em vários casos, segredos comerciais foram comprometidos, o que demonstra que até mesmo malware básico pode colocar seus dados corporativos em risco. O que você pode fazer? Aplicar patches a programas antivírus e navegadores para bloquear ataques e usar autenticação por dois fatores para limitar eventuais danos. E tentar descobrir o que quaisquer programas mal-intencionados detectados estavam tentando conseguir isso pode fornecer informações quanto a onde você precisa priorizar seus esforços. Espionagem eletrônica Quando agentes afiliados ao estado violam uma organização, geralmente por meio de ataques de phishing direcionado, em busca de propriedade intelectual. Setores mais afetados: manufatura, gestão pública e profissionais liberais Este ano, ocorreram mais violações de dados envolvendo espionagem eletrônica do que uso indevido por pessoas de dentro da empresa ou ataques a aplicativos na Web. Em geral, a espionagem eletrônica envolve uma campanha de phishing, que é então usada para a entrega de malware sofisticado. O que você pode fazer? Aplicar patches prontamente e manter seu software antivírus atualizado. Registrar as atividades do sistema, da rede e dos aplicativos para poder proporcionar uma base para a resposta a incidentes, bem como para contramedidas bem informadas. Uso indevido de privilégios ou por pessoas de dentro da empresa Envolve principalmente o uso indevido por pessoas de dentro da empresa, mas pessoas de fora (por conluio) e parceiros (porque a eles também são concedidos privilégios) também podem estar envolvidos. Setores mais afetados: gestão pública, saúde e finanças Os criminosos potenciais vêm de qualquer nível da empresa, desde a linha de frente até a sala da diretoria, embora este ano a maioria das violações tenha envolvido o usuário final (veja a Figura 6). 40% dos incidentes foram motivados por ganhos financeiros, mas funcionários que se valeram de soluções alternativas não aprovadas também causaram danos. O que você pode fazer? O primeiro passo é saber que dados você possui, onde estão e quem tem acesso a eles. Em seguida, identifique áreas em que precisa de uma auditoria adicional e processos de detecção de fraude. O exame dos dispositivos depois que os funcionários deixam sua empresa pode identificar quaisquer pontos fracos em suas defesas que precisem ser reforçados. 8 Verizon Enterprise Solutions

9 Ataques a aplicativos na Web Uso de credenciais furtadas ou vulnerabilidades em aplicativos da Web como sistemas de gerenciamento de conteúdo (CMS) ou plataformas de comércio eletrônico. Setores mais afetados: informação, finanças e gestão pública Quase todos os ataques a aplicativos na Web em 2014 foram oportunistas e direcionados a alvos fáceis. A maioria dos ataques se valeu de credenciais furtadas (veja a Figura 7), geralmente obtidas de dispositivos de clientes. O que você pode fazer? Examine os registros de equilibrador da carga, aplicativos na Web e transações de bancos de dados para ajudar a identificar atividades malintencionadas. Use autenticação por dois fatores e bloqueie as contas após tentativas de login malsucedidas repetidas. Erros diversos Qualquer erro que comprometa a segurança. Setores mais afetados: gestão pública, informação e saúde Como nos anos anteriores, os funcionários foram os protagonistas na maioria dos incidentes. Há três categorias tradicionais principais de incidentes decorrentes de erros: envio não intencional de informações sigilosas a destinatários incorretos (30% dos incidentes), publicação de dados confidenciais em servidores Web públicos (17%) e descarte de dados pessoais ou médicos de uma forma que não seja segura (12%). O que você pode fazer? Para proteger seus dados, considere a implementação de um software de prevenção de perda de dados (DLP) que impeça o envio de informações sigilosas pelos usuários. E reeduque seus funcionários quanto à segurança dos dados e a como descartar material sigiloso. Furto e perda física Perda ou furto de notebooks, unidades USB, documentos impressos ou outros ativos de informações, principalmente de escritórios e veículos. Setores mais afetados: gestão pública, saúde e finanças Quase todos os furtos em 2014 foram oportunistas, sendo que 55% dos incidentes ocorreram na área de trabalho e 22% em veículos. O que você pode fazer? 15% dos incidentes nesta categoria levam dias até serem descobertos. Criptografe seus dispositivos para proteger os dados neles armazenados e execute backups regulares para prevenir a perda de dados valiosos e reduzir o tempo de inatividade. Extratores de cartões de pagamento A instalação física de um extrator em um caixa eletrônico, bomba de gasolina ou terminal de PDV para leitura dos dados do cartão durante os pagamentos. Setores mais afetados: finanças e varejo Agora os invasores estão usando extratores de cartões finos e translúcidos que cabem dentro da própria ranhura do leitor de cartão. O que você pode fazer? Monitorar seus terminais de pagamento e treinar os funcionários para detectarem extratores e comportamentos suspeitos. Ataques de negação de serviço Uso de botnets para sobrecarregar uma organização com tráfego mal-intencionado, o que faz com que as operações de negócios normais sejam paralisadas. Setores mais afetados: gestão pública, varejo e finanças O número de ataques distribuídos de negação de serviço (DoS) dobrou em Cada vez mais, os invasores estão usado a infraestrutura da própria Internet para amplificar seus ataques. O que você pode fazer? Saber onde seus serviços se encontram e como estão configurados. Bloquear o acesso a servidores de botnet conhecidos e aplicar patches aos seus sistemas. E conduzir exercícios regulares que lhe permitam planejar suas defesas. Você também deve considerar a adição de tecnologia para restaurar os serviços, caso venham a ser comprometidos. CREDENCIAIS FURTADAS 50,7 % BACKDOOR/C2 40,5 % SQLi 19 % RFI ABUSO DE FUNCIONALIDADE FORÇA BRUTA XSS PATH TRAVERSAL NAVEGAÇÃO FORÇADA COMANDOS DO SISTEMA OPERACIONAL Figura 7 TÉCNICAS USADAS EM ATAQUES A APLICATIVOS NA WEB RELATÓRIO DE INVESTIGAÇÕES DE VIOLAÇÕES DE DADOS (Relatório DBIR) DE 2015 DA VERIZON resumo executivo 9

10 0,03 % Durante um período de seis meses analisando atividades mal-intencionadas nas dezenas de milhões de smartphones e tablets que usam a rede da Verizon, concluímos que o equivalente a menos de 0,03% dos dispositivos foi afetado a cada ano. 5B Nossa previsão é de que até 2020 haverá cinco bilhões de dispositivos IoT empresariais, além de muitos outros bilhões de dispositivos de consumidores. Fonte: Verizon State of the Market: The Internet of Things 2015 riscos despontando no horizonte No Relatório DBIR deste ano, também analisamos algumas das novas ameaças potenciais que estão preocupando tanto CEOs quanto CIOs. Em especial, observamos os riscos decorrentes do aumento do uso de smartphones e tablets, bem como da rápida transformação da Internet das coisas (IoT), desde o conceito até a realidade. A ameaça superestimada aos dispositivos móveis As organizações estão dependendo cada vez mais da tecnologia móvel e existe uma preocupação generalizada com relação a smartphones e tablets, especialmente os que não são controlados pela organização, representarem a próxima oportunidade para os hackers. Para lidar com essa preocupação, estamos conduzindo nossa primeira análise de malware móvel e ameaças relacionadas. As plataformas móveis podem ser vulneráveis, mas nossos dados sobre incidentes, violações e redes sem fio mostram claramente que ainda não se trata do alvo de ataque preferido dos invasores. Analisamos a atividade malintencionada advinda de dispositivos móveis em nossa rede sem fio e descobrimos que a incidência de malware móvel é muito baixa e que a maior parte dela consiste em infecções de baixo impacto, como adware, entre outras infecções que desperdiçam recursos, mas não são destrutivas. A incidência de malware destrutivo é equivalente a menos de 0,03% dos dispositivos a cada ano. Ao usar seus recursos, recomendamos que você priorize os métodos conhecidos que estão sendo usados para comprometer suas redes, destacados por nossos nove padrões de incidentes. Em termos de segurança móvel, busque obter visibilidade e controle de como seus dispositivos estão sendo usados. Isso significa que você estará ciente de qualquer atividade suspeita e será capaz de reagir rapidamente às mudanças no panorama de ameaças. A Internet das coisas desprotegidas Nem todos os dispositivos de máquina a máquina (M2M) ficam visíveis na Internet ou enviam informações sigilosas, mas a Internet das coisas (IoT) está ocupando cada vez mais espaço no panorama da TI. Assim, à medida que você implanta novas iniciativas de dispositivos inteligentes, a segurança deve estar entre suas mais altas prioridades. Há poucos incidentes de segurança e poucas divulgações de dados envolvendo dispositivos M2M (como carros conectados e cidades inteligentes) publicadas em 2014, mas isso não é motivo para complacência. Existiram relatos de incidentes que envolveram dispositivos conectados sendo usados como ponto de entrada para comprometer outros sistemas, bem como dispositivos de IoT incorporados a botnets para ataques de negação de serviço. Portanto, ao considerar iniciativas de IoT, recomendamos que você realize exercícios de modelagem de ameaças para identificar seus adversários mais prováveis e suas motivações, bem como quais aspectos de seus serviços M2M são mais vulneráveis. Para ajudar a manter a segurança dos dados em seu aplicativo de IoT, você deve: Armazenar apenas dados realmente necessários. Contar com robustos controles de consentimento e acesso. Transferir dados de forma criptografada e anônima. Separar os dados, exceto quando pretender realizar uma análise de tendências. 10 Verizon Enterprise Solutions

11 2015 DATA BREACH PROFESSIONAL MANUFACTURING TECHNOLOGY Conclusão: É hora de agir SEGUNDOS MINUTOS HORAS DIAS SEMANAS MESES OU MAIS 15 Tempo até o comprometimento do sistema pelos invasores 38 % 22 % 9 % 19 % 8 % 5 % Em casos em que houve furto de dados, tempo gasto com a exfiltração Tempo até a descoberta da violação pela vítima 5 % % % % 9 % 34 % 31 % 13 % 7 % 5 % Tempo gasto na contenção do incidente 0 % 3 % 32 % 38 % 11 % 15 % 13 % 9 % Figura 8 LINHA DO TEMPO DOS INCIDENTES Quanto mais demora até você descobrir uma violação, mais tempo os invasores têm para causar danos. Em 56% dos casos, as organizações demoram horas ou até mais tempo para descobrir um ataque e em 25% das ocorrências, isso leva dias ou ainda mais tempo. E o déficit de detecção está cada vez maior. Em 60% dos casos, os invasores são capazes de comprometer uma organização em questão de minutos. Quando demos uma olhada mais de perto nas causas comuns das violações, descobrimos que quase 25% poderiam ter sido evitadas pelo uso de autenticação por vários fatores e aplicação de patches a serviços da Web acessíveis pela Internet. No total, 40% dos controles ausentes identificados se enquadram na categoria ganho rápido dos Controles de segurança críticos à segurança cibernética. O Relatório DBIR 2015 está repleto de informações e recomendações detalhadas. Mas sete temas comuns são claros: Fique vigilante. Com frequência, as organizações só ficam sabendo das violações de segurança quando recebem uma ligação da polícia ou de um cliente. Arquivos de registro e sistemas de gerenciamento de alterações podem proporcionar uma advertência precoce. Faça das pessoas a sua primeira linha de defesa. Ensine seus funcionários sobre a importância da segurança, como detectar os sinais de um ataque e o que fazer se virem algo suspeito. Disponibilize os dados somente segundo a necessidade comercial de conhecer a informação. Limite o acesso aos sistemas de que seus funcionários precisam para desempenhar seu trabalho. E certifique-se de contar com processos estabelecidos para revogar o acesso quando as pessoas mudam de função ou deixam a empresa. Aplique patches prontamente. Você pode se proteger de muitos ataques simplesmente assegurando-se de que seu ambiente de TI está bem configurado e que o software antivírus está atualizado. Criptografe dados sigilosos. Isso não impedirá o furto dos dados sigilosos, mas dificultará muito seu uso pelos criminosos. Use autenticação por dois fatores. Isso não irá reduzir o risco de furto das senhas, mas pode limitar o dano resultante da perda ou furto de credenciais. Não se esqueça da segurança física. Nem todos os furtos de dados acontecem online. Criminosos violam computadores ou terminais de pagamento ou furtam caixas com materiais impressos. INVESTIGATIONS REPORT O Relatório de Investigações de Violações de Dados (Relatório DBIR) da Verizon o ajuda a compreender as ameaças à sua organização e reforçar sua defesa contra elas. Para obter mais informações, baixe o relatório completo de verizonenterprise.com/dbir/2015. $400 MILLION The estimated financial loss from 700 million compromised records shows the real importance of managing data breach risks. Conducted by Verizon with contributions from 70 organizations from around the world. HEALTHCARE EDUCATION PUBLIC SECTOR HOSPITALITY FINANCIAL SERVICES RETAIL ENTERTAINMENT RELATÓRIO DE INVESTIGAÇÕES DE VIOLAÇÕES DE DADOS (Relatório DBIR) DE 2015 DA VERIZON resumo executivo ADMINISTRATIVE TRANSPORTATION 11

12 verizonenterprise.com/br 2015 Verizon. Todos os direitos reservados. O nome e o logotipo da Verizon e todos os outros nomes, logotipos e slogans que identificam os produtos e serviços da Verizon são marcas comerciais e de serviço ou marcas comerciais e de serviço registradas da Verizon Trademark Services LLC ou de suas afiliadas, nos Estados Unidos e/ou em outros países. Todas as outras marcas comerciais e marcas de serviço são de propriedade de seus respectivos detentores. ES16371 PT-BR 04/15 12 Verizon Enterprise Solutions