92 % USO INDEVIDO POR PESSOAS DE DENTRO DA EMPRESA ERROS DIVERSOS ATAQUES DE DOS FURTO/PERDA FÍSICA CRIMEWARE EXTRATORES DE CARTÕES DE PAGAMENTO

Transcrição

1 Resumo Executivo Relatório de Investigações de Violações de Dados de 2014 (Relatório DBIR) USO INDEVIDO POR PESSOAS DE DENTRO DA EMPRESA ATAQUES DE DOS ERROS DIVERSOS FURTO/PERDA FÍSICA CIBERESPIONAGEM CRIMEWARE EXTRATORES DE CARTÕES DE PAGAMENTO ATAQUES A APLICATIVOS DA WEB 92 % O UNIVERSO DAS AMEAÇAS PODE PARECER ILIMITADO, MAS 92% DOS INCIDENTES QUE ANALISAMOS NOS ÚLTIMOS DEZ ANOS PODEM SER DESCRITOS POR APENAS NOVE PADRÕES BÁSICOS. INVASÕES A PONTOS DE VENDA Conduzidas pela Verizon com contribuições de 50 organizações de diferentes partes do mundo.

2 Relatório de Investigações de Violações de Dados de 2014 (Relatório DBIR) RESUMO Executivo 50 ORGANIZAÇÕES AO REDOR DO MUNDO CONTRIBUÍRAM COM DADOS. MAIS DE INCIDENTES DE SEGURANÇA FORAM ANALISADOS VIOLAÇÕES DE DADOS CONFIRMADAS FORAM ESTUDADAS. A segurança dos dados deveria importar para você, independentemente de sua função na organização. Por quê? Porque quando você sofre qualquer tipo de violação seja um invasor em busca de informações de cartões de crédito de clientes ou um funcionário deixando acidentalmente uma chave USB cheia de desenhos de projetos em um táxi o impacto se dá em toda a empresa. Quando a notícia de uma violação de dados vem à tona algo que frequentemente acontece você pode ter que enfrentar multas e uma ação judicial. E, igualmente importante, seus clientes e parceiros podem perder a confiança em sua habilidade de proteger seus interesses, o que pode ter um impacto direto em sua reputação e em seu lucro. E ainda há a despesa adicional para descobrir o que deu errado e tapar os buracos nas suas defesas. Os custos de uma violação de dados podem ser enormes. E não se trata apenas dos custos de remediação e multas potenciais; os danos à sua reputação e a perda da confiança dos clientes poderiam afetar seu sucesso por anos. Muitas empresas nunca se recuperam de uma grande violação de dados. Em quem VOCê pode confiar? A variedade das ameaças a seus dados e sistemas pode ser ameaçadora. E confiar na intuição ou mesmo em melhores práticas históricas pode ser duvidoso. A cobertura da mídia criou uma imagem distorcida das violações de dados. A realidade é que não são apenas os varejistas os afetados. Nossos dados mostram uma tendência à redução no número de ataques a sistemas de pontos de vendas (PDV) nos últimos anos. Por outro lado, os ataques de espionagem continuam crescendo afetando todos os tipos de empresas, e não apenas órgãos governamentais e fornecedores militares. Está claro: quando a questão é segurança, não basta confiar em seus instintos. O panorama de ameaças está em constante mudança e manter-se atualizado é um desafio contínuo. A fim de criar as defesas certas e proteger seu negócio com eficácia, você precisa saber mais sobre as ameaças que enfrenta. O Relatório DBIR da Verizon vem sendo, há anos, a melhor fonte de discernimento com relação ao panorama de ameaças. O relatório deste ano abrange mais de incidentes de segurança de 95 países, o que inclui violações de dados confirmadas.isso inclui, pela primeira vez, ataques de DoS, que raramente envolvem a perda de dados, mas ainda assim representam uma ameaça para seu negócio. 95 O conjunto de dados do Relatório DBIR 2014 inclui incidentes cujo alvo foram organizações, tanto de grande quanto de pequeno porte, em 95 países e 19 categorias de setor desde agricultura até serviços profissionais. 2 Verizon Enterprise Solutions

3 UMA NOVA ABORDAGEM A variedade e o volume das ameaças estão crescendo. E nunca foi tão importante proteger seu negócio. Esse é o motivo pelo qual tornamos o Relatório DBIR deste ano mais informativo e prático que nunca. Valendo-nos de mais de dez anos de dados de violações e incidentes, podemos criar um panorama claro dos elementos envolvidos em uma violação típica. A vítima O CRIMINOSO O Alvo O ATAque A Perseguição Poderia ser você. Empresas de todos os portes e todos os setores correm o risco de algum tipo de evento de segurança. Mesmo que você acredite que sua organização corre pouco risco de ataques externos, persiste a possibilidade de uso indevido e erros por parte de pessoas de dentro da empresa que podem prejudicar sistemas e expor dados. A maior parte dos ataques é perpetrada por agentes externos, em oposição a funcionários e parceiros. Quadrilhas criminosas com motivações financeiras ainda representam o tipo dominante de criminosos em ataques externos embora a espionagem apareça com frequência crescente em nosso conjunto de dados. Apesar de toda a ênfase no hacktivismo na imprensa, ataques com fundo ideológico continuam representando uma pequena porcentagem do total. Em sua maior parte, os invasores saem à caça de dados bancários e de pagamentos, que podem converter rapidamente em dinheiro. Credenciais de usuário também são um alvo popular, mas principalmente como porta de entrada para outros tipos de dados ou outros sistemas. Um crescimento no furto de segredos e dados internos reflete o aumento do número de ataques de espionagem. Ação de hackers e malware são os métodos de ataque mais comuns. Servidores e dispositivos de usuário (como PCs) são os alvos principais. Ataques de interceptação física estão se tornando menos comuns, mas o número de ataques sociais aumentou nos últimos anos. Os invasores se tornaram mais rápidos ao violarem sistemas. Os defensores também estão ficando mais rápidos mas estão ficando para trás. Muitas violações bem-sucedidas são detectadas por terceiros, como órgãos de segurança pública, organizações especializadas em detecção de fraudes ou até mesmo clientes. Quando o foco se concentra em tentativas de violações por invasores externos, é fácil esquecer dos outros tipos de riscos a que os dados estão sujeitos. Mas o vazamento de dados por erro de processo ou perda de dispositivo é um problema constante. E os invasores estão, cada vez mais, usando ataques de DoS que, embora não roubem nenhum dado, podem ser igualmente prejudiciais às suas operações de negócios. Mas você precisa mais do que um panorama geral. Por isso, a maior mudança que fizemos este ano é o uso de métodos estatísticos para identificar agrupamentos de incidentes e violações semelhantes. Tínhamos certeza de que havia padrões nos dados dos incidentes: certos grupos de métodos de ataque, alvos e criminosos recorrentes. Partindo da complexidade e diversidade do panorama de ameaças, identificamos nove padrões que abrangem 92% dos incidentes de segurança que analisamos nos últimos dez anos e 94% das violações que abordamos no último ano. A isso denominamos padrões de classificação de incidentes. 92% Invasões a Pontos de Venda Ataques a aplicativos da Web Uso indevido por pessoas de dentro da empresa Furto/perda física Erros diversos Crimeware Extratores de cartões Ataques de DoS Ciberespionagem Tudo o mais Violações de 2013, n= % 8% <1% 2% 4% 9% 0% 22% 6% 35% 1% 1% 2% 1% Incidentes em % 19% 16% 27% 19% 8% dos incidentes que TESTEMUNhamos nos últimos dez anos E 94% DAS VIOLAÇÕES de 2013 podem ser descritos por apenas nove PADRÕES. RELATÓRIO DE INVESTIGAÇÕES DE VIOLAÇÕES DE DADOS DE 2014 (Relatório DBIR) Resumo executivo 3

4 A VISÃO DO SETOR Nossos nove padrões classificam quase todos os ataques que seu setor tem probabilidade de enfrentar. Isso o ajudará a colocar as ameaças em perspectiva e priorizar seus esforços de segurança. Ao identificarmos os nove padrões de classificação de incidentes, facilitamos a compreensão do panorama de ameaças, o que permite a você concentrar o foco em sua estratégia e priorizar seus investimentos em segurança de forma mais eficaz. O diagrama a seguir mostra a frequência com que esses padrões apareceram em diferentes setores da indústria. Não apenas nove padrões abrangem 92% dos mais de incidentes, mas em média apenas três desses padrões respondem por 72% dos incidentes em qualquer setor. 72% TRÊS PRINCIPAIS PADRÕES ABRANGEM EM MÉDIA 72% DOS INCIDENTES 25% 50% 100% Hospedagem 93% dos INCIDENTE EM CADA SETOR PODEM SER DESCRITOS POR APENAS TRÊS DOS NOVE PADRÕES. Administração Construção Educação Finanças Saúde 20% 27% 33% 43% 46% 61% 59% 82% 73% Informação 41% 88% Gestão 44% 66% Manufatura Entretenimento 30% 32% 68% 66% Mineração 40% Na maior parte dos setores, mais de 50% dos incidentes são cobertos por apenas três dos nove padrões. Profissional Setor público Imóveis Varejo Comércio 37% 34% 37% 33% 30% 48% 79% 70% 74% Transporte 24% 55% Serviços públicos 38% 83% Outros 29% 59% 4 Verizon Enterprise Solutions

5 OS NOVE PADRÕES As páginas a seguir resumem os nove padrões e as nossas recomendações de como você pode responder a eles. Erros diversos Em poucas palavras, qualquer erro que comprometa a segurança: o que pode significar a publicação acidental de dados privados em um site público, o envio de informações para os destinatários errados ou deixar de descartar documentos ou ativos de forma segura. Pessoas cometem erros, independentemente do setor em que trabalham. Mas os setores que lidam com a comunicação de informações como setor público, administração educação e saúde estão mais sujeitos. Implemente DLP. Considere a implementação de software de prevenção de perda de dados para impedir que informações sigilosas sejam enviadas talvez por engano por . Reforce os controles sobre a publicação. Reduza a frequência dos erros de publicação tornando mais rigorosos os controles de postagem de documentos em sites da Web. Verifique a Web regularmente para ver se há dados privados. Ensine o pessoal como descartar ativos. Eles precisam entender que documentos e computadores não podem simplesmente ser colocados na lata de lixo. 49% dos Erros diversos ENVOLVERAM DOCUMENTOS IMPRESSOS. Crimeware Crimeware é uma categoria ampla, que abrange qualquer uso de malware (com frequência baseado na Web) para comprometer sistemas, como servidores e desktops. Este padrão inclui o phishing. Constatamos que o setor público, de informação, serviços públicos e manufatura são os mais expostos ao risco. Aplique patches a programas antivírus e navegadores. Isso pode bloquear muitos ataques. Desabilite o Java no navegador. Dado o histórico de vulnerabilidades, evite usar plugins Java nos navegadores sempre que possível. Use autenticação por dois fatores. Isso não irá impedir o furto de credenciais, mas limitará os danos que ele pode causar. Implemente o monitoramento de alterações às configurações. Muitos métodos podem ser facilmente detectados observando-se os principais indicadores. A maior parte dos incidentes de crimeware tem início com a ATIVIDADE na Web, e não com links ou anexos de s. Uso indevido de privilégios ou por pessoas de dentro da EMPRESA Deve-se principalmente a pessoas de dentro da empresa, mas pessoas de fora (por conluio) e parceiros (porque a eles também são concedidos privilégios) também dão as caras. Os criminosos potenciais vêm de qualquer nível da empresa, desde a linha de frente até a sala da diretoria. Uma grande variedade de setores estavam representados: imóveis, setor público, mineração, setor administrativo, entre outros. Sempre que uma empresa confiar em pessoas, haverá esse risco. Conheça seus dados. O primeiro passo da proteção de seus dados é saber onde eles estão e quem tem acesso a eles. Reveja as contas de usuários. Tendo identificado quem tem acesso a dados sigilosos, implemente um processo para revogar o acesso quando os funcionários deixam a empresa ou mudam de função. Vigie as saídas. Estipule controles para vigiar a transferência de dados para fora da organização. Publique relatórios de auditorias anônimos. Fazer ver que as políticas estão sendo impostas e policiadas pode ser um poderoso dissuasor. 85% dos ataques de uso indevido de privilégios ou por pessoas de dentro da EMPRESA se VALERAM da rede CORPORATIVA. RELATÓRIO DE INVESTIGAÇÕES DE VIOLAÇÕES DE DADOS DE 2014 (Relatório DBIR) Resumo executivo 5

6 FURTO E PERDA FÍSICA Perda ou furto de notebooks, unidades USB, documentos impressos ou outros ativos de informações, principalmente de escritórios, mas também de veículos e residências. Acidentes acontecem em toda parte mas 45% de todos os incidentes no setor de saúde se enquadram neste perfil. O setor público também testemunhou muitos incidentes que se enquadraram neste padrão. Criptografe os dispositivos. Ainda que a criptografia não afete a probabilidade de um ativo se perder, ela irá proteger os dados que ele armazena. Faça backup. Backups regulares podem impedir a perda de dados valiosos, reduzir o tempo de inatividade e ajudar na peritagem judicial, caso você venha a sofrer uma violação. Tranque os equipamentos. Prenda os equipamentos de TI a instalações fixas e guarde ativos sigilosos inclusive documentos em papel em uma área segura separada. 43% dos FURTOS/PERDAS ocorreram NO trabalho. ATAQUES a aplicativos na Web Quando os invasores usam credenciais furtadas ou exploram vulnerabilidades em aplicativos da Web como sistemas de gerenciamento de conteúdo (CMS) ou plataformas de comércio eletrônico. A maior parte dos setores agora tem muitos de seus aplicativos voltados para a Web, mas os principais alvos incluíram empresas de informação, serviços públicos, manufatura e varejo. ATAQUES de DOS Trata-se de ataques, e não de tentativas de violação. Os invasores usam botnets de PCs e potentes servidores para sobrecarregar os sistemas e aplicativos de uma organização com tráfego mal-intencionado, fazendo com que as operações de negócios normais sejam paralisadas. Os ataques se dão com frequência em sistemas de transações críticos à missão nos setores financeiro, de varejo e similares. Use autenticação por dois fatores. Considere a autenticação por software e a biometria. Considere mudar para um CMS estático. O CMS estático não precisa executar código a cada solicitação, o que reduz as oportunidades de exploração. Faça cumprir as políticas de bloqueio. Bloquear as contas após tentativas de login malsucedidas repetidas ajudará a frustrar ataques de força bruta. Monitore as conexões de saída. A menos que seu servidor tenha um bom motivo para enviar milhões de pacotes para sistemas de governos estrangeiros, bloqueie sua capacidade de fazê-lo. Assegure-se de que os patches sejam aplicados prontamente aos servidores. E conceda acesso somente às pessoas que precisem dele. Segregue os servidores mais importantes. Compre um pequeno circuito de backup e anuncie o espaço IP. Dessa forma, se ele for atacado, os sistemas principais não serão afetados. Teste seu serviço anti-dos. Este não é um serviço que se possa instalar e esquecer. Tenha um plano. As principais equipes de operações precisam saber como reagir em caso de ataque. E saiba o que fazer se o seu serviço anti-dos não funcionar. ATAques a APLICATIVOS da Web são, COM FREQUÊNCIA, direcionados a CMS, como Wordpress E DRUPAL. +115% Botnets e ataques por reflexão mais poderosos ajudaram a AUMENTAR a escala dos ATAQUES DE DDoS em 115% desde Verizon Enterprise Solutions

7 CIBERESPIONAGEM Quando agentes afiliados ao estado violam uma organização, geralmente por meio de ataques de phishing direcionado e em busca de propriedade intelectual. A espionagem não é um problema apenas para organizações governamentais e militares. Serviços profissionais, transportes, manufatura, mineração e setor público são todos alvos populares. Aplique patches prontamente. Explorar as vulnerabilidades do software é comum como primeiro passo. Use antivírus e mantenha-o atualizado. Isso não o protegerá de ataques de dia zero, mas muitos ainda sucumbem a perigos bem conhecidos. Treine os usuários. Dê a eles o conhecimento de que precisam para reconhecer e relatar sinais de perigo. Mantenha bons registros. Registre as atividades do sistema, da rede e dos aplicativos. Essa é uma boa base para a resposta a incidentes e prestará suporte a muitas contramedidas proativas. 3x O conjunto de DADOS deste ano APRESENTA uma TRIPLICAÇão do número de ataques de espionagem a CADA ano. Invasões em pontos de VENDAS Quando invasores comprometem os computadores e servidores que executam aplicativos de ponto de venda (PDV) com a intenção de capturar dados de pagamentos. Empresas dos setores de hospitalidade e varejo são os principais alvos o que não é de se surpreender, já que aí se concentra a maioria dos dispositivos de PDV. Mas outros setores, como saúde, também processam pagamentos e, portanto, também correm riscos. Restrinja o acesso remoto. Limite o acesso a sistemas de PDV por empresas terceirizadas. Faça cumprir as políticas de senhas de alta segurança. Nosso Relatório de Conformidade com PCI concluiu que mais de 25% das empresas ainda usam os padrões de fábrica. Restrinja os sistemas de PDV a atividades de PDV. Não permita que os funcionários os usem para navegar pela Web, verificar ou jogar jogos. Use autenticação por dois fatores. Senhas de mais alta segurança reduziriam o problema, mas o uso de dois fatores seria melhor. 85% DAS INVASÕES A PDV LEVARAM SEMANAS PARA SEREM DESCOBERTAS. Extratores de cartões de pagamento A instalação física de um extrator em um caixa eletrônico, bomba de gasolina ou terminal de PDV para leitura dos dados do cartão durante os pagamentos. Bancos, varejistas e empresas de hospitalidade são os principais alvos. Use terminais resistentes à violação. Alguns terminais são mais suscetíveis a extração de informações específicas do que outros. Tome cuidado com a violação. Treine os funcionários para detectar extratores e reconhecer comportamentos suspeitos. Use controles evidentes contra violações. Isso pode ser simples, como lacrar a porta de uma bomba de gasolina, ou algo mais sofisticado, como o monitoramento automatizado por vídeo para detecção de anomalias. 87% dos ATAQUES de extração de INFORMAÇÕES ESPECÍFICAS FORAM a CAIXAS ELETRÔNICOS. RELATÓRIO DE INVESTIGAÇÕES DE VIOLAÇÕES DE DADOS DE 2014 (Relatório DBIR) Resumo executivo 7

8 BANK BANK UTILITIES RETAIL attacks. Hotel Resumo O Relatório DBIR 2014 está repleto de informações e recomendações mais detalhadas. Mas sete temas comuns são claros: Fique vigilante. Com frequência, as organizações só ficam sabendo das violações de segurança quando recebem uma ligação da polícia ou de um cliente. Arquivos de registro e sistemas de gerenciamento de alterações podem proporcionar uma advertência precoce. Faça de seu pessoal a sua primeira linha de defesa. Ensine seus funcionários sobre a importância da segurança, como detectar os sinais de um ataque e o que fazer quando veem algo suspeito. Mantenha os dados segundo a necessidade comercial de conhecer a informação. Limite o acesso aos sistemas de que seus funcionários precisam para desempenhar seu trabalho. E certifique-se de contar com processos estabelecidos para revogar o acesso quando as pessoas mudam de função ou deixam a empresa. Aplique patches prontamente. Com frequência os invasores obtêm acesso usando os métodos mais simples de ataque, dos quais você poderia se defender simplesmente com um ambiente de TI bem configurado e um antivírus atualizado. Criptografe dados sigilosos. Assim, se os dados forem perdidos ou furtados, será muito mais difícil para um criminoso usá-los. Use autenticação por dois fatores. Isso não irá reduzir o risco de furto das senhas, mas pode limitar o dano resultante da perda ou furto de credenciais. Não se esqueça da segurança física. Nem todos os furtos de dados acontecem online. Criminosos violam computadores ou terminais de pagamento ou furtam caixas com materiais impressos. Quer saber mais? Este resumo executivo é apenas uma amostra das informações no Relatório completo de Investigações de Violações de Dados de 2014 (Relatório DBIR) da Verizon. A análise que ele oferece o ajudará a compreender as ameaças ao seu setor e reforçar sua defesa contra elas. Baixe o relatório completo e outros recursos em: verizonenterprise.com/br/dbir/2014 VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT CYBER-ESPIONAGE 92 % DOS ATTACKS CRIMEWARE WEB APP ATTACKS THE UNIVERSE OF THREATS MAY SEEM LIMITLESS, BUT 92% OF THE 100,000 INCIDENTS WE VE ANALYZED FROM THE LAST 10 YEARS CAN BE DESCRIBED BY JUST NINE BASIC PATTERNS. Conducted by Verizon with contributions from 50 organizations from around the world. INSIDER MISUSE MISCELLANEOUS ERRORS PHYSICAL THEFT AND LOSS PAYMENT CARD SKIMMERS Public Sector The most frequent incidents are errors (34%), insider misuse (24%), crimeware (21%) and lost/stolen assets (19%). Healthcare Physical theft and loss of assets occur most often in the office not from personal vehicles or homes. Hospitality Three-quarters of the attacks target POS devices and systems a good argument for PCI compliance Energy/Utilities Just two patterns web app attacks and crimeware cover 69% of all incidents. HEALTHCARE PUBLIC SECTOR 98% Just four patterns account for almost all attacks. 46% Data Breach Investigations Report of security incidents are the result of lost or stolen assets. Most attacks come from point-of-sale intrusions highest for all industries. HOSPITALITY 38% Web app attacks are responsible for the highest number of incidents. 92% of all security incidents we analyzed over a ten-year period fit into nine basic patterns. 33% DOS attacks are most frequent, followed by point-of-sale intrusions (31%). FINANCIAL SERVICES A majority of incidents come from web app attacks, DOS and card skimming. 54% Combined number of attacks from cyber-espionage and DOS. 37% Number of incidents attributed to DOS PROFESSIONAL SERVICES MANUFACTURING Point-of-Sale Intrusions Web Application Attacks Insider Misuse Physical Theft/Loss Miscellaneous Errors Crimeware Card Skimmers Denial of Service Attacks Cyber-Espionage Everything else 2014 Verizon. All Rights Reserved. The Verizon name and logo and all other names, logos, and slogans identifying Verizon s products and services are trademarks and service marks or registered trademarks and service marks of Verizon Trademark Services LLC or its affiliates in the United States and/or other countries. All other trademarks and service marks are the property of their respective owners. POINT-OF-SALE INTRUSIONS Conducted by Verizon with contributions from 50 organizations from around the world. Nine classification patterns cover the majority of all security incidents. In 2013, we analyzed over 63,000 incidents and more than 1,300 confirmed breaches to provide new insight into your biggest threats and to help improve your defenses against them. This year s report identifies nine basic patterns that cover 92 percent of all security incidents we ve looked at over the past 10 years. Download the Verizon 2014 Data Breach Investigations Report today. verizonenterprise.com/dbir/2014 SOBRE A VERIZON Nós projetamos, construímos e operamos as redes, sistemas de informação e tecnologias móveis que ajudam empresas e governos ao redor do globo a expandir seu alcance, aumentar a produtividade, melhorar a agilidade e manter a longevidade. Nossas soluções, que abrangem Segurança, Máquinas conectada, Nuvem dinâmica, Redes inteligentes e Força de trabalho móvel, foram projetadas para ajudar as empresas a buscar novas possibilidades e criar fluxos de receita inteiramente novos de forma mais eficiente e segura que nunca. Acreditamos que empresas e indivíduos capacitados pela tecnologia podem mudar o mundo. Criamos soluções com essa crença em mente e nos desafiamos perpetuamente a habilitar, avançar e abrir caminho para novas possibilidades em uma variedade de setores. verizonenterprise.com/br 2014 Verizon. Todos os direitos reservados. O nome e o logotipo da Verizon e todos os outros nomes, logotipos e slogans que identificam os produtos e serviços da Verizon são marcas comerciais e de serviço ou marcas comerciais e de serviço registradas da Verizon Trademark Services LLC ou de suas afiliadas, nos Estados Unidos e/ou em outros países. Todas as outras marcas comerciais e marcas de serviço são de propriedade de seus respectivos detentores. ES15921 PT-BR 6/14