A lacuna no conhecimento de vulnerabilidades

Transcrição

1 A lacuna no conhecimento de vulnerabilidades e o vácuo das informações de segurança

2 Está se sentindo vulnerável? Você deveria. A quebra de segurança na PlayStation Network da Sony em 2011, considerada o maior vazamento de segurança de dados de todos os tempos, foi tão danosa que seus efeitos são sentidos ainda hoje. Somente em outubro de 2012 um juiz indeferiu a primeira ação coletiva contra a empresa 1. Após uma infecção em 10 de seus servidores, foram roubadas informações pessoais de contas de mais de 75 milhões de clientes globais. Surgiram perguntas em fóruns de todo o mundo, ações judiciais foram iniciadas e o acesso dos usuários aos jogos ficou bloqueado por mais de um mês. Essa foi uma falha de segurança muito significativa e pública que resultou em perda de confiança; no entanto, de acordo com os resultados de uma nova pesquisa 2, esse tipo de vulnerabilidade pode ocorrer em toda a Web. O problema é que a maioria das empresas simplesmente não sabe disso. A Symantec pesquisou 200 profissionais de TI em empresas de todos os portes de quatro países da Europa para descobrir o quanto eles sabem a respeito de sua própria exposição a ameaças e o que estão fazendo para aumentar esse conhecimento. Quase um quarto dos entrevistados admitiu desconhecer o grau de segurança de seus sites, e mais da metade dos entrevistados reconheceu nunca ter realizado uma avaliação de vulnerabilidade de sites. Embora os entrevistados, de forma geral, tenham classificado como baixa a probabilidade de que seus sites sofram de vulnerabilidades específicas, a experiência da Symantec em suas avaliações de vulnerabilidade gratuitas é que mais de 25% dos sites apresenta vulnerabilidades críticas. 3 A infecção por malware, uma das novas ameaças de segurança mais importantes, normalmente é resultado direto de vulnerabilidades de site. De acordo com o mais recente Relatório da Symantec sobre ameaças de segurança na Internet 4, 403 milhões de tipos únicos de malware foram descobertos em 2011, deixando claro que, se um site tiver uma vulnerabilidade, ela será explorada. As avaliações de vulnerabilidade podem preencher esse vácuo de informações, não apenas indicando onde há vulnerabilidades, mas também qual é a ação corretiva necessária para solucioná-las. Além disso, a avaliação não é feita uma única vez; a pesquisa mostra que a confiança das organizações na segurança de seus sites é mais alta entre aquelas que repetem as avaliações todos os meses em comparação às que não adotam verificações constantes. Não é de surpreender que empresas maiores tenham mais consciência dos riscos e apresentem maior probabilidade de realizar avaliações de vulnerabilidade frequentes. No entanto, de acordo com o Relatório da Symantec sobre ameaças de segurança na Internet, é um erro supor que somente empresas grandes sejam alvo de ataques; o relatório mostra que um número considerável de empresas menores (17,8%) também é visado. Empresas maiores naturalmente procurarão avaliações mais aprofundadas, mas está claro que empresas menores também precisam ter uma ideia melhor não só de sua exposição geral, mas também dos riscos específicos que enfrentam. Quem realiza avaliações de vulnerabilidade frequentes tem visibilidade muito melhor sobre a segurança de seu site Todos os meses 0% 30% 52% 14% 4% 0% 36% 27% 14% 27% Nunca 1 Visite 2 Todas as informações contidas neste relatório são provenientes da pesquisa do IDG Connect realizada em outubro de 2012, em nome da Symantec, com 200 profissionais de TI de quatro países europeus:,, e 3,4 Visite report_2011_ en-us.pdf

3 Resumo da pesquisa 5 Quase um quarto dos gerentes de TI não sabe qual é o grau de segurança de seu site 33% Quem realiza avaliações frequentes tem visibilidade muito melhor sobre os riscos de segurança de seu site 2% 27% 15% 23% NO ÚLTIMO MÊS 15% NOS ÚLTIMOS SEIS MESES 16% Mais da metade nunca realizou uma avaliação de vulnerabilidade em seu site Todos os meses 0% 30% 52% 14% 4% 0% 36% 27% 14% 27% Nunca NO ÚLTIMO ANO NUNCA 16% 53% 5 Todas as informações contidas neste relatório são provenientes da pesquisa do IDG Connect realizada em outubro de 2012, em nome da Symantec, com 200 profissionais de TI de quatro países europeus:,, e

4 Lembrou-se de trancar a porta? A segurança dos sites nunca foi tão importante e, ainda assim, empresas do norte da Europa parecem ter uma imensa lacuna em seu conhecimento e uma exposição crítica a possíveis quebras de segurança. Em nossa pesquisa com 200 gerentes de TI, quase um quarto (23%) admitiu que simplesmente não sabe qual é o grau de segurança de seus sites. Entre empresas menores, com 1 a 499 funcionários, esse número aumentou para 30%: quase um terço das SMEs não tem qualquer percepção da segurança de seus sites. Embora apenas 2% admitam vulnerabilidades e um terço (33%) suponha que seus sites são seguros, apenas 15% do total afirmam que são totalmente seguros. Somente metade dos entrevistados (48%) avalia seu site como muito/totalmente seguro em comparação a quase três quartos (74%) nos EUA. Sem um conhecimento melhor das vulnerabilidades, é difícil determinar o impacto das lacunas de segurança. No entanto, com o aumento de 81% dos ataques mal-intencionados em , é razoável supor que as vulnerabilidades levem a ataques. Somente 19 empresas pesquisadas admitiram ter enfrentado violações de segurança na Internet nos seis meses anteriores, embora três delas tenham relatado um grande impacto causado pela violação. No entanto, a maior parte das violações de segurança na Internet não é detectada ou relatada, e por isso pode haver crimes cibernéticos sem que as empresas fiquem sabendo. Pressupor que o site de uma empresa está seguro é uma jogada perigosa. A pesquisa própria da Symantec realizada a partir de suas avaliações de vulnerabilidade mostra que cerca de um quarto dos sites de empresas sofre vulnerabilidades críticas 7. Para empresas menores, é incorreto imaginar que as marcas de peso sejam o alvo de ataques; 17,8% dos ataques são direcionados a empresas com menos de 250 funcionários, já que os cibercriminosos visam empresas menores, para que seja menos provável que detectem suas atividades 8. O que podemos afirmar com certeza é que, sem uma abordagem substancial da segurança em camadas, os sites estão abertos a ataques. Da mesma forma, sem algumas informações sobre quais são as vulnerabilidades de um site, é impossível compreender a gravidade da ameaça e os riscos que uma organização enfrenta. 2% Quase um quarto dos entrevistados não sabe qual é o grau de segurança de seu site 27% 33% 15% 23% 6 Leia o Relatório da Symantec sobre ameaças de segurança na Internet com/content/en/us/enterprise/other_resources/b-istr_main_report_2011_ en-us.pdf 7 Entre outubro de 2011 e o fim do ano, a Symantec identificou que 35,8% dos sites tinham pelo menos uma vulnerabilidade, e 25,3% tinham pelo menos uma vulnerabilidade crítica. Relatório da Symantec sobre ameaças de segurança na Internet, no endereço acima 8 Relatório da Symantec sobre ameaças de segurança na Internet, no endereço acima

5 Preenchendo o vácuo das informações Avaliações frequentes de vulnerabilidade são a forma de as organizações preencherem as lacunas de seu conhecimento sobre a segurança de sites. Mais da metade dos entrevistados (53%) nunca realizou uma avaliação de vulnerabilidade, talvez devido à baixa conscientização sobre o crescente problema do malware. 15% dos entrevistados realizaram uma avaliação de vulnerabilidade no mês anterior, 16% nos 6 meses anteriores e 16% no ano anterior. A maioria daqueles que realizaram uma avaliação tende a repeti-la. 52% dos entrevistados que realizaram avaliações repetiram a tarefa nos 12 meses anteriores à pesquisa, e um quarto afirma que realiza avaliações regularmente. Empresas maiores têm mais probabilidade de ter realizado uma avaliação recentemente (21%), embora muito mais empresas de médio porte (com funcionários) nunca tenham realizado uma avaliação (67%). Da mesma forma, entre os que realizaram avaliações, as empresas maiores têm mais probabilidade de repeti-las, com 37% das 30 empresas realizando avaliações todos os meses. A adoção da verificação automatizada de vulnerabilidades é muito baixa, talvez porque, no caso do serviço gratuito da Symantec, ele só tenha sido lançado recentemente. Apenas 6% dos que realizaram uma avaliação usaram esse método, enquanto metade (50%) utilizou serviços de terceiros e 44% realizaram avaliações internas. O impacto de realizar avaliações de vulnerabilidades está claro. Mais de um quarto (27%) daqueles que nunca realizaram avaliações admitem que simplesmente não sabem qual é o grau de segurança de seus sites, em comparação a 23% do total geral. Por outro lado, aqueles que realizaram avaliações têm maior confiança na segurança de seus sites. Somente 4% desse grupo não conhece o grau de segurança de seus sites. Munir-se de informações sobre vulnerabilidades de sites é, claro, apenas o primeiro passo, mas ele pode tornar você mais consciente dos riscos que virá a enfrentar. Um alto número daqueles que realizam avaliações regulares diz que seus sites são muito seguros (52%), e quase um terço desse grupo (30%) diz que são razoavelmente seguros. Quando foi realizada a última avaliação de vulnerabilidade em seu site? Todos os meses 0% 30% 52% 14% 4% 0% 36% 27% 14% 27% NUNCA

6 Quantificando os riscos Em um vácuo de informações, não surpreende que os gerentes de TI classifiquem como baixa a probabilidade de sofrerem vulnerabilidades variadas. Mais da metade dos entrevistados nunca realizou uma avaliação de vulnerabilidade; eles só podem especular sobre a probabilidade de seus sites sofrerem diversas vulnerabilidades. Apesar disso, houve uma grande diferença entre as expectativas dos entrevistados em relação às vulnerabilidades que seus sites podem ter e os dados da Symantec sobre as vulnerabilidades que normalmente atingem os sites. Pela ordem, as vulnerabilidades mais prováveis, classificadas pelos entrevistados, foram: Ataque de força bruta (20%) Vulnerabilidades de autorização (19%) Vazamento de informações (15%) Falsificação de solicitação entre sites (15%) Spoofing de conteúdo (14%) Cross-site scripting - XSS (13%) O cross-site scripting (XSS), a vulnerabilidade menos provável, de acordo com a nossa pesquisa, é uma das ameaças mais prováveis segundo a pesquisa própria da Symantec. Quase um terço (32%) dos entrevistados admite não saber se existe a possibilidade de sofrerem essa vulnerabilidade. O vazamento de informações também é avaliado como de baixa probabilidade. Quase metade (49%) afirma que é improvável que essa vulnerabilidade ocorra, embora, na realidade, as violações de dados sejam uma ocorrência cada vez mais comum. A violação do Sony PlayStation mencionada anteriormente é uma prova clara. Nossa pesquisa classifica os ataques de força bruta como a vulnerabilidade mais provável (20% a classificam como provável ou mais provável), e os entrevistados imaginam que a fragilidade da infraestrutura física supere os riscos virtuais. As vulnerabilidades de autorização foram avaliadas como prováveis ou mais prováveis por apenas 19%, mas essa foi a violação mais comum que realmente ocorreu, de acordo com a nossa pesquisa, sendo mencionada por 6 entrevistados como a violação mais grave que enfrentaram nos seis meses anteriores. As discrepâncias entre as expectativas dos entrevistados e aquilo que realmente ocorre enfatiza ainda mais a lacuna no conhecimento de vulnerabilidades. As organizações precisam ter uma compreensão melhor dos riscos que enfrentam. Sem esse entendimento de sua verdadeira exposição aos riscos, elas não podem agir para melhorar a segurança de seus sites. Qual é a probabilidade de seu site sofrer ataque de cross-site scripting (XSS)? 32% 4% Nada provável 9% 18% 37% Muito provável

7 : Seguro ou não tem certeza? Muitas organizações do acreditam que seus sites são relativamente seguros e que não sofrem vulnerabilidades. Porém, metade dos entrevistados de nossa pesquisa não realiza avaliações de vulnerabilidade; portanto, é difícil entender de onde vem essa confiança. As organizações do estão na média quando se trata da avaliação da segurança de seus sites: 48% avaliam seus sites como muito ou totalmente seguros, exatamente a mesma porcentagem que a média de todos os quatro países. Um número semelhante à média (24%) também respondeu quando perguntado sobre o grau de segurança de seus sites. No entanto, um número mais alto do que a média, e o número mais alto entre todos os mercados pesquisados (20%), considerou seus sites como totalmente seguros. No, a probabilidade de ocorrência de cada uma das vulnerabilidades é a mais baixa entre todos os países pesquisados. Em três das seis categorias (veja uma lista de categorias na seção anterior), mais organizações do do que em qualquer outro país se avaliaram como tendo menos probabilidade de apresentar uma vulnerabilidade e, nos outros três países, elas ficaram em segundo lugar entre as organizações que se avaliaram como tendo menor probabilidade. O também apresenta um número mais alto de organizações do que outros países em três categorias que reconhecem que não sabem se têm vulnerabilidades específicas. O cross-site scripting (XSS) é um bom exemplo: 40% das organizações afirmam que têm menor probabilidade de ser atingidas por essa vulnerabilidade, enquanto 48% afirmam que não sabem. O divide-se igualmente entre aqueles que realizam e que não realizam avaliações de vulnerabilidade e apresenta um número acima da média de organizações que repetiram as avaliações nos 12 meses anteriores (56%); ele também relata o menor número de violações. Está claro que as organizações do polarizam suas opiniões entre aquelas que realizam avaliações regularmente, corrigem quaisquer brechas encontradas e se consideram extremamente seguras, e aquelas que não realizam avaliações e não têm certeza de seu grau de exposição. Um quinto das empresas do considera seus sites totalmente seguros 0% 28% 28% 20% 24 %

8 : Extremamente segura, mas a menos examinada Em uma primeira inspeção, as organizações francesas parecem estar confiantes na segurança de seus sites. No entanto, após um exame mais aprofundado, elas reconhecem que, na verdade, não conhecem vulnerabilidades específicas, pois um número acima da média não realiza avaliações de vulnerabilidade. Um alto número de organizações francesas considera seus sites muito seguros (42% contra uma média de 33%), e um número acima da média está no quartil superior de muito/totalmente seguros (52% contra uma média de 48%). Somente um número muito pequeno (8% contra uma média de 23%) disse que não sabe qual é o grau de segurança de seus sites. Quase dois terços dos entrevistados na nunca realizaram uma avaliação de vulnerabilidade em seus sites NO ÚLTIMO MÊS 14% As organizações francesas, porém, têm as pontuações de probabilidade mais altas em cinco de seis categorias de vulnerabilidades e foram as menos confiantes em pontuações de vulnerabilidade dos quatro países pesquisados. Seus principais riscos foram a falsificação de solicitação entre sites (34% das organizações se avaliaram como um alvo provável ou muito provável dessa vulnerabilidade), os ataques de força bruta (32%) e as vulnerabilidades de autorização (28%). Um número baixo em cada categoria informou não saber a probabilidade de seus sites serem alvo da vulnerabilidade 8% ou menos em cada categoria contra porcentagens médias de cerca de 30% em todos os quatro países. A apresentou o número mais alto de entrevistados, quase dois terços (64%), que nunca haviam realizado uma avaliação de vulnerabilidade, mas entre os que já realizaram esse tipo de avaliação, o país tem o segundo maior número (44%) de organizações que utilizam avaliações internas. 39% das organizações que realizaram avaliações as repetiram todos os meses. As organizações francesas precisam se munir de mais dados sobre as vulnerabilidades específicas que atingem seus sites. Quando perguntadas, mais organizações da do que de outros países temem ter problemas. As avaliações ajudarão a quantificar esses medos ou ajudarão a reforçar a pressuposição de que a segurança dos sites é forte na. NOS ÚLTIMOS SEIS MESES NO ÚLTIMO ANO NUNCA 14% 8% 64%

9 : Uma organização prevenida vale por duas A se destaca como o país com mais atividade de avaliação de vulnerabilidade, além de apresentar o melhor quadro de informação sobre o grau de segurança real dos sites. O país tem a maior proporção de entrevistados que consideram seus sites muito seguros, e um número acima da média que admite não saber. 44% das 50 organizações pesquisadas acreditam que seus sites são muito seguros, número que cresce para 56% quando combinado com aqueles que avaliam seus sites como totalmente seguros. No entanto, um número relativamente alto, 28%, admite não saber o grau de segurança de seus sites, em comparação com a média de 23%. As empresas alemãs também apresentam pontuações de probabilidade relativamente altas em várias categorias de vulnerabilidade, mas também números mais altos de respostas Não sei. Em três das seis categorias (cross-site scripting/xss, vazamento de informações e vulnerabilidades de autorização), constata-se o número mais alto de organizações que acreditam ter probabilidade ou grande probabilidade de apresentar alguma vulnerabilidade. Na categoria de falsificação de solicitação entre sites, porém, o expressivo número de 60% reconhece não saber se seus sites apresentam o problema. De forma geral, o país mostra um alto nível de conscientização sobre os riscos, o que não é surpresa: a tem o maior número de organizações que realizaram avaliações de vulnerabilidade no mês anterior à pesquisa (20%) e nos seis meses anteriores (26%), além do número mais baixo de empresas que nunca realizaram uma avaliação em comparação a outros mercados (42%). Ainda resta um total de 58% de entrevistados alemães que realizaram avaliações no ano anterior, em comparação a uma média de 47% no total dos quatro países. Em sua maior parte, as avaliações são realizadas internamente: 69% de avaliações internas contra a média de 44%. As organizações alemãs também apresentam um número maior de violações (16% - 8 entrevistados) do que qualquer país. Esse é um país mais bem informado e preparado do que os outros do norte da Europa. As organizações restantes que não realizaram avaliações agora precisam acompanhar o ritmo de seus colegas. As empresas alemãs realizaram o maior número de avaliações no mês anterior e nos seis meses anteriores à pesquisa e apresentam o menor número que nunca realizou uma avaliação AVALIAÇÃO DE TERCEIROS AVALIAÇÃO INTERNA VERIFICAÇÃO AUTOMATIZADA OUTRA OPÇÃO 3% 14% 38% 69%

10 : O desconhecimento não traz felicidade Em comparação com a, onde as organizações parecem estar bem informadas, as organizações suecas apresentam pouca compreensão dos riscos que seus sites enfrentam. As organizações suecas apresentam a pontuação mais baixa entre os quatro países quanto aos sites serem muito ou totalmente seguros (38%). Elas estão 10 pontos percentuais abaixo da média geral de sites que estão nesse quartil superior. No entanto, 32% afirmam que não sabem o grau de segurança de seus sites, em comparação a uma média de 23% de todos os quatro países. Essa falta de informações reflete-se na pergunta sobre vulnerabilidades específicas, em que as organizações suecas tiveram algumas das pontuações mais altas de Não sei entre todas as vulnerabilidades. Em três das seis categorias (vazamento de informações, falsificação de conteúdo e vulnerabilidades de autorização), o país apresenta o número mais alto de organizações que admitem não saber se possuem vulnerabilidades. Ao mesmo tempo, suas pontuações de probabilidade em todas as vulnerabilidades são consideravelmente baixas, com o vazamento de informações avaliado em primeiro lugar, com a pontuação de grande/ muita probabilidade de 16%. Somente 22% das empresas suecas realizaram uma avaliação de vulnerabilidade no mês anterior ou nos seis meses anteriores à pesquisa NO ÚLTIMO MÊS NOS ÚLTIMOS SEIS MESES 12% 10% A falta de informações não pode ser considerada uma surpresa. Somente 22% realizaram uma avaliação de vulnerabilidade no mês anterior ou nos seis meses anteriores à pesquisa, o número mais baixo entre todos os quatro países. 56%, um número maior do que a média, nunca realizaram uma avaliação. Entre os que realizaram uma avaliação, quase um terço (32% contra uma média de 23%) nunca repetiu a tarefa. Sem informações, as empresas suecas não podem quantificar sua exposição ou agir contra os riscos específicos que enfrentam. Algumas etapas simples, como a verificação automatizada, podem colocá-las no caminho certo para preencher as lacunas. NO ÚLTIMO ANO NUNCA 22% 56%

11 Eliminando a lacuna da vulnerabilidade Nossa pesquisa realizada com 200 organizações do norte da Europa identificou uma grave falta de informações sobre a segurança de sites e sobre as vulnerabilidades que podem atingir os sites. Mas qual é o impacto dessa lacuna no conhecimento sobre vulnerabilidades? E como as organizações podem preencher essa lacuna? Embora um número baixo de entrevistados em nossa pesquisa tenha admitido a ocorrência de violações de segurança, e apesar de haver dados incompletos sobre o tipo de violação, muitas das organizações que enfrentaram violações admitem ter sofrido grande impacto com elas. De forma geral, 9% das organizações (19 organizações) afirmam ter enfrentado uma violação nos últimos seis meses. Organizações maiores têm muito mais probabilidade de admitir a ocorrência de violação nos últimos seis meses. Mais de um quinto (21%) das 58 empresas com mais de funcionários reconheceu ter enfrentado violações. A ausência de dados sobre violações não é surpresa, já que a maioria das violações em sites não é relatada ou percebida. Com sites legítimos infectados por malware, um problema crescente na Web, os cibercriminosos podem infectar sites, extrair detalhes de usuários ou, até mesmo, realizar transações fraudulentas sem que as organizações fiquem sabendo. O Relatório da Symantec sobre ameaças de segurança na Internet identificou que 61% dos sites perigosos são, na verdade, sites genuínos que foram comprometidos e infectados por código malintencionado. As violações mais graves identificadas por nossos entrevistados foram as vulnerabilidades de autorização, seguidas por intrusões de e, finalmente, por falsificação de conteúdo. No entanto, seis organizações recusaram-se a informar a natureza de sua violação mais grave. Assim, como é possível identificar se o seu site foi comprometido ou se ele apresenta vulnerabilidades críticas que podem levar ao seu comprometimento? Se você não tiver o orçamento ou a disposição para passar por uma avaliação completa das vulnerabilidades de seu site (interna ou realizada por terceiros), um excelente ponto de partida para o processo de descoberta de vulnerabilidades é a verificação remota automatizada. No caso da Symantec, ela é fornecida gratuitamente com a compra da maioria dos certificados SSL. A verificação pode identificar a existência de vulnerabilidades críticas que permitem aos cibercriminosos acessar sites para inserir malware e acessar dados confidenciais dos clientes. A verificação também fornece um relatório de ameaças, com finalidade prática, indicando medidas corretivas simples, como a atualização de software ou segurança, ou melhoria das diretrizes ou da formação dos usuários. As organizações que verificam seus sites com regularidade em busca de vulnerabilidades são mais seguras e bem informadas Todos os meses 0% 30% 52% 14% 4% 2013 Symantec Corporation. Todos os direitos reservados. Symantec, o logotipo da Symantec, o logotipo com a marca de verificação, Norton Secured e o logotipo do Norton Secured são marcas comerciais ou registradas da Symantec Corporation ou de suas afiliadas nos Estados Unidos e em outros países. VeriSign e outras marcas relacionadas são marcas comerciais ou registradas da VeriSign, Inc. ou de suas afiliadas ou subsidiárias nos Estados Unidos e em outros países e licenciadas para a Symantec Corporation. Outros nomes podem ser marcas comerciais de seus respectivos proprietários. Symantec, Av. Dr. Chucri Zaidan, º andar, Market Place Tower, São Paulo, SP, Brasil 9 A Symantec oferece avaliações de vulnerabilidade gratuitas para clientes de certificados Extended Validation Secure Sockets Layer (EV SSL), Premium e Secure Site Pro. Todos os certificados Symantec SSL e os produtos Secured Seal oferecem uma verificação de malware diária gratuita.