RELATÓRIO SOBRE AMEAÇAS DE SEGURANÇA DE SITES EM 2013 PARTE 1

Transcrição

1 RELATÓRIO SOBRE AMEAÇAS DE SEGURANÇA DE SITES EM 2013 PARTE 1

2 BEM-VINDO Bem-vindo ao Relatório da Symantec sobre ameaças de segurança de sites em A cada ano, publicamos um Relatório sobre ameaças de segurança na Internet ainda maior; este é um subconjunto desse documento que foca nas ameaças que afetam seu site e seus negócios online. Analisando o ano civil passado, ele fornece uma boa visão do estado do mundo online. É importante saber como manter e ampliar a confiança online, onde a reputação e o sucesso do seu negócio muitas vezes são medidos pela confiança dos clientes na segurança do seu site. Com essa finalidade, a certificação SSL/TLS tem sido o segredo para a confiança na Internet por mais de uma década, e continuará sendo no que se refere ao fornecimento dos mais altos níveis de proteção contra o aumento de ameaças à segurança cibernética. E, ainda que a tecnologia realmente seja sofisticada e de ponta, a meta é simples: tornar a Internet mais segura para a realização de transações comerciais para você, seus clientes e todos aqueles com quem você interage online. Use este documento como referência para entender o panorama de ameaças e como você pode proteger a sua empresa e a sua infraestrutura. E, para obter mais informações, entre em contato conosco pelo telefone ou visite o site Symantec-wss.com. 2

3 INTRODUÇÃO A Symantec estabeleceu algumas das mais abrangentes fontes de dados do mundo sobre ameaças na Internet, com a Symantec Global Intelligence Network, composta por aproximadamente 69 milhões de sensores de ataque que registram milhares de eventos por segundo. Essa rede monitora a atividade de ameaças em mais de 157 países e territórios por meio de uma combinação de produtos e serviços da Symantec, como o Symantec DeepSight Threat Management System, o Symantec Managed Security Services, as Symantec Website Security Solutions e os produtos do consumidor da Norton, além de outras fontes de dados de terceiros. Além disso, a Symantec mantém um dos bancos de dados de vulnerabilidades mais abrangentes do mundo, consistindo atualmente em mais de vulnerabilidades registradas (cobrindo mais de duas décadas) por mais de fornecedores que representam mais de produtos. Dados de spam, phishing e malware são capturados por uma variedade de fontes, incluindo a Symantec Probe Network, um sistema com mais de 5 milhões de contas falsas; o Symantec.cloud e várias outras tecnologias de segurança da Symantec. A Skeptic, a tecnologia heurística e patenteada do Symantec.cloud, é capaz de detectar ameaças direcionadas novas e sofisticadas antes que elas cheguem às redes dos clientes. Mais de três bilhões de mensagens de e mais de 1,4 bilhão de solicitações da Web são processadas a cada dia, em 14 data centers. A Symantec também coleta informações de phishing por meio de uma ampla comunidade antifraude composta por empresas, fornecedores de segurança e mais de 50 milhões de consumidores. Esses recursos oferecem aos analistas da Symantec fontes de dados sem igual, com as quais eles podem identificar, analisar e fornecer comentários embasados sobre as tendências de ataques, atividades de código mal-intencionado, phishing e spam. O resultado é o Relatório sobre Ameaças de Segurança na Internet, publicado pela Symantec todos os anos, que fornece a empresas de todos os portes, e também aos consumidores, as informações essenciais para que protejam seus sistemas com eficácia agora e no futuro. 3

4 RESUMO EXECUTIVO As tendências mais importantes de foram: As pequenas empresas são o caminho de menor resistência para os invasores Os dados do ano passado deixaram claro que qualquer empresa, independentemente de seu porte, é um alvo potencial para os invasores. Não é uma casualidade. Em, 50 por cento de todos os ataques direcionados foram voltados para empresas com menos de funcionários. Na verdade, a maior área de crescimento de ataques direcionados em foram empresas com menos de 250 funcionários; 31 por cento de todos os ataques miraram esse alvo. Essa notícia é especialmente ruim porque, com base em pesquisas realizadas pela Symantec, as pequenas empresas acreditam ser imunes aos ataques de que são alvos. No entanto, o dinheiro roubado de uma pequena empresa é tão fácil de gastar quanto o dinheiro roubado de uma grande empresa. E, ainda que as pequenas empresas possam achar que não possuem nada que um invasor direcionado possa roubar, elas esquecem que mantêm informações do cliente, criam propriedade intelectual e guardam dinheiro no banco. Ainda que se possa argumentar que as recompensas por atacar uma pequena empresa sejam menores do que pode ser obtido de uma grande empresa, isso é mais que compensado pelo fato de que muitas pequenas empresas normalmente são menos cuidadosas em relação às suas defesas cibernéticas. A atividade criminal muitas vezes ocorre por questões de oportunidade. No caso dos crimes cibernéticos, essa oportunidade parece ocorrer com pequenas empresas. Pior ainda, a falta de práticas de segurança adequadas nas pequenas empresas ameaça a todos nós. Invasores desencorajados pelas defesas de uma grande empresa muitas vezes optam por violar as defesas menores de uma pequena empresa que possua uma relação de negócios com o alvo final do invasor, que usa a empresa menor como trampolim para atingir a maior. Além disso, pequenas empresas e organizações podem se tornar joguetes em ataques mais sofisticados. Estimuladas por toolkits de ataque, em o número de ataques baseados na Web aumentou em um terço, e muitos desses ataques se originaram de sites comprometidos de pequenas empresas. Esses ataques maciços aumentam o risco de infecção para todos nós. Mas, ainda de forma mais abominável, conforme relatado no nosso white paper sobre o Elderwood no ano passado, os sites de pequenas empresas e organizações estão sendo usados até em ataques direcionados. Suplementando seus ataques de phishing, gangues de espionagem cibernética agora sequestram esses sites, aguardando a visita de seus alvos para poderem infectálos. Esse tipo de ataque, chamado de watering hole (poço d água), é outra maneira que os invasores têm de usar a fraca segurança de uma entidade para destruir a forte segurança de outra. Autores de malware agem como Big Brother Se você acha que alguém está violando sua privacidade online, provavelmente você está certo. Cinquenta por cento dos malwares para dispositivos móveis criados em tentaram roubar nossas informações ou rastrear nossos movimentos. Independentemente de estarem atacando nossos computadores, nossos celulares ou nossas redes sociais, os criminosos cibernéticos querem lucrar nos espionando. Seu objetivo final é fazer dinheiro. Seu método é descobrir nossas informações bancárias, os números de telefone e os endereços de de nossos amigos e contatos comerciais, nossas informações pessoais e até mesmo se passarem por nós roubando nossa identidade. Mas o exemplo mais nefasto de os autores de malware saberem tudo sobre nós é com ataques direcionados. Para criar ataques direcionados bem-sucedidos, é preciso que os invasores nos investiguem. Eles pesquisarão nossos endereços de , nosso emprego, nossos interesses profissionais e até as conferências de que participamos e os sites que frequentamos. Todas essas informações são compiladas para iniciar um ataque direcionado bem-sucedido. Após serem instaladas em nossos dispositivos, as ferramentas do invasor são programadas para obter o máximo possível de dados. Ataques direcionados não descobertos podem coletar anos de nossos s, arquivos e informações de contato. 4

5 RESUMO EXECUTIVO Essas ferramentas também possuem a capacidade de registrar nossos toques de tecla, de exibir nossas telas de computador e ligar os microfones e câmeras dos nossos computadores. Invasores direcionados realmente agem como uma encarnação do Big Brother de George Orwell. Os alvos mais atacados em foram trabalhadores do conhecimento que criam a propriedade intelectual que os invasores desejam (27 por cento de todos os alvos em ) e trabalhadores de vendas (24 por cento em ). O interesse em atingir o CEO de uma organização diminuiu em ; os ataques foram reduzidos em 8 por cento. Vulnerabilidades de dia zero disponíveis quando os invasores precisam delas As vulnerabilidades de dia zero continuam crescendo; foram relatadas 14 em. Nos últimos três anos, muito do crescimento em vulnerabilidades de dia zero usadas em ataques pode ser atribuído a dois grupos: os autores do Stuxnet e a Gangue Elderwood. Em 2010, o Stuxnet foi responsável por 4 das 14 vulnerabilidade de dia zero descobertas. A Gangue Elderwood foi responsável por 4 das 14 descobertas em. A Gangue Elderwood também usou ameaças de dia zero em 2010 e 2011 e usou pelo menos uma delas em Os invasores usam tantas vulnerabilidades de dia zero quanto precisam, e não tantas quanto possuem. E o Stuxnet e o Elderwood contribuem para um interessante contraste na estratégia do seu uso. O Stuxnet continua sendo a aberração, usando várias explorações de dia zero em um único ataque. Pelo o que sabemos hoje em dia, foi um único ataque direcionado a um único alvo. As várias explorações de dia zero foram usadas para garantir o sucesso de forma que não precisassem atacar uma segunda vez. Por outro lado, a Gangue Elderwood usava uma exploração de dia zero em cada ataque, repetindo-a até que a exploração se tornasse conhecida. Quando isso ocorria, eles passavam para uma nova exploração. Isso demonstra que a Gangue Elderwood possui um estoque sem limites de vulnerabilidades de dia zero e é capaz de passar para uma nova exploração assim que necessário. Esperamos que não seja esse o caso. A atribuição de autoria nunca é fácil Alguns ataques direcionados não tentam se manter ocultos. Um malware chamado Shamoon foi descoberto em agosto. Sua finalidade era limpar os discos rígidos de computadores de empresas de energia no Oriente Médio. Um grupo autodenominado Cutting Sword of Justice assumiu a responsabilidade. Em todo o ano de, ataques de DDoS foram lançados contra instituições financeiras. Um grupo chamado Izz ad-din al-qassam Cyber Fighters assumiu a responsabilidade. Esses ataques e outros parecem ser casos clássicos de hacktivismo. No entanto, comprovar a autoria e o motivo não é fácil, mesmo quando alguém assume a responsabilidade. Há muita especulação, uma parte pela comunidade de inteligência, de que o Cutting Sword of Justice e o Qassam Cyber Fighters são fachadas de um estado-nação. Complicando ainda mais o que parecia ser simples hacktivismo, existe o alerta do FBI às instituições financeiras de que alguns ataques de DDoS estão, na verdade, sendo usados como distração. Esses ataques foram lançados antes ou depois que os criminosos cibernéticos se envolveram em uma transação não autorizada e são uma tentativa de impedir a descoberta de fraudes e evitar tentativas de interrompê-las. 5

6 CRONOLOGIA DA SEGURANÇA EM

7 CRONOLOGIA DA SEGURANÇA EM 01 Janeiro 02 Fevereiro Violação de dados: São roubados 24 milhões de identidades por violação de dados da empresa de vestuário Zappos. Código mal-intencionado: É descoberto um scam envolvendo plug-ins de navegador mal-intencionados para Firefox e Chrome. Botnet: O botnet Kelihos retorna, quatro meses depois de eliminado. Mobilidade: A Google anuncia o Google Bouncer, um aplicativo de scanner para o mercado Google Play. Botnet: Pesquisadores eliminam nova variante do botnet Kelihos, que reaparece em novo formato, ainda no mesmo mês. 03 Março Invasões: Seis indivíduos são presos como supostos membros do grupo de hacking LulzSec. Botnet: Pesquisadores de segurança desativam os principais servidores do botnet Zeus. Violação de dados: Um fornecedor de processamento de pagamentos de várias empresas de cartão de crédito conhecidas, incluindo Visa e MasterCard, foi comprometido, expondo detalhes de 1,5 milhão de contas 1. Mobilidade: É descoberto um scam não baseado em malware envolvendo a gangue Opfake cujo alvo são os usuários de iphone. 04 Abril 05 Maio Mac: Mais de computadores Mac são infectados pelo Cavalo de Troia OSX.Flashback por meio de uma exploração de Java não corrigida. Mac: É descoberto um segundo Cavalo de Troia para Mac, o OSX.Sabpab, que também usa explorações de Java para comprometer um computador. Redes sociais: São descobertos scammers que utilizam as redes sociais Tumblr e Pinterest. Malware: É descoberta a ameaça de espionagem cibernética W32.Flamer. Autoridades de certificação: A Comodo, uma grande autoridade de certificação, autentica e emite um certificado legítimo de assinatura de código para uma organização fictícia administrada por criminosos cibernéticos. Isso não foi descoberto até agosto. 7

8 CRONOLOGIA DA SEGURANÇA EM 06 Junho Violação de dados: O LinkedIn sofre violação de dados, expondo milhões de contas. Malware: É descoberto um Cavalo de Troia de nome Trojan.Milicenso que faz com que impressoras em rede imprimam grandes tarefas de impressão contendo caracteres ilegíveis. Botnet: Pesquisadores de segurança desativam o botnet Grum. Malware: É descoberto um malware para Windows na App Store da Apple, incorporado em um aplicativo. 07 Julho Mac: Uma nova ameaça para Mac, chamada OSX.Crisis, abre uma porta dos fundos em computadores comprometidos. Botnet: São desligados os servidores de DNS mantidos pelo FBI para proteger computadores previamente infectados com o Cavalo de Troia DNSChanger. Malware: É descoberto, após dois anos em atividade, um Cavalo de Troia usado para roubar informações do governo japonês. Malware: É descoberta uma segunda ameaça relacionada a impressoras, o chamado W32.Printlove, que faz com que seja impressa uma grande quantidade de lixo. 08 Agosto Invasões: O serviço de notícias Reuters sofre uma série de invasões que resultam em postagem de noticiários falsos no site e na conta do Twitter. Malware: É descoberto o malware Crisis, cujo objetivo era atingir imagens de máquinas virtuais VMware. Malware: É descoberto o W32.Gauss. O escopo da ameaça está concentrado no Oriente Médio, de forma similar ao W32.Flamer. Autoridades de certificação: O incidente de maio da Comodo é descoberto e detalhes são publicados. 8

9 CRONOLOGIA DA SEGURANÇA EM 09 Setembro 10 Outubro 11 Novembro 12 Dezembro Malware: É descoberta uma nova versão do toolkit de ataque Blackhole, o Blackhole 2.0. Botnet: Pesquisadores de segurança desativam um botnet promissor, chamado Nitol. Mobilidade: É descoberta uma vulnerabilidade na versão do Android da Samsung que permite que um telefone seja apagado remotamente. DDoS: O FBI emite um alerta sobre possíveis ataques de DDoS contra instituições financeiras como parte de uma técnica de distração 2. Malware: É descoberta uma ameaça de ransomware distribuída por mensagem instantânea do Skype. Violação de dados: São roubados dados de clientes dos teclados para pagamento da Barnes & Noble. São descobertos invasores usando um ataque de DDoS como distração com a finalidade de obter informações que permitiriam que, mais tarde, eles roubassem dinheiro de determinado banco. Invasões: Foram descobertos arrombadores que usavam uma exploração conhecida em uma marca de fechaduras de hotéis para invadir os quartos. Malware: Foi descoberto o Cavalo de Troia Infostealer.Dexter, cujo alvo eram sistemas de ponto de venda. Invasões: Invasores exploram uma vulnerabilidade do Tumblr, disseminando spam por toda a rede social. 9

10 EM NÚMEROS

11 EM NÚMEROS 42% DE AUMENTO Ataques direcionados em NÚMERO MÉDIO DE IDENTIDADES EXPOSTAS Por violação em NOVAS VULNERABILIDADES VULNERABILIDADES DE DISPOSITIVOS MÓVEIS

12 EM NÚMEROS SPAM DE GLOBAL ESTIMADO POR DIA (EM BILHÕES) TAXA GERAL DE SPAM % 75% 69% % DE TODO O SPAM COM ENCONTROS E APELO SEXUAL % DE TODO O MALWARE DE COMO URL 3% 15% 55% 24% 39% 23% TAXA GERAL DE VÍRUS DE , 1 EM: TAXA GERAL DE PHISHING DE , 1 EM:

13 EM NÚMEROS BOT ZOMBIES (EM MILHÕES) ,1 3,4 4,5 NOVAS VULNERABILIDADES DE DIA ZERO ATAQUES NA WEB BLOQUEADOS POR DIA NOVOS DOMÍNIOS MAL-INTENCIONADOS E EXCLUSIVOS NA WEB % AUMENTO DAS FAMÍLIAS DE MALWARE PARA DISPOSITIVOS MÓVEIS

14 ATAQUES DIRECIONADOS, HACKTIVISMO E VIOLAÇÕES DE DADOS

15 ATAQUES DIRECIONADOS, HACKTIVISMO E VIOLAÇÕES DE DADOS Ataques de acordo com o porte da organização visada Fonte: Symantec 50% % 1 a % Mais de funcionários 13% de aumento 9% 2% 3% 5% a a a a % em % 1 a 250 Organizações com mais de funcionários foram as mais visadas, com 50 por cento dos ataques direcionados destinados a organizações desse porte, quase exatamente o mesmo percentual de O volume de ataques direcionados contra organizações com mais de funcionários dobrou em comparação com 2011, ainda que seu percentual geral permaneça o mesmo, 50 por cento. Ataques direcionados destinados a pequenas empresas (1 a 250 funcionários) foram responsáveis por 31 por cento de todos os ataques, em comparação com 18 por cento em 2011, um aumento de 13 pontos percentuais. O volume de ataques contra PMEs triplicou, se comparado com 2011, resultando quase no dobro do percentual, que variou de 18 por cento para 31 por cento. 15

16 ATAQUES DIRECIONADOS, HACKTIVISMO E VIOLAÇÕES DE DADOS A grande maioria (88 por cento) das violações de dados relatadas se deveu a ataques externos. Independentemente de serem perdas de laptops ou de pen drives, roubo premeditado de dados por funcionários ou acidentes, a ameaça interna também continua alta. Por exemplo, o Information Commissioner s Office do Reino Unido multou e processou mais empresas devido a falhas internas do que devido a ataques externos. A maioria das PMEs deveria se preocupar com o pessoal da contabilidade tanto quanto se preocupa com hackers anônimos MILHÕES DE VIOLAÇÕES EM JANEIRO 35 SOMA DE IDENTIDADES VIOLADAS (MILHÕES) JAN JAN FEB FEV MAR MAR APR ABR MAY MAI JUN JUN JUL JUL AUG AGO SEP SET OCT OUT NOV NOV DEC DEZ NÚMERO DE INCIDENTES INCIDENTES SOMA Cronograma de violações de dados Janeiro enfrentou o maior número de roubo de identidades de, devido a uma violação de mais de 24 milhões de identidades, enquanto os números do restante do ano flutuaram na maior parte do tempo entre um milhão e 12 milhões de identidades roubadas por mês. O número médio de violações para a primeira metade do ano foi 11, e subiu para 15 na segunda metade do ano: um aumento de 44 por cento. 16

17 ATAQUES DIRECIONADOS, HACKTIVISMO E VIOLAÇÕES DE DADOS Custo médio per capita de uma violação de dados 3 Fonte: Symantec País EUA US$ 194 Dinamarca US$ 191 França US$ 159 Austrália US$ 145 Japão US$ 132 Ucrânia US$ 124 Itália US$ 102 Indonésia US$ 42 Análise Custo médio per capita A US$ 194, os Estados Unidos são o país com o custo mais alto per capita, com a Dinamarca ocupando o segundo lugar. Guerra cibernética, sabotagem cibernética e espionagem industrial Ataques direcionados se tornaram uma parte estabelecida do panorama de ameaças, e a proteção contra eles agora é uma das principais questões de diretores de segurança das informações e gerentes de TI. Ataques direcionados são usados comumente para fins de espionagem industrial com a finalidade de ganhar acesso às informações confidenciais de um sistema de computador ou rede comprometido. Eles são raros, mas potencialmente os ataques mais difíceis contra os quais se defender. É difícil atribuir um ataque a um grupo específico ou a um governo sem provas suficientes. A motivação e os recursos do invasor algumas vezes sugerem a possibilidade de que ele seja patrocinado por um Estado, mas descobrir uma prova concreta é difícil. Muitas vezes, ataques que podem ser patrocinados por um Estado mas que parecem raros em comparação ao crime cibernético comum ganham mais notoriedade. Eles podem estar entre os mais sofisticados e prejudiciais desses tipos de ameaças. Os governos estão, sem dúvida, devotando mais recursos a capacidades defensivas e ofensivas de guerra cibernética. Principais causas de violações de dados em Fonte: Symantec % 23 % 23 % Roubo interno 6 % Desconhecidas 1 % Fraude 40 % Hackers Tornadas públicas por acidente Roubo ou perda de computador ou unidade Os hackers continuam sendo responsáveis pelo maior número de violações de dados, o que representa 40 por cento de todas as violações. Em, ainda era improvável que a maioria das empresas enfrentasse esse tipo de ataque, e o maior risco vinha de ataques direcionados mais prevalentes, criados para fins de espionagem industrial. Cada vez mais, as pequenas e médias empresas (PMEs) encontram-se na linha de frente desses ataques direcionados, pois elas têm menos recursos para combater a ameaça, e um ataque bem-sucedido aqui pode ser usado depois como trampolim para outros ataques contra uma organização maior da qual elas possam ser fornecedoras. Malwares, como o Stuxnet em 2010, o Duqu em 2011 e o Flamer e o Disttrack em, demonstram níveis crescentes de sofisticação e perigo. Por exemplo, o malware usado em ataques Shamoon em uma empresa de petróleo na Arábia Saudita conseguiu apagar discos rígidos 4. As mesmas técnicas usadas por criminosos cibernéticos para espionagem industrial também podem ser usadas por Estados e seus representantes para ataques cibernéticos e espionagem política. Ataques sofisticados podem sofrer engenharia reversa e ser copiados de modo que técnicas iguais ou semelhantes sejam usadas em ataques menos discriminados. Um outro risco é que o malware desenvolvido por sabotagem cibernética pode disseminar-se além do alvo pretendido e infectar outros computadores, em uma espécie de dano colateral. 17

18 ATAQUES DIRECIONADOS, HACKTIVISMO E VIOLAÇÕES DE DADOS Cronograma de ataques direcionados 5 Fonte: Symantec Ghostnet Março de 2009 Operação de espionagem cibernética em grande escala Stuxnet Junho de 2010 Ataques Nitro Julho a outubro de 2011 Contra o setor químico Flamer & Gauss Maio a agosto de Ameaça altamente sofisticada Oriente Médio como alvo Hydraq Janeiro de 2010 Operação Aurora Ataques contra o RSA Agosto de 2011 Ataques Sykipot/Taidoor Setor de defesa e governos como alvo Projeto Elderwood Setembro de Alvo principal: defesa. Mesmo grupo identificado usando Hydraq (Aurora) em 2009 Ameaças Persistentes Avançadas (APT) e ataques direcionados Os ataques direcionados combinam engenharia social e malwares para atingir indivíduos em empresas específicas, com o objetivo de roubar informações confidenciais, como segredos comerciais ou dados de clientes. Muitas vezes eles usam malwares personalizados e algumas vezes exploram vulnerabilidades de dia zero, o que os torna mais difíceis de detectar e potencialmente mais infecciosos. Os ataques direcionados usam uma variedade de vetores como seu principal mecanismo de entrega, como malwares transmitidos por ou downloads não solicitados em um site infectado que costume ser visitado por um destinatário visado, uma técnica conhecida como ataque watering hole (poço d água). As APTs muitas vezes são altamente sofisticadas e mais invasivas que os ataques tradicionais, contando com técnicas de invasão altamente personalizadas. Ainda que os ataques direcionados estejam cada vez mais comuns, os recursos necessários para iniciar uma campanha de ameaça persistente avançada significam que eles estão limitados a grupos bem capitalizados que ataquem alvos de alto valor. A Symantec percebeu um aumento de 42 por cento na taxa de ataques direcionados em em comparação com os 12 meses anteriores. Ainda que o setor de manufatura tenha se tornado o principal alvo, com 24 por cento dos ataques, também observamos uma ampla gama de empresas sofrendo ataques não somente grandes empresas, mas também cada vez mais PMEs. Em 2011, 18 por cento dos ataques foram direcionados a empresas com menos de 250 funcionários, mas, até o fim de, esses ataques representaram 31 por cento. Ataques de engenharia social e ataques indiretos Os invasores podem estar visando empresas menores na cadeia de suprimentos porque elas são mais vulneráveis, têm acesso a propriedade intelectual importante e oferecem um trampolim para organizações maiores. Além disso, elas também são visadas por si próprias. Elas são mais numerosas que as empresas de grande porte, possuem dados valiosos e muitas vezes estão menos protegidas do que as empresas maiores. Por exemplo, um invasor pode se infiltrar em um fornecedor menor para poder usá-lo como trampolim para uma empresa maior. Ele pode usar informações pessoais, s e arquivos de alguém em uma empresa menor para criar um bem elaborado cujo destinatário esteja na empresa-alvo. 18

19 ATAQUES DIRECIONADOS, HACKTIVISMO E VIOLAÇÕES DE DADOS Processo de injeção na Web usado em ataques watering hole 6 Fonte: Symantec 1. Definir perfil O invasor define o perfil das vítimas e o tipo de sites que frequentam. 2. Testar O invasor então testa esses sites em relação a vulnerabilidades. 3. Comprometer Quando os invasores descobrem um site que pode estar comprometido, eles injetam JavaScript ou HTML, redirecionando a vítima a um site separado (que hospeda o código de exploração) em busca da vulnerabilidade escolhida. 4. Aguardar O site comprometido agora está aguardando para infectar, com uma exploração de dia zero, a vítima definida exatamente como um leão aguarda diante de um poço onde suas presas bebem água. Em, percebemos um grande aumento nos ataques a pessoas em funções de P&D e vendas em comparação com o ano anterior. Isso sugere que os invasores estejam jogando uma rede maior e almejando posições situadas abaixo do nível executivo para obter acesso às empresas. O aumento em ataques tem sido especialmente alto nessas duas áreas. Ainda assim, ataques a outras áreas, como funções de back-office, continuam sendo uma ameaça significativa. Os invasores continuam usando técnicas de engenharia social em ataques direcionados. Por exemplo, mensagens representando oficiais da União Europeia, mensagens que parecem vir de órgãos de segurança nos Estados Unidos e que visam a outros representantes do governo, ou mensagens com anúncios sobre novos planos de aquisição de potenciais clientes do governo, como a Força Aérea Norte-Americana. Isso mostra pesquisa extensa, compreensão sofisticada da motivação dos destinatários e torna muito mais provável que as vítimas abram os anexos que contêm o malware. Ataques watering hole A maior inovação em ataques direcionados foi o surgimento dos ataques watering hole (poço d água). Isso envolve o comprometimento de um site legítimo que uma determinada vítima pode visitar e utilizar para instalar malware em seu computador. Por exemplo, este ano vimos uma linha de código em um script de rastreamento 7 no site de uma organização de direitos humanos que tinha a grande possibilidade de comprometer um computador. Ela explorava uma nova vulnerabilidade de dia zero no Internet Explorer para infectar visitantes. Nossos dados demonstraram que, em 24 horas, pessoas de 500 grandes empresas e organizações do governo visitaram o site e correram o risco de infecção. Os invasores desse caso, conhecidos como Gangue Elderwood, usaram ferramentas sofisticadas e exploraram vulnerabilidades de dia zero em seus ataques, indicando uma equipe com bons recursos respaldada por uma grande organização criminal ou um Estado-nação 8. 19

20 RECOMENDAÇÕES Suponha que você seja um alvo Pequeno porte e anonimato relativo não são defesas contra os ataques mais sofisticados. Ataques direcionados ameaçam tanto pequenas como grandes empresas. Os invasores também podem usar o seu site como meio de atacar outras pessoas. Se você se considerar um alvo em potencial e aumentar suas defesas contra as ameaças mais sérias, aumentará automaticamente sua proteção contra outras ameaças. Utilize a defesa exaustivamente Enfatize sistemas defensivos múltiplos, sobrepostos e com suporte mútuo para se proteger contra falhas de ponto único em qualquer tecnologia ou método de proteção específicos. Isso deve incluir a implantação, em toda a rede, de firewalls atualizados com frequência, além de antivírus de gateway, detecção de invasões, sistemas de proteção contra invasões e soluções de gateways de segurança na Web. Considere implementar o Always on SSL (https persistente do logon ao logoff) para criptografar dados transmitidos via sites. Os pontos de extremidade devem ser protegidos por mais que uma simples tecnologia antivírus baseada em assinatura. Instrua os funcionários Conscientize melhor os funcionários sobre os riscos da engenharia social e contra-ataque com o treinamento da equipe. Da mesma forma, bons treinamentos e procedimentos podem reduzir o risco de perda acidental de dados e outros riscos internos. Treine a equipe sobre o valor dos dados e sobre como protegê-los. Previna-se contra a perda de dados Evite a perda de dados e a exfiltração com software de proteção contra perda de dados na sua rede. Use a criptografia para proteger os dados em trânsito, seja online ou via armazenamento removível. 20

21 REFERÊNCIAS Internet Security Threat Report, abril de, Targeted Attacks, p

22 GUIA DE REFERÊNCIA RÁPIDA DO WSS Extended Validation SSL No caso de empresas com marcas conhecidas, o uso de Certificados Extended Validation (EV) SSL provou ser uma defesa eficaz contra scams de phishing, sendo um dos meios mais efetivos de criar confiança online. Para qualquer negócio online, o uso de SSL com EV pode ter grande impacto no resultado final. Principais recursos dos Certificados Symantec Extended Validation: O Extended Validation ativa a barra de endereço verde em navegadores da Web, confirmando que o site passou por um processo abrangente de verificação Criptografia de até 256 bits O Selo Norton Secured com o recurso Symantec Seal-in-Search maximiza a taxa de cliques e as conversões A avaliação de vulnerabilidades baseada na Web e a verificação diária de malware no site ajudam a proteger o seu site de ataques baseados na Web Suporte 24 horas por dia, 7 dias por semana O Symantec SSL Assistant gera CSRs e instala certificados automaticamente Além disso: Verificador de instalação de SSL, revogação e substituição gratuitas e garantia de US$ ,00. Obtenha a barra de endereço verde. Identified by Norton A barra do status de segurança alterna entre o nome de sua organização e a autoridade de certificação que executou a sua autenticação Extended Validation. Selo Norton Secured: Transforme os visitantes em clientes leais exibindo o selo mais reconhecido e valorizado pelos consumidores online. O Selo Norton Secured é exibido mais de 750 milhões de vezes a cada dia, em sites de mais de 170 países em todo o mundo. Symantec AdVantage O Symantec AdVantage monitora seu site em tempo real e é capaz de identificar conteúdo malicioso assim que ele se infiltra em seu site. Você não precisa mais aguardar o tráfego diminuir de repente para descobrir que entrou em uma lista negra; você pode bloquear a rede em que o anúncio apareceu e manter a segurança dos seus clientes e de sua reputação. 22

23 SOBRE A SYMANTEC A Symantec, uma líder global em soluções de segurança, backup e disponibilidade, protege informações no mundo inteiro. Nosso produtos e serviços inovadores protegem pessoas e informações em qualquer ambiente, do menor dispositivo móvel até data centers empresariais e sistemas baseados em nuvem. Nossa experiência em proteção de dados, identidades e interações, reconhecida mundialmente, fornece aos nossos clientes a confiança em um mundo conectado. Para obter mais informações, visite ou conectese à Symantec em go.symantec.com/socialmedia. Mais informações Ameaças globais em Symantec.cloud: Resposta de segurança da Symantec: Página de recursos do Relatório sobre Ameaças de Segurança na Internet: Norton Threat Explorer: Norton Cybercrime Index: : 23

24 SIGA-NOS COMPARTILHE Para obter informações de escritórios locais específicos e números de contato, visite nosso site. Para conversar com um Especialista em Produtos, ligue para Symantec Brasil Headquarters Av. Dr. Chucri Zaidan, o andar Market Place Tower São Paulo, SP, Brasil Symantec Corporation. Todos os direitos reservados. Symantec, o logotipo da Symantec, o logotipo da marca de verificação e o logotipo do Norton Secured são marcas comerciais ou registradas da Symantec Corporation ou de suas afiliadas nos Estados Unidos e em outros países. Outros nomes podem ser marcas comerciais dos respectivos proprietários. 24 Relatório sobre ameaças Symantec de segurança Website de Security sites em Solutions 2013