Defesa contra os ataques de phishing direcionados atuais

Transcrição

1 Defesa contra os ataques de phishing direcionados atuais

2 Introdução O é phishing ou é legítimo? Essa é a pergunta que os funcionários e especialmente os executivos estão fazendo com frequência cada vez maior. É excesso de paranóia ou preocupação justificada? Comprometimentos recentes incluindo em um laboratório federal, um gigante de marketing por e uma organização com liderança em tecnologia de segurança dão credibilidade à última opção, e sinalizam de que os hackers ajustaram suas táticas de ataque de phishing de formas que passam pelas defesas de segurança de tradicionais. Na verdade, embora o continue sendo altamente vulnerável a falsificações, a segurança continua a depender fortemente de princípios e tecnologias que têm mais de uma década de idade. As empresas precisam dedicar um novo olhar à segurança de , especialmente quando os ataques de phishing novos e mais direcionados proliferam. O modelo de ataque de phishing tradicional Os ataques de phishing há muito tempo seguem um modelo testado e comprovado, que se baseia em uma abordagem de metralhadora: altos volumes de , contendo malware como anexo ou no corpo do , são enviados para destinatários não direcionados. O processo é o seguinte: 1. Um hacker envia um em massa para milhares de usuários. 2. Uma pequena porcentagem dos destinatários age no (por exemplo, fazendo download de um anexo que contém um vírus). 3. O PC do destinatário é infectado com um cavalo de Tróia ou outra forma de malware. s de spam em massa Arquivo malicioso baixado de anexo PC de usuário infectado com cavalos de Tróia ou outros malwares

3 Defesas tradicionais contra ataques de phishing Embora o modelo de ataque de phishing tradicional tenha sido eficaz durante anos, sua eficácia tem diminuído. Os usuários agora conseguem reconhecer e ignorar esses ataques, depois de lidar com s que fingiam vir de parentes há muito tempo desaparecidos em terras distantes durante anos. Da mesma forma, as soluções de segurança de tradicionais tornaram-se muito habilidosas para identificar esses esquemas, empregando tecnologias como: Reputação de do Remetente para identificar endereços que são conhecidos por distribuir spam. Análise Lexical para analisar conteúdo de que contém combinações de palavras e padrões encontrados com frequência em spam. Essas técnicas de defesa tornaram-se tão confiáveis e eficazes que muitas soluções de segurança de com liderança no setor agora garantem níveis de detecção de até 99% para todo o spam e 100% para todos os vírus conhecidos. Como resultado, a maioria dos usuários não recebe mais esses s nas caixas postais. A evolução dos ataques de phising Embora alguns hackers tenham sido bloqueados por defesas bem-sucedidas, a maioria respondeu modificando o modelo de ataque de phishing de formas simples, porém significativas. Embora a estrutura básica permaneça vigente, os ataques de phishing atuais são menores em volume, altamente direcionados e mais legítimos em aparência. Além disso, o malware agora é entregue por URL incorporado. Antivírus para ajudar a defender contra vírus conhecidos que residem em anexos de . Reputação do Remetente Bloqueio de de remetentes de spam suspeitos conhecidos, como readjustedha6@ 12481bmatter.com Antivírus Comparar arquivos binários e anexos maliciosos, como o arquivo copy.docx, com assinaturas de vírus conhecidas. Análise Lexical Analisar combinações de palavras e padrões encontrados com frequência em spam.

4 O processo revisado é o seguinte: 1. os hackers direcionam para os destinatários coletando inteligência sobre eles em sites como as redes sociais. 2. Os hackers comprometem um domínio ou servidor legítimo, onde destinatários-alvos podem ter um relacionamento existente, para obter acesso a um endereço de legítimo e, portanto, com boa reputação. 3. os hackers usam a inteligência coletada para criar s de phishing, que são enviados por um endereço de com boa reputação para destinatários-alvos. 4. uma grande porcentagem dos destinatários age no , clicando em um URL incorporado com um link para um website legítimo, porém comprometido, e secretamente faz download de malware. 5. o malware procura vulnerabilidades da rede, talvez para desativar defesas de segurança e criar acesso pela porta dos fundos para sistemas internos, a fim de capturar informações corporativas valiosas. 6. Dados confidenciais, como dados de propriedade intelectual e clientes, são furtados. Por que as defesas tradicionais fracassam Com uma ligeira modificação no modelo de ataque de phishing tradicional, os hackers conseguiram enganar as medidas de segurança tradicionais: A Reputação de do Remetente deixa de bloquear o de phishing, porque é enviado de um endereço que não está tradicionalmente associado com s em massa ou maliciosos. A Análise Lexical fracassa porque o de phising não contém quaisquer combinações de palavras em geral associadas com spam. Os antivírus fracassam porque o malware não está contido na mensagem e, em vez disso, é entregue por uma página da web por um script obfuscado. O novo modelo de ataque de phishing habilitou os hackers a comprometer organizações como o Oak Ridge National Laboratory, conhecido por sua pesquisa sobre temas de segurança cibernética que incluem malware, vulnerabilidades e phishing. Em um ataque em abril de 2011, O hacker coleta inteligência em sites de redes sociais O hacker cria um de phishing direcionado. O hacker invade um servidor de negócios legítimo Um destinatário ingênuo clica em um URL incorporado em . O hacker infiltra a rede corporativa com cavalos de Tróia ou outros malwares. As informações confidenciais são transmitidas para o hacker. ender Reputation

5 57 usuários clicaram em um link malicioso que explorava uma vulnerabilidade de dia zero no Internet Explorer (IE), expondo os números de Seguro Social e aniversários das pessoas. Ataque semelhantes expuseram informações confidenciais na gigante de marketing Epsilon e na empresa de segurança RSA. Práticas recomendadas para identificar os ataques de phishing atuais À medida que os ataques de phishing direcionados e de baixo volume proliferam, as organizações precisam reexaminar suas abordagens de segurança de . Estes são alguns primeiros passos para ajudar as organizações a adaptar e minimizar o risco de comprometimento: Inteligência web no Security Gateway Quase todos os ataques de phishing 92% agora contêm um componente da web para contornar as defesas antivírus de gateway de tradicionais. Os URLs incorporados nesses s com frequência enviam para websites que hospedam malware disfarçado. As análises da web em tempo real e um banco de dados atualizado de websites bons e maliciosos conhecidos, incluindo sites de redes sociais, são essenciais para impedir que ataques À medida que os ataques de phishing direcionados e de baixo volume proliferam, as organizações precisam reexaminar suas abordagens de segurança de . convergentes de web e entrem nas caixas postais dos usuários finais. Recomendação: Combinar antivírus de gateway com inteligência de ameaças da web proativas em tecnologia de segurança de como parte de uma estratégia de defesa em camadas. Análise de ameaças no momento do clique Os ataques de phishing modernos são bemsucedidos primariamente porque os s de phishing agora contêm links incorporados que apontam para botnets com IP dinâmico ou páginas web que hospedam código dinâmico duas técnicas que podem enganar até a mais robusta análise de malware de gateway. Por exemplo, um enviado à meia noite pode conter um link para uma página da web que era inofensiva por ocasião do exame de segurança inicial no gateway. Porém, a mesma página da web pode incluir código malicioso injetado quando destinatário clica no link na manhã seguinte. A cada semana, uma média de mais de 700 itens de malware é entregue usando Reputação do Remetente Exemplo@ info.exemplo. com não é conhecido por enviar spam. Análise Lexical Não há combinações de palavras ou padrões de spam usados com frequência. Antivírus Ataque baseado em script em página da Web; nenhuma assinatura conhecida ou histórico de ataques semelhantes.

6 Número de vírus detectados pela Detecção Avançada do Websense NÃO detectados pelos 5 principais mecanismos antivírus (17 23 de abril). 800 Apr Apr 17 Apr 18 Apr 19 Apr 18 Apr 19 Apr 20 Apr 21 este modelo de ataque não detectados pelos mecanismos antivírus líderes de mercado. Recomendação: Isolar e colocar em caixa de areia os s suspeitos que contêm URLs para análise em tempo real no momento de clique do recebedor para reduzir o risco de segurança sem aumentar os falsos positivos ou comprometer a experiência de usuário final. Análise de Transmissão de Dados em Tempo Real Os hackers modernos estão atrás de dados, e não quaisquer dados. Eles procuram propriedade intelectual, roadmaps de produtos e tudo o que poderia ser de importância vital para o êxito dos negócios. As organizações precisam ter uma linha de defesa adicional em sua infraestrutura de e nos dispositivos de acesso a dados, como tablets e smartphones, para supervisionar o fluxo de informações e evitar perda de dados. Recomendação: Analisar todos os dados de saída para automaticamente bloquear, colocar em quarentena ou criptografar os dados confidenciais, e monitorar para identificar padrões que possam indicar um vazamento lento, porém constante, de informações importantes. Treinamento Imersivo para Usuários Finais Instalar as soluções de segurança mais recentes não significa nada se os usuários não praticarem a segurança cibernética. Lembre-se de que o muro entre a vida pessoal do usuário e a vida no trabalho encolheu ou foi derrubado. Isso significa que os usuários podem estar bem protegidos no trabalho, mas não ao verificar o pessoal no laptop da empresa em casa. A melhor forma de fazê-los pensar a segurança é aumentar a conscientização na organização sobre as estratégias e táticas usadas pelos hackers atuais. Recomendação: Forneça aos funcionários muitos exemplos de ataques de phishing no mundo real, habilitando a oportunidade para transmissão de feedback e treinamento imediatos e focados para as pessoas que são vítimas dos exercícios Websense Inc. Todos os direitos reservados. Websense, o logotipo Websense e ThreatSeeker são marcas registradas e TRITON, TruHybrid, Security Labs e TruWeb DLP são marcas comerciais da Websense, Inc. A Websense tem muitas outras marcas comerciais e registradas nos Estados Unidos e internacionalmente. Todas as outras marcas registradas pertencem às respectivas empresas. WS-DPAP-WP 06/09/2012