QUANTIFICAÇÃO DO RISCO DE ATAQUES DDOS PARA A EMPRESA TRADICIONAL

Transcrição

1 QUANTIFICAÇÃO DO RISCO DE ATAQUES DDOS PARA A EMPRESA TRADICIONAL Março de 2016 A simples análise de Monte Carlo realizada pelo Aberdeen Group utiliza dados empíricos para mostrar que um investimento incremental em serviços de proteção contra negação de serviço distribuída (DDoS) reduz o risco mediano desse tipo de ataque em cerca de 50% para empresas tradicionais. Em outras palavras, as empresas têm um retorno anual de quatro vezes o valor de seu investimento em proteção adicional contra DDoS. Derek E. Brink, CISSP, Vice-presidente e pesquisador Segurança da informação e GRC TI Detalhes técnicos sobre ataques de negação de serviço distribuídos (DDoS) não devem ser confundidos com o risco. O objetivo de um ataque de negação de serviço (DoS) é fazer com que os recursos computacionais atacados fiquem indisponíveis para os usuários que deveriam usá-los. Um ataque de negação de serviço distribuído (DDoS) é diferente de um ataque DoS devido ao uso de vários dispositivos e conexões de rede (por exemplo, uma botnet) para alcançar o mesmo objetivo básico: fazer com que os recursos atacados fiquem indisponíveis. Para simplificar, a Aberdeen usa o termo DDoS de forma genérica em sua pesquisa, a menos que o termo DoS seja mais apropriado em determinado contexto. Como Aberdeen descreveu no relatório de sua pesquisa, Understanding Your Risk (for Real) from Distributed Denial of Service Attacks (Como compreender [verdadeiramente] seu risco proveniente de ataques distribuídos de negação de service) (junho de 2015), as principais fontes do setor fornecem diversas informações interessantes e úteis sobre ataques DDoS: O que são ataques DDoS Como funciona, em detalhes técnicos Quais recursos são alvos Quem os está executando e por quê Como sua execução está se tornando ainda mais fácil Exemplos de organizações que foram afetadas Estatísticas detalhadas e informações técnicas sobre as tendências recentes em ataques DDoS, em várias dimensões

2 O único problema é que essas informações sobre ataques DDoS não indicam aos profissionais de segurança e tomadores de decisões comerciais qual é o risco real, que deve sempre ser descrito em termos de probabilidade e impacto comercial. Exemplo: O risco de ataques DDoS para a empresa As empresas utilizam suas redes para diversos serviços de rede (ex.: Internet de alta velocidade, mobilidade, dados, voz e vídeo) em várias infraestruturas de rede (ex.: fixa, móvel e nuvem). Como observamos acima, as fontes do setor deixam muito claro que ataques de negação de serviço cada vez mais sofisticados podem prejudicar a disponibilidade e o desempenho das redes corporativas e dos serviços baseados nelas. No entanto, para entender o risco de ataques DDoS para a empresa tradicional e oferecer orientação, precisamos estimar a probabilidade de esses ataques ocorrerem e o seu impacto comercial. Etapa 1: Qual é a probabilidade de ataques DDoS ocorrerem? Para esta análise, a Aberdeen usou os resultados do Relatório de segurança de infraestrutura mundial da Arbor Networks (WISR, Volume X), que apresenta informações detalhadas sobre as experiências de mais de 110 empresas e mais de 170 provedores de serviços. Com base nesses dados empíricos, a Aberdeen criou um modelo de faixas e distribuições de probabilidade correspondentes para cada um dos seguintes fatores, resumidos na Tabela 1: A probabilidade de sofrer um ataque DDoS em um período de 12 meses Caso já tenha sido atacada, o número de ataques sofridos em um período de 12 meses A duração máxima dos ataques sofridos, em horas

3 Tabela 1: Dados empíricos mostram a probabilidade, a frequência e a duração de ataques DDoS contra empresas tradicionais Empresas Distribuição beta Probabilidade de sofrer um ataque DDoS Mais provável = 47% Distribuição beta Caso já tenha sido atacada, o número de ataques por ano Mais provável = 10% Distribuição beta Duração máxima dos ataques (horas) Mais provável = 48 Fonte: Aberdeen Group, dezembro de 2015, adaptado do WISR da Arbor Networks Usando as técnicas de modelagem de Monte Carlo para multiplicar as estimativas empíricas de probabilidade pela quantidade e a duração em cenários independentes, o resultado é uma distribuição probabilística da estimativa do número total de horas de ataques DDoS sofridos por ano. A Tabela 2 contém um resumo de algumas características dessa distribuição.

4 Tabela 2: Empresas sofrem, em média, cerca de 200 horas de ataques DDoS por ano Empresas Probabilidade de ataques DDoS > 0 hora/ano ~ 53% Número mediano de horas de ataques DDoS ~ 200 horas/ano Probabilidade de ataques DDoS contínuos < 5% Fonte: Aberdeen Group, dezembro de 2015, modelo com base em dados adaptados do WISR da Arbor Networks Para empresas tradicionais, o valor mediano do total de horas de ataques DDoS que provavelmente ocorrerão (ou seja, o valor que divide os cenários pela metade) é de cerca de 200 horas por ano. Supondo que operações sejam realizadas continuamente em tempo integral (24x7x365), as empresas podem esperar que suas redes e aplicativos sejam atacados em mais de 2% do tempo, em média. Além disso, existe uma probabilidade significativa (um pouco menos de 5%) de que as empresas estarão continuamente sob ataque. Etapa 2: Criar um modelo do impacto comercial dos ataques DDoS contra a empresa tradicional A maioria dos tomadores de decisões comerciais sabe bem que, quando suas redes ou os serviços baseados nelas estão indisponíveis ou prejudicados, tempo é dinheiro. Para converter as horas de ataques DDoS por ano em termos financeiros, a Aberdeen estimou o impacto comercial anual desses ataques com base no seguinte modelo simples de Monte Carlo: 200 horas por ano é a duração média de ataques DDoS que empresas tradicionais sofreram em suas redes e nos recursos baseados nelas.

5 O custo dos responsáveis pela resposta no equivalente de tempo integral (ex.: a equipe de resposta a incidentes, os analistas forenses, a equipe de TI, a equipe de central de atendimento) A porcentagem dos ganhos oriundos dos serviços baseados em rede que são perdidos (e não apenas adiados) durante a interrupção O valor atual de todas as despesas e/ou receitas futuras perdidas que são um resultado das interrupções devidas a ataques DDoS no ano corrente (ex.: devido a danos à reputação, perda de confiança, diminuição de renovações, perda de clientes para a concorrência, honorários legais, multas e penalidades, despesas de marketing adicionais etc.) O modelo da Aberdeen não inclui o impacto comercial positivo que as empresas derivam quando as redes e os serviços baseados em redes estão mais protegidos, confiáveis e com maior desempenho, devido à melhor proteção contra DDoS. Afinal, os riscos, como todas as incertezas da vida, podem ser positivos ("recompensados") além de negativos ("não recompensados"). Nesse sentido, esta análise é uma estimativa conservadora e moderada do risco total. O resultado é resumido na Tabela 3, que também apresenta a importante questão de como um investimento em serviços adicionais de proteção contra DDoS reduz o risco da organização de forma mensurável.

6 Tabela 3: Com investimento em serviços adicionais de proteção contra DDoS, as empresas conseguem uma redução significativa no risco (cerca de 50%) e um ROI anual quatro vezes maior Mediano (probabilidade de 50%) Impacto comercial mediano anual das interrupções causadas por ataques DDoS, na situação atual (firewall de rede, detecção de intrusão) Impacto comercial mediano anual das interrupções causadas por ataques DDoS, após a implementação de contramedidas (ex.: proteção contra ataques DDoS da Arbor Networks) Redução mediana no risco de ataques DDoS Retorno mediano anual sobre o investimento em serviços adicionais de proteção contra DDoS Empresas ~ 2,2% da receita anual (US$ 2,2 mi/ano, baseado em receita anual de US$ 100 mi a partir de recursos baseados em rede) ~ 1,1% da receita anual (US$ 1,09 mi/ano, incluindo o custo anual dos serviços adicionais de proteção contra DDoS) cerca de 50% cerca de 4,2 vezes 4,2x é o ROI anual mediano do investimento das empresas em serviços adicionais de proteção contra DDoS. Fonte: Aberdeen Group, dezembro de 2015, modelo com base em dados adaptados do WISR da Arbor Networks Supondo que a situação atual seja a implementação de firewalls de rede tradicionais e sistemas de detecção/prevenção de intrusões, o impacto comercial anual mediano das interrupções causadas por ataques DDoS contra empresas tradicionais é de cerca de 2,2% da receita anual. Após a implementação de serviços adicionais de proteção contra DDoS, o impacto comercial anual mediano é reduzido para cerca de 1,1% da receita anual. Isso representa uma redução de cerca de 50% no risco, após levar em conta o aumento do custo devido às contramedidas adicionais. Outra maneira de expressar isso: com base nos valores medianos, as empresas conseguem um retorno anual de cerca de 4,2 vezes sobre o investimento em serviços adicionais de proteção contra DDoS.

7 Resumo e principais resultados A raison d'être dos profissionais de segurança é ajudar suas respectivas organizações a gerenciar o risco. Conhecimento especializado sobre os detalhes técnicos dos ataques DDoS é importante, mas não se deve confundir esse tipo de informações técnicas com o risco. Para que os tomadores de decisões comerciais os vejam como consultores confiáveis, os profissionais de segurança também precisam aprender a descrever e expressar devidamente os riscos de ataques DDoS. Isso significa: usar os melhores dados disponíveis para estimar a probabilidade de esses ataques ocorrerem; o impacto comercial desses ataques; e como o investimento em contramedidas adicionais reduz de forma mensurável o risco da organização. Como a análise de Monte Carlo simples da Aberdeen mostrou, isso não é tão difícil quanto pensam muitos profissionais de segurança. Sobre o Aberdeen Group Desde 1988, o Aberdeen Group publica pesquisas que ajudam empresas do mundo todo a melhorar seu desempenho. Nossos analistas extraem informações objetivas e neutras usando uma estrutura proprietária de análise, que identifica as melhores organizações a partir de pesquisas realizadas com empresas do setor. Os resultados das pesquisas são usados por centenas de milhares de profissionais para tomar decisões mais inteligentes e melhorar estratégias de negócios. O Aberdeen Group tem sede em Boston, Massachusetts, EUA. Este documento é o resultado de pesquisa primária realizada pelo Aberdeen Group, representando a melhor análise disponível no momento da publicação. Salvo indicação em contrário, todo o conteúdo desta publicação pertence ao Aberdeen Group e não pode ser reproduzido, distribuído, arquivado ou transmitido, de qualquer forma ou por qualquer meio, sem o consentimento prévio por escrito do Aberdeen Group