Relatório de Segurança Anual da Cisco de 2014

Relatório de Segurança Anual da Cisco de 2014

2 Relatório de Segurança Anual da Cisco de 2014 Resumo executivo O problema da confiança O uso excessivo da confiança é um modo comum de operação dos agressores online e outros agentes mal-intencionados. Eles se aproveitam da confiança dos usuários depositada em sistemas, aplicativos e nas pessoas e empresas com quem interagem com frequência. E essa tática funciona: há ampla evidência de que os intrusos estão inventando novos métodos para integrar malware em redes, permanecendo sem serem detectados por longos períodos, e para roubar dados e prejudicar sistemas essenciais. Utilizando métodos que vão desde o roubo de senhas e credenciais com o uso da manipulação social até infiltrações furtivas e ocultas executadas em minutos, os agentes mal-intencionados continuam a se aproveitar da confiança pública, trazendo consequências danosas a todos os atingidos. No entanto, o problema de confiança vai além de criminosos que se aproveitam de vulnerabilidades ou que atacam usuários através da manipulação social: ela enfraquece a confiança nas empresas públicas e privadas. As redes atuais estão enfrentando duas formas de desgaste de confiança. Uma é o declínio da confiança do cliente na integridade dos produtos. A outra é a evidência crescente de que agentes mal-intencionados estão derrotando os mecanismos de confiança. Desta forma, é questionada a a eficácia das garantias de rede e aplicativos, da autenticação e das arquiteturas de autorização. Agentes mal-intencionados continuam a inovar as maneiras de explorar a confiança pública com consequências bastante danosas. Neste relatório, a Cisco oferece dados e percepções sobre as principais preocupações de segurança, como mudanças em malware, tendências em vulnerabilidades e a ressurgência de ataques DDoS (distributed denial-ofservice). O relatório examina também campanhas direcionadas a empresas, grupos e setores específicos, além da sofisticação crescente daqueles que tentam roubar informações confidenciais. O relatório é finalizado com recomendações para o exame holístico de modelos de segurança e a obtenção de visibilidade em todo o processo de ataque: antes, durante e após um ataque.

3 Relatório de Segurança Anual da Cisco de 2014 Principais descobertas As três principais descobertas do Relatório de Segurança Anual da Cisco de 2014 estão abaixo: Ataques contra a infraestrutura têm como alvo recursos significativos em toda a Internet. Explorações mal-intencionadas estão obtendo acesso a servidores de hospedagem na web, nameservers e em data centers. Isso sugere a formação de überbots que procuram ativos de alta reputação e com muitos recursos. Erros de buffer são a ameaça principal, com 21% das categorias de ameaça de Enumeração de pontos fracos comuns (CWE, Common Weakness Enumeration). Os encontros com malware estão se deslocando para os setores de fabricação de eletrônicos e de agricultura e mineração, com uma taxa de encontro médio seis vezes maior que a média as verticais do setor. Agentes mal-intencionados estão usando aplicativos confiáveis para se aproveitar de lacunas na segurança do perímetro. O spam continua com sua tendência de queda, embora a proporção de spam mal-intencionado permaneça constante. O Java compreende 91% das explorações na web; 76% das empresas que usam os serviços Cisco Web Security executam o Java 6, uma versão de fim de ciclo, sem suporte. Ataques do tipo "watering hole" têm como objetivo sites específicos relacionados a um determinado setor para distribuir malware. As investigações de empresas multinacionais mostram evidências de comprometimento interno. O tráfego suspeito emana de suas redes e tenta se conectar em sites questionáveis (100% das empresas estão fazendo chamadas a hosts de malware mal-intencionado). Os indicadores de comprometimento sugerem que as penetrações em redes podem ficar sem serem detectadas por longos períodos. Os alertas de ameaça aumentaram em 14% por ano; novos alertas (alertas não atualizados) estão em crescimento. 99% de todos os malwares para dispositivos móveis em 2013 tiveram como alvo dispositivos Android. Os usuários de Android também tiveram a maior taxa de encontros (71%) com todas as formas de malware distribuídos na web.

4 Relatório de Segurança Anual da Cisco de 2014 Conteúdo do relatório O Relatório de Segurança Anual da Cisco de 2014 apresenta percepções sobre segurança em quatro áreas principais: Confiança Todas as empresas devem se preocupar em encontrar o equilíbrio certo entre confiança, transparência e privacidade, pois há muito em jogo. Nessa área, abordamos três pressões que tornam ainda mais desafiadoras as tentativas dos profissionais de segurança em ajudar suas empresas a atingir esse equilíbrio: Maior área de superfície de ataque Proliferação e sofisticação do modelo de ataque Complexidade de ameaças e soluções Inteligência de ameaças Usando o maior conjunto de telemetria de detecções disponível, a Cisco e a Sourcefire analisaram e reuniram percepções sobre segurança do ano passado: Ataques contra a infraestrutura têm como alvo recursos significativos em toda a Internet. Agentes mal-intencionados estão usando aplicativos confiáveis para se aproveitar de lacunas na segurança do perímetro. Indicadores de comprometimento sugerem que as penetrações em rede podem ficar sem serem detectadas por longos períodos.

5 Relatório de Segurança Anual da Cisco de 2014 Setor Nesta seção, os investigadores do Cisco Security Intelligence Operations (SIO) elevam a discussão em torno das tendências do setor que se estendem além da telemetria da Cisco, embora ainda afetem as práticas de segurança desde tentativas de login forçado, atividade de DDoS de grande escala e esforços de ransomware até a crescente dependência na nuvem, falta de talentos na área de segurança e outras preocupações. Recomendações As empresas enfrentam um aumento no número de ataques, na proliferação e sofisticação de tipos de ataque e da complexidade dentro da rede. Muitas sentem dificuldades em solidificar uma visão de segurança sustentada por uma estratégia eficaz que usa novas tecnologias, simplifica a arquitetura e as operações, e fortalece suas equipes de segurança. Esta seção destaca como um modelo de segurança voltado especificamente para as ameaças permite que os responsáveis pela segurança da rede enfrentem o ataque do começo ao fim, em todos os vetores de ataque, e que respondam a todo o instante de maneira contínua: antes, durante e após um ataque.

6 Relatório de Segurança Anual da Cisco de 2014 Como a Cisco avalia o panorama das ameaças A Cisco desempenha uma função crucial na avaliação de ameaças, dada a prevalência de suas soluções e a abrangência da sua inteligência de segurança: 16 bilhões de solicitações web são inspecionadas todos os dias através do Cisco Cloud Web Security 93 bilhões de e-mails são inspecionados todos os dias através da solução de e-mail hospedado da Cisco 200.000 endereços IP são avaliados diariamente 400.000 amostras de malware são avaliadas diariamente 33 milhões de arquivos de endpoint são avaliados todos os dias pelo FireAMP 28 milhões de conexões de rede são avaliadas todos os dias pelo FireAMP Essa atividade resulta na detecção das seguintes ameaças pela Cisco: 4,5 bilhões de e-mails são bloqueados todos os dias 80 milhões de solicitações são bloqueadas todos os dias 6.450 detecções de arquivos de endpoint ocorrem diariamente no FireAMP 3.186 detecções de rede de endpoint ocorrem todo dia no FireAMP 50.000 invasões de rede são detectadas todos os dias

7 Relatório de Segurança Anual da Cisco de 2014 Conteúdo Confiança...8 Novas maneiras de fazer negócios, novas lacunas de segurança... 9 Um desgaste da confiança...11 Principais desafios de segurança para 2014...12 Sistemas confiáveis e transparentes...16 Inteligência de ameaças... 20 Alertas de ameaças em crescimento...21 O volume de spam está caindo, mas o spam mal-intencionado é ainda uma ameaça...24 Explorações da web: Java lidera o grupo... 28 BYOD e mobilidade: amadurecimento dos dispositivos beneficiam o crime cibernético... 32 Ataques direcionados: o desafio de desalojar "visitantes" persistentes e difundidos... 36 Instantâneo de malware: tendências observadas em 2013... 38 Alvos primários: verticais do setor...41 Fraturas em um ecossistema frágil... 43 Tráfego mal-intencionado, frequentemente um sinal de ataques direcionados, detectados em todas as redes corporativas... 48 Setor... 52 Tentativas de login forçado, uma das táticas favoritas para comprometer sites... 53 Ataques DDoS: o que era velho voltou a ser novidade... 55 DarkSeoul... 57 A falta de talentos na área de segurança e as lacunas nas soluções... 60 A nuvem como um novo perímetro...61 Recomendações...63 Objetivos para 2014: verificação da confiabilidade e melhoria da visibilidade... 64 Apêndice... 67 As empresas de segurança precisam de cientistas de dados... 68 Sobre o Cisco SIO... 77 Cisco SIO...78 Sobre este documento Este documento contém material que pode ser pesquisado e distribuído. Procure por esse ícone para abrir o recurso de localização no Adobe Acrobat. [ ] Procure por esses ícones para compartilhar o conteúdo. Software recomendado Adobe Acrobat versão 7.0 e superiores

8 Relatório de Segurança Anual da Cisco de 2014 Confiança Todas as empresas devem se preocupar em encontrar o equilíbrio certo entre confiança, transparência e privacidade, pois há muito em jogo.

9 Relatório de Segurança Anual da Cisco de 2014 Confiança [ Novas maneiras de fazer negócios, novas lacunas de segurança Os elos fracos na cadeia de fornecimento de tecnologia são uma particularidade do complexo panorama atual de riscos e ameaças cibernéticas. O mesmo se aplica à emergência da infraestrutura abrangente, onde qualquer dispositivo em qualquer local pode vir a qualquer instanciação da rede. 1 Há também uma abundância crescente de dispositivos que utilizam a Internet (smartphones, tablets, etc.) tentando se conectar a aplicativos que podem ser executados em qualquer local, incluindo uma nuvem pública de software como serviço (SaaS), uma nuvem privada ou uma nuvem híbrida. 2 Mesmo os serviços básicos de infraestrutura de Internet se tornaram alvo de hackers que desejam aproveitar a reputação, a largura de banda e o tempo de atividade e disponibilidade contínuos dos servidores de hospedagem na web, nameservers e data centers, para lançar campanhas cada vez maiores. (Consulte "Fraturas em um ecossistema frágil", página 43.) Embora tendências como a computação em nuvem e a mobilidade estejam reduzindo a visibilidade e aumentando a complexidade da segurança, as empresas ainda precisam adotá-las, pois elas são cruciais para trazer vantagem competitiva e sucesso comercial. No entanto, as lacunas de segurança estão emergindo (e se aprofundando) à medida que as equipes de segurança tentam alinhar soluções tradicionais com estilos novos e em rápida evolução de fazer negócios. Enquanto isso, os agentes mal-intencionados estão trabalhando mais rápido para se aproveitar de lacunas que as soluções pontuais não integradas simplesmente não podem lidar. E eles estão tendo sucesso, pois têm os recursos para serem mais ágeis. ] A infraestrutura básica da Internet se tornou alvo dos hackers. A rede do crime cibernético está se ampliando, se fortalecendo e opera cada vez mais como qualquer rede empresarial legítima e sofisticada. Hoje, a hierarquia do crime cibernético é similar a uma pirâmide (consulte Figura 1). Na base estão os oportunistas que não são técnicos e usuários de "crimeware como serviço" que desejam ganhar dinheiro, comunicar algo, ou ambos, com suas campanhas. No meio estão os revendedores e

10 Relatório de Segurança Anual da Cisco de 2014 Confiança [ sustentadores de infraestrutura (os "intermediários"). No topo estão os inovadores técnicos, os grandes agentes os quais as autoridades policiais mais procuram, mas que são difíceis de serem encontrados. Os criminosos cibernéticos geralmente têm objetivos comerciais claros ao lançar suas explorações. Eles sabem quais informações procuram ou qual resultado desejam obter, e sabem o caminho que devem percorrer para atingir esses objetivos. Os inimigos passarão tempo significativo pesquisando seus alvos, frequentemente através de informações disponibilizadas publicamente em redes sociais, e planejando seus objetivos estrategicamente. Muitos agentes na chamada "economia paralela" também enviam malware de vigilância para coletar informações sobre um ambiente, incluindo a tecnologia de segurança implantada, para que possam direcionar seus ataques. Esse reconhecimento anterior à exploração é uma forma dos criadores de malware se certificarem de que eles funcionarão. Uma vez integrados em uma rede, o malware avançado que eles projetaram pode se comunicar com servidores de controle e comando externamente e se disseminar lateralmente por toda a infraestrutura para cumprir sua missão, seja ela o roubo de dados vitais ou a interrupção de sistemas essenciais. ] FIGURA 1 A hierarquia do crime cibernético Inovadores técnicos Revendedores / mantenedores de infraestrutura Oportunistas não técnicos / usuários de crimeware como serviço

11 Relatório de Segurança Anual da Cisco de 2014 Confiança Um desgaste da confiança Ameaças com a intenção de se aproveitar da confiança dos usuários nos sistemas, em aplicativos e das pessoas e de empresas que eles conhecem, são agora acessórios permanentes no mundo cibernético. Disseque quase qualquer esquema e no centro haverá algum abuso de confiança: malware enviado a usuários que navegam legitimamente por sites populares. E-mails de spam que parecem ter sido enviados por empresas conhecidas, mas que contêm links para sites malintencionados. Aplicativos móveis de terceiros infiltrados por malware e baixados de lojas online populares. Informantes que usam privilégios de acesso a informações para roubar propriedade intelectual dos empregadores. Talvez devesse haver uma suposição, por parte de todos os usuários, de que não se pode confiar em nada no mundo cibernético. E os profissionais de segurança deveriam prestar um serviço às suas empresas, ao não confiar em tráfegos de rede 3 ou ter plena fé nas práticas de segurança dos fornecedores ou cadeias de fornecimento que viabilizam tecnologia à empresa. Porém, as empresas dos setores público e privado, usuários individuais e até mesmo nações querem ainda ter a garantia de poder confiar nas tecnologias fundamentais de que dependem todos os dias. Essa necessidade de confiança na segurança ajudou a avançar ainda mais os Critérios comuns para avaliação da segurança da tecnologia da informação (Common Criteria), a linguagem e a estrutura que permitem às agências governamentais e outros grupos a definição das exigências que os produtos de tecnologia devem cumprir para garantir sua confiabilidade. Hoje, Deveria haver uma suposição, por parte de todos os usuários, de que não se pode confiar em nada no mundo cibernético. 26 países, incluindo os Estados Unidos, estão participando do Common Criteria Recognition Arrangement (Acordo de reconhecimento de critérios comuns), um acordo multilateral que possibilita o reconhecimento mútuo de produtos avaliados pelos governos participantes. No entanto, em 2013, a confiança, em geral, sofreu um revés. O catalisador: Edward Snowden. O ex-contratado do governo norte-americano vazou informações confidenciais para o The Guardian, um jornal britânico; informações que ele obteve enquanto trabalhava em uma missão da Agência Nacional de Segurança dos EUA (NSA). 4

12 Relatório de Segurança Anual da Cisco de 2014 Confiança As revelações de Snowden à imprensa até o momento incluem detalhes sobre o programa de vigilância eletrônica e de coleta de dados da NSA, o PRISM, 5 além do programa NSA- GCHQ 6 em separado, conhecido como MUSCULAR, através do qual as redes de fibra ótica que transportam tráfego de data centers estrangeiros de grandes empresas de Internet foram alegadamente grampeadas. 7 Essas e outras revelações de Snowden sobre práticas de vigilância do governo desgastaram a confiança em muitos níveis: entre nações, entre governos e o setor privado, entre cidadãos privados e seus governos, e entre cidadãos privados e as empresas no setor público e privado. Elas também, naturalmente, levantaram preocupações sobre a presença e os riscos potenciais de vulnerabilidades não intencionais e de "portas dos fundos" (backdoors) intencionais em produtos tecnológicos, e se os fornecedores estão fazendo o bastante para evitar esses pontos fracos e proteger os usuários finais. [ Principais desafios de segurança para 2014 À medida que a confiança se desgasta, e se torna mais difícil definir quais sistemas e relacionamentos são realmente confiáveis, as empresas enfrentam várias situações importantes que enfraquecem sua capacidade de lidar com a segurança: 1 Maior área de superfície de ataque 2 Proliferação e sofisticação do modelo de ataque 3 Complexidade das ameaças e soluções Esses problemas combinados criam e exacerbam as lacunas de segurança que permitem que agentes mal-intencionados lancem explorações mais rápido do que o tempo levado pelas empresas para resolverem seus pontos fracos de segurança. Essas ameaças e esses riscos são examinados em mais detalhes nas páginas a seguir. ]

13 Relatório de Segurança Anual da Cisco de 2014 Confiança 1 Maior área de superfície de ataque Hoje, a superfície de ataque apresenta possibilidades infinitas para que os agentes malintencionados enfraqueçam um ecossistema de segurança grande mas frágil. A superfície aumentou exponencialmente e ainda está se expandido; há muitos endpoints, muitas vias de acesso e muitos dados que não estão sob controle da empresa. Os dados são o prêmio que a maioria dos inimigos querem obter através de suas campanhas, pois eles são essencialmente dinheiro. Se os dados tiverem qualquer "valor de mercado", seja a propriedade intelectual de uma grande corporação ou os dados de saúde de um indivíduo, eles serão desejados e, desta forma, estarão em risco. Se o valor do alvo é maior que o risco de comprometê-lo, ele será hackeado. Até mesmo as pequenas empresas estão correndo o risco de serem hackeadas. A maioria das empresas, de pequeno e grande porte, foi comprometida e nem mesmo sabe disso: 100% das redes empresariais analisadas pela Cisco têm tráfego vindo de sites que hospedam malware. FIGURA 2 A anatomia de uma ameaça moderna Internet e aplicativos de nuvem Campus Empresa Rede pública O ponto de entrada da infecção ocorre fora da empresa Perímetro Ameaças cibernéticas avançadas contornam o perímetro de defesa Data center A ameaça se espalha e tenta roubar dados de alto valor

14 Relatório de Segurança Anual da Cisco de 2014 Confiança A anatomia de uma ameaça moderna, esboçada na Figura 2, ressalta como o objetivo final de muitas campanhas de crimes cibernético é atingir o data center e extrair dados valiosos. Neste exemplo, uma ação mal-intencionada ocorre em um dispositivo fora da rede corporativa. Ela causa um infecção, que se move para uma rede de campus. Essa rede serve como um trampolim para a rede empresarial e depois a ameaça chega ao tesouro: o data center. O objetivo final de muitas campanhas de crimes cibernéticos é atingir o data center e extrair dados importantes. Em função da expansão da área de superfície de ataque e ataque de dados de alto valor por hackers, os especialistas em segurança da Cisco recomendam que as empresas procurem responder a duas importantes perguntas em 2014: "aonde nossos dados essenciais residem?" e "como podemos criar um ambiente seguro para proteger esses dados, especialmente quando novos modelos empresariais, como a computação em nuvem e mobilidade, nos deixam com pouco controle sobre eles?" 2 Proliferação e sofisticação do modelo de ataque O panorama de ameaças de hoje é muito diferente daquele de apenas 10 anos atrás. Ataques simples que causavam danos contidos deram espaço a operações modernas de crime cibernético que são sofisticadas, bem financiadas e capazes de causar grandes problemas às empresas. As empresas se tornaram o foco dos ataques direcionados. Esses ataques são muito difíceis de serem detectados, permanecem nas redes por longos períodos e reúnem recursos de rede para lançar ataques em outros locais. Para cobrir todo a sequência do ataque, as empresas precisam lidar com uma ampla variedade de vetores de ataque com soluções que operam em todos os lugares em que a ameaça possa se manifestar: na rede, em endpoints, em dispositivos móveis e em ambientes virtuais. "Onde residem nossos dados importantes?" e "como podemos criar um ambiente seguro para proteger esses dados, especialmente quando novos modelos de negócios, como a computação em nuvem e mobilidade, nos deixam com pouco controle sobre eles?" Especialistas de segurança da Cisco

15 Relatório de Segurança Anual da Cisco de 2014 Confiança 3 Complexidade das ameaças e soluções Já se foram os dias em que bloqueadores de spam e software antivírus podiam proteger um perímetro de rede facilmente definido da maioria das ameaças. As redes de hoje vão além das fronteiras tradicionais e constantemente desenvolvem e criam novos vetores de ataque: dispositivos móveis, aplicativos habilitados pela web e móveis, hipervisores, mídia social, navegadores da web, computadores domésticos e até mesmo veículos. Soluções que estejam atuando em um determinado momento não conseguem responder à infinidade de tecnologias e estratégias utilizadas por agentes mal-intencionados. Isso torna o monitoramento e o gerenciamento da segurança de informações ainda mais difíceis para as equipes de segurança. As vulnerabilidades das empresas estão aumentando, pois as empresas estão trabalhando através de soluções pontuais desagregadas e várias plataformas de gerenciamento. O resultado: um conjunto de tecnologias diferentes ao longo de pontos de controle que nunca foram projetados para trabalharem em conjunto. Isso aumenta as chances de comprometimento das informações do cliente, da propriedade intelectual e de outras informações confidenciais, e coloca a reputação da empresa em risco. É necessário um recurso contínuo que forneça a melhor oportunidade para atender aos desafios de ambientes de ameaça complexos. Ataques implacáveis não ocorrem em um único momento específico; eles são contínuos. É assim que devem ser as defesas da empresa. Com a complexidade das ameaças e soluções correspondentes no nível mais alto já registrado, as empresas precisam repensar sua estratégia de segurança. Em vez de depender de soluções pontuais, elas podem minimizar a complexidade integrando continuamente a segurança na própria malha da rede, para que a rede possa: Monitorar e analisar continuamente arquivos e identificar comportamento mal-intencionado subsequente sempre que ele começar. Ajudar as empresas a expandir a aplicação de políticas, aumentando a superfície na qual os dispositivos de rede podem ser colocados. Acelerar o tempo de detecção já que assim é possível visualizar mais tráfego. Dar às empresas a capacidade de agregar reconhecimento de contexto exclusivo que não é possível obter ao contar apenas com dispositivos específicos à segurança. Soluções que estejam atuando em um determinado momento não conseguem responder à infinidade de tecnologias e estratégias utilizadas por agentes malintencionados.

16 Relatório de Segurança Anual da Cisco de 2014 Confiança A mudança rumo aos serviços de nuvem e à mobilidade está colocando uma carga maior de segurança nos endpoints e dispositivos móveis que, em alguns casos, poderão nunca tocar a rede corporativa. O fato é que os dispositivos móveis apresentam riscos à segurança quando são usados para acessar recursos da empresa; eles se conectam facilmente com serviços de nuvem e computadores de terceiros com posturas de segurança que são possivelmente desconhecidas e que estão fora do controle da empresa. Além disso, o malware para dispositivos móveis está crescendo rapidamente, o que aumenta ainda mais os riscos. Dada a falta de até mesmo uma visibilidade básica, a maioria das equipes de segurança de TI não tem os recursos necessários para identificar as possíveis ameaças a esses dispositivos. Os dispositivos móveis introduzem riscos à segurança quando são usados para acessar recursos da empresa. Abordagens avançadas, como a contínua disponibilidade de recursos, desempenharão uma função maior no tratamento de malware avançado através de análises de big data que agregam dados e eventos em toda a rede estendida para proporcionar maior visibilidade, até mesmo depois de um arquivo ter sido movido na rede ou entre endpoints. É diferente da segurança de endpoint em um momento específico, que verifica arquivos em um determinado período para determinar uma disposição de malware. O malware avançado pode escapar dessa verificação para estabelecer-se rapidamente em endpoints e se espalhar pelas redes. Sistemas confiáveis e transparentes Em função da maior área de superfície de ataque, do crescimento da proliferação e sofisticação do modelo de ataque e da complexidade das ameaças e soluções, precisamos confiar nas informações que consumimos, junto com os sistemas que as fornecem, independentemente de como acessamos os serviços em rede. A criação de um ambiente de rede verdadeiramente seguro se torna ainda mais complexa, à medida que governos e empresas investem em mobilidade, colaboração, computação em nuvem e outras formas de virtualização. Esses recursos ajudam a melhorar a resiliência, aumentar a eficiência e reduzir custos, mas também podem introduzir riscos adicionais.

17 Relatório de Segurança Anual da Cisco de 2014 Confiança A segurança dos processos de fabricação que criam produtos de TI está agora também em risco, com produtos falsificados e adulterados se tornando um problema crescente. Como resultado, os líderes governamentais e corporativos atuais identificam de forma esmagadora a segurança cibernética e problemas relacionados à confiança como as principais preocupações. A pergunta que os profissionais de segurança deveriam se fazer é: o que faríamos de maneira diferente se soubéssemos que um comprometimento fosse iminente? Os agentes mal-intencionados procurarão e explorarão qualquer ponto fraco de segurança na cadeia de fornecimento de tecnologia. Vulnerabilidades e backdoors intencionais em produtos de tecnologia podem, em última análise, proporcioná-los o "acesso total". Backdoors têm sido um problema de segurança há bastante tempo e deveriam ser uma preocupação para as empresas, pois elas existem exclusivamente para ajudar a facilitar atividades clandestinas ou criminosas. O desenvolvimento de sistemas confiáveis significa construir a segurança do zero, desde o início até o término do ciclo de vida de um produto. O ciclo Cisco Secure Development Life (CSDL) 8 prescreve uma metodologia que pode ser repetida e medida, que foi projetada para incorporar a segurança do produto no estágio de concepção, atenuar as vulnerabilidades durante o desenvolvimento e aumentar a resiliência de produtos em função de um ataque. Sistemas confiáveis fornecem a base de uma abordagem de melhoria contínua à segurança, que antevê e antecipa novas ameaças. Tais infraestruturas não só protegem informações essenciais, como também ajudam a evitar interrupções de serviços essenciais. Produtos confiáveis respaldados por fornecedores confiáveis permitem que seus usuários minimizem os custos e os dano de reputação resultantes do abuso de informações, interrupções de serviço e violações de informações. Os agentes mal-intencionados procurarão e explorarão qualquer ponto fraco de segurança na cadeia de fornecimento de tecnologia. Sistemas confiáveis, no entanto, não devem ser confundidos com imunidade a ataques externos. Os clientes e usuários de TI desempenham uma função importante para manter a eficácia de sistemas confiáveis, ao afastar tentativas de corromper suas operações. Isso inclui a instalação de atualizações e correções focadas em segurança dentro do prazo, vigilância constante no reconhecimento de comportamento anormal do sistema e contramedidas eficazes contra ataques.

18 Relatório de Segurança Anual da Cisco de 2014 Confiança Principais preocupações para 2014 dos CISOs de hoje À medida que chefes de segurança de informações (CISOs) pesquisam o panorama de ameaças atual, eles enfrentam a pressão crescente para proteger terabytes de dados, cumprir regulamentos rigorosos de conformidade e avaliar os riscos de se trabalhar com fornecedores terceirizados fazendo tudo isso com orçamentos em redução e equipes reduzidas de TI. Os CISOs têm muito mais tarefas e ameaças complexas e sofisticadas para gerenciar. Os principais estrategistas de segurança dos serviços de segurança da Cisco, que aconselham os CISOs sobre abordagens de segurança para suas organizações, oferecem essa lista de preocupações e desafios mais urgentes para 2014: Gerenciamento de conformidade A preocupação mais universal entre CISOs pode ser a necessidade de proteger seus dados que residem em uma rede cada vez mais porosa, enquanto gastam recursos de alto valor com a conformidade. A conformidade isolada não é igual a ser seguro; é simplesmente um patamar mínimo que foca nas necessidades de um ambiente especial regulado. A segurança, enquanto isso, é uma abordagem que engloba tudo que abrange todas as atividades comerciais. Confiança na nuvem OS CISOs devem tomar decisões sobre como gerenciar informações com segurança com os orçamentos Continua na próxima página As tecnologias não permanecem imutáveis, nem os agressores. A garantia de confiabilidade do sistema precisa abranger todo o ciclo de vida de uma rede, desde o projeto inicial até a fabricação, integração de sistemas, operação diária, manutenção e atualizações e, finalmente, a desativação da solução. A necessidade de sistemas confiáveis vai além da própria rede de uma empresa e inclui as redes nas quais uma empresa se conecta. As equipes de pesquisa e operações de segurança da Cisco observaram o aumento no uso de "pivô" ao longo do ano passado. A técnica deo uso de pivô no crime cibernético envolve a utilização de uma backdoor, vulnerabilidade ou simples aproveitamento de confiança em algum ponto na cadeia de ataque como um trampolim para lançar uma campanha mais sofisticada contra alvos muito maiores, como a rede de uma grande empresa de energia ou data center de uma instituição financeira. Alguns hackers usam a confiança que existe entre as empresas como a base do pivô, se aproveitando de um parceiro comercial confiável para atacar e explorar outro parceiro empresarial ou governamental desavisado. A vigilância é apropriada no panorama moderno das ameaças. A segurança deve se adaptar a todos os estados transientes que fazem parte do ambiente de TI empresarial, através da validação da confiabilidade do sistema de forma mensurável e objetiva, baseada em dados e processos confirmáveis independentes. A abordagem mais sustentável é uma defesa dinâmica ajustada ao ambiente único de uma empresa, que inclui controles de segurança que estão em constante evolução, para que possam permanecer relevantes. 9 Os sistemas confiáveis podem existir nesse ambiente e a transparência é essencial para construí-los. "Um sistema confiável deve ser construído sobre uma base forte: práticas de desenvolvimento de produtos, uma cadeia de fornecimento confiável e uma abordagem de arquitetura que consiste em projeto de rede, implantação e políticas",

19 Relatório de Segurança Anual da Cisco de 2014 Confiança Continuação da página anterior e tempo finitos que lhe são alocados. Por exemplo, a nuvem se tornou uma maneira econômica e ágil para gerenciar armazéns de dados que não param de crescer, mas ela cria mais preocupações aos CISOs. Os CEOs e a diretoria veem a nuvem como uma panaceia para eliminar hardware caro. Eles querem os benefícios de descarregar dados na nuvem e esperam que o CISO faça isso acontecer, com segurança e rapidamente. Confiança nos fornecedores Como a nuvem, as organizações exploram os fornecedores para fornecer soluções especializadas. O modelo de custo de usar empresas terceirizadas faz sentido. No entanto, esses fornecedores são alvos de alto valor para criminosos, que sabem que suas defesas podem não ser tão fortes. Recuperação de violações de segurança Todas as empresas devem supor que foram hackeadas, ou pelo menos concordar que não é uma questão de "se eles serão alvo de um ataque" e sim "quando". Hacks recentes, como a Operação Night Dragon, a violação da RSA e o ataque Shamoon contra uma grande empresa de petróleo e gás em 2012, estão na mente de muitos CISOs. (Consulte a pesquisa da Cisco sobre a prevalência de atividades mal-intencionadas em redes corporativas na página 48.) [ diz John N. Stewart, vice-presidente sênior e chefe de segurança da Cisco. "Mas o atributo mais importante é a transparência do fornecedor". A compensação por mais transparência é menos privacidade, mas o equilíbrio correto pode ser obtido através de cooperação, o que leva a maiores oportunidades para alinhar a inteligência de ameaças com as melhores práticas de segurança. Todas as empresas devem se preocupar em encontrar o equilíbrio certo entre confiança, transparência e privacidade, pois há muito em jogo. À longo prazo, uma melhor segurança cibernética poderá ser obtida para todos os usuários e todo o potencial da emergente economia da Internet de Todas as Coisas 10 poderá ser concretizado. Porém, cumprir essas metas dependerá de políticas de privacidade eficazes e defesas de rede robustas que distribuem de forma inteligente a carga de segurança pelos endpoints e pela rede. À curto prazo e talvez mais próximo de nós, está a necessidade de qualquer empresa moderna de usar os melhores métodos e informações disponíveis para ajudar a proteger seus ativos mais valiosos e garantir que eles não contribuam diretamente para aumentar os desafios relacionados à segurança cibernética. ] As empresas de hoje devem considerar o possível impacto de suas práticas de segurança no ecossistema de segurança cibernética, que se torna cada vez maior, mais complexa e interconectada. Abdicar dessa "visão geral" pode resultar na obtenção de uma baixa pontuação de reputação para a empresa, o que significa que nenhum dos principais provedores de segurança permitiria o acesso ao seu site. Não é fácil para uma empresa sair da lista negra e algumas podem nunca se recuperar completamente. Para saber mais sobre as práticas dos sistemas confiáveis da Cisco, acesse www.cisco.com/go/trustworthy.

20 Relatório de Segurança Anual da Cisco de 2014 Inteligência de ameaças Com o uso do maior conjunto de telemetria de detecções, a Cisco e a Sourcefire analisaram e reuniram as percepções sobre segurança do ano passado.