RELATÓRIO DE SEGURANÇA 2014 - Sentinela Securityblog.sentinelasecurity.com.br/wp-content/uploads/2014/07/security... · Egg e permanece como um modelo dos desafios da defesa cibernética

CHECK POINTRELATÓRIO DE SEGURANÇA

2014

We Secure the Internet.

01

02

03

04

05

06

07

11

03

21

37

49

59

65

2014 RELATÓRIO ANUAL DE SEGURANÃDA CHECK POINT

01

RELATÓRIO DE SEGURANÇA 2014DA CHECK POINT

INTRODUÇÃO E METODOLOGIA

A EXPLOSÃO DO MALWARE DESCONHECIDO

O MAL CONHECIDOMalware no mundo corporativo

APLICATIVOS COM FOME DE DESTRUIÇÃOAplicativos de alto risco na empresa

INCIDENTES DE PERDA DE DADOSO grande retorno

A ARQUITETURA DE SEGURANÇA PARA AS AMEAÇAS DO FUTUROProteção Definida por Software

SOBRE ACheck Point Software Technologies

.......................................................................................................................................................................

..............................................................................................

.................................................................................................................................................................................

........................................................................................................................................................

.......................................................................................................................................................................................................................................................

.................................................................................................................................................................................

...........................................................................................................................................................

02

2014 RELATÓRIO ANUAL DE SEGURANÇA DA CHECK POINT

01


03


04



05


VERIFICANDO OS REGISTROS IMPRESSOS, PUDE VER O HACKER TENTANDO INVADIR O MILNET. UM A UM, ELE TENTOU INVADIR 15 COMPUTADORES DA FORÇA AÉREA, EM LOCAIS COMO EGLIN, KIRTLAND E A BASE DA FORÇA AÉREA BOLLING. MAS NÃO TEVE SORTE. ELE SE CONECTAVA A CADA UM DOS COMPUTADORES, GIRAVA A MAÇANETA UMA OU DUAS VEZES E PASSAVA PARA O PRÓXIMO SISTEMA. ATÉ QUE CHEGOU À DIVISÃO ESPACIAL DO COMANDO DE SISTEMAS DA FORÇA AÉREA. PRIMEIRO ELE TENTOU GIRAR A MAÇANETA USANDO A CONTA DO SISTEMA, COM A SENHA "GERENTE". MAS NÃO TEVE SORTE. DEPOIS COMO CONVIDADO, SENHA "CONVIDADO". NADA. DEPOIS POR CAMPO, SENHA "SERVIÇO". […] ABRACADABRA: A PORTA SE ESCANCAROU. ELE CONSEGUIU SE CONECTAR USANDO O SERVIÇO DE CAMPO. MAS ESSA CONTA NÃO É DE UM USUÁRIO QUALQUER. TRATA-SE DE UMA CONTA TOTALMENTE PRIVILEGIADA. […] EM ALGUM LUGAR AO SUL DA CALIFÓRNIA, EM EL SEGUNDO, UM GRANDE COMPUTADOR VAX ESTAVA SENDO INVADIDO POR UM HACKER DO OUTRO LADO DO MUNDO.

Clifford Stoll, The Cuckoo’s Egg1

Mais de 25 anos atrás, um administrador UNIX rastreou um erro de cobrança de 75 centavos que o levou a uma rede de espionagem do bloco oriental que estava tentando roubar informações secretas do governo e das forças armadas dos Estados Unidos. A história de como ele rastreou um caminho, partindo das bandeiras vermelhas até a descoberta da grande infestação, e sua batalha contra o invasor foi recontada em The Cuckoo’s Egg e permanece como um modelo dos desafios da

defesa cibernética. As tecnologias envolvidas, os meios de conexão e os métodos de invasão evoluíram grandiosamente desde o fim da década de 80, embora a identificação de sistemas comprometidos, as respostas aos incidentes e a proteção de sistemas e dados contra futuros ataques ainda constituam os principais desafios das organizações no mundo todo, independentemente do tamanho e do setor.

10


02


11

A EXPLOSÃO DO MALWARE

DESCONHECIDO

12


2.2

14


FRAGMENTOS DE MALWARE DESCONHECIDO ATINGEM UMA ORGANIZAÇÃO A CADA HORA

foi anexado a um e-mail do endereço "[email protected]" com a linha de assunto "Convite à recepção". Quando aberto em um ambiente isolado, ele explorou uma vulnerabilidade conhecida (CVE-2012-0158) com o intuito de depositar um arquivo denominado "kav.exe" na pasta Local Settings\Temp do usuário no computador de destino. O nome do arquivo dropper parece ser um nome inicial de armadilha com a intenção de se parecer com o executável do antivírus da Kaspersky13 e o malware em si parece estar relacionado às campanhas anteriores contra malware que os pesquisadores atribuíram a um ou mais grupos APT chineses. A análise revelou que o arquivo é um dropper de duas fases que renomeia a si mesmo no processo de autoinstalação no sistema de destino e, em seguida, captura o processo explorer.exe a fim de carregar uma DLL mal-intencionada.

Os estudiosos de segurança da Check Point realizaram uma pesquisa de bancos de dados de malwares conhecidos e descobriram que nenhum fornecedor de antivírus foi capaz de detectar esse malware no momento em que ele foi descoberto.

O malware injetou uma biblioteca mal-intencionada (mswins64.dll) usando uma série de chamadas de função do Windows e a verificação de exclusão mútua para instalar o malware no sistema cliente de uma maneira designada a evitar a detecção por soluções antimalware existentes. Uma vez instalado, o malware gravou uma entrada no registro usando um caminho de registro diferente daqueles que são conhecidos, geralmente utilizados pelo processo do malware e que, portanto, são monitorados mais cuidadosamente pelo software antimalware. Essa combinação de chamadas a APIs e caminhos de registro menos usados permite que o malware aumente suas chances de se esquivar da detecção.

O HIMAN mostra como os criadores de malware estão aproveitando o conhecimento em chamadas à API do Windows, do comportamento do sistema operacional e da operação das ferramentas antimalware para evitar a detecção, sem precisar gastar com o desenvolvimento ou a compra de uma verdadeira vulnerabilidade de dia zero. Essa sofisticação estende-se às comunicações C&C (comando e controle), bem como aos processos de extrusão: o HIMAN pode usar a força bruta nos proxies de saída com credenciais armazenadas, criptografar dados coletados usando AES14 e utilizar técnicas de ofuscação durante a extrusão para evitar a filtragem de saída.

Uma vez instalado com êxito e tendo estabelecido uma conexão verificada com um servidor C&C ativo, o HIMAN compõe e executa dinamicamente um script que coleta dados sobre serviços em execução, contas locais com direitos de Administrador e outras informações sobre configuração do sistema e quaisquer partes da rede local que estejam visíveis para a máquina infectada. De posse dessas informações, um invasor tem um mapa da rede local e uma plataforma de lançamento na sua organização de destino para reconhecimento de território, movimentação lateral, extrusão e execução de ataques em servidores, sistemas e processos comerciais.

Usando uma combinação de técnicas raras e conhecidas para estabelecer uma base na rede de uma organização visada e roubar informações confidenciais, o malware HIMAN destaca a flexibilidade dos criadores de malwares e invasores, bem como os desafios enfrentados pelos profissionais de segurança em 2013.

MENOS DE 10% DOS MECANISMOS ANTIVÍRUS DETECTARAM O MALWARE DESCONHECIDO

QUANDO ELE FOI CAPTURADO PELA PRIMEIRA VEZ

EM ÁREA ABERTA.

35%

16


ATAQUE DIRECIONADO, CAMPANHA GLOBAL

Em 22 de outubro de 2013, uma empresa de mídia recebeu seis e-mails suspeitos que logo foram analisados pelo serviço de Simulação de Ameaças da Check Point.

• De:[email protected]

• Assunto:NotificaçãodeEntregadaUPS

• Anexo:invoiceBQW8OY.doc

(MD5 ad0ef249b1524f4293e6c76a9d2ac10d)

Durante a simulação automatizada em uma área restrita virtual de um usuário, abrindo um arquivo potencialmente mal-intencionado, vários comportamentos anormais foram detectados:

• OMicrosoftWordfoi interrompidoerecarregadocomum documento vazio

• UmachavedeRegistrofoidefinida

• Um novo processo foi iniciado no dispositivo dousuário final

Consequentemente, a Simulação de Ameaças da Check Point determinou que esse arquivo era mal-intencionado.

Outra análise realizada pelos pesquisadores de segurança da Check Point revelou que os documentos dos seis e-mails eram idênticos e explorarama vulnerabilidadeCVE-2012-0158 afetando o Microsoft Word. Essa vulnerabilidade,também conhecida como MSCOMCTL.OCX RCE18, permite aexecuçãodecódigoremotonodispositivodousuáriofinal.

A análise identificou a cargamal-intencionada como umavariante personalizada do cavalo de Troia Zbot19, que rouba informações por ataques man-in-the-browser, registro de pressionamento de teclas, captura de formulários, entre outrosmétodos.OregistrodessesexemplosnoVirusTotal20 revelou uma baixa (abaixo de 10%) taxa de detecção deanexosmal-intencionadosedavarianteZbotnomomentodo envio.

Os pesquisadores de segurança da Check Point analisaram as diferentes URLs das quais o documento mal-intencionado foi baixado e determinou que uma lista de parâmetrosexclusivosque foipassadaaosservidores infecciososera,na verdade, um designador de destino codificado Base64contendooendereçodee-mailalvo.EssasURLsexclusivasrepresentavam endereços de e-mail de usuários em grandes organizações internacionais (incluindo instituições financeiras, fabricantes de automóveis internacionais,telecomunicações, agências governamentais e organizações educacionais e municipais da América do Norte) que foram alvos desse ataque. Esses alvos indicam que os ataques fazem parte de uma campanha direcionada desenvolvida para capturar credenciais de usuários, informações bancárias e outras informações que podiam ser usadas para ganhar acessoaosdadosmaisconfidenciaisdasorganizações-alvo.

DOS ARQUIVOS INFECTADOS COM MALWARE DESCONHECIDO SÃO PDFs


19

CONTOS DA CRIPTA

A fim de ignorar a detecção pelo software antimalware,

os autores de malwares modernos mantêm e usam

ferramentas de ofuscação especializadas chamadas

de "criptas". Para verificar se suas variantes não

são detectadas, os autores de malwares evitam as

plataformas de varredura antivírus on-line, como VirusTotal

e outras que compartilham amostras com fornecedores

de antimalware e, no lugar, utilizam serviços privados,

como o RazorScanner, Vscan (também conhecido como

NoVirusThanks) e o chk4me. As criptas são classificadas

pelas comunidades de hackers como UD (UnDetectable,

indetectáveis) ou FUD (Fully UnDetectable, totalmente

indetectáveis), de acordo com seu sucesso na evasão

de detecção do antivírus.

Em 2013, a Simulação de Ameaças da Check Point

detectou uma variante criptografada e anteriormente

desconhecida desenvolvida para distribuir a RAT

(ferramenta de administração remota) DarkComet23.

No caso de nossa amostra detectada, uma string

PDB incorporada revelou ser um produto da iJuan

Crypter, que está disponível on-line como uma versão

gratuita (UD), bem como uma opção de compra

premium (FUD). Tecnicamente classificadas como um

empacotador PE (Portable Executable)24, e para não

serem confundidas com o ransomware de criptografia,

como o CryptoLocker25, criptas como essas disfarçam

os executáveis usando vários esquemas de criptografia

e codificação, habilmente combinados e recombinados,

muitas vezes mais de uma vez.

Essa amostra detectada, que foi capaz de se esquivar

da maioria das soluções antivírus, foi comparada

com uma detecção semelhante de outro país, que

foi determinada para ser uma versão diferentemente

ofuscada da mesma carga útil do DarkComet e para se

comunicar com o mesmo servidor C&C. Juntos, esses

fatores indicam que essas duas detecções distintas

(uma na Europa e a outra na América Latina) fazem, na

verdade, parte da mesma campanha.

Essas detecções destacam os trabalhos internos da

família de ataques avançados que estão mudando

o cenário de ameaças e a gama de soluções que os

gerentes de segurança precisam para defender suas

redes e seus dados.

Essa explosão de malwares desconhecidos tem sido impulsionada em parte pela acessibilidade das técnicas de ofuscação que, no passado, exigiam habilidades, ferramentas especializadas, ou ambas (leia o adendo: Contos da cripta)22. Os casos que estudamos neste capítulo ilustram como os meios pelos quais o malware agora está sendo distribuído atingiram um grau maior de sofisticação que, muita vezes, estão associados a meras variantes. Essa sofisticação compõe os desafios impostos, que exigem que recursos de análise e detecção mais inteligentes e sutis sejam implantados em uma escala além dos recursos de gerenciamento, monitoramento e resposta a incidentes disponíveis em muitas organizações.

RecomendaçõesA explosão em 2013 de malwares desconhecidos significa que as organizações devem rever as ferramentas e os processos implantados basicamente para detectar e reagir aos ataques direcionados de baixo volume. Os recursos somente de detecção que exigem atenuação manual e carecem de bloqueio automático deixam as equipes de segurança sobrecarregadas, pois elas tentam acompanhar a onda de malwares desconhecidos que golpeiam suas redes.

A simulação, ou o isolamento automatizado e avançado de malwares, agora é uma solução obrigatória para qualquer organização. Mesmo o antivírus, o antibot e as soluções IPS que melhor reagem terão que lidar com uma janela de 2 ou 3 dias, durante a qual o malware desconhecido permanece escondido; um intervalo mais do que suficiente para que os invasores ganhem força dentro de uma organização.

03


21

O MAL CONHECIDO

Malware no mundo corporativo

22


60

PLATAFORMA DE DESTINO PREÇO

Adobe Reader US$ 5.000-US$ 30.000

Mac OS X US$ 20.000-US$ 50.000

Android US$ 30.000-US$ 60.000

Plug-ins de navegador Flash ou Java US$ 40.000-US$ 100.000

Microsoft Word US$ 50.000-US$ 100.000

Microsoft Windows US$ 60.000-US$ 120.000

NavegadoresFirefoxouSafari US$ 60.000-US$ 150.000

NavegadoresChromeouInternetExplorer US$80.000-US$200.000

Apple iOS US$ 100.000-US$ 250.000


25

A CADA SEGUNDOS

UM HOST ACESSA UM SITE

MAL-INTENCIONADO

DIAS ZERO, MUITO DINHEIROApesar do aumento nos programas de recompensa de fornecedores pelas vulnerabilidades detectadas pelos pesquisadores, o alto valor de mercado das verdadeiras vulnerabilidades de dia zero está fazendo com que os pesquisadores as vendam às agências governamentais "de chapéu cinza"28 (aqueles que trabalham com hackers para expandir seus recursos de defesa cibernética) e àsorganizações profissionais de teste de penetração. Ummercado de malware paralelo ainda mais lucrativo serve

oshackersdechapéupreto;vejaabaixoqueospreçosdevulnerabilidades anteriormente não reportadas variam por plataforma de destino, partindo de US$ 5.000 para o Adobe Reader e chegando até US$ 250.000 para o iOS da Apple. A disponibilidadedasexploraçõesdediazeroaoscompradorescoloca os ataques cibernéticos avançados dentro do alcance de qualquer organização, independentemente das habilidades técnicas que possuam.

Fonte: Forbes

O número de vulnerabilidades recentemente reportadas tende a ter uma correlação positiva direta na carga de trabalho das organizações de TI e segurança. Nesse aspecto, 2013 certamente parece ter trazido boas novas para os atarefados gerentes de segurança. O banco de dados CVE mostrou uma diminuição no número de vulnerabilidades reportadas, de 5.191 para o ano, um modesto decréscimo de 2% ao ano desde 2012, e incluiu um decréscimo de 9% no número de vulnerabilidades "críticas" reportadas.

Mas a história não é assim tão simples quanto parece ser. Apesar de menos vulnerabilidades terem sido reportadas, os especialistas do setor concordam que um aumento no número de vulnerabilidades críticas está sendo desviado pelos mercados cinza e negro — um desenvolvimento possivelmente mais tenebroso (leia o adendo: Dias zero, muito dinheiro).


35

Em 2013, as campanhas de phishing analisadas pelo Grupo de Pesquisa de Segurança e Malware da Check Pointdestacouastécnicascadavezmaissofisticadasqueos ataques de phishing de hoje utilizam para se esquivar das blacklists, que são o centro da maioria das defesas tradicionais, incluindo a utilização de algum formulário de esquema de URL dinâmica que evita a detecção porblacklists estáticas. No caso da campanha de phishing em tornodokitdeexploraçãonuclear,esseesquematambémresiste às análises dos pesquisadores de malware.

A análise do CryptoLocker pelos nossos pesquisadoresrevelaram outro aspecto dessa tendência: como um botnet baseado em DGA (algoritmo de geração de domínio)35, o CryptoLocker emprega nomes de domínio dinâmicos eaparentemente gerados aleatoriamente para estabelecer a comunicação entre um bot e o servidor C&C. Os bots do CryptoLockergeram1.000novosdomínios todososdias,enquantonaoutraponta,osgerenciadoresdoCryptoLockerregistram esses mesmos 1.000 novos domínios e os descartam depois de 24 horas. Consequentemente, os domínios mal-intencionados têm poucas chances de serem detectados e registrados pelos recursos do setor que criam e mantêm blacklists de URLs e domínios mal-intencionados conhecidos.

Vistas como um todo, essas campanhas recentes de malware destacam a importante função de nomes de domínioeURLsdinâmicasnessesataques,especialmentena evasão das blacklists estáticas que, geralmente, têm sido usadas para detectar e bloquear phishing e bots. As URLs dinâmicaseoDGAaproveitama infraestruturadaprópriaInternet para gerar variantes obscuras ou de uso único que confundem um sistema de defesas com base na busca e no bloqueio de endereços do tráfego de entrada e saída que foram detectados anteriormente em uma rede global e classificadoscomomal-intencionados.

Essas observações refletem uma tendência muito mais amplanosetordomalware.Osinvasoresestãoexplorandoos pontos fracos dos métodos tradicionais de blacklists

de URL e sistema de nomes de domínio para escapar das defesas existentes e atingir seus alvos. Nas descobertasde sua pesquisa do segundo trimestre de 2013, o APWG (Anti-Phishing Working Group)36 descobriu que enquanto o TLD (domínio de topo)37 com permanecia como o mais frequentementeusadonascampanhasdephishing(44%dototal de phishing, de 42% no 1ºTRI), osTLDs de algunspaíses eram mais comuns nos ataques de phishing do que os defatoregistrados;porexemplo,oBrasil(.br)tinhaapenas1%dedomíniosregistrados,maseraresponsávelpor4%dos TLDs de e-mail de phishing. Os phishers e criadores de malwareestãoexplorandoonúmeroabsolutodepossíveisTLDs de países isolados para gerar um número imenso de nomes de domínio exclusivos e URLs, e os controles quemuitos supõem que estão a postos para evitar esse tipo de abusonãoestãofuncionando.Orelatórioda"PesquisaGlobaldePhishingdo1ºsemestrede2013:TendênciaseUsodoNome de Domínio"38doAPWGexplorouafunçãodosnomesde domínio nos ataques de phishing mais detalhadamente e descobriu que os registradores de domínio estão dormindo no ponto ou estão ativamente ajudando os phishers.

Esseproblemasótendeapiorar.Em2013,aICANN(InternetCorporation for Assigned Names and Numbers)39 anunciou planos para aumentar o número de domínios de topo dos 22 atuais para 1.400, incluindo TLDs em caracteres não latinos, como arábico, chinês e cirílico, entre outros. Embora o APWG aponte que os TLDs de caracteres não latino estão disponíveis há anos e não têm demonstrado sinais de uso significativo entre os phishers, há todos os motivos parase acreditar que os invasores vão procurar maneiras de aproveitá-los como fornecedores de segurança tornando-osmaissofisticadospara interromperURLsedomíniosdephishing que usam caracteres latinos. Isso testará os limites de todas as técnicas de filtragem de URL e blacklist quedependem dessas listas, seja local ou com base na nuvem, de URLs conhecidas mal-intencionadas ou suspeitas e criará umconjuntopraticamenteinfinitodeURLsdeusoúnicoquepodem ser empregadas em e-mails de phishing e nomes de domínio que podem ser usados para botnets baseados em DGA.

A CAMPANHA DE PHISHING NÃO É OBRA DO DIVINO

04


37

APLICATIVOS COM FOME DE DESTRUIÇÃO:

Aplicativos de alto risco na empresa

38


04

86%


39

O controle de aplicativos representa um desafio interno que complementa e compõe os desafios externos impostos pelos ataques cibernéticos. Os aplicativos são essenciais à produtividade e às operações diárias de cada organização, mas também criam graus de vulnerabilidade em sua postura de segurança. De uma perspectiva de segurança, eles lembram os habitantes de A revolução dos bichos41, de George Orwell: todos os aplicativos são iguais, mas alguns são mais iguais que outros.

Os aplicativos de alto risco exemplificam esses desafios. Diferentemente dos aplicativos de produtividade, como o Microsoft Office, e dos aplicativos de mídia social Web 2.0 cada vez mais aceitos, como o Facebook, LinkedIn, Twitter, WebEx e YouTube, os aplicativos de alto risco permitem navegação anônima na Web, armazenamento e compartilhamento de arquivos com base na nuvem,

uso remoto de aplicativos e dados de desktop, além de compartilhamento de mídia e outros arquivos entre usuários e computadores. Muita vezes, os aplicativos de alto risco são executados nos limites de TI e soluções oficialmente aprovadas, quando não juntos dentro delas, e fazem parte da TI sombra em constante crescimento dos aplicativos, dispositivos e serviços dirigidos ao usuário final que estão operando nas redes corporativas com pouca ou nenhuma supervisão.

DAS ORGANIZAÇÕES TÊM PELO MENOS UM APLICATIVO DE ALTO RISCO** Compartilhamento de arquivos P2P, ferramentas para anonimato, e armazenamento e compartilhamento de arquivos

MAS SE ESTIVERMOS ON-LINE,

O MUNDO TODO É LOCAL.

Neal Stephenson, Cryptonomicon40

APLICATIVOS COM FOME DE DESTRUIÇÃO: APLICATIVOS DE ALTO RISCO NA EMPRESA

2012

2013

OpenVPN

3%

10%

Hide My Ass!

7%

12%

CoralCDN10%

Tor

23%

15%

Ultrasurf

8%

14%

42


Também conhecido como The Onion Router, o Tor42 foi novamente o aplicativo de anonimato mais amplamente detectado em nossa pesquisa de 2013. O Tor já foi bem conhecido por seu uso como um veículo para navegação anônima que também ignora facilmente as políticas de segurança organizacionais, mas em 2013, ele entrou novamente em evidência como um portal para a Deep Web, obaixoventresombriodaInternetabertaepesquisável,ou"Internet superficial"43. Caracterizada pela inacessibilidade das ferramentas de pesquisa padrão, a Deep Web ganhou atenção em 2013 em resposta às crescentes preocupações nosEUAenoexteriorquantoàsupervisãoeprivacidadeeànotoriedade pelas prisões do Silk Road44.

Outros aplicativos de anonimato impõem um desafioadministrativo semelhante, mas a função do Tor como um gateway para o Onionland e outras áreas da DeepWeb o tornam um risco específico para os gerentes de

segurança. Embora forneça anonimato e um amplo mercado subterrâneo,aDeepWebtambémestácheiademalwaresefraudes, e as organizações estão certas em se preocupar que osfuncionáriosqueusamoTorparaescapardavigilânciareal ou percebida acabem expondo seus computadores ea organização a um alto grau de risco. Mais recentemente, os investigadores descobriram que os dados de cartão de crédito roubados de vários varejistas que usaram o cavalo de Troia de acesso remoto ChewBacca45 foram expulsospara pontos de descarte do servidor usando o Tor.

A liberdade de expressão e o anonimato são essenciaise devem ser preservados para os indivíduos. No entanto, para os administradores de segurança em ambientes corporativos, detectar e bloquear o uso do Tor e de outras ferramentas de anonimato em sistemas da empresa e em redes corporativas devem ser uma prioridade principal em 2014 e nos anos subsequentes.

PORTAL PARA A DEEP WEB

Entretanto, os aplicativos de anonimato individuais viram ganhos irregulares com a detecção do Tor em menos organizações do que em 2012: 15% em 2013, em comparação com os 23% em 2012 (Gráfico 4-3). Isso reflete o aumento da atenção sobre o Tor (e a restrição) em políticas de segurança corporativa e por bons motivos (leia o adendo: Portal para a Deep Web). No entanto, isso também pode ser consequência em parte por funcionários envolvidos em navegação anônima usarem sistemas e redes corporativos com menos frequência, ou de usuários que alternam para outros aplicativos de anonimato que são menos conhecidos e, portanto, menos prováveis de serem bloqueados por políticas corporativas.

Fonte: Check Point Software Technologies

Gráfico 4-3

Aplicativosdeanonimatomaisconhecidos(% de organizações)

9% Flickr

8% Pinterest

10% LinkedIn

11% Twitter

Facebook 47%


47

infecção em um MacBook ou tablet pessoal de um usuário pode facilmente pular para o sistema corporativo (leia o adendo: Dropbox golpeado).

RecomendaçõesOs aplicativos de alto risco de todos os tipos continuam sendo uma crescente ameaça na empresa, mesmo que as ferramentas específicas preferidas pelos usuários finais mudem com o tempo. Embora algumas delas, especialmente as de anonimato e redes P2P, não tenham uso comercial legítimo e devam ser totalmente erradicadas, as ferramentas para administração remota, assim como as de compartilhamento e armazenamento de arquivos podem atender às necessidades legítimas de usuários e da TI, impondo um desafio mais complexo. Mesmo as plataformas de mídia social frequentemente aceitas, como Facebook, LinkedIn e YouTube, que podem desempenhar um papel importante no marketing da mídia social e nas estratégias de marketing de conteúdo, podem apresentar um vetor atraente para ataques de spear-phishing. Embora a proteção contra malware possa se concentrar na detecção, prevenção e erradicação abrangentes como seus princípios orientadores, os aplicativos exigem uma abordagem mais variada. Isso deve incluir:

Controledeaplicativobaseadoemcategoria: os administradores precisam estar aptos a bloquear famílias inteiras de aplicativos se optarem por isso, em vez ter que ativar o bloqueio de um por um. Além de simplificar a administração, isso permite que os controles de

política sejam aplicados a novos aplicativos à medida que são adotados pelos funcionários em substituição aos aplicativos que foram bloqueados ou restritos.

Padronização de aplicativos aprovados: as organizações que precisam de ferramentas de administração remota para oferecer suporte às funções de negócios ou da TI devem padronizar um único aplicativo e, desse modo, monitorar suas redes em busca da presença de outras ferramentas de administração remotas. Se o bloqueio não for viável, a presença delas deverá disparar um processo de notificação e investigação para determinar quem as está usando e como elas estão sendo usadas, e verificar se essas são exceções válidas à política ou digressões táticas que devem ser alinhadas com a política. Além disso, o monitoramento e a aplicação devem ser associados a usuários ou grupos de usuários autorizados e específicos, de modo a garantir que apenas esses funcionários com uma necessidade de negócios válida possam usá-los. Uma abordagem semelhante pode ser usada para ferramentas de armazenamento e compartilhamento de arquivos; a TI deve implementar uma solução ou um serviço seguro de nível corporativo para atender a essa necessidade. Caso contrário, os usuários inevitavelmente se voltarão aos aplicativos de TI sombra para ativar o compartilhamento de arquivos e a sincronização entre

48


05


49

PREVENÇÃO CONTRA PERDA

DEDADOS:O grande retorno

50


05

88%


51

Os incidentes de perda de dados ganharam novo destaque em 2013, pois a Adobe Systems, Target, Neiman Marcus e outras organizações de alta visibilidade sofreram graves violações envolvendo milhões de consumidores.

Os dados têm sido o alvo mais importante dos hackers, o que inclui informações financeiras, propriedade intelectual, informações comerciais internas e credenciais de autenticação. Agora há muito mais maneiras de os dados caírem em mãos erradas, pois os dispositivos móveis e os aplicativos da TI sombra abrem novos vetores de ataque e aumentam o risco de perda ou extrusão. A Internet das coisas exacerba a situação, uma vez que os dispositivos se comunicam diretamente entre si para trocar informações sobre consumo de energia interna, localização de veículo e status, rastreamento de pacote, bem-estar pessoal e muito mais. Quanto mais os dados fluem, das mais diversas maneiras, torna-se cada vez mais difícil controlar e proteger.

Os hackers não são a única ameaça aos dados corporativos. Muitas violações ocorrem inadvertidamente, pois os usuários enviam por e-mail arquivo errado ao destinatário certo, ou o arquivo certo ao destinatário errado — ou simplesmente deixam o laptop desprotegido no lugar errado. O erro do funcionário teve um papel importante em muitos dos incidentes de perda de dados no ano passado, mas intencional ou não, o resultado pode ser o mesmo: dados confidenciais expostos ao risco, clientes furiosos, reputações arruinadas, penalidades por não conformidade e graves interrupções nos negócios.

PREVIDÊNCIA SOCIAL, CONTA BANCÁRIA E NÚMEROS

DE CARTÃO DE CRÉDITO NÃO SÃO APENAS DADOS.

EM MÃOS ERRADAS, ELES PODEM ACABAR COM AS

ECONOMIAS DA VIDA DE ALGUÉM, DEVASTAR SEU

CRÉDITO E CAUSAR RUÍNA FINANCEIRA.

Melissa Bean52

EM 2013,

DAS ORGANIZAÇÕES PASSARAM, PELO MENOS, POR UM POSSÍVEL INCIDENTE DE PERDA DE DADOS

PREVENÇÃO CONTRA PERDA DE DADOS: O GRANDE RETORNO

52


O setor varejista pode ter sido o setor de mais alta visibilidade a sofrer violações de dados em 2013, porém, de acordo com a pesquisa de Check Point, as organizações em todos os setores estão perdendo o controle dos dados confidenciais, e isso está acontecendo mais velozmente do que em 2012 (Gráfico 5-1).

Seria fácil para uma pequena organização considerar a si mesma muito pequena para ter que se preocupar com a perda de dados, mas nada poderia ser mais falso (leia o adendo: Pensa que você está livre da perda de dados? Tente de novo...). Uma das maiores violações da história visou a Heartland Payments57, uma empresa com 700 pessoas, quando ladrões roubaram as informações digitais codificadas em tarjas magnéticas integradas no verso dos cartões de crédito e débito. Cada organização na cadeia de fornecimento de informações corre risco de ataque e mesmo um roubo relativamente pequeno pode gerar resultados vantajosos para os hackers.

A pesquisa da Check Point descobriu que 88% das empresas que analisamos passou por, pelo menos, um possível evento de perda de dados, o que significa que uma porção dos dados confidenciais foi enviada para fora da organização por e-mail ou upload em um navegador da Web. Esse foi um aumento considerável sobre o já alto número de 54% que foi observado em 2012, e destaca a batalha constante das organizações em proteger dados confidenciais contra exposição acidental ou intencional.

Muitas organizações continuam negligenciando a implementação de políticas e controles rígidos de proteção de dados porque acham que elas não correm o risco de violações de dados. A realidade dolorosa é que os hackers não visam apenas os grandes bancos e varejistas e cada organização possui dados confidenciais que podem serexpostosporume-mailerranteouumlaptopperdido.Estessãoapenasalgunsdosexemplosde2013:

Informações pessoais, incluindo número da previdência social, de 3.500 pacientes foram roubadas do Ministério daSaúdedaFlóridaporfuncionáriosquepassaramosdadosa um parente para uso no preenchimento de restituições de imposto fraudulentos53.

O conselho governamental de Islington (Londres) foi multado em 70.000 depois que uma equipe interna publicou

inadvertidamente planilhas contendo as informações pessoais de 2.375 residentes, incluindo histórico desaúde, no site público de uma agência de habitação54.

A Rotech Healthcare relatou a exposição acidental de informações pessoais e de saúde de até 3.500 funcionários por uma antiga funcionária do departamento de RH que teve permissão para manter seu computador pessoalquandoeladeixouafirma55.

O Information Commissioner’s Office do Reino Unidoinformou mais de 60 violações da Lei de Proteção de Dados peloconselhodeAnglesey(Wales)relacionadasaoacesso inadequado aos dados pessoais dos habitantes, incluindo publicações inadvertidas em sites públicos e por e-mail56.

PENSA QUE VOCÊ ESTÁ LIVRE DA PERDA DE DADOS? TENTE DE NOVO...

TODOS OS DIAS UMA ORGANIZAÇÃO PASSA POR 29 EVENTOS DE

POSSÍVEL EXPOSIÇÃO DOS DADOS CONFIDENCIAIS

56


Classificaçãodedados:alta precisão na identificação de dados confidenciais é um componente essencial de uma solução DLP. A solução DLP deve estar apta a detectar PII (informações de identificação pessoal), dados relacionados à conformidade (por exemplo, dados da HIPAA, SOX, PCI, etc.) e dados comerciais confidenciais, incluindo tipos de dados prontos para uso e os tipos de dados definidos pela sua própria personalização. À medida que os dados se movem pela organização e além, a solução deve inspecionar os fluxos de conteúdo e aplicar políticas nos protocolos TCP mais amplamente usados, incluindo SMTP, FTP, HTTP, HTTPS e webmail, usando correspondência de padrão e classificação de arquivo para identificar tipos de conteúdo, independentemente da extensão do arquivo ou do formato de compactação. A solução DLP deve poder reconhecer e proteger formulários confidenciais com base nos modelos predefinidos e na correspondência de arquivo/formulário.

Correção de incidente dirigida ao usuário: as soluções DLP tradicionais podem detectar, classificar e até mesmo reconhecer documentos específicos e vários tipos de arquivo, mas não podem capturar a intenção do usuário por trás do compartilhamento de informações confidenciais. A tecnologia por si só é inadequada porque não pode identificar essa intenção e reagir adequadamente. Por conseguinte, uma solução DLP de qualidade deve envolver usuários para atingir bons resultados. Uma abordagem serve para capacitar usuários a corrigir incidentes em tempo real. Em outras palavras, a solução DLP deve informar o usuário que sua ação pode resultar em um possível incidente de vazamento de dados e capacitá-lo a decidir se descarta a mensagem ou continua enviando-a. Essa metodologia fortalece a segurança elevando a conscientização sobre a política de armazenamento de dados e alertando os usuários dos possíveis erros em tempo real, além de reduzir o impacto do usuário permitindo rápida autorização de si mesmo em comunicações legítimas.

Asviolaçõesemmassadedadosdecartãodecréditonofimde 2013 revigoraram uma longa discussão sobre a relação entre o PCI-DSS e a segurança, e especialmente se uma empresa certificada como "em conformidade com a PCI"está realmente protegida contra o hack.

Algunsargumentamqueacertificaçãodeconformidadecoma PCI estimula uma falsa sensação de segurança entre os varejistas e o público. As violações de dados nas empresas em conformidade e as ações como anulação retroativa do status de conformidade com a PCI são associadas à geração de ceticismo, enquanto a evolução contínua do padrão pode dar a sensação de que elas são um alvo em movimento.

Diantedessaspreocupações,aorganizaçãoeosprofissionaisda PCI mostram corretamente que as instâncias ondeempresas em conformidade com a PCI, como a Target, que ficouconhecidaporseguirprocessossólidosdesegurança,

mas que apesar disso sofreu uma violação de dados, apontam para um problema importante no modo como a segurança muitas vezes é posta em prática: isto é, não é um produto, mas um processo.

Bob Russo, presidente do conselho de Padrões de Segurança daPCI, ressaltouqueacertificaçãodeconformidadecoma PCI é um "instantâneo pontual" quando comentou noComputerworld, "Você pode estar em conformidade hoje e totalmente fora de conformidade amanhã".60

Os padrões são ferramentas valiosas para avaliar e comparar a postura da segurança em relação às métricas comuns. O perigo da certificação de conformidade estámais no risco de que a organização pensará que "fez" com segurança, do que em não se envolver no processo contínuo de reavaliação e adaptação à medida que suas práticas de dados e ambientes mudam.

A CONFORMIDADE COM A PCI DÁ UM FALSA SENSAÇÃO DE SEGURANÇA?

58


Gerenciamentodeeventos:além de definir regras de DLP para atender às políticas de uso de dados da sua organização e implementar tecnologias para oferecer suporte e aplicá-las, uma estratégia completa de prevenção contra perda de dados deve incluir recursos sólidos de monitoramento e geração de relatórios. Sua solução de segurança deve permitir o monitoramento e a análise dos eventos DLP históricos e em tempo real.

Isso dá ao administrador de segurança uma visão clara e ampla das informações que estão sendo enviadas externamente e suas fontes, bem como fornece à organização a capacidade de responder em tempo real, se necessário.

O próximo capítulo apresenta um plano amplo e de alto nível para segurança eficaz de hoje.

Embora hackear os terminais POS (ponto de venda) para roubar dados de cartão de crédito tenha sido tecnicamente possível, por muitos anos, os invasores achavam os servidores que armazenam esses dados-alvo muito mais fáceis. As melhorias na segurança dos servidores que armazenam dados de cliente e cartão de crédito forçaram os invasores a mudar o foco para a fonte de dados, e 2013 foi o divisor de águas para o hack do POS. Embora o escopo e a escala dessas violações de dados de varejo fossem chocantes para muitos, igualmente interessante para os profissionaisdesegurançafoiavariedadenessacategoriade malware.

OmalwaredoPOSemsivariaemtermosdesofisticação,dalimpezadememóriadoChewBaccaeDexter61 genéricos ao complexo BlackPOS62 e até malwares de POS mais altamente direcionados descobertos na Neiman Marcus63. No entanto, eles compartilham várias características que permitem aos invasores se infiltrar em sistemas POS eroubar grandes volumes de dados de cartão de crédito:• SegurançadossistemasPOSemsistemasoperacionais

desatualizados que, muitas vezes, permanecem sem patches por meses, mesmo que o patch seja disponibilizado.

• GanhodeentradanossistemasPOSpormeiodeumcliente ou servidor infectado no varejista visado

• Capacidade de driblar o controle de aplicativos eoutrasmedidasdebloqueiodesistema,porexemplo,infectando um servidor atualizado

• Uso de criptografia, protocolos comuns e padrõesnormais de tráfego de rede para ocultar os dados enquantoelesestiveremsendoextraídos

• Emmuitas redes,acessodiretoà Internetdoprópriodispositivo POS, muitas vezes porque é desse modo que a cobrança real é realizada

Tentar resolver essas questões isoladamente não solucionará o problema porque não resolve a causa principal: segmentação fraca ou não existente das redes de produção e POS.Asredes varejistas destacam a importância de desenvolver eimplementar uma estratégia de segmentação de práticas recomendadas que permita às organizações aplicar políticas decontençãoemhostscomprometidosedefinirinteraçõesintrassegmento que podem ser monitoradas e aplicadas automaticamente. Por exemplo, o monitoramento daaplicação da direção do tráfego e de tipos de segmentos que contêm dispositivos POS restringiria oportunidades do malware de propagar e expulsar dados.Quanto a isso, osvarejistas se encontrarão na vanguarda de uma mudança queserárealizadaemtodasasorganizaçõesparadefinireimplementarasegmentaçãológicaeaaplicaçãoorientadapor política pelos ambientes de TI.

APRENDENDO COM OS ATAQUES NO PONTO DE VENDA

06


59

A ARQUITETURA DE SEGURANÇA

PARA AS AMEAÇAS DOFUTURO:

Proteção Definida por Software

60


64


07


65

SOBRE A CHECK POINT

SOFTWARE TECHNOLOGIES

66


www.checkpoint.com/sdp

68

REFERÊNCIAS

1 Stoll, Cliff. (2005). The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage.NewYork,NY:PocketBooks.

2 http://resources.infosecinstitute.com/hacktivism-means-and-motivations-what-else/

3 http://www.entrepreneur.com/article/231886

4 http://www.darkreading.com/advanced-threats/mass-customized-attacks-show-malware-mat/240154997

5 http://www.checkpoint.com/campaigns/securitycheckup/index.html

6 http://www.checkpoint.com/products/threat-emulation/

7 http://www.checkpoint.com/threatcloud-central/index.html

8 https://supportcenter.checkpoint.com/supportcenter/portal/role/supportcenterUser/page/default.psml/media-type/html?action=portlets.DCFileAction&eventSubmit_doGetdcdetails=&fileid=20602

9 https://www.checkpoint.com/products/softwareblades/architecture/

10 http://www.checkpoint.com/products/index.html#gateways

11 Huxley,ThomasHenry(1887).On the Reception of the Origin of Species,http://www.todayinsci.com/H/Huxley_Thomas/HuxleyThomas-Quotations.htm

12 http://www.checkpoint.com/threatcloud-central/downloads/check-point-himan-malware-analysis.pdf

13 http://usa.kaspersky.com/

14 http://msdn.microsoft.com/en-us/magazine/cc164055.aspx

15 http://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon

16 http://news.cnet.com/Code-Red-worm-claims-12,000-servers/2100-1001_3-270170.html

17 http://www.cnn.com/2004/TECH/internet/05/03/sasser.worm/

18 http://support.microsoft.com/kb/2664258

19 http://www.pcmag.com/article2/0,2817,2370016,00.asp

20 https://www.virustotal.com/

21 http://www.av-test.org/en/home/

22 http://www.checkpoint.com/threatcloud-central/downloads/10001-427-19-01-2014-ThreatCloud-TE-Thwarts-DarkComet.pdf

23 http://contextis.com/research/blog/malware-analysis-dark-comet-rat/

24 http://www.princeton.edu/~achaney/tmve/wiki100k/docs/Portable_Executable.html

25 http://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomware-what-you-need-to-know/

26 Mariotti, John. (2010). The Chinese Conspiracy. Bloomington, IN: iUniverse.com

27 http://www.checkpoint.com/campaigns/security-report/download.html?source=google-ngfw-us-sitelink-report&gclid=CIfK-JuOhrwCFZFxQgodsBYA_w

28 https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/3/html/Security_Guide/ch-risk.html

29 Anderson, Chris. (2006). The Long Tail: Why the Future of Business is Selling Less of More.NewYork,NY:Hyperion.

30 http://www.fbi.gov/about-us/history/famous-cases/willie-sutton

31 http://searchwindowsserver.techtarget.com/definition/remote-code-execution-RCE

32 http://searchsoa.techtarget.com/definition/Remote-Procedure-Call

69

REFERÊNCIAS (cont . )

33 https://www.checkpoint.com/threatcloud-central/articles/2013-11-25-te-joke-of-the-day.html

34 http://www.checkpoint.com/threatcloud-central/articles/2013-12-03-new-wave-url-domain-malware.html

35 http://www.checkpoint.com/threatcloud-central/articles/2013-11-14-defeating-cryptocker.html

36 http://www.apwg.org/

37 http://www.checkpoint.com/threatcloud-central/articles/2013-12-03-new-wave-url-domain-malware.html

38 http://docs.apwg.org/reports/APWG_GlobalPhishingSurvey_1H2013.pdf

39 http://newgtlds.icann.org/en/program-status/delegated-strings

40 Stephenson, Neal. (2002). Cryptonomicon.NewYork,NY:Avon.

41 Orwell, George. (1956). Animal Farm.NewYork,NY:SignetBooks.

42 https://www.torproject.org/

43 http://www.pcworld.com/article/2046227/meet-darknet-the-hidden-anonymous-underbelly-of-the-searchable-web.html

44 http://www.huffingtonpost.com/tag/silk-road-arrest

45 http://www.pcworld.com/article/2093200/torenabled-malware-stole-credit-card-data-from-pos-systems-at-dozens-of-retailers.html

46 http://www.britannica.com/EBchecked/topic/278114/Hydra

47 http://msdn.microsoft.com/en-us/library/aa383015(v=vs.85).aspx

48 http://www.securityweek.com/poison-ivy-kit-enables-easy-malware-customization-attackers

49 http://www.checkpoint.com/defense/advisories/public/2005/cpai-20-Decf.html

50 http://www.emea.symantec.com/web/ShadowIT-enduser/

51 http://www.techrepublic.com/blog/it-security/dropsmack-using-dropbox-to-steal-files-and-deliver-malware/

52 http://vote-il.org/politicianissue.aspx?state=il&id=ilbeanmelissa&issue=buscrime

53 http://www.scmagazine.com/florida-health-department-employees-stole-data-committed-tax-fraud/article/318843/

54 http://www.islingtongazette.co.uk/news/data_leak_lands_islington_council_with_70_000_fine_1_2369477

55 http://healthitsecurity.com/2013/11/12/rotech-healthcare-reports-three-year-old-patient-data-breach/

56 http://www.dailypost.co.uk/news/north-wales-news/anglesey-council-under-fire-over-6330304

57 http://www.informationweek.com/attacks/heartland-payment-systems-hit-by-data-security-breach/d/d-id/1075770

58 https://www.pcisecuritystandards.org/documents/DSS_and_PA-DSS_Change_Highlights.pdf

59 http://ec.europa.eu/justice/newsroom/data-protection/news/130206_en.htm

60 http://www.computerworld.com/s/article/9245984/Despite_Target_data_breach_PCI_security_standard_remains_solid_chief_says

61 http://www.csoonline.com/article/723630/dexter-malware-infects-point-of-sale-systems-worldwide-researchers-say

62 http://www.darkreading.com/vulnerabilities---threats/securestate-releases-black-pos-malware-scanning-tool/d/d-id/1141216

63 http://www.businessweek.com/articles/2014-02-21/neiman-marcus-hackers-set-off-60-000-alerts-while-bagging-credit-card-data

64 http://www.checkpoint.com/sdp

70

71

www.checkpoint.com

MATRIZES NO MUNDO

5 HA’SOLELIM STREET, TEL AVIV 67897, ISRAELTEL: 972-3-753-4555 | FAX: 972-3-624-1100EMAIL: [email protected]

MATRIZES NOS EUA

959 SKYWAY ROAD, SUITE 300, SAN CARLOS, CA 94070TEL: 800-429-4391; 650-628-2000 | FAX: 650-654-4233

©2014 Check Point Software Technolcgies Ltd. [Protected]- Todos os direitos reservados

We Secure the Internet.

Documents

RELATÓRIO DE SEGURANÇA 2014 - Sentinela Securityblog.sentinelasecurity.com.br/wp-content/uploads/2014/07/security... · Egg e permanece como um modelo dos desafios da defesa cibernética