35
PARTE 2 Relatório de Ameaças à Segurança de Sites I 2015

Symantec Wstr Pt2 Ptbr

Embed Size (px)

DESCRIPTION

WSTR PT2

Citation preview

  • PARTE 2

    Relatrio de Ameaas Segurana de Sites I 2015

  • 2 I Symantec Website Security Solutions

    CONTEDO

    Ataques direcionados

    Violaes de dados

    Recomendaes e melhores prticas

    Sobre a Symantec

    3

    20

    30

    34

  • 3 Symantec Website Security Solutions I

    Ataques direcionados

  • 4 I Symantec Website Security Solutions

    VISO GERAL

    1 Em 2014, mais casos de espionagem ciberntica apoiada por gover-nos foram revelados.

    2 Os invasores utilizam malware cada vez mais aprimorado, o que demonstra profissionalismo e engenharia de software sofisticada.

    3 Campanhas como Dragonfly, Waterbug e Turla infiltraram sistemas industriais, embaixadas e outros alvos confidenciais.

    4O nmero de campanhas de spear phishing aumentou em 8 por cento em 2014, enquanto o nmero de ataques dirios diminuiu conforme os invasores se tornaram mais pacientes, aguardando e elaborando ataques mais sutis, aprimorados pelo reconhecimento de longo prazo.

  • 5 Symantec Website Security Solutions I

    Imagine que voc o diretor de segurana da informao (CISO) de um corpo diplomtico do Leste Europeu. Em 2014, voc desconfiou que os computadores de suas embaixadas em toda a Europa haviam sido infectados por um Cavalo de Troia de porta dos fundos. Voc contratou uma empresa de segurana para investigar o problema, e suas piores suspeitas foram confirmadas. A investigao descobriu que uma campanha de spear phishing cuidadosa-mente direcionada enviou e-mails a membros da equipe, com uma carga de Cavalo de Troia dissimulada que infectou os computadores. O uso de exploraes de dia zero, de e-mails elaborados com ateno e de astutos ataques de tipo watering hole contra sites mostraram que essas ativi-dades despistaram a deteco por tempo suficiente para comprometerem mais de 4.500 computadores, em mais de 100 pases1.

    O cenrio preocupante, mas no hipottico. Esta uma descrio do ataque Waterbug.

    Ele semelhante a outros ataques direcionados, como o Turla e o Regin, e devido aos alvos escolhidos e sofisti-cao dos mtodos de ataque, a Symantec acredita que o grupo por trs do Waterbug tenha apoio governamental2.

    Devido crescente sofisticao desses ataques, a boa segu-rana da TI essencial, e prticas amplas de segurana ci-berntica precisam ser a norma. Os participantes com apoio financeiro de governos no so a nica ameaa. Hackers patriticos, hacktivistas, extorsionrios, ladres de dados e outros invasores usam tcnicas semelhantes, mas com menos recursos e talvez menos sofisticao.

    Ataques por meio de e-mail continuam a ocorrer tanto quanto antes. Ataques baseados na Web esto cada vez mais sofisticados. Ataques de espionagem usam mais kits, reunindo exploraes em vez de usar ataques individuais. Kits de explorao so usados em crimes eletrnicos h anos, mas agora muitos espies cibernticos os utilizam tambm.

    INTRODUO

    Em 2014, a Symantec analisou vrios ataques de espionagem ciberntica e coletou dados sobre as tticas usadas para infiltrar milhares de organizaes crticas e protegidas em todo o mundo. Essa pesquisa mostra um aumento preocupante na sofisticao.

    1 http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/waterbug-attack-group.pdf2 Ibid.

  • 6 I Symantec Website Security Solutions

    ESPIONAGEM CIBERNTICA

    O Regin complexo, com cinco estgios de instalao furti-vos. Ele tambm apresenta um design modular que permite que diferentes recursos sejam adicionados e removidos do malware. Tanto o carregamento em estgios quanto a modularidade j foram vistos antes, mas o Regin exibe alto nvel de capacidade de engenharia e desenvolvimento profissional. Por exemplo, ele possui dezenas de mdulos com funes como acesso remoto, captura de tela, roubo de senha, monitoramento de trfego de rede e recuperao de arquivos excludos4.

    Seu desenvolvimento exigiu meses, seno anos, o que indica um investimento significativo de recursos. bastante adequado a operaes de espionagem persistentes e de longo prazo, e seu nvel de sofisticao mostra que um estado-nao o criou.

    A Symantec viu um nvel semelhante de compromisso em outra campanha de espionagem ciberntica, conhecida como Turla5. Os invasores usaram ataques de tipo spear phishing e watering hole (veja abaixo) contra governos e embaixadas de pases do antigo bloco oriental. Aps a sua instalao, ele dava aos invasores acesso remoto a com-putadores infectados, permitindo copiar e excluir arquivos e se conectar a servidores, entre outras aes. Devido aos alvos escolhidos e sofisticao do malware, a Symantec acredita que o grupo por trs dos ataques tambm tinha o apoio de algum governo6.

    Mais recentemente, um grupo de ataque muito habilidoso chamado Equation Group ficou conhecido7, revelando que ataques de espionagem de outros anos, incluindo 2014, provavelmente haviam empregado ataques extremamente especializados. Alm disso, conforme os grupos de ataques de espionagem continuam a melhorar as suas tcnicas, eles tambm podem aproveitar o mercado negro em exploraes, ataques de dia zero e cdigo personalizado. O desmascara-mento do Equation Group enfatiza mais ainda o profissio-nalismo por trs do desenvolvimento desses ataques espe- cializados, com os grupos de ataques de espionagem se beneficiando das mesmas prticas de desenvolvimento de software tradicionais adotadas por empresas de software legtimas.

    Em 2014, especialistas em segurana da Symantec passaram quase oito meses dissecando um dos malwares de espionagem ciberntica mais sofisticados jamais visto. Conhecido como Regin, ele d aos usurios ferramentas poderosas usadas para espionar governos, operadoras de infraestrutura, empresas, pesquisadores e indivduos. Os ataques contra empresas de telecomunicaes parecem ser desen-volvidos para obter acesso a chamadas roteadas em sua infraestrutura3.

    3 http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance4 http://www.symantec.com/en/uk/outbreak/?id=regin5,6 http://www.symantec.com/connect/blogs/turla-spying-tool-targets-governments-and-diplomats7 http://www.symantec.com/connect/blogs/equation-advanced-cyberespionage-group-has-all-tricks-book-and-more

  • 7 Symantec Website Security Solutions I

    A Symantec percebeu mais ataques contra sistemas de controle industrial em 2014. Por exemplo, a campanha de espionagem ciberntica Dragonfly atacou diversos alvos, incluindo operadoras de malha de energia, geradoras de eletricidade, operadoras de oleodutos de petrleo e fabri-cantes de equipamentos industriais8. A maioria das vtimas estava localizada nos Estados Unidos e na Espanha, Frana, Itlia, Alemanha, Turquia e Polnia.

    Embora seja semelhante ao Stuxnet (cujo alvo era o pro-grama nuclear iraniano) por atacar sistemas de controle industrial, o Dragonfly parece ter metas menos destrutivas. Inicialmente, ele parecia estar focado em espionagem e acesso persistente, e no em sabotagem. No entanto, ele fornece ao habilidoso grupo que o criou informaes de importantes sistemas industriais e hipoteticamente acapacidade de realizar um ataque mais destrutivo, se necessrio.

    Usando malware personalizado e malware comprado pronto em fruns russos, ele foi disseminado por meio de uma combinao de ataques de spear phishing (baseado em e-mail) e watering hole (baseado na Web) que visavam as vtimas principais usando empresas menores e menos protegidas da cadeia de suprimento.

    Pode ser difcil proteger sistemas antigos quando as empre-sas no podem aceitar qualquer tempo de inatividade para a instalao de patches ou quando usam tecnologias paten-teadas ou protegidas de forma inadequada. Por exemplo, o protocolo OLE for Process Control9 (OPC) amplamente usado em sistemas de automao industrial. Ele um pa-dro aberto bem documentado, mas existe pouco planeja-mento para criptografia, autenticao ou outras medidas de segurana, o que o deixa vulnervel a softwares falsifica-dos. Um dos objetivos do Dragonfly era coletar informaes sobre sistemas OPC nas empresas-alvo.

    Ao explorarem especificamente os servidores de atualiza-o de software dos fornecedores de ICS, os ataques do Dragonfl y introduziram uma nova dimenso ao mtodo de ataque watering hole. Esse tipo de ataque explora vulnera-bilidades em sites de terceiros que sero visitados pelo alvo real do ataque, e dessa forma o invasor poder injetar malware na organizao visada. Com o Dragonfly, os invaso-res comprometeram a cadeia de suprimento, explorando os servidores de atualizao do software ICS utilizado pelas vtimas, definindo um novo marco em ataques de estilo watering hole.

    SEGURANA CIBERNTICA INDUSTRIAL

    medida que mais dispositivos so conectados Internet, novas vias de ataque e, potencialmente, sabotagem, so abertas. Isso especialmente verdadeiro para dispositivos industriais conhecidos como sistemas de controle industrial (ICS), nor-malmente usados em reas de produo industrial e servios de concessionrias em todo o mundo. Muitos desses dispositivos esto habilitados para Internet, facili-tando que sejam monitorados e controlados.

    O grfico mostra o nmero de vul-nerabilidades divulgadas que foram associadas a sistemas ICS e SCADA, incluindo o nmero de fornecedores envolvidos a cada ano.

    10

    20

    30

    40

    50

    60

    70

    80

    90

    2

    4

    6

    8

    10

    12

    14

    2012 2013

    39

    2014

    Vulnerabilidades

    Fornecedores individuais

    75

    35

    7

    13

    9

    Vulnerabilidades divulgadas em sistemas ICS, incluindo SCADA, 2012 2014

    8 http://www.symantec.com/connect/blogs/dragonfly-western-energy-companies-under-sabotage-threat

    9 http://en.wikipedia.org/wiki/OLE_for_Process_Control

    Fonte: Symantec I Deepsight

  • 8 I Symantec Website Security Solutions

    ATAQUES DE RECONHECIMENTO

    Agora, mais do que nunca, o reconhecimento desempenha um papel importante no processo de obteno de acesso pelo invasor rede de uma organizao-alvo. Normalmente, este o primeiro passo no processo de invaso: obter infor-maes sobre os sistemas e buscar fragilidades que possam ser exploradas.

    A popularidade do reconhecimento fica evidente quando examinamos as principais exploraes de dia zero de 2014. De longe, a mais usada foi a CVE-2013-7331. Essa no uma explorao comum do tipo que d acesso a um sistema vulnervel. Tudo o que ela permite que o invasor rena informaes sobre a rede-alvo. No entanto, ela bastante til para planejar outros ataques. Armado com informaes da rede-alvo, como nomes de host internos, endereos IP e vrios nomes de caminho internos, um invasor pode elabo-rar seu prximo plano de ataque com facilidade.

    Essa explorao de dia zero ficou sem patches por um perodo considervel. No s a CVE dessa vulnerabilidade foi alocada em 2013, sendo divulgada somente em fevereiro de 2014, mas seu patch foi lanado apenas em setembro de 2014. Isso ofereceu aos invasores uma imensa lacuna de 204 dias entre a divulgao pblica e o lanamento do patch.

    A melhor explicao para esse longo perodo de exposio talvez seja a gravidade percebida da ameaa. Como essa explorao especfica no permitia que um invasor con-trolasse um computador vulnervel diretamente, ela pode no ter sido considerada to importante quanto outras vulnerabilidades. Os invasores perceberam isso claramente e puderam aproveitar a vulnerabilidade e as informaes que ela lhes fornecia a respeito das rede-alvo, ajudando-os indiretamente em suas metas mal-intencionadas.

    Esse um aspecto do panorama de ameaas que pode merecer mais ateno em todo o setor de segurana. Em-bora uma vulnerabilidade que apenas repasse informaes sobre redes, computadores ou dispositivos possa no ser considerada to grave quanto uma que permita elevao de privilgios, ela pode, ainda assim, ser muito perigosa caso indique aos invasores sistemas vulnerveis que no seriam descobertos sem ela.

    Alm dos ataques que usam campanhas de spear phishing e watering hole que precisam do elemento humano da engenharia social para ter sucesso os invaso-res continuam a atacar as organizaes visadas a partir de outros ngulos, a fim de conquistar uma posio firme em sua rede. Para fazer isso, eles atacam o permetro da rede, buscando brechas nas defesas e explorando-as.

  • 9 Symantec Website Security Solutions I

    Outra vulnerabilidade de dia zero (CVE-2014-1776) tam-bm foi descoberta em ataques de watering hole contra organizaes envolvidas no setor aeroespacial francs e diversos sites japoneses. No entanto, acreditamos que es-ses ataques tenham sido independentes do grupo Hidden Lynx e que outros participantes estavam envolvidos em seu uso11.

    Outro ataque de watering hole significativo aproveitou uma vulnerabilidade de dia zero do Adobe Flash (CVE-2014-0515) e a acoplou a um software especfico produzido por um fornecedor legtimo. Esse ataque, em especial, parece ter sido extremamente direcionado, j que a organizao visada precisava ter os dois softwares instalados para que ele tivesse xito.

    Em outro caso, uma vulnerabilidade at ento desconhecida do Microsoft Windows permitiu que o grupo de espionagem ciberntica Sandworm instalasse malware em organizaes visadas12, incluindo a OTAN, vrias organizaes governa-mentais da Ucrnia e da Europa Ocidental e empresas de energia e telecomunicaes.

    A plataforma Elderwood foi identificada em 2012, mas con-tinua a existir. No incio de 2014, por exemplo, ela explorou trs novas vulnerabilidades de dia zero para atacar suas vtimas13.

    Vinte e quatro vulnerabilidades de dia zero foram descober-tas em 2014, um nmero consistente com o pico de 2013, indicando um novo padro no volume das vulnerabilidades desse tipo que so descobertas e exploradas. Pode haver muito mais vulnerabilidades, ainda no reveladas, que os invasores mantm em segredo por enquanto.

    Existem duas formas de medir o valor e a importncia da explorao de uma vulnerabilidade de dia zero para um invasor. Primeiro, qualquer vulnerabilidade no publicada tem imenso valor se puder ser explorada a fim de propor-cionar acesso remoto ou reconhecimento ao invasor. Em segundo lugar, uma explorao pode trazer muitos benef-cios se o invasor aproveitar o tempo entre a descoberta da vulnerabilidade e o lanamento do patch respectivo pelo fornecedor. Pode levar vrios dias, semanas ou at mesmo meses para o lanamento do patch, ou ainda mais tempo antes que ele seja implantado de forma ampla.

    Para as cinco vulnerabilidades de dia zero mais exploradas publicadas em 2014, o nmero total de dias entre a data de publicao pelo fornecedor e a data de correo aumentou para 295 dias (a partir de 19 dias em 2013). O tempo mdio entre publicao e correo tambm aumentou para 59dias (a partir de 4 em 2013). A vulnerabilidade de dia zero mais explorada em 2014, a CVE-2013-7331, foi identi-ficada pela primeira vez em 2013 (da a sua classificao); porm, sua existncia foi divulgada ao pblico apenas no ano seguinte. Ainda foram necessrios mais 204 dias para que o fornecedor conseguisse publicar um patch. As explo-raes de dia zero que ocuparam a segunda e a terceira posies tambm tiveram perodos de correo longos, respectivamente 22 e 53 dias. Ambos os perodos foram maiores do que a mdia em 2013.

    Essa fragilidade o perodo de vulnerabilidade crucial para o sucesso dos grupos de ataques de espionagem. Por exemplo, um site j comprometido que hospede uma explo-rao de watering hole pode deixar de usar uma explorao de dia zero depois que o fornecedor do software publicar informaes sobre a existncia da vulnerabilidade, mesmo que um patch ainda no esteja disponvel. Os invasores po-dem ento migrar para outra explorao ainda no desco-berta, o que mais um exemplo dos variados recursos sua disposio.

    ATAQUES DE WATERING HOLE E A IMPORTNCIA DO DIA ZERO

    O grupo de hackers profissionais conhecido como Hidden Lynx, descoberto em se-tembro de 2013, prosseguiu com suas operaes em 2014. Esse grupo aproveitou uma vulnerabilidade de dia zero importante (CVE-2014-0332)10 por meio de um ataque de estilo watering hole. O ataque conseguia abrir uma porta dos fundos em qualquer computador que visitasse o site comprometido enquanto o watering hole estivesse ativo, por meio do qual ataques e exfiltrao posteriores poderiam ocorrer.

    10 http://www.symantec.com/connect/blogs/emerging-threat-ms-ie-10-zero-day-cve-2014-0322-use-after-free-remote-code-execution-vulnerabi

    11 http://www.symantec.com/connect/blogs/zero-day-internet-vulnerability-let-loose-wild

    12 http://www.symantec.com/connect/blogs/sandworm-windows-zero-day-vulnerability-being-actively-exploited-targeted-attacks

    13 http://www.symantec.com/connect/blogs/how-elderwood-platform-fueling-2014-s-zero-day-attacks

  • 10 I Symantec Website Security Solutions

    Classificao CVE Porcentagem geral em 2014

    1 Microsoft ActiveX Control CVE-2013-7331 81%

    2 Microsoft Internet Explorer CVE-2014-0322 9,5%

    3 Adobe Flash Player CVE-2014-0515 7,3%

    4 Adobe Flash Player CVE-2014-0497 2,0%

    5 Microsoft Windows CVE-2014-4114 OLE

  • 11 Symantec Website Security Solutions I

    5 principais vulnerabilidades de dia zero

    NMERO DE DIAS APS A PUBLICAO DA VULNERABILIDADE

    NMER

    O DE ATAQUES DETEC

    TADOS EM

    MILHARES

    Tempo mdio de correo pelo fornecedor

    Tempo total de exposio dos 5 principais dias zero

    59

    4 192013

    2014 295

    0 25 50 75 100 125 150 175 200 225 250 275 300

    5

    10

    15

    20

    25

    81% Microsoft ActiveX Control CVE-2013-7331 10% Microsoft Internet Explorer CVE-2014-0322 7% Adobe Flash Player CVE-2014-0515

    2% Adobe Flash Player CVE-2014-0497

  • 12 I Symantec Website Security Solutions

    INTELIGNCIA DE AMEAAS

    Investir em tecnologia sofisticada resolve apenas parte do problema; uma combinao de inteligncia de ameaas, gerenciamento de riscos e as melhores solues tcnicas ajudaro a revelar quem so os alvos e tambm como e por qu. Compreender as ameaas essencial, porque agora as empresas precisam antecipar o ataque a dvida no se, e sim quando.

    Invasores habilidosos usam toolkits de explorao no s para vulnerabilidades mais antigas mas tambm para novas vulnerabilidades de dia zero, e ter uma boa defesa significa estar bem protegido contra violaes. A inteligncia de ameaas pode fornecer uma lista de incidentes suspeitos, ordenados por prioridade, correlacionando todas as infor-maes disponveis em toda a empresa. Uma avaliao contnua das pessoas e suas habilidades, alm dos proces-sos, garantir que a melhor resposta seja seguida e que os processos sejam sempre atualizados e as habilidades sejam mantidas. Se ficar mais difcil violar a segurana das empre-sas, os invasores precisaro se esforar mais. No seja o elo mais fraco da cadeia de suprimento.

    Hoje, a inteligncia de ameaas um componente vital de qualquer organizao que deseje entender as ameaas potenciais contra as suas redes.

  • 13 Symantec Website Security Solutions I

    TCNICAS USADAS EM ATAQUES DIRECIONADOS

    Pequenas empresas1 a 250

    funcionrios

    Mdias empresas251 a 2.500funcionrios

    Grandes empresasMais de 2.500funcionrios

    2014201320122011

    39% 41%50%

    31%

    19%

    50%

    18%

    32%

    30%

    31% 25%

    34%

    100%

    0

    Fonte: Symantec | .cloud

    Distribuio de ataques de spear phishing por porte da organizao, 2011 2014

    Taxa de risco dos ataques de spear phishing por porte da organizao

    Em 2014, quarenta e um por cento dos e-mails de spear phishing foram direcionados a grandes empresas. Como ocorreu em 2013, os ataques de spear phishing em empresas de pequeno e mdio porte mostram que ser pequena e relativamente annima no garante a proteo. Na verdade, os ataques de 2014 confirmam que determinados invasores visam a cadeia de suprimento de uma empresa-alvo como forma de despistar sua segurana.

    Taxa de risco

    em 2014

    Taxa de risco em

    2014 como %

    Taxa de risco

    em 2013

    Taxa de risco em

    2013 como %

    Grandes empresas2.500+ funcionrios

    1 em 1,2 83% 1 em 2,3 43%

    Mdias empresas2512.500funcionrios

    1 em 1,6 63% 1 em 3,5 33%

    Pequenas empresas1250 funcionrios

    1 em 2,2 45% 1 em 5,2 19%

    Em 2014, 83 por cento das grandes empresas foram alvos de campanhas de spear phishing, em comparao a 43 por cento em 2013.

    Fonte: Symantec I .cloud, SRL

  • 14 I Symantec Website Security Solutions

    Taxa de risco dos ataques de spear phishing por setor

    Dez principais setores visados em ataques de spear phishing, 2013 2014

    Setor em 2014 Taxa de risco em 2014

    Taxa de risco em 2014 como %

    Setor em 2013 Taxa de risco em 2013

    Taxa de risco em 2013 como %

    Minerao 1 em 2,3 43% Minerao 1 em 2,7 37%

    Atacado 1 em 2,9 34%Administrao pblica(governo)

    1 em 3,1 32%

    Manufatura 1 em 3,0 33% Manufatura 1 em 3,2 31%

    Servios de transporte, comunicaes, eletricidade, gs e esgoto

    1 em 3,4 29% Atacado 1 em 3,4 29%

    Administrao pblica 1 em 3,4 29%Servios de transporte, comunicaes, eletricidade, gs e esgoto

    1 em 3,9 26%

    Finanas, seguros e imveis

    1 em 4,8 21% Finanas, seguros e imveis

    1 em 4,8 21%

    Varejo 1 em 4,8 21% Servios no tradicionais 1 em 6,6 15%

    Servios no tradicionais 1 em 6,5 15% Construo 1 em 11,3 8%

    Servios profissionais 1 em 6,9 15% Agricultura, silvicultura e pesca

    1 em 12,0 8%

    5 10 15 20 25%

    Construo

    Minerao

    Varejo

    Administrao pblica

    Transporte, comunicaes,eletricidade, gs e esgoto

    Atacado

    Servios profissionais

    Finanas, seguros e imveis

    Servios no tradicionais

    Manufatura 20 13

    14 20

    18

    11

    13

    10

    15

    7

    5

    5

    6

    2

    1

    1

    1

    1

    3

    16

    2013 2014

    Fonte: Symantec | .cloud

    Fonte: Symantec | .cloud, SRL

    De forma geral em 2014, o setor de manufatura foi alvo do maior volume de ataques de spear phishing, com 1 em 5 (20 por cento) dos ataques direcionados a organizaes de manufatura.

    O setor de minerao foi o mais visado em 2014, com 43 por cento (1 em 2,3) das organizaes de minerao visadas pelo menos uma vez durante o ano. A classificao de Minerao inclui organizaes de extrao de energia, alm de metais e minrios.

  • 15 Symantec Website Security Solutions I

    E-mails de spear phishing por dia

    Campanhas de e-mail de spear phishing

    Nuvem de palavras de e-mails de spear phishing

    732014

    832013

    1162012

    -12% -28%

    2014 Variao 2013 Variao 2012

    Campanhas 841 +8% 779 +91% 408

    Destinatrios por campanha

    18 -20% 23 -81% 111

    Ataques por campanha

    25 -14% 29 -76% 122

    Tempo mdio da campanha

    9 dias +13% 8 dias +173% 3 dias

    O nmero de e-mails de spear phishing detectados pela Symantec caiu ligeiramente, mas no h indcios de que a intensidade dos ataques direcionados tenha sido reduzida tambm. O nmero de campanhas de e-mail em geral aumentou, e os e-mails de spear phishing tornaram-se mais sutis, usando malware personalizado e mensagens de engenharia social cuidadosamente planejadas para enganar a segurana.

    Em 2014, houve um aumento de 8 por cento em ataques direcionados usando campanhas de spear phishing, apesar de um declnio geral de 12 por cento no nmero de e-mails de spear phishing enviados todos os dias. Os ataques de spear phishing em 2014 tinham menos caractersticas de spam, com menos destinatrios de altos volumes. Os invasores dedicaram mais tempo ao planejamento e coordenao dos ataques antes de inici-los, prestando especial ateno ao reconhecimento. A Symantec tambm observou que vrios ataques direcionados distribudos foram coordenados entre grupos de invasores que aparentemente trabalhavam em conjunto. Es-ses ataques foram planejados e distribudos de maneira que mesmo se o volume fosse relativamente alto eles no seriam qualificados como spam.

    Fonte: Symantec I .cloud, SRL

    Fonte: Symantec I .cloud, SRL

    Fonte: STAR Malware Ops

    Palavras usadas com mais frequncia em ataques de spear phishing

  • 16 I Symantec Website Security Solutions

    2014 Taxa de risco em 2014 Taxa em 2014 como %

    Vendas/Marketing 1 em 2,9 35

    Operaes 1 em 3,8 27

    Finanas 1 em 3,3 30

    P&D 1 em 4,4 23

    TI 1 em 5,4 19

    Engenharia 1 em 6,4 16

    RH e Recrutamento 1 em 7,2 14

    Outro 1 em 9,3 11

    2014 Taxa de risco em 2014 Taxa de risco em %

    Gerente 1 em 3,8 26

    Colaborador individual 1 em 3,7 27

    Estagirio 1 em 3,9 26

    Diretor 1 em 5,4 19

    Suporte 1 em 7,6 13

    Outro 1 em 9,3 11

    Taxa de risco dos ataques de spear phishing por cargo

    Taxa de risco dos ataques de spear phishing por nvel do cargo

    Indivduos em cargos de Vendas e Marketing foram mais visados em 2014, com 1 em 2,9 sendo alvo pelo menos uma vez; isso equivale a 35% do pessoal de Vendas e Marketing.

    O nvel da gerncia foi o principal alvo em 2014, com 1 em 3,8 dos indivduos sendo alvo pelo menos uma vez; isso equivalente a 26% dos indivduos em nvel gerencial.

    Fonte: Symantec I .cloud, SRL

    Fonte: Symantec I .cloud, SRL

  • 17 Symantec Website Security Solutions I

    Nmero mdio de ataques de spear phishing por dia, 2012-2014

    Anlise de e-mails de spear phishing usados em ataques direcionados, 2013 2014

    25

    50

    75

    100

    125

    150

    175

    200

    225

    250

    0M M JJJ S NNSJMMNSJMMJ

    2013 20142012

    Classificao Tipo de executvel Porcentagem geralem 2014

    Tipo de executvel Porcentagem geral em 2013

    1 .doc 41,2% .exe 31,3%

    2 .exe 24,0% .scr 18,4%

    3 .scr 9,7% .doc 7,9%

    4 .au3 8,7% .pdf 5,3%

    5 .jpg 4,9% .class 4,7%

    6 .class 3,6% .jpg 3,8%

    7 .pdf 3,3% .dmp 2,7%

    8 .bin 2,0% .dll 1,8%

    9 .txt 1,5% .au3 1,7%

    10 .dmp 1,1% .xls 1,2%

    Anexos de arquivo de documentos do Office superaram arquivos executveis como a ttica usada com mais frequncia em anexos de ataques de spear phishing, tendo sido usados em 41 por cento dos ataques de 2014. Pelo menos 35 por cento dos ataques de spear phishing poderiam ser evitados caso as empresas bloqueassem anexos de tipo executvel e protetores de tela no gateway de e-mail. Anexos de documento mal-intencionados tambm podem se tornar seguros antes de chega-rem ao gateway de e-mail por meio de filtragem forte baseada em nuvem, a fim de identificar e eliminar ataques de spear phishing antes que cheguem rede corporativa.

    Fonte: Symantec I .cloud, SRL

    Fonte: Symantec I .cloud

    Fonte: Symantec I .cloud

  • 18 I Symantec Website Security Solutions

    PROTEO DE SISTEMAS DE CONTROLE INDUSTRIAL

    O termo sistema de controle industrial refere-se a disposi-tivos que controlam, monitoram e gerenciam a infraestru-tura crtica de setores industriais, servios de eletricidade, gua e esgoto, leo e gs natural, transporte, etc. Diversos tipos de ICS incluem sistemas de superviso e aquisio de dados (SCADA), controladores lgicos programveis (CLPs) e sistemas de controle distribudo (DCS), para citar apenas alguns.

    Ataques contra sistemas ICS tornaram-se uma ocorrn-cia comum e podem vir a ter graves impactos sociais e econmicos. No entanto, esses ataques costumam no ser divulgados, limitando as repercusses para a reputao da vtima e subestimando o alcance do problema.

    Vrios ataques ocorreram, com intenes que vo da espionagem ciberntica a danos nos servios pblicos que utilizam sistemas ICS. Em 2010, foi descoberta a ameaa Stuxnet , criada para atacar sistemas SCADA especficos e danificar as instalaes fsicas do sistema nuclear iraniano. Desde ento, uma enorme quantidade de armas de malware foi percebida no panorama de ameaas, e 2014 no foi uma exceo. Os invasores por trs do Dragonfly, uma campanha de espionagem ciberntica com alvos diversificados (em especial organizaes do setor de energia), conseguiram comprometer vrios sistemas ICS estrategicamente impor-tantes dentro dessas organizaes, e poderiam ter causado danos e interrupes no fornecimento de energia dos pases afetados caso tivessem aproveitado as capacidades de sabotagem disponveis para eles.

    Mais recentemente, o Sandworm iniciou uma campanha de malware direcionada e sofisticada que comprometeu a interface homem-mquina (IHM) de vrios fornecedores de ICS conhecidos. Os invasores usavam as interfaces IHM conectadas Internet para explorar vulnerabilidades do software ICS. Essas invases podem ter servido como reconhecimento para outro ataque.

    A incluso mais recente surgida em 2014 foi um incidente em que um alto-forno de uma siderrgica alem sofreu imensos danos aps um ataque ciberntico rede da usina14.

    Os ataques contra sistemas ICS amadureceram e tornaram-se mais frequentes, tornando a segurana desses sistemas um tpico essencial e urgente.

    Muitos sistemas ICS esto instalados e operam h vrios anos. Com frequncia, isso significa a adoo de polticas de segurana baseadas em uma abordagem de obscuridade que utiliza isolamento fsico, protocolos patenteados e hardware especializado na esperana de garantir a pro-teo. Muitos desses sistemas foram desenvolvidos antes que tecnologias baseadas em Internet fossem usadas nas empresas, tendo sido projetados com foco em aspectos de confiabilidade, capacidade de manuteno e disponibi-lidade, com pouca ou nenhuma nfase na segurana. No entanto, necessidades urgentes de acessibilidade remota e conectividade corporativa mudaram a superfcie de ataque drasticamente, expondo a ataques as novas vulnerabili-dades desses sistemas.

    O principal ponto de entrada desses ataques, hoje, so os dispositivos de infraestrutura crtica com acesso Internet e mal protegidos. Para fornecer acessibilidade remota, elementos de sistemas SCADA, usados para monitorar e controlar fbricas e equipamentos, so conectados Inter-net por redes corporativas. Esses elementos SCADA expem a rede de controle e representam um risco de ataques como varredura, sondagem, tentativas de fora bruta e acesso no autorizado por esses dispositivos.

    Uma forma de utilizar esses dispositivos em um ataque por meio da IHM, que normalmente pode ser acessada pela rede corporativa. Um invasor pode comprometer os hosts corporativos explorando qualquer vulnerabilidade de dia

    Os ataques direcionados evoluram de tentativas de invaso principiantes para se tornarem uma arma essencial da espionagem ciberntica. Sistemas de controle industrial (ICS) so alvos cruciais desses invasores, que tm motivos para executar ataques em nvel de segurana nacional. Essas tendncias tm levado os pases a reforarem seus investimentos e a criarem estratgias para melhorar a segurana dos sistemas ICS.

    Por Preeti Agarwal

    14 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile

  • 19 Symantec Website Security Solutions I

    zero existente, descobrir os hosts com acesso rede de controle e tentar usar essas informaes para ingressar nos sistemas ICS.

    Outra forma de utilizar os sistemas ICS por uma IHM conecta da diretamente Internet. Os dispositivos conec-tados Internet podem ser descobertos com facilidade usando-se mecanismos de pesquisa comuns da Internet. Aps um dispositivo de controle ser identificado, ele pode ser com pro metido por meio de vulnerabilidades ou configu-rao inadequada. O nvel de conhecimento necessrio para iniciar esses ataques razoavelmente baixo.

    Alm desses pontos de entrada, sistemas ICS e seus soft-wares apresentam inmeras vulnerabilidades intrnsecas, o que abre portas para os adversrios. Muitos dos aplicativos Web patenteados disponveis possuem vulnerabilidades de segurana que possibilitam estouros de buffer, injeo de SQL ou ataques de cross-site scripting (XSS). Tcnicas inadequadas de autenticao e autorizao podem levar o invasor a obter acesso a funcionalidades crticas do sistema ICS. A autenticao fraca em protocolos ICS possibilita ataques man-in-the-middle, como falsificao e repetio de pacotes. Um invasor pode conseguir enviar comandos falsos a CLPs ou falsificar o status para interfaces IHM.

    A lgica Ladder usada para programar os CLPs um recurso crtico em ambientes ICS. O comprometimento de uma es-tao de trabalho de engenharia usada no desenvolvimento e carregamento dessa lgica de CLP pode abrir espao para a engenharia reversa, que por sua vez pode ser usada para elaborar ataques.

    A proteo de ambientes ICS requer um plano de segurana abrangente que ajude uma organizao a definir suas metas de segurana em termos de padres, conformidade regulatria, fatores de risco potenciais, impactos comerciais e etapas de mitigao necessrias. Criar um ambiente ICS seguro exige integrar a segurana a cada fase do processo industrial, desde o planejamento at as operaes de rotina.

    A segregao entre a rede de controle e a rede corpora-tiva precisa ser um requisito absoluto, porque isso reduz enormemente a chance de ataques originrios das redes corporativas. Entretanto, consideraes prticas exigem a conectividade do ICS a partir da rede corporativa. Nesses casos, os pontos de acesso devem ser limitados, ficar protegidos por um firewall e usar canais de comunicao confiveis, como uma VPN.

    Os ambientes ICS esto evoluindo, com os fornecedores ampliando o suporte para software de segurana nos dispositivos de controle de estaes de trabalho de enge-nharia e servidores SCADA de propsito geral. No entanto, sistemas como CLPs e DCSs ainda usam sistemas operacio-nais personalizados, especficos dos fornecedores. Esses sistemas de controle, aps instalados, tm tolerncia zero para inatividade, recursos limitados e cdigo dependente de hora. Isso limita as oportunidades de implantar solues de segurana empresarial tradicionais projetadas para sistemas de computador de TI. Devido a esses desafios, no existe uma soluo mgica para a segurana de sistemas ICS. A segurana precisa ser implementada globalmente em cada camada, incluindo o permetro da rede, pontos de acesso da rede corporativa e da rede externa e em nvel de rede, aplicativos e hosts.

    Alm disso, os prprios dispositivos de controle precisam ser protegidos de forma intencional. Os fabricantes so responsveis por garantir que a segurana seja incorporada aos dispositivos de controle antes da remessa.

    No futuro, provavelmente veremos uma tendncia de cres-cimento no uso de tecnologia mvel para permitir opes de controle e acesso a IHM remotos. Embora a soluo seja muito atraente da perspectiva da eficincia administrativa, ela abrir uma nova superfcie de ataque associada ao modelo de uso mvel.

    Provavelmente tambm veremos o desenvolvimento de tcnicas generalizadas para atacar sistemas ICS. Como resultado, os kits de explorao de ICS gratuitos disponveis podero se multiplicar. Sem dvida, essa tendncia aumen-taria o nmero de ataques a sistemas ICS.

    Como vimos com o Stuxnet, que reapareceu em diversas variantes, as ameaas focadas em ICS posteriores mostra-vam semelhanas em artefatos e vetores de ataque, usando protocolos ICS comuns e Cavalos de Troia de propsito ge ral. extremamente provvel que existam ameaas passivas contra sistemas ICS por a, instaladas de maneira furtiva e ainda no detectadas. A qualquer momento, os invasores podem encontrar um motivo para ativar essas ameaas passivas. bastante possvel que ocorram novas utilizaes de vulnerabilidades de infraestruturas mais crticas, com finalidades perigosas.

  • 20 I Symantec Website Security Solutions

    Violaes de dados

  • 21 I Symantec Website Security Solutions

    VISO GERAL

    1 Em 2014 ocorreram menos violaes de grande porte (com a divul-gao de mais de 10 milhes de identidades) do que em 2013.

    2 O nmero geral de violaes de dados aumentou.

    3 Em 49 por cento, invasores foram responsveis pela maioria das violaes.

    4 Os ataques contra sistemas de ponto de venda aumentaram em escala e sofisticao.

    5 De acordo com uma pesquisa realizada pela Symantec, 57 por cento dos entrevistados se preocupam com a segurana de seus dados.

  • 22 Symantec Website Security Solutions I

    Em 2014, o JPMorgan Chase, um banco americano, con-firmou que dados associados a 83 milhes de contas 76 milhes de residncias e 7 milhes de pequenas empre-sas haviam sido comprometidos, em uma das maiores violaes de dados da histria15.

    Em setembro de 2014, a Home Depot sofreu uma violao de dados de 56 milhes de nmeros de carto de crdito. Os criminosos continuaram a visar sistemas de ponto de venda do varejo e, em um nico ataque, a Staples sofreu o roubo de um milho de registros de cartes de pagamento16. No entanto, muitas violaes talvez a maioria deixam de ser informadas ou detectadas17,18.

    A divulgao de quase 200 fotos de celebridades no site 4chan, em agosto de 2014, recebeu ampla cobertura da mdia e aumentou a ansiedade dos consumidores a respeito de sua privacidade. De acordo com a Apple, as imagens

    foram obtidas por meio de ataques direcionados extrema-mente personalizados contra contas individuais, e no usando fragilidades gerais na segurana da empresa19.

    Em 2014 ocorreram menos violaes de grande porte do que em 2013, embora o nmero total de violaes tenha aumentado em 23 por cento. O valor de informaes pes-soais e financeiras continua bastante alto no mercado negro, e isso significa que os criminosos cibernticos continuaro a visar grandes instituies em busca de recompensas volumosas e pequenas empresas em busca de resultados fceis. Muitas violaes podem ser evitadas com as medidas de segurana certas, incluindo elementos como preveno de perda de dados, criptografia e sistemas de deteco de invaso, alm de treinamento e polticas de segurana eficazes.

    Em 2014, os criminosos cibernticos continuaram a roubar informaes privadas em escala gigantesca, por ataques diretos a instituies, como bancos, e a sistemas de ponto de venda do varejo.

    Total de violaes

    Violaes com mais de 10 milhes de identidades expostas

    3122014

    42014

    2532013

    82013

    1562012

    12012

    +23%

    -50%

    +62%

    +700%

    Embora em 2014 tenham ocorrido menos violaes de grande porte (maiores do que 10 milhes de identidades expostas por viola-o), o nmero total de violaes permaneceu no mesmo nvel alto estabelecido em 2103, sugerindo que entramos em uma nova era de atividade de violaes.

    Fonte: Symantec I CCI

    Fonte: Symantec I CCI

    15 http://www.reuters.com/article/2014/10/03/us-jpmorgan-cybersecurity-idUSKCN0HR23T2014100316 http://staples.newshq.businesswire.com/press-release/corporate/staples-provides-update-data-security-incident17 http://www.insurancejournal.com/news/west/2014/03/07/322748.htm18 http://www.ponemon.org/news-2/719 https://www.apple.com/uk/pr/library/2014/09/02Apple-Media-Advisory.html

    INTRODUO

  • 23 I Symantec Website Security Solutions

    Fonte: Symantec | CCI

    Principais causas de violaes de dados, 2013 2014

    Cronologia de violaes de dados, 2013 2014

    0

    10

    20

    30

    40

    50

    60

    70

    80

    Hackers Tornadas pblicaspor acidente

    Roubo ou perdade computadorou unidade

    Roubo porprofissional interno

    Porcen

    tagem

    34

    49

    2922 27

    6 8

    21

    0

    20

    40

    60

    80

    100

    120

    140

    160

    180

    DNOSAJJMAMFJ2014

    DNOSAJJMAMFj2013

    0

    5

    10

    15

    20

    25

    30

    35

    40

    Fonte: Symantec I CCI

    IDENTIDADES EXPOSTA

    S (MILHES)

    INCIDEN

    TES

    43

    123

    53

    23

    6 80,3 0,8

    159

    113

    130

    83 2

    59

    147

    1

    78

    32

    101

    6,50,4

    2014

    2013

    Em 2014, ocorreu uma queda significativa no nmero de identidades expostas devido a violaes de dados. Em 2013, informamos a exposio de 552 milhes de identidades. Em 2014, esse nmero parece ter sido consideravelmente reduzido, para 348 milhes de identidades.

    Em 49 por cento, a maioria das violaes foi causada por invasores, em comparao a 34 por cento em 2013. Entretanto, 22 por cento das violaes foram classificadas como Tornadas pblicas por acidente, e 21 por cento ocorreram por Roubo ou perda de computador ou unidade. Esse ltimo tipo de exposio de dados pode ser evitado se os dados forem criptografados, eliminando o impacto do roubo dos dados. A boa notcia que esse nmero diminuiu dos 56 por cento em 2013.

  • 24 Symantec Website Security Solutions I

    Total de identidades expostas

    Mediana de identidades expostas/violaes

    384milhes

    2014

    7.0002014

    552milhes

    2013

    6.7772013

    93milhes

    2012

    8.3502012

    -37%

    +3%

    +493%

    -19%

    Mdia de identidades expostas/violaes

    2014 1.116.767 -49%+261%2.181.891

    604.826

    2013

    2012

    primeira vista, parece que muito menos identidades foram expostas. O fato de terem sido relatadas menos violaes contendo mais de 10 milhes de identidades afeta essa queda, mesmo que pelo volume absoluto de identidades. Tambm possvel que organizaes de grande porte tenham observado as grandes violaes que ocorreram no fim de 2013, implementando polticas de segurana que reduziram o risco de violaes de dados, como a soluo de preveno de perda de dados (DLP) que impede que a maioria dos dados seja exfiltrada, mesmo se os invasores conseguirem acessar uma rede com sucesso.

    Embora esses aspectos certamente tenham sido importan-tes, nossos nmeros indicam outra possibilidade: o nmero de organizaes que deixa de divulgar o nmero de identi-dades expostas est aumentando. Em 2013, registramos 34 em 253 violaes (ou 13 por cento) em que o nmero de identidades expostas no foi divulgado. Em comparao, 61em 312 violaes (ou 20 por cento) divulgadas em 2014 no incluam essa informao. Isso equivale a 1 em 5 viola-es no relatadas sobre o alcance dos dados expostos em uma violao.

    difcil explicar com certeza por que essas informaes no so compartilhadas publicamente. Em alguns casos, possvel que as organizaes acreditem que determinar o nmero de identidades expostas seja muito difcil. Em ou-tros casos, essas informaes provavelmente permanecem secretas para ajudar a preservar a reputao das organiza-es contra os efeitos negativos da violao.

    O mais preocupante, porm, que essa tendncia pode indicar uma situao em que um grande nmero de violaes no divulgado ao pblico. Embora em alguns setores, como sade e governo, uma violao precise ser divulgada por fora da lei, na maioria dos setores isso no ocorre. Assim, muitas organizaes podem decidir ocultar informaes sobre uma violao para proteger a reputao da empresa e no enfrentar sanes por isso. Nos prximos anos isso pode mudar, j que diversas agncias governa-mentais de todo o mundo esto avaliando regulamentaes relacionadas divulgao adequada de violaes de dados.

    Fonte: Symantec I CCI

    Fonte: Symantec I CCI

    Fonte: Symantec I CCI

  • 25 I Symantec Website Security Solutions

    Classificao

    Setor Nmero de incidentes % de incidentes

    1 Sade 116 37,2

    2 Varejo 34 10,9

    3 Educao 31 9,9

    4 Governo e setor pblico 26 8,3

    5 Financeiro 19 6,1

    6 Software de computador 13 4,2

    7 Hotelaria 12 3,8

    8 Seguros 11 3,5

    9 Transporte 9 2,9

    10 Artes e mdia 6 1,9

    Classificao

    Tipo em 2014 2014 % Tipo em 2013 2013 %

    1 Nomes verdadeiros 68,9 Nomes verdadeiros 71,5

    2Nmeros de IDs governamen-tais (previdncia social) 44,9

    Datas de nascimento 43,1

    3 Endereo residencial 42,9Nmeros de IDs governamen- tais (previdncia social) 39,5

    4 Informaes financeiras 35,5 Endereo residencial 37,5

    5 Datas de nascimento 34,9 Pronturios mdicos 33,6

    6 Pronturios mdicos 33,7 Nmeros de telefone 19,0

    7 Nmeros de telefone 21,2 Informaes financeiras 17,8

    8 Endereos de e-mail 19,6 Endereos de e-mail 15,4

    9 Nomes de usurio e senhas 12,8 Nomes de usurio e senhas 11,9

    10 Seguros 11,2 Seguros 5,9

    Dez principais setores violados por nmero de incidentes

    Dez principais tipos de informaes expostas

    Nomes verdadeiros, Nmeros de previdncia social e Endereo residencial ficaram entre os trs principais tipos de informao violados em 2014. A exposio de informaes financeiras cresceu de 17,8 por cento para 35,5 por cento em 2014, o maior aumento na lista de dez principais tipos de informao expostos.

    Fonte: Symantec I CCI

    Fonte: Symantec I CCI

  • 26 Symantec Website Security Solutions I

    Est claro que os invasores tm o varejo na mira, se nos guiarmos pelo aumento das violaes de dados financeiros. Mais uma vez, o setor de varejo detm a duvidosa honra de apresentar o maior nmero de identidades expostas, englobando quase 60 por cento de todas as identidades relatadas expostas, em comparao a 30 por cento em 2013. Informaes financeiras passaram para o quarto lugar em tipos mais comuns de informaes expostas em violaes. Em 2013, 17,8 por cento das violaes continham informaes financeiras, mas em 2014 esse nmero saltou para 35,5 por cento.

    Dez principais setores violados por nmero de identidades expostas

    Classificao

    Setor Nmero de identidades expostas % de identidades expostas

    1 Varejo 205.446.276 59,0

    2 Financeiro 79.465.597 22,8

    3 Software de computador 35.068.405 10,1

    4 Sade 7.230.517 2,1

    5 Governo e setor pblico 7.127.263 2,0

    6 Redes sociais 4.600.000 1,3

    7 Telecomunicaes 2.124.021 0,6

    8 Hotelaria 1.818.600 0,5

    9 Educao 1.359.190 0,4

    10 Artes e mdia 1.082.690 0,3

    Essas informaes financeiras podem variar de detalhes de contas bancrias a documentos fiscais, mas na maioria dos casos so detalhes de cartes de dbito ou crdito. Os varejistas online desempenham um papel significativo, mas o mais frequente nas violaes de dados relatadas so ataques contra sistemas de ponto de venda: as mquinas de passagem de carto de crdito tornaram-se onipresentes em nossa experincia de varejo.

    Embora os primeiros ataques contra sistemas de ponto de venda tenham ocorrido em 2005, a Symantec observou um aumento nos ataques em 2014. Agora, esses ataques so uma das maiores fontes de roubo de dados de carto de pagamento20 e esto por trs de algumas das maiores violaes de dados de 2013 e 2014.

    Os sistemas de ponto de venda ficam vulnerveis devido epidmica ausncia de segurana, incluindo criptografia de dados inadequada ou inexistente, vulnerabilidades de soft-ware, uso de softwares desatualizados como o Microsoft Windows XP (cujo suporte foi encerrado em 2014) e a lenta adoo da tecnologia de chip e senha fora da Europa. Com novas formas de pagamento, como o Apple Pay e os cartes com chip e senha que chegam aos EUA, os dados de pontos de venda provavelmente se tornaro mais seguros nos prximos anos.

    A curto prazo, eles provavelmente continuaro a ser um alvo importante de ataques. As empresas de carto de crdito, e tambm os proprietrios de carto atentos, descobrem rapidamente padres de gastos anormais. Isso significa que os criminosos precisam de um suprimento constante de nmeros de carto de crdito novos, e a economia online proporciona um mercado receptivo de compradores e vendedores21.

    Fonte: Symantec I CCI

    20 http://securityresponse.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/attacks_on_point_of_sale_systems.pdf

    21 http://www.symantec.com/connect/blogs/demystifying-point-sale-malware-and-attacks

    ATAQUES CONTRA O VAREJO

  • 27 I Symantec Website Security Solutions

    PRIVACIDADE E A IMPORTNCIA DA SEGURANA DE DADOS

    Por exemplo, 59 por cento dos entrevistados j tinham enfrentado problemas com a proteo de dados. Alm de violaes de dados de empresas usadas por eles, outros problemas incluram invaso de contas de e-mail e mdia social, roubo de detalhes bancrios e identidades online, vrus de computador ou e-mails falsos ou de fraudes online.

    No geral, 57 por cento dos entrevistados preocupam-se que seus dados no estejam seguros. Esse no um problema pequeno, j que a segurana dos dados muito importante para os consumidores, considerando que 88 por cento afirmam que esse um fator importante na escolha da empresa com a qual fazem negcios mais importante do que a qualidade do produto (86 por cento) ou a experincia com o atendimento ao cliente (82 por cento).

    Alm disso, somente 14 por cento dos entrevistados no se importavam em compartilhar seus dados com terceiros, com 47 por cento insatisfeitos em compartilhar quaisquer dados e 35 por cento exigindo alguma forma de controle sobre quais dados so compartilhados.

    Os entrevistados tambm indicaram que estavam adotando uma abordagem de automoderao em relao a seus dados pessoais e que se encarregariam eles prprios de sua proteo. De acordo com a pesquisa da Symantec, mais da metade dos pesquisados (57 por cento) agora evitam publicar detalhes pessoais online. Outra abordagem comum automoderao tambm pode ter repercusses assusta-doras para os negcios, porque um em trs consumidores admite ter fornecido informaes falsas a fim de proteger a sua privacidade.

    Alm disso, os invasores esto mais pacientes, aguardando aps terem violado as defesas de uma organizao e acu-mulando conhecimentos sobre os padres de comporta-mento a partir da atividade na rede: descobrir quem faz o que e como. Dessa forma, eles ficam mais preparados no s para vigiar os alvos mas tambm para se passarem por eles e explor-los. A arma escolhida por eles o uso de credenciais legtimas roubadas e o nvel de pacincia exigido para a realizao desses ataques, em vez de iniciar um ataque imediatamente aps uma violao. Com o moni-toramento cuidadoso desses ciclos de comportamento por longos perodos, esses ataques podem ter a aparncia de padres normais de comportamento.

    O permetro tradicional de uma organizao no mais to demarcado. As fronteiras se desfazem, e os dispositivos mveis tornam o gerenciamento especialmente difcil. Cada vez mais, os dados so armazenados no s em dispositivos mveis mas tambm na nuvem. Os dispositivos mveis se tornaram essenciais para fornecer acesso a esses dados, porque mais provvel que as senhas fiquem armazena-das no cache dos dispositivos mveis, que alm disso tm menos chance de estarem criptografados do que um laptop roubado.

    A prevalncia das violaes de dados nos ltimos anos certamente afetou a opinio dos consumidores a respeito de suas informaes privadas. A Symantec realizou uma pesquisa sobre privacidade na Unio Europeia, publicando concluses inte-ressantes no documento State of Privacy Report 2015 (Relatrio sobre o estado da privacidade de 2015).22

    22 http://www.symantec.com/content/en/us/about/presskits/b-state-of-privacy-report-2015.pdf

  • 28 Symantec Website Security Solutions I

    VIOLAES DE DADOS NO SETOR DE SADE

    Tudo isso leva a uma infraestrutura de TI mais complexa, aumentando a necessidade de integrao e troca de informaes, o surgimento de novos modelos de entrega de servios e reembolso e o acmulo de dados. Essas tendn-cias combinadas tornam o setor de sade mais atraente e aumentam o risco de violaes de dados dos fornecedores, de forma intencional ou no.

    Em 2014, houve um aumento de 23 por cento no nmero de violaes de dados de sade. Ao contrrio do que ocorre com as violaes de forma geral, o erro humano e o roubo de dispositivos (relacionados ou no aos dados presentes neles) ainda compem a maior parte desses incidentes. Dispositivos perdidos ou roubados so responsveis pela maior parte das violaes do setor de sade. De acordo com o Norton Cybercrime Index, 45 por cento das violaes em sade ocorreram devido a dispositivos perdidos ou roubados, um aumento de 10 por cento em relao ao ano anterior. Identidades expostas publicamente por acidente, devido a erros, tambm aumentaram em cerca de 11 por cento em 2104.

    No entanto, visar informaes mdicas de pacientes para fins de roubo de identidades mdicas, fraude financeira ou fraude de seguros de sade um problema cada vez maior. Interessados especificamente em informaes pessoais identificveis (PII) ou informaes de sade protegidas (PHI), os ladres parecem ter mais incentivos para invadir organizaes de sade ou tentar contratar pessoas das organizaes a fim de obter cpias eletrnicas ou impressas dos pronturios dos pacientes. Na verdade, o nmero de violaes de dados no setor de sade causadas por aes internas mais do que dobrou em 2014. As violaes resul-tantes de invases aumentaram 82 por cento em 2014.

    Ataques mais avanados podem visar volumes maiores de registros eletrnicos para roubo de identidades, como no setor de varejo. Tambm ocorrem outras atividades criminosas, incluindo extorso, chantagem ou bisbilhota-gem de celebridades. No entanto, um nmero indito de casos foi relatado em todo o mundo e para todos os tipos de organizaes de servios de sade, desde centros mdicos acadmicos a pequenos hospitais comunitrios, quando comparado a qualquer outro setor. Nem local nem tamanho fornecem qualquer proteo, como mostra o caso de um hospital comunitrio rural de 22 leitos do sul do estado de Illinois, que recebeu um e-mail com dados roubados que exigia o pagamento de resgate para que as informaes dos pacientes no fossem divulgadas23.

    Vrios hospitais possuem programas de segurana ciberntica amadurecidos, mas muitos ainda se esforam para atingir metas bsicas, como a implementao de criptografia para proteger os dados de dispositivos mveis, laptops ou carregadores de dados perdidos ou roubados. Um nmero grande demais de organizaes de servios de sade ainda investe pouco em segurana ciberntica, o que as transforma em alvos fceis para os ataques cada vez mais direcionados e sofisticados dos criminosos cibernti-cos.

    Infelizmente, em sua maior parte o setor de sade no est preparado para enfrentar os riscos da segurana cibern-tica, seja no caso de hospitais, empresas farmacuticas ou biotcnicas, seguradoras de sade, fabricantes de equipa-mentos mdicos, agncias nacionais de sade ou emprega-dores.

    Estimulados por foras do mercado e pelo desejo de melhorar o fornecimento dos servios, reduzir custos e atender a regulamentaes governamentais, os fornece-dores de sade tm adotado pronturios eletrnicos e sistemas clnicos digitais em nmeros recorde. Alm disso, o envelhecimento da populao requer gerenciar doenas crnicas, novas metodologias de diagnstico fornecem resultados de mel-hor qualidade e o nmero maior de pacientes atendidos faz o volume de dados crescer rapidamente.

    Por Axel Wirth

    23 Illinois hospital reports data blackmail; PC World, 15 de dezembro de 2014; http://www.pcworld.com/article/2859952/illinois-hospital-reports-data-blackmail.html

  • 29 I Symantec Website Security Solutions

    Muitas organizaes, como o SANS Institute, o Departamen-to de Segurana Interna dos EUA, o FBI e o FDA, divulgaram advertncias alarmantes a respeito dos riscos de segurana ciberntica para o setor de sade. As violaes no so um problema restrito aos EUA, tendo sido relatadas em vrios outros pases. Existe um mercado clandestino prspero para informaes mdicas, e os criminosos esto lucrando de vrias maneiras e por vrios motivos.

    Em primeiro lugar, os conjuntos de dados mdicos tendem a ser mais completos em comparao aos que podem ser ob-tidos em outros locais. Eles incluem informaes demogr-ficas, identificaes governamentais, contas bancrias e de carto de crdito, credenciais de planos de seguro, status de doenas e descritores fsicos. Esses dados podem ser usados para roubo de identidades, fraude financeira, fraude de prescries, obteno de servios mdicos ou revenda de dados no mercado negro. As caractersticas fsicas dos pacientes podem ser utilizadas na obteno de passaportes, vistos ou outras formas de documentos de identidade24. Em resumo, esses dados atraem agentes mal-intencionados devido ao seu alcance e profundidade.

    O roubo de identidades mdicas custa mais s vtimas do que apenas seu dinheiro. Dados incorretos em pronturios mdicos podem levar a diagnsticos ou tratamentos incor-retos ou atrasados, afetar possibilidades de emprego e,

    normalmente, so difceis de corrigir. Ao contrrio das fraudes financeiras, nas quais os consumidores tm respon-sabilidade limitada, existe pouca proteo contra fraudes de sade e suas consequncias de longo prazo25.

    Enquanto cartes de crdito podem valer de US$ 0,50 a US$ 1 na economia clandestina, informaes bsicas de seguros e identidades podem valer US$ 1026 e chegar at US$ 5027, de acordo com seu grau de integridade, podendo incluir at mesmo cartes de associado prontamente dis-ponveis, carteiras de motorista e cartes de crdito.

    Os nmeros de violaes em sade so altos, e a tendncia de crescimento. Tradicionalmente, a perda e o roubo de dispositivos so o principal desafio para as organizaes de servios de sade, mas agora vemos um aumento em ataques direcionados, o que resulta em violaes com impacto significativo em fornecedores de servios e pa-cientes. Causas no intencionais gerais, como a perda de dispositivos ou a exposio acidental de dados, ainda so os motivos mais comuns, mas violaes causadas por pessoas mal-intencionadas, como invases ou roubo interno, esto crescendo rapidamente. Essa tendncia destaca a neces-sidade de as organizaes garantirem a implementao de processos para tratar perda ou roubo, mas tambm de polticas de proteo contra agentes externos que tentem obter acesso a dados lucrativos.

    24 Medical identity theft proves lucrative in myriad ways; Fierce Health IT, 21 de outubro de 2014; http://www.fiercehealthit.com/story/medical-identify-theft-proves-lucrative-myriad-ways/2014-10-21?utm_medium=nl&utm_source=internal

    25 The Growing Threat of Medical Identity Fraud: A Call to Action; Medical Identity Fraud Alliance (MIFA), julho de 2013; http://medidfraud.org/wp-content/uploads/2013/07/MIFA-Growing-Threat-07232013.pdf

    26 Your medical record is worth more to hackers than your credit card; Reuters, 24 de setembro de 2014; http://www.reuters.com/article/2014/09/24/us-cybersecurity-hospitals-idUSKCN0HJ21I20140924

    27 Stolen EHR Charts Sell for $50 Each on Black Market; MedScape, 18 de abril de 2014; http://www.medscape.com/viewarticle/824192

  • 30 Symantec Website Security Solutions I

    RECOMENDAES E MELHORES PRTICAS

  • 31 I Symantec Website Security Solutions

    Apesar das vulnerabilidades deste ano, quando se trata de proteger os visitantes do seu site e as informaes que eles compartilham com voc, o SSL e o TLS continuaro a ser o padro-ouro. Na verdade, devido publicidade recebida pelo Heartbleed, um nmero indito de empresas comeou a contratar desenvolvedores de SSL para lidar com correes e cdigo. Com isso, h mais gente trabalhando em bibliotecas SSL e em boas prticas de implementao.

    i http://www.symantec.com/page.jsp?id=1024-bit-certificate-supportii http://www.symantec.com/pt/br/page.jsp?id=sha2-transitioniii http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsaiv https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp

    Obtenha SSL mais forte

    Em 2014, os algoritmos de certificados SSL ficaram mais fortes do que nunca. A Symantec, alm de vrias outras autoridades de certificao, adotou o SHA-2 como padro e est reduzindo o suporte para razes de 1024 bitsi.

    A Microsoft e o Google anunciaram planos de descontinuar o SHA-1 que podem afetar sites com certificados SHA-1 cuja expirao comea em 1 de janeiro de 2016ii. Em outras palavras, caso voc ainda no tenha migrado para o SHA-2, os visitantes que usam o Chrome para acessar seu site provavelmente vero um aviso de segurana e, a partir de 1 de janeiro de 2017, seus certificados no funcionaro para visitantes que usem o IE.

    A Symantec tambm est expandindo o uso do algoritmo ECC, uma alternativa muito mais forte ao RSA. Todos os grandes navegadores, mesmo as verses mveis, tm suporte para certificados ECC em todas as plataformas mais recentes. Existem trs benefcios principais no uso de ECC:

    1. Segurana aprimorada. Comparadas com as chaves RSA 2048, o padro do setor, as chaves ECC-256 so 10.000 vezes mais difceis de violariii. Ou seja, preciso ter muito mais capacidade de computao e dispor de muito mais tempo para executar ataques de fora bruta que violem esse algoritmo.

    2. Melhor desempenho. Os proprietrios de sites costumavam se preocupar que a implementao de certificados SSL deixaria seus sites mais lentos. Por isso, muitos sites adotaram SSL apenas parcialmente, o que cria vulnerabilidades graves. O ECC requer menos capacidade de processamento no site do que o RSA e pode lidar com mais usurios e conexes ao mesmo tempo. Isso torna a implementao do Always-On SSL no s sensata mas tambm vivel.

    3. Perfect Forward Secrecy (PFS). Embora a PFS seja uma opo com certificados RSA e ECC, o desempenho muito melhor com certificados ECC. Por que isso faz diferena? Bem, sem a PFS, um invasor que obtenha as suas chaves privadas poder descriptografar dados de forma retro-ativa. Considerando que a vulnerabilidade Heartbleed tornou essa possibilidade bastante real para tantos sites, esse um problema. Com a PFS, porm, um invasor que viole ou obtenha sua chave privada de certificado SSL s poder descriptografar informaes protegidas com as chaves a partir desse momento. Ele no poder descriptografar dados histricos.

    Use o SSL da forma certa

    Como vimos em 2014, os benefcios do SSL dependem da sua implementao e manuteno. Por isso, certifique-se de:

    Implementar o Always-On SSL. Use certificados SSL para proteger todas as pginas do seu site, de forma que todas as interaes dos visitantes com o site sejam autenticadas e criptografadas.

    Manter os servidores atualizados. Isso no se aplica apenas s bibliotecas SSL do servidor: qualquer patch ou atualizao precisa ser instalado assim que possvel. Existe um motivo por que so lanados: para reduzir ou eliminar uma vulnerabilidade.

    Exibir marcas de confiana reconhecidas (como o Selo Norton Secured) em locais de grande visibilidade do site para mostrar seu compromisso com a segurana dos clientes.

    Executar verificaes regulares. Fique atento aos servidores Web e procure vulnerabilidades ou malware.

    Manter a configurao dos servidores atualizada. Verifique se verses antigas e inseguras do protocolo SSL (SSL2 e SSL3) esto desabilitadas e se verses mais recentes do protocolo TLS (TLS1.1 e TLS1.2) esto habilitadas e priorizadas. Use ferramentas como o SSL Toolbox da Symantec para verificar a configurao correta dos servidoresiv.

  • 32 I Symantec Website Security Solutions

    v http://arstechnica.com/security/2014/08/new-website-aims-to-shame-apps-with-lax-security/

    Instrua os funcionrios

    Bom senso bsico e alguns bons hbitos de segurana podem fazer muito pela segurana de sites e servidores este ano:

    Garanta que os funcionrios no abram anexos de remetentes que no conhecem.

    Eduque os funcionrios a respeito da sua conduta em mdia social: ofertas que paream boas demais para ser verdade no so; assuntos quentes so uma grande isca para fraudes; nem todos os links levam a pginas de login verdadeiras.

    Estimule-os a adotarem a autenticao de duas etapas em qualquer site ou aplicativo que a oferea.

    Garanta que tenham senhas diferentes para cada conta de e-mail, aplicativo e login, especialmente no caso de sites e servios relacionados ao trabalho.

    Lembre-os de cultivar o bom senso. Ter um software antivrus no significa que permitido visitar sites mal-intencionados ou questionveis.

    Garanta a segurana ou passe vergonha

    Os invasores esto mais agressivos, mais sofisticados e mais impiedosos do que nunca em suas tentativas de explorar a Internet para seus objetivos perniciosos. No entanto, indivduos e organizaes podem fazer muito para limitar o seu impacto.

    O SSL e a segurana de sites agora fazem parte da conscincia pblica, e se voc no fizer a sua parte poder passar vergonha no HTTP Shaming, um site criado pelo engenheiro de software Tony Websterv.

    Quando se trata de empresas e seus sites, implementaes e processos de segurana adequados so tudo o que impede a runa total, tanto financeira quanto de sua reputao. Por isso, garanta asua segurana em 2015 com a Symantec.

  • 33 I Symantec Website Security Solutions

    VEM A

    PARTE 3:MDIA SOCIAL E FRAUDES

    Conhea as informaes mais recentes sobre mdia social e fraudes

    e saiba mais sobre o futuro do panorama de ameaas a curto prazo.

  • 34 I Symantec Website Security Solutions

    SOBRE A SYMANTEC

    A Symantec Corporation (NASDAQ: SYMC) uma especialista em proteo de informaes

    que ajuda pessoas, empresas e governos que buscam a liberdade de aproveitar as oportu-

    nidades trazidas pela tecnologia a qualquer momento, em qualquer lugar. Fundada em

    abril de 1982, a Symantec, uma empresa Fortune 500 que opera uma das maiores redes

    globais de inteligncia de dados, fornece solues lderes do setor para segurana, backup

    e disponibilidade de locais onde informaes vitais so armazenadas, acessadas e com-

    partilhadas. Os mais de 20.000 funcionrios da empresa esto espalhados por mais de

    50pases. Noventa e cinco por cento das empresas Fortune 500 so clientes da Symantec.

    No ano fiscal de 2013, ela registrou receitas de US$ 6,9 bilhes.

    Para saber mais, visite www.symantec.com/pt/br

    ou conecte-se Symantec em: www.symantec.com/pt/br/social.

    Mais informaes

    Symantec no mundo: http://www.symantec.com/

    Recursos de inteligncia da Symantec e ISTR: http://www.symantec.com/pt/br/threatreport/

    Resposta de segurana da Symantec: http://www.symantec.com/pt/br/security_response/

    Norton Threat Explorer: http://br.norton.com/security_response/threatexplorer/

    Norton Cybercrime Index: http://br.norton.com/cybercrimeindex/

  • Para obter informaes de escritrios locais especficos e nmeros de

    contato, visite nosso site.

    Para obter informaes de produtos

    ligue para: +1 650 426 5112

    Symantec Brazil

    Av. Dr. Chucri Zaidan, 920 - 12 andar

    Market Place Tower

    So Paulo, SP

    Brasil

    www.symantec.com/pt/br/ssl

    2015 Symantec Corporation. Todos os direitos reservados. Symantec, o logotipo da Symantec, o logotipo circular com a marca de

    verificao e o logotipo do Norton Secured so marcas comerciais ou registradas da Symantec Corporation ou de suas afiliadas nos

    Estados Unidos e em outros pases. Outros nomes podem ser marcas comerciais dos respectivos proprietrios.