© 2011

Relatório de Segurança Global 2011

Luiz Eduardo Dos Santos Diretor, SpiderLabs LAC

© 2011

Agenda

  Introdução   Investigações de Respostas a Incidentes   Estatísticas de Malware   Evolução dos Vetores de Ataque   Iniciativas Estratégicas   Conclusões   Perguntas?

© 2011

Introduction

Sobre o Relatório de Segurança Global da Trustwave:

  Publicado Anualmente

  Com base nas descobertas e evidências pelos trabalhos do SpiderLabs da Trustwave em 2010

  Ferramenta para educar e ajudar no planejamento de estratégicas das iniciativas de segurança nas empresas

  Mais de 200 investigações e resultados de 2.000 testes de penetração contribuiram para a análise e conclusões

–  Dados coletados dos 20 países de maior PIB

  Baixe o relatório em:

https://www.trustwave.com/GSR

© 2011

Investigações de Respostas a Incidentes

  Países Representados

Australia, Brasil, Canadá, China, República Dominicana, Alemanha, Gana, Israel, Japão, Malásia, México, Nepal, Filipinas, Reino Unido, Estados Unitos

© 2011

Investigações de Respostas a Incidentes

  Setores Representados −  75% dos casos – Alimentos

e Bebidas e Varejo

−  Menos foco em Hotelaria comparado ao ano passado

−  Maior grupo aumentou ainda mais a sua representação

© 2011

Investigações de Respostas a Incidentes

  Dados em Risco −  Dados de cartões de

pagamos são simples de negociar

−  Dados Sensíveis

  Atividades de Aquisição e Fusão

  Anotações da Diretoria

  Inteligência

  Dados Proprietários

  Segredos de Negócios

© 2011

Investigações de Respostas a Incidentes

  Alvos

−  Sistemas de PDV continuam no caminho de menos resistência

−  A maioria confiou na integração terceirizada

−  Paísesque usam EMV continuam sendo alvos

  Focado em ambientes com presença de cartões

  PDV de leitores magnéticos ainda em uso

© 2011

Investigações de Respostas a Incidentes

  Métodos de Detecção vs. Tempo −  Conforme esperado, aqueles com equpes internas, reagem mais rápido

−  Falta de equipes internas, 5x mais tempo de exposição

−  Investigações mostram:

  Treinamento em segurança baseado em atribuições = melhor capacidade de detecção

  Programas e Monitoramento de Segurança da Informação amadurecidos ajudam

© 2011

Investigações de Respostas a Incidentes

  Responsabilidade de Administração −  Acordo de implementação e

manutenção dos sistemas?

−  Construídos com base em requerimentos de segurança “não-funcionais”

© 2011

Investigações de Respostas a Incidentes

  Janela de Exposícão de Dados −  Realidade reflete intuição

−  Dados armazenados aumentam o impacto do ataque

−  Média de transações “comprometidas”

−  Dados em Trânsito – 3 meses

−  Dados Armazenados – 18 meses

© 2011

© 2011

Investigações de Respostas a Incidentes

  Origem dos Ataques

© 2011

Investigações de Respostas a Incidentes

  Regulamentação PCI

−  97% políticas de firewalls insuficientes

−  83% senhas padrão/ fáceis de advinhar

−  48% não está utilizando aplicações PA-DSS

© 2011

Trilogia das Brechas de Segurança – Infiltrando, Agregando, Extraindo

  Infiltrando

© 2011

Trilogia das Brechas de Segurança Infiltrando, Agregando, Extraindo

  Agregando

−  Deixando de lado a técnica de “smash & grab” para dados armazenados

−  Porque? 1.  Menos dados inseguros

sendo armazenados

  PCI DSS, PA-DSS, OWASP

2.  Dados vencidos de cartões

  Mais difícil de buscar

  Dados novos

  Compensa para os criminosos

−  Correlação de ataques de dados em trânsito e malwares

© 2011

Trilogia das Brechas de Segurança Infiltrando, Agregando, Extraindo

  Extraindo

© 2011

Estatísticas de Malware

  Pontos de Interesse: Classificação

−  Desenvolvimentos de novos malwares

  Malware específico para PDVs

  Requer conhecimento específico dos PDVs

−  Caso de destaque de Malware em PDVs

  Algorítimo e chave de criptografia identidicados

  Dados “abertos” e extraídos

© 2011

Estatísticas de Malware

  Pontos de Interesse: Capacidade Anti-Forense

−  Temas Principais

  Mais características anti-forense

  Primariamente para evitar DLP/ IDS

  Dados guardados em memória

  Técnicas de Ofuscação

−  Capacidade de análise de Maware é uma necessidade para os investigadores

© 2011

Evolução dos Vetores de Ataque

0

1

2

3

4

5

6

7

8

9

1950 1960 1970 1980 1990 2000 2010

Vetores de Ataque x Tempo

Social Networking

Mobile

Client-Side

Wireless

Application

E-mail

Network

Physical

© 2011

Evolução dos Vetores de Ataque

  1980s: Ataques Físicos

© 2011

Evolução dos Vetores de Ataque

  2010: Ataques Físicos

1.  Dados Sensíveis “visíveis”

2.  Sistemas/ Computadores não bloqueados

3.  Infra de Cabeamento em áreas públicas

© 2011

Evolução dos Vetores de Ataque

  1990s: Redes

© 2011

Evolução dos Vetores de Ataque

  2010: Redes

1.  Senhas em branco ou “fracas”

2.  Acesso à Servidores de Bases de Dados

3.  ARP Cache Poisoning

© 2011

Evolução dos Vetores de Ataque

  2000s: E-mail

© 2011

Evolução dos Vetores de Ataque

  2010: E-mail

© 2011

Evolução dos Vetores de Ataque

  2000s: Aplicações

© 2011

Evolução dos Vetores de Ataque

  2010: Aplicações

1.  Injeção de SQL

2.  Falhas Lógicas

3.  Bypass de Autorização

© 2011

Evolução dos Vetores de Ataque

  2000s: Wireless

© 2011

Evolução dos Vetores de Ataque

  2010: Wireless

1.  Rede sem-fio e cabeada simultâneas

2.  Computadores configurados para associar com redes “conhecidas”

3.  Chaves WPA/WPA2 fáceis de advinhar

© 2011

Evolução dos Vetores de Ataque

  2010s: Client-Side

© 2011

Evolução dos Vetores de Ataque

  2010: Client Side (Malware)

1.  Ataques à Alvos

2.  Infecção “drive-by”

3.  Instalação Manual

© 2011

Evolução dos Vetores de Ataque

  2010s: Dispositivos Móveis

© 2011

Evolução dos Vetores de Ataque

  2010: Dispositivos Móveis

1.  Ataques de Phishing em dispositivos móveis

2.  Ransomware em dispositivos móveis

3.  Firmware e Jailbreaks falsos

© 2011

Evolução dos Vetores de Ataque

  2010s: Redes Sociais

© 2011

Evolução dos Vetores de Ataque

  2010: Social Networking

1.  Propagação de Malware

2.  Exposição de Dados Pessoais

3.  Data Mining

© 2011

Iniciativas Estratégicas

1.  Avaliar, Reduzier e Monitorar a superfície de ataque do lado do cliente

2.  Adotar Redes Sociais, mas, educar os funcionários

3.  Desenvolver um programa de segurança móvel

4.  Autenticação de Múltiplos Fatores

5.  Erradicar o tráfego de texto não-criptografado

6.  Usar Patch Virtual de Aplicações Web até consertar os problemas

7.  Capacitar equipes de segurança a incidentes

8.  Reforçar a segurança com relacionamento com terceiros

9.  Implementar Controle de Acesso à Redes

10.  Analisar todos os eventos

11.  Implementar um programa de conscientização de Segurança em toda a organização

© 2011

Conclusões

Em 2010, o panorama da segurança mudou:

  Alvos mudaram para endpoints e usuários

  Indivíduos se tornaram fácilmente identificados aos atacantes

  Ferramentas maliciosas se tornaram mais sofisticadas

  Novos ventores de ataque foram introduzidos com a inovação da tecnologia; vetores antigos nunca morrem

Em 2011, organizações que são conscientes e dedicadas à segurança estão:

  Resistentes à ataques

  Reduzir o risco de comprometimento de dados

  Proteger dados sensíveis e sua manipulação

© 2011

Perguntas?

© 2011

Obrigado!

Luiz Eduardo Dos Santos le (arroba) trustwave.com @effffn https://www.trustwave.com/GSR https://www.trustwave.com/spiderlabs Twitter: @SpiderLabs / @Trustwave