3 fev Previsões de Segurança da Informação para 2015

Websense® Security Labs™
PREVISÕES DE
SEGURANÇA PARA 2015
PREVISÕES DE SEGURANÇA PARA 2015
SUMÁRIO
1. Socorro! Chamem o Médico da TI.
Meu hospital está sendo atacado outra vez!
O setor de saúde terá um aumento substancial
nas campanhas de ataques de furto de dados
03
2. Sua geladeira não é uma ameaça
à segurança de TI. Sensores
industriais são.
Os ataques à Internet das Coisas terão
foco em casos de uso em negócios,
e não em produtos de consumo
04
3. As violações aos cartões
de crédito serão a menor de suas
preocupações.
Os ladrões de cartões de crédito vão se
transformar em traficantes de informações
06
4. Você só é quem seu telefone
diz que é.
A consolidação da autenticação no telefone
acionará explorações em dados específicos,
mas não para furtar dados no telefone
07
5. Código Aberto ou Portas Abertas?
Novas vulnerabilidades emergirão de décadas
de códigos-fonte antigos
09
6. As ameaças por email estão
evoluindo.
As ameaças por email assumirão um novo
nível de sofisticação e evasão
10
7. Google Docs controla o bot.
Com o acesso cada vez maior das empresas
à nuvem e às ferramentas de mídia social, as
instruções de comando e controle passarão
a ser hospedadas em sites legítimos
11
8. Novos jogadores entram
em campo na ciberguerra.
Teremos novos (ou recém-revelados) jogadores
no campo de batalha global da ciberguerra/
ciberespionagem
12
PREVISÃO 1
SOCORRO! CHAMEM O MÉDICO
DA TI. MEU HOSPITAL ESTÁ
SENDO ATACADO - OUTRA VEZ!
O setor de saúde terá um aumento
substancial nas campanhas de ataques
de furto de dados.
De acordo com o Identity Theft Resource Center, os registros de saúde foram
responsáveis por 43% das principais violações de dados reportadas em 20131.
Registros médicos e dados de pacientes são alvos lógicos para os criminosos
digitais. Os registros de saúde representam um tesouro repleto de dados
valiosos para um atacante. Nenhum outro tipo de registro único contém tantas
Informações Pessoais Identificáveis (PII, Personally Identifiable Information)
que podem ser usadas em uma infinidade de ataques de acompanhamentos
diferentes e variados tipos de fraude. Os registros de saúde não contêm apenas
informações vitais sobre a identidade de uma pessoa (nome, endereço, seguro
social), mas também com frequência estão vinculados a informações financeiras
e de seguros. O acesso a PII permite que um atacante cometa fraudes de
identidade, enquanto as informações financeiras podem levar à exploração
financeira. Trata-se de uma área de ataque secundária lógica e lucrativa para
cibercriminosos já atuantes no roubo de dados de cartões de crédito.
Profissionais de saúde também estão em risco. Com frequência, eles tendem
a contornar políticas de segurança de TI para atender melhor os pacientes. Em
uma emergência médica, as apostas não poderiam ser mais elevadas. Quando
um médico ou enfermeiro precisa dos recursos do computador para acessar
dados porque a saúde de um paciente está em risco, a política de TI fica em
segundo lugar em relação à saúde do paciente. No calor do momento, esse
comportamento pode elevar os riscos de ameaças digitais ou resultar no acesso
e armazenamento de informações confidenciais sem segurança.
Isso também ocorre em ambientes do setor de saúde que estão em transição
dos registros para o formato digital e eletrônico. Embora tenha ocorrido um
grande impulso político para tal migração digital dos registros, a segurança de
hospitais e nos cuidados médicos (especialmente em consultórios menores)
ainda não está atualizada ao desafio de proteger os dados valiosos de pacientes.
“A indústria
de saúde é um
dos principais
alvos para os
cibercriminosos.
Com milhões
de registros de
pacientes agora
em formato
digital, o maior
desafio do setor
para 2015 será
impedir que
as informações
pessoais de
identificação
escapem por
lacunas na
segurança
e caiam nas mãos
de hackers.”
– Carl Leonard, Principal Analista
de Segurança, Websense Security Labs
Como resultado, os ciberataques direcionados às organizações de saúde
manterão rápida ascensão em frequência e êxito.
1. www.idtheftcenter.org/ITRC-Surveys-Studies/2013-data-breaches.html
PREVISÕES DE SEGURANÇA PARA 2015
03
PREVISÃO 2
Sua geladeira não é uma
ameaça à segurança de TI.
Sensores industriais são.
Os ataques à Internet das Coisas
Termo em Inglês (IoT Internet of
Things) terão foco em casos de uso
em negócios, e não em produtos
de consumo.
Haverá pelo menos uma grande violação a uma companhia através
de um dispositivo conectado à internet recém-introduzido, mais
provavelmente com um controlador lógico programável ou outro
dispositivo semelhantemente conectado, em um ambiente de
fabricação.
Embora, muitas invasões em geladeiras, termostatos residenciais
e carros tenham chegado às manchetes, a probabilidade de uma
grande campanha de ataques usando itens residenciais conectados
via Internet das Coisas é mínima. Com frequência, não há muita
sofisticação nesses dispositivos “inteligentes” e usar esses itens
para criar um ataque viável seria muito desafiador, considerando
o estado atual da tecnologia.
Embora talvez seja necessário se preocupar com criminosos
digitais derretendo a sua manteiga ou azedando o leite em sua
geladeira, há pouca recompensa em ataques contra seus dispositivos
domésticos conectados. Os criminosos estão com os olhos voltados
para outros alvos.
A Internet das Coisas mudará significativamente o cenário de
segurança de outras formas, com os principais desafios em IoT
estando focados no uso comercial. Cada dispositivo conectado
à internet aumenta muito o número de superfícies de ataque nas
empresas. A Internet das Coisas deverá crescer muito e ser uma
das principais fontes para as dores de cabeça de CSOs este ano,
herdando as preocupações advindas do BYOD no passado.
PREVISÕES DE SEGURANÇA PARA 2015
04
PREVISÃO 2
“A Internet das Coisas significa que produtos de
consumo, de TVs a geladeiras, agora estão conectados
digitalmente. Embora a empresa não precise temer as
implicações de um aparelho doméstico interconectado,
todo dispositivo, aplicativo e upgrade conectado
à internet de um funcionário novo é um vetor de ameaças
em potencial.” – Charles Renert, VP, Websense Security Labs
Por exemplo, processos totalmente novos estão evoluindo
rapidamente rumo à arquitetura da Internet das Coisas. Contudo,
há uma grande probabilidade de que no mínimo uma dessas áreas
observará tráfego de ataque, especialmente quando segurança não
é uma prioridade para a maioria das inovações e porque nem tudo
será revelado.
Muitos dos novos dispositivos IoT conectados na rede corporativa
incluem compartilhamento de informações assistidos por máquinas.
Esses dispositivos automatizam grandes indústrias para garantir que
plantas operacionais, como usinas de energia, fábricas e plataformas
de petróleo, funcionem sem problemas.
Quando se conecta um novo dispositivo a essas redes existentes
e altamente complexas, eles podem ter outro tipo de protocolo
de comunicação. Depois que aumenta o fluxo de comunicações nas
empresas torna-se um desafio identificar qual tráfego é legítimo
e o que pode ser um ataque de furto de dados. Como resultado, essa
comunicação também pode passar sem monitoramento.
Além disso, o tempo de parada desses sistemas pode significar
milhões em perda de receita. Portanto, os líderes das empresas não
estão dispostos a tolerar essa possibilidade. Qualquer interrupção
devido a um falso positivo de uma solução de segurança não será
tolerado pelos altos executivos, o que significa que grande parte
dessas comunicações entre máquinas também permanecerão
desprotegidas.
PREVISÕES DE SEGURANÇA PARA 2015
05
PREVISÃO 3
As violações aos cartões
de crédito serão a menor
de suas preocupações.
Os ladrões de cartões de
crédito vão se transformar em
traficantes de informações.
Com bilhões de dólares circulando por aí, os
ataques digitais ao varejo em busca de dados
de cartões de crédito provavelmente continuarão
em 2015. Contudo, à medida que os especialistas
em segurança em varejo aumentam as defesas
(e medidas de segurança como tecnologias
de chip e PIN são exigidas), observaremos uma
transformação na forma como esses furtos são
cometidos.
Por exemplo, quando cartões são haqueados
e colocados à venda em sites de cartões furtados
do mundo inteiro, o valor deles diminui conforme
são marcados ou cancelados pelo banco emissor.
A janela de tempo para maximizar o lucro
dessas iniciativas continua a diminuir, embora os
criminosos estejam encontrando novas formas
de furtá-los. Devido a esse declínio de valor,
é provável que os criminosos procurem coletar
ainda mais números de cartões de crédito
do que atualmente, tentando também manter
o valor das informações detidas por um
período mas longo.
Acreditamos que os ladrões de dados
começarão a ajustar seu malware para coletar
outras informações disponíveis, em vez de apenas
detalhes relevantes de cartões de crédito. Com
uma pequena modificação no código, o malware
para furto de dados de cartão de crédito agora
também furta credenciais ou quaisquer informações
associadas com o terminal, incluindo identidade
do usuário, programas de fidelidade de clientes
ou outros dados relacionados à loja. Se puderem
associar seus esforços massivos de coleta
de dados, poderão começar a reunir os dados
individuais e coletar perfis inteiros de cada
usuário, com diversos cartões de crédito, dados
regionais e geográficos, informações pessoais
e de comportamento. Essas informações
pessoais, obtidas na nuvem criminosa, valeriam
consideravelmente mais do que o simples
número de cartão de crédito furtado.
Assim, os criminosos que vendem contas de
cartão de crédito provavelmente poderão adaptar
à atividade ilegal a venda de dossiês completos
de identidades pessoais.
PREVISÕES DE SEGURANÇA PARA 2015
06
PREVISÃO 4
Você só é quem seu
telefone diz que é
A consolidação da autenticação no
telefone acionará explorações em
dados específicos, mas não para furtar
dados no telefone
Apesar de toda a onda de alertas, os dispositivos móveis
continuarão a ser um fator irrelevante para a imensa maioria dos
ataques de malware contra empresas. Embora seja verdade que
o número de variantes e incidentes de malware móvel tenha crescido
muito ano a ano (lembre-se de que, essencialmente, começamos
do zero), ainda não chegam nem a um ponto percentual entre os
ataques gerais ou ataques avançados.
Entretanto, os dispositivos móveis cada vez mais serão alvo
de ataques mais amplos para furto de credenciais ou ataques
de autenticação para uso em data posterior.
Para obter um entendimento mais completo do problema, realmente
precisamos pensar em dispositivos móveis como condutores para
a Nuvem. À medida que a Nuvem obtém mais dados, as organizações
facilitam o acesso a esses dados através de diversos tipos de
dispositivos, sejam eles por desktop, tablets ou celulares. Por isso,
veremos criminosos tendo como alvo os dispositivos móveis – não
para simplesmente quebrar o código de um telefone e furtar dados
do dispositivo, mas como um vetor para os recursos de dados
cada vez maiores que os dispositivos podem acessar livremente
na Nuvem.
PREVISÕES DE SEGURANÇA PARA 2015
07
PREVISÃO 4
A mobilidade também cria possíveis vulnerabilidades na área
de autenticação de usuários. Muitos serviços online procuraram
desviar a autenticação para grandes redes sociais, de forma que,
para acessar seus serviços, os usuários precisavam fazer login
usando as informações da conta do Facebook, por exemplo.
A crença era de que a segurança do Facebook era muito mais
sofisticada do que a deles. É um pouco irônico, contudo, que os
profissionais de segurança recomendem usar senhas diferentes
para cada site, embora agora possamos usar a mesma “conta
principal” (por exemplo, Facebook) para autenticar o login em
muitos serviços.
Este problema de ponto de falha único vai se estender para os
telefones este ano, porque os smartphones estão cada vez mais
sendo usados como uma medida de autenticação fora de banda
primária, especialmente para aplicativos críticos aos negócios.
A autenticação vai se tornar uma questão de segurança ainda
mais premente conforme a transição para novas implementações
abrangentes de autenticações móveis e sociais fora da banda se
desenvolvam. Os ataques que buscam comprometer credenciais
sociais e dispositivos fora de banda aumentarão em escala massiva.
Os criminosos aproveitarão a dependência cada vez maior no
smartphone como uma medida de autenticação. É provável que
isso se manifeste como código malicioso projetado para interceptar
os elementos de autenticação de geração de texto ou código
integrado em programas para celular, ou clonem ou imitem um
dispositivo móvel próprio para assumir o controle de outras contas,
em uma variação dos ataques man-in-the-middle (referência ao
atacante que intercepta os dados). Com essas informações, os
criminosos podem usar o dispositivo como chave para acessar
uma grande variedade de informações disponíveis para o usuário,
incluindo dados corporativos valiosos.
PREVISÕES DE SEGURANÇA PARA 2015
08
PREVISÃO 5
CÓDIGO ABERTO
OU PORTAS ABERTAS?
Novas vulnerabilidades
emergirão de décadas
de códigos-fonte antigos.
gerenciamento de certificados, protocolos HTTPS
e SSL por determinados serviços na nuvem,
poderemos enfrentar um grande obstáculo este
ano. Os atacantes usarão as vulnerabilidades
em código antigo para atacar novos aplicativos.
Grandes vulnerabilidades, como OpenSSL,
Heartlbeed e Shellshock, existem em códigofonte aberto há anos e só foram enxergadas as
fraquezas por um novo par de olhos. Embora
essas vulnerabilidades só tenham sido reveladas
recentemente, não devemos descartar de
que foram usadas no passado como vetores
de exploração, antes de se tornarem públicas.
A velocidade de desenvolvimento usando
ferramentas de terceiros é surpreendente.
Ninguém desenvolve a partir do zero. A taxa
de adoção de programação de código aberto
como componente básico de novos softwares
e serviços excede muito a inspeção do código
desses aplicativos. Infelizmente, a segurança
ainda não está integrada na maioria dos ciclos
de desenvolvimento. À medida em que o códigofonte é usado e alterado em um novo aplicativo
ou serviço, cada integração abre oportunidades
para riscos.
“O código-fonte antigo é o novo cavalo
de Troia que espera para ser explorado,
e o código-fonte aberto é só o início.
Com tanto código escrito e em uso,
é impossível identificar todos os pontos
de exposição adormecidos até que tenham
sido executados. Por isso, sempre que
um código-fonte é alterado ou integrado
como parte de um upgrade de aplicativo
ou serviço, essas vulnerabilidades
sistêmicas desconhecidas têm potencial
para expor as redes a ataques.”
– Carl Leonard, Principal Analista de Segurança, Websense Security Labs
É muito provável que cada uma dessas
vulnerabilidades já tenha estado na mira de
atacantes digitais sofisticados há muito tempo.
Associe isso aos desafios com as falhas no
Falhas em código antigo, incluindo código
proprietário legado, e não apenas código-fonte
aberto, permitirão grandes violações de dados
em aplicativos divergentes, porque o código nunca
foi inspecionado adequadamente por terceiros
antes ou após a integração. Se for feito um
modelo de ameaças para a internet, os resultados
mostram que os protocolos subjacentes usados
estão ou serão quebrados.
Em 2015, pelo menos uma grande violação de
dados, um verdadeiro baú do tesouro, terá origem
em dados confidenciais de empresas transmitidos
ou protegidos de forma inadequada em sites
de armazenamento em nuvem disponíveis
publicamente e fundamentados em código antigo.
PREVISÕES DE SEGURANÇA PARA 2015
09
PREVISÃO 6
AS AMEAÇAS POR EMAIL
ESTÃO EVOLUINDO
As ameaças por email assumirão um novo
nível de sofisticação e evasão.
Embora a Web continue sendo o maior vetor para ataques contra empresas,
o email terá um papel cada vez mais fundamental no comprometimento
de dados. Algoritmos de Geração de Domínios massivamente polimórficos
e técnicas de evasão em evolução testarão os limites da maioria das atuais
soluções para segurança de email.
Os cibercriminosos que aumentam as apostas estão aperfeiçoando suas
habilidades de campanha anteriormente associadas apenas a ataques
avançados e direcionados. Essas táticas avançadas, projetadas para burlar
a maioria das soluções modernas de segurança para email, estão rapidamente
se transformando em nova norma à medida em que ameaças por email mais
sofisticadas aumentam.
Como resultado, embora os volumes de spam estejam diminuindo, a maioria
dos usuários começará a observar um aumento na quantidade de spam que
recebem na caixa de entrada, porque a maioria das medidas de segurança
de email será incapaz de detectá-los no exame na Nuvem, antes de passálos para a caixa de entrada do usuário.
Embora em geral associados com o estágio de Isca dentre os 7 Estágios2
da Cadeia de Ameaças, observamos uma tendência crescente para emails
que não contêm um link ou mensagem de spam, mas na verdade são os
primeiros passos de Reconhecimento para um ataque avançado. Como
o remetente e o texto são suficientemente randomizados e o corpo do email
não inclui malware nem links para análise, estes emails acabam passando
pela maioria das soluções de segurança. Contudo, automatizando o processo
em toda a organização, os atacantes podem ainda usar este método para
validar credenciais e se preparar com mais eficácia para outros aspectos de
penetração de um ataque.
“Ao longo dos anos,
temos observado
o email se tornar
o ponto de entrada
preferencial para
furto de dados na
Web. Com todos
os olhos voltados
principalmente
para as ameaças
mais avançadas
e óbvias, a previsão
é de que as
ameaças por email
aumentem conforme
os atacantes
aperfeiçoem suas
técnicas e operações
de reconhecimento
para contornar os
limites das soluções
de segurança
de email atuais.”
– Carl Leonard, Principal Analista
de Segurança, Websense Security Labs
2. www.websense.com/sevenstages
PREVISÕES DE SEGURANÇA PARA 2015
10
PREVISÃO 7
GOOGLE DOCS CONTROLA O BOT
Com o acesso cada vez maior das empresas
à nuvem e às ferramentas de mídia social, as
instruções de comando e controle passarão
a ser hospedadas em sites legítimos.
À medida que as empresas ampliam o acesso às ferramentas na nuvem,
de colaboração e redes sociais, os criminosos migrarão sua infraestrutura
de Comando e Controle para ocultação nesses canais aprovados.
No mundo corporativo atual, os administradores de rede que monitoram
atividades de internet sinalizam o tráfego para sites maliciosos, mas não
pensam duas vezes se o tráfego de rede mostra um usuário visitando
o Twitter a cada quatro horas ou acessando o Google Docs. Os criminosos
vão se aproveitar disso e cada vez mais colocar a infraestrutura de Comando
e Controle com malware nesses canais.
Além disso, observaremos o comprometimento de sites legítimos que
se destacam em determinada indústria, para instruir em vez de distribuir
malware. Assim, os sites “waterhole” poderão ser modificados e, em vez
de entregar malware (e arriscar a detecção de um dropper), poderão
simplesmente ser usados para controlar o malware já presente em um
dispositivo.
Da mesma forma, prevemos que a exfiltração será perpetuada por esses
canais aprovados pela empresa para ocultar os ataques de furto de dados
nas análises.
PREVISÕES DE SEGURANÇA PARA 2015
11
PREDICTION 8
Novos jogadores entram
em campo na ciberguerra.
Teremos novos (ou recém-revelados)
jogadores no campo de batalha global
da ciberguerra/ciberespionagem.
No ano passado, a divulgação de documentos confidenciais comprovou que
estados-nação estão se envolvendo ativamente em planejamento, táticas
e ataques de ciberguerra. Em grande parte, essas manobras definiram
um modelo principalmente bem-sucedido. Isso sem dúvida atrairá novos
recrutas para a ciberguerra mundial.
Ao contrário das medidas anteriores para limitar o acesso a armas de guerra
estratégicas (como tratados de não-proliferação nuclear), atualmente não há
restrição para a capacidade de países, facções de governos, grupos rebeldes
e pessoas com interesses nacionalistas de se envolver em atividades da
ciberguerra.
Tratados de guerra digital poderão estar no horizonte em alguns anos mas,
neste ínterim, o hacking de estados-nação continuará e os adversários
empunhando computadores como armas nessas batalhas irão se multiplicar
tremendamente.
Como não é necessário ter financiamento de estados-nação no aproveitamento
das ferramentas atuais para criar malware destrutivo, observaremos um
aumento em “células” afiliadas que realizam iniciativas independentes de
ciberguerra/ciberespionagem, mas em apoio aos estados-nação.
Além disso, há de se ter atenção ao aumento das atividades em
ciberespionagem de países com previsão de grande crescimento econômico
mundial. Esses países têm mais probabilidade de serem os próximos a se
envolver em atividades de ciberguerra e ciberespionagem para proteger
e promover suas riquezas crescentes.
PREVISÕES DE SEGURANÇA PARA 2015
12
PREVISÕES DE SEGURANÇA PARA 2015
Para obter mais informações, visite:
www.websense.com/securitylabs
© 2015 Websense, Inc. Todos os direitos reservados. Websense e o logotipo da Websense são marcas
registradas da Websense, Inc. nos Estados Unidos e em diversos países. Todas as outras marcas
registradas pertencem aos respectivos proprietários. Quaisquer planos de produtos, especificações
e previsões aqui contidos são apenas para fins informativos e podem estar sujeitos a alteração sem
garantias de qualquer tipo, expressas ou implícitas.
[WSL-2015PREDICTIONS-PTBRA4-18NOV14]