Security Report 2014

Transcrição

We Secure the Internet.
CHECK POINT
RELATÓRIO DE SEGURANÇA
2014
RELATÓRIO DE SEGURANÇA 2014
DA CHECK POINT
01
INTRODUÇÃO E METODOLOGIA ....................................................................................................................................................................... 03
02
A EXPLOSÃO DO MALWARE DESCONHECIDO .............................................................................................. 11
03
O MAL CONHECIDO
Malware no mundo corporativo ................................................................................................................................................................................. 21
04
APLICATIVOS COM FOME DE DESTRUIÇÃO
Aplicativos de alto risco na empresa ........................................................................................................................................................ 37
05
INCIDENTES DE PERDA DE DADOS
O grande retorno ....................................................................................................................................................................................................................................................... 49
06
A ARQUITETURA DE SEGURANÇA PARA AS AMEAÇAS DO FUTURO
Proteção Definida por Software ................................................................................................................................................................................. 59
07
SOBRE A
Check Point Software Technologies ........................................................................................................................................................... 65
01
2014 RELATÓRIO ANUAL DE SEGURANÇA DA CHECK POINT
02
01
INTRODUÇÃO E
METODOLOGIA
03
04
01
INTRODUÇÃO E
METODOLOGIA
VERIFICANDO OS REGISTROS IMPRESSOS, PUDE VER O HACKER TENTANDO INVADIR O MILNET. UM A
UM, ELE TENTOU INVADIR 15 COMPUTADORES DA FORÇA AÉREA, EM LOCAIS COMO EGLIN, KIRTLAND
E A BASE DA FORÇA AÉREA BOLLING. MAS NÃO TEVE SORTE. ELE SE CONECTAVA A CADA UM DOS
COMPUTADORES, GIRAVA A MAÇANETA UMA OU DUAS VEZES E PASSAVA PARA O PRÓXIMO SISTEMA.
ATÉ QUE CHEGOU À DIVISÃO ESPACIAL DO COMANDO DE SISTEMAS DA FORÇA AÉREA. PRIMEIRO ELE
TENTOU GIRAR A MAÇANETA USANDO A CONTA DO SISTEMA, COM A SENHA "GERENTE". MAS NÃO
TEVE SORTE. DEPOIS COMO CONVIDADO, SENHA "CONVIDADO". NADA. DEPOIS POR CAMPO, SENHA
"SERVIÇO". […] ABRACADABRA: A PORTA SE ESCANCAROU. ELE CONSEGUIU SE CONECTAR USANDO O
SERVIÇO DE CAMPO. MAS ESSA CONTA NÃO É DE UM USUÁRIO QUALQUER. TRATA-SE DE UMA CONTA
TOTALMENTE PRIVILEGIADA. […] EM ALGUM LUGAR AO SUL DA CALIFÓRNIA, EM EL SEGUNDO, UM
GRANDE COMPUTADOR VAX ESTAVA SENDO INVADIDO POR UM HACKER DO OUTRO LADO DO MUNDO.
Clifford Stoll, The Cuckoo’s Egg1
Mais de 25 anos atrás, um administrador UNIX rastreou
um erro de cobrança de 75 centavos que o levou a
uma rede de espionagem do bloco oriental que estava
tentando roubar informações secretas do governo e
das forças armadas dos Estados Unidos. A história de
como ele rastreou um caminho, partindo das bandeiras
vermelhas até a descoberta da grande infestação, e sua
batalha contra o invasor foi recontada em The Cuckoo’s
Egg e permanece como um modelo dos desafios da
defesa cibernética. As tecnologias envolvidas, os
meios de conexão e os métodos de invasão evoluíram
grandiosamente desde o fim da década de 80, embora a
identificação de sistemas comprometidos, as respostas
aos incidentes e a proteção de sistemas e dados contra
futuros ataques ainda constituam os principais desafios
das organizações no mundo todo, independentemente
do tamanho e do setor.
05
01 INTRODUÇÃO E METODOLOGIA
Em 2013, a segurança de informações ganhou um
lugar de destaque na consciência pública, impulsionada
pelas violações em dados de alta visibilidade. O roubo e
a publicação das informações da inteligência dos EUA
dominaram as manchetes dos jornais grande parte
do ano de 2013 e abalaram as relações diplomáticas
entre os países. Violações em larga escala de dados
de cartões de crédito irromperam durante o ano todo e
arruinaram o período de férias dos grandes varejistas e
de incontáveis consumidores. A guerra cibernética e o
"hacktivismo"2 transformaram a natureza dos conflitos
entre pessoas e nações, mesmo quando a emergência
da "Internet das coisas"3 reuniu mais aspectos da vida
cotidiana na rede e as tornou suscetíveis às ameaças.
Dentro da comunidade de segurança, uma explosão
de malwares desconhecidos (e não apenas novas
ameaças, mas novas maneiras de criar e implantar
ameaças indetectáveis em grande escala) pôs em causa
a viabilidade de estratégias e tecnologias existentes.
Tipos de malware cada vez mais conhecidos provaram
ser obstinadamente resistentes às defesas em vigor,
enquanto a mobilidade, a consumerização e a "TI
sombra" aumentaram amplamente a complexidade do
desafio à segurança.
Tendências do malware
Vírus
19
06
97
Worms
20
04
Adwares e
spywares
20
07
APTs
DDoS
20
10
5 PERGUNTAS QUE TODA
EMPRESA PRECISA FAZER
1. COMO O CENÁRIO DE SEGURANÇA EM RÁPIDA
EVOLUÇÃO DE HOJE AFETOU SUA ORGANIZAÇÃO?
2. QUAIS AMEAÇAS VOCÊ ENFRENTOU E QUAIS
RISCOS EMERGENTES MAIS PREOCUPAM VOCÊ?
3. VOCÊ ACHA QUE POSSUI A ESTRATÉGIA E
AS FERRAMENTAS CERTAS PARA LIDAR COM
OS DESAFIOS? OU VOCÊ FICA CADA VEZ MAIS
SOBRECARREGADO COM AS SUCESSIVAS ONDAS
DE DESENVOLVIMENTOS DE PROBLEMAS?
4. QUAIS MEDIDAS NOVAS VOCÊ ADOTARÁ NO
PRÓXIMO ANO?
5. COMO VOCÊ AJUDARÁ SUA ORGANIZAÇÃO
COMO UM TODO A PASSAR PARA UMA CONDIÇÃO
MAIS SEGURA?
A equipe de pesquisa de segurança da Check Point
analisou um ano de dados de eventos de mais de 10.000
organizações a fim de identificar malwares críticos e as
tendências de segurança de informações em 2013 que
as organizações devem seguir em 2014 e nos anos
seguintes. O Relatório de Segurança de 2014 da Check
Point apresenta os resultados da nossa pesquisa. Essa
análise detalhada das ameaças à segurança e das
tendências em 2013 ajudarão os tomadores de decisão
de segurança e negócios a entender a variedade de
ameaças enfrentadas pelas suas organizações. O
relatório também inclui recomendações sobre como se
proteger contra as ameaças de agora e do futuro. Os
destaques da nossa pesquisa são:
• Ransomware
• Hacktivismo
• APTs de última geração (Ferramentas APT
em massa)
• Utilização de infraestruturas da Web (DNS)
• E spionagem industrial patrocinada pelo estado
20
14
UM DIA COMUM EM
UMA ORGANIZAÇÃO
CORPORATIVA
1 minuto
A cada
um host
acessa um site mal-intencionado
3 minutos
A cada
um bot
está se comunicando com sua
central de comandos e controles
9 minutos
A cada
um
aplicativo de alto risco é usado
24
49
27
10
10 minutos
9
3
A cada
um malware conhecido
é baixado
1
H
min.
min.
min.
min.
min.
min.
27 minutos
A cada
um malware desconhecido
é baixado
49 minutos
A cada
dados confidenciais são enviados
para fora da organização
24 horas
A cada
um
host é infectado por um bot
Gráfico 1-1
Fonte: Check Point Software Technologies
07
QUADRO COMPLETO DE AMEAÇAS
Ambiente de TI – usuários, dados, sistemas
Objetivos de negócios
Malware – cenário de ameaças
•
•
•
•
08
ouve uma explosão no uso de malware
H
desconhecido, impulsionado pela tendência da
"personalização em massa" do malware4 — uma
média de 2,2 fragmentos de malware desconhecido
(malware que nunca foi visto antes) atingem
organizações a cada hora.
A exposição ao malware e suas infecções
aumentaram de modo geral, refletindo o sucesso
cada vez maior de campanhas contra o malware
direcionado. Em 2013, 73% das organizações
tinham detectado pelo menos um bot, em
comparação com as 63% em 2012.
Houve um aumento na presença de cada categoria
de aplicativo de alto risco nas empresas do mundo
inteiro. Por exemplo, 63% das organizações
testemunharam o uso do BitTorrent, em comparação
com as 40% em 2012.
Os incidentes de perda de dados aumentaram entre
os setores e tipos de dados; 88% das organizações
vivenciaram pelo menos um incidente de possível
perda de dados, em comparação com as 54%
em 2012.
ES RE
Õ
Ç
OB
NO S S ÇA
ICA RAN
S
BÁ EGU
S
Fontes de dados deste relatório
O Relatório de Segurança de 2014 da Check Point
se baseia na pesquisa e na análise de eventos de
segurança colaborativas extraídas dos relatórios de
análise de ameaças ao gateway de segurança da
Check Point (Verificação de Segurança)5, dos sensores
de Simulação de Ameaças da Check Point6, do Check
Point ThreatCloud™ 7 e dos relatórios de Segurança de
Endpoint da Check Point8.
Uma meta-análise dos eventos de segurança de
rede em 996 empresas foi realizada usando dados
coletados das avaliações da Verificação de Segurança
da Check Point, que varreu o tráfego de rede em
tempo real de entrada e saída das empresas. Esse
tráfego foi inspecionado pela tecnologia de Software
Blades9 de multicamadas da Check Point, que detecta
uma variedade de aplicativos de alto risco, tentativas
de invasão, vírus, bots, perda de dados confidenciais
e outras ameaças à segurança. O tráfego da rede foi
monitorado em tempo real com a implementação do
Gateway de Segurança da Check Point10 embutido ou
no modo de monitor (toque).
AP
AC
**
EM
EA
*
47%
29%
12%
15%
22%
us
tri
al
Setores
Ind
Am
ér
ica
s
24%
T u
Go ele ltor
ve com ia
rn .
o
Fin
an
ça
s
Ou
tra
s
Além disso, os eventos de 9.240 gateways de
segurança foram analisados usando dados gerados
pelo ThreatCloud da Check Point. O ThreatCloud é
um sólido banco de dados de segurança atualizado
em tempo real e preenchido com dados coletados de
uma ampla rede de sensores globais estrategicamente
posicionados ao redor do mundo. O ThreatCloud coleta
informações sobre ataques de malware e ameaças, bem
como permite a identificação de tendências e ameaças
emergentes na segurança global, criando uma rede
colaborativa para lutar contra o cibercrime. Em nossa
pesquisa, os dados do ThreatCloud coletados por mais
de 12 meses completos de 2013 foram consolidados e
analisados.
Geografia
1%
C
4% ons
Em média, o tráfego de rede de cada organização foi
monitorado por 216 horas. As empresas em nossa
pesquisa refletiram uma ampla gama de setores
localizados globalmente, conforme mostrado no
Gráfico 1-2.
46%
Gráfico 1-2
* EMEA – Europa, Oriente Médio e África
** APAC – Pacífico-Asiático e Japão.
Os dados sobre ameaças relacionados ao malware
desconhecido foram coletados dos sensores da
Simulação de Ameaças da Check Point no período de
junho a dezembro de 2013. A Simulação de Ameaças
da Check Point executa uma análise dinâmica e isolada
com base na nuvem de arquivos suspeitos detectados
pelos gateways da Check Point. Os dados anônimos da
Simulação de Ameaças de 848 gateways de segurança
foram reposicionados no ThreatCloud para agregação,
correlação e análise avançada.
Por fim, foi realizada uma meta-análise de 1.036
relatórios da Segurança de Endpoint em várias
organizações. Essa análise de segurança varreu cada
host para validar os riscos de perda de dados, riscos
de invasão e riscos de malware. A análise foi realizada
com uma ferramenta de relatório da Segurança de
Endpoint da Check Point que verifica se uma solução
antivírus estava sendo executada no host, se a solução
foi atualizada, se o software estava sendo executado
na versão mais recente, etc. Essa ferramenta é gratuita
e está disponível para o público geral. Ela pode ser
baixada do site público da Check Point.
Os dados principais do Relatório de Segurança de 2014
da Check Point são complementados com exemplos
de incidentes publicados que ilustram a natureza das
ameaças de hoje, seu impacto nas organizações
afetadas e suas implicações para a comunidade de
segurança. As recomendações dos especialistas
fornecem orientação para garantir que a estratégia e as
soluções de segurança sejam relevantes e eficazes na
proteção contra riscos à segurança de hoje. O relatório
é dividido em capítulos que abordam o malware
desconhecido, o malware conhecido, os aplicativos de
alto risco e a perda de dados.
09
10
02
A EXPLOSÃO
DO MALWARE
DESCONHECIDO
11
12
02
A EXPLOSÃO DO
MALWARE DESCONHECIDO
O CONHECIDO É FINITO,
O DESCONHECIDO, INFINITO
A ameaça do malware desconhecido
As tecnologias de segurança tradicionais, como
sistemas antivírus e de prevenção contra invasões, são
mais eficazes na detecção de tentativas de explorar
vulnerabilidades de configuração e softwares conhecidos
e, até certo ponto, elas também são preventivas na
proteção contra explorações desconhecidas. Os
hackers sabem disso e se dão ao luxo de testar seus
novos malwares e explorações contra essas tecnologias
para verificar se eles são detectados.
A corrida armamentista entre os fornecedores de
segurança e hackers leva a uma evolução acelerada
das técnicas usadas pelos hackers, que sempre
estão tentando usar vulnerabilidades desconhecidas
(também conhecidas como explorações de dia zero, já
que se levam horas ou dias para que sejam detectadas
e proteções sejam fornecidas) e métodos de infecção
desconhecidos a fim de ludibriar as defesas da
segurança.
144 %
Thomas Henry Huxley11
No fim de 2013, os pesquisadores da Check Point
que trabalhavam com nosso serviço de Simulação de
Ameaças descobriram e analisaram uma nova variação
de malware que aplicou uma combinação sofisticada
de técnicas para ocultar a si mesma de proxies e
soluções antimalware. Conhecido como "HIMAN"12
pelos estudiosos do setor, esse malware exemplificou
as características dos ataques direcionados que estão
desafiando as empresas e os profissionais de segurança
em TI no mundo todo.
Um Gateway de Segurança executado por um cliente
da Check Point que assinou o serviço de Simulação de
Ameaças varreu um documento do Microsoft Word que
83.000.000 2013
34.000.000
AUMENTO DO NOVO
MALWARE ENCONTRADO,
DE 2012 PARA 2013
2012
18.500.000
2011
18.000.000 2010
12.000.000
2009
Fonte: AV-Test.org
13
Gráfico 2-1
2.2
FRAGMENTOS DE MALWARE
DESCONHECIDO ATINGEM UMA
ORGANIZAÇÃO A CADA HORA
foi anexado a um e-mail do endereço "boca_juniors@
aol.com" com a linha de assunto "Convite à recepção".
Quando aberto em um ambiente isolado, ele explorou
uma vulnerabilidade conhecida (CVE-2012-0158) com
o intuito de depositar um arquivo denominado "kav.exe"
na pasta Local Settings\Temp do usuário no computador
de destino. O nome do arquivo dropper parece ser um
nome inicial de armadilha com a intenção de se parecer
com o executável do antivírus da Kaspersky13 e o malware
em si parece estar relacionado às campanhas anteriores
contra malware que os pesquisadores atribuíram a um
ou mais grupos APT chineses. A análise revelou que o
arquivo é um dropper de duas fases que renomeia a si
mesmo no processo de autoinstalação no sistema de
destino e, em seguida, captura o processo explorer.exe
a fim de carregar uma DLL mal-intencionada.
Os estudiosos de segurança da Check Point realizaram
uma pesquisa de bancos de dados de malwares
conhecidos e descobriram que nenhum fornecedor
de antivírus foi capaz de detectar esse malware no
momento em que ele foi descoberto.
O malware injetou uma biblioteca mal-intencionada
(mswins64.dll) usando uma série de chamadas de
função do Windows e a verificação de exclusão mútua
para instalar o malware no sistema cliente de uma
maneira designada a evitar a detecção por soluções
antimalware existentes. Uma vez instalado, o malware
gravou uma entrada no registro usando um caminho
de registro diferente daqueles que são conhecidos,
geralmente utilizados pelo processo do malware e que,
portanto, são monitorados mais cuidadosamente pelo
software antimalware. Essa combinação de chamadas
a APIs e caminhos de registro menos usados permite
que o malware aumente suas chances de se esquivar
da detecção.
14
O HIMAN mostra como os criadores de malware estão
aproveitando o conhecimento em chamadas à API do
Windows, do comportamento do sistema operacional e
da operação das ferramentas antimalware para evitar a
detecção, sem precisar gastar com o desenvolvimento
ou a compra de uma verdadeira vulnerabilidade de dia
zero. Essa sofisticação estende-se às comunicações
C&C (comando e controle), bem como aos processos de
extrusão: o HIMAN pode usar a força bruta nos proxies de
saída com credenciais armazenadas, criptografar dados
coletados usando AES14 e utilizar técnicas de ofuscação
durante a extrusão para evitar a filtragem de saída.
Uma vez instalado com êxito e tendo estabelecido uma
conexão verificada com um servidor C&C ativo, o HIMAN
compõe e executa dinamicamente um script que coleta
dados sobre serviços em execução, contas locais com
direitos de Administrador e outras informações sobre
configuração do sistema e quaisquer partes da rede
local que estejam visíveis para a máquina infectada. De
posse dessas informações, um invasor tem um mapa
da rede local e uma plataforma de lançamento na sua
organização de destino para reconhecimento de território,
movimentação lateral, extrusão e execução de ataques
em servidores, sistemas e processos comerciais.
Usando uma combinação de técnicas raras e
conhecidas para estabelecer uma base na rede de uma
organização visada e roubar informações confidenciais,
o malware HIMAN destaca a flexibilidade dos criadores
de malwares e invasores, bem como os desafios
enfrentados pelos profissionais de segurança em 2013.
MENOS DE 10% DOS MECANISMOS ANTIVÍRUS
DETECTARAM O MALWARE DESCONHECIDO
QUANDO ELE FOI CAPTURADO PELA PRIMEIRA VEZ
EM ÁREA ABERTA.
02 A EXPLOSÃO DO MALWARE DESCONHECIDO
CRIAR UM
DESCONHECIDO É TÃO FÁCIL QUE ATÉ
UMA CRIANÇA PODERIA FAZÊ-LO
Como chegamos aqui?
A evolução do malware desconhecido
Por muitos anos, os perigos de ataques direcionados
e APTs (ameaças avançadas persistentes) ganharam
bastante atenção na segurança de informações
no mundo todo. Os APTs entraram em cena em
2010 com o ataque direcionado Stuxnet15, no qual
um fragmento de malware especialmente criado e
altamente especializado desestabilizou o sistema de
controle de uma centrífuga nuclear iraniana como parte
de um ataque cinético e cibernético combinados e
patrocinados pelo estado.
Essa nova geração de malware desafiou muitas
das defesas convencionais contra malware de três
formas. Primeira: o Stuxnet era bastante especializado,
tendo sido pesquisado e designado para um sistema
específico, em um ambiente específico e com um
objetivo específico em mente. Segunda: ele era bastante
incomum, o que significava que ele nunca tinha sido
exposto às redes de coleta e análise que os fornecedores
de antivírus desenvolveram para acompanhar os bots e
vírus de "mercado em massa" que definiram o cenário
do malware por uma década, e permaneceram quietos,
operando sem serem detectados por não se sabe
quanto tempo — provavelmente, por anos. Por fim, o
motivo por trás do Stuxnet diferenciou-se nitidamente
da pontuação de alta visibilidade que caracterizava os
vírus e grande parte dos worms, como o Code Red16
e o Sasser17, que se seguiram. Por esse motivo, ficou
claro que, seja quem estivesse por trás do Stuxnet,
seria persistente.
Em resumo, o Stuxnet representou um novo tipo de
malware que as tecnologias antivírus e de prevenção
contra invasões existentes não estavam preparadas
para enfrentar — direcionado, raro e motivado. Nesse
sentido, ele foi o primeiro de uma onda de malwares
personalizados que exigiria um novo conjunto de
ferramentas e estratégias. O surgimento do HIMAN
destaca a evolução contínua dessa tendência e a
ameaça que ela representa.
33 %
DAS ORGANIZAÇÕES BAIXARAM PELO
MENOS UM ARQUIVO INFECTADO COM
MALWARE DESCONHECIDO
15
ATAQUE DIRECIONADO, CAMPANHA GLOBAL
Em 22 de outubro de 2013, uma empresa de mídia recebeu
seis e-mails suspeitos que logo foram analisados pelo
serviço de Simulação de Ameaças da Check Point.
•
•
•
De: [email protected]
Assunto: Notificação de Entrega da UPS
Anexo: invoiceBQW8OY.doc
(MD5 ad0ef249b1524f4293e6c76a9d2ac10d)
Durante a simulação automatizada em uma área restrita
virtual de um usuário, abrindo um arquivo potencialmente
mal-intencionado, vários comportamentos anormais foram
detectados:
•
•
•
O Microsoft Word foi interrompido e recarregado com
um documento vazio
Uma chave de Registro foi definida
Um novo processo foi iniciado no dispositivo do
usuário final
Consequentemente, a Simulação de Ameaças da Check
Point determinou que esse arquivo era mal-intencionado.
Outra análise realizada pelos pesquisadores de segurança
da Check Point revelou que os documentos dos seis e-mails
eram idênticos e exploraram a vulnerabilidade CVE-20120158 afetando o Microsoft Word. Essa vulnerabilidade,
também conhecida como MSCOMCTL.OCX RCE18, permite
a execução de código remoto no dispositivo do usuário final.
35 %
A análise identificou a carga mal-intencionada como uma
variante personalizada do cavalo de Troia Zbot19, que rouba
informações por ataques man-in-the-browser, registro de
pressionamento de teclas, captura de formulários, entre
outros métodos. O registro desses exemplos no VirusTotal20
revelou uma baixa (abaixo de 10%) taxa de detecção de
anexos mal-intencionados e da variante Zbot no momento
do envio.
Os pesquisadores de segurança da Check Point analisaram
as diferentes URLs das quais o documento mal-intencionado
foi baixado e determinou que uma lista de parâmetros
exclusivos que foi passada aos servidores infecciosos era,
na verdade, um designador de destino codificado Base64
contendo o endereço de e-mail alvo. Essas URLs exclusivas
representavam endereços de e-mail de usuários em
grandes organizações internacionais (incluindo instituições
financeiras, fabricantes de automóveis internacionais,
telecomunicações, agências governamentais e organizações
educacionais e municipais da América do Norte) que foram
alvos desse ataque. Esses alvos indicam que os ataques
fazem parte de uma campanha direcionada desenvolvida
para capturar credenciais de usuários, informações bancárias
e outras informações que podiam ser usadas para ganhar
acesso aos dados mais confidenciais das organizações-alvo.
DOS ARQUIVOS INFECTADOS COM
MALWARE DESCONHECIDO SÃO PDFs
16
2013: Prometendo no início, desapontando no final
Os administradores de segurança estão se familiarizando
cada vez mais, não somente com os ataques
direcionados, mas também com as novas ferramentas
exigidas para combatê-los. As tecnologias isoladas
de malware com base na rede eram ferramentas bem
conhecidas das equipes de segurança em grandes
empresas e agências públicas, que as implantavam
como camadas complementares nas respectivas
infraestruturas de segurança existentes, a fim de ajudar
na detecção de malwares direcionados que pudessem,
de alguma forma, enganar suas defesas existentes com
base em assinatura e reputação no gateway e endpoint.
No entanto, em 2013 houve um aumento expressivo na
frequência de "malwares desconhecidos" — ataques
que aplicavam as técnicas de ofuscação e evasão
de APTs para malwares conhecidos em campanhas
direcionadas com um alcance global (leia o adendo:
Ataque direcionado, campanha global). Embora os
ataques direcionados focados no laser com malware
altamente especializado continuem sendo um desafio,
agora a "personalização em massa" significa que a
eficácia aprimorada do malware direcionado também
está disponível para campanhas de alcance mais amplo
que são motivadas por ganho financeiro.
"Desconhecido" ou "dia zero"
É importante distinguir entre malware desconhecido e
o que muitas vezes é chamado de exploração de "dia
zero". O malware de dia zero explora uma vulnerabilidade
anteriormente desconhecida e não relatada para a qual
não há patch. O malware desconhecido refere‑se ao
código mal-intencionado que explora uma vulnerabilidade
conhecida ou um ponto fraco, mas não pode ser
detectado no momento de sua descoberta, mesmo por
um antivírus atualizado, antibot ou soluções IPS (sistema
de prevenção contra invasões). A janela de efetividade de
um malware desconhecido, muitas vezes, é de apenas
2 a 3 dias, pois sua existência em área aberta dá tempo
aos fornecedores de antivírus de detectá-lo em suas
redes globais e criar assinaturas para ele.
Essa é uma distinção crucial, pois nos permite entender
a verdadeira natureza dos tipos de malware que
explodiram no cenário em 2013.
Tornando o desconhecido, conhecido
Em 2013, os mecanismos de simulação da Check
Point, uma forma avançada de isolamento de
malware automatizado, implantados ao redor do
mundo, detectaram que 2,2 fragmentos de malware
desconhecido golpearam organizações a cada hora,
uma taxa de 53 por dia.
A pesquisa da Check Point descobriu que dois fatores
importantes orientaram esse aumento repentino na
frequência:
1. Os invasores estavam implantando mecanismos
automatizados para criação de malware evasivo
e desconhecido em larga escala e, em seguida,
visando organizações no mundo todo por meio
de campanhas coordenadas a fim de maximizar
a eficácia.
2. Os processos manuais de investigação e reação
que haviam sido empregados para reduzir os
ataques direcionados não seriam capazes de
acompanhar esse volume alto de novos incidentes.
Como o isolamento funciona
Área restrita
virtual
Arquivo desconhecido
Serviço de inspeção
Arquivo OK
Arquivo recebido
por anexo de
e-mail ou baixado
Gráfico 2-2
Arquivos suspeitos
são enviados a uma
área restrita virtual
local ou remota
Abra e execute um arquivo
desconhecido no sistema
operacional virtual. Monitore em
busca de ações mal-intencionadas:
• Sistema de arquivos
17
•Registro
2.2 FRAGMENTOS DE MALWARES
DESCONHECIDOS ATINGEM ORGANIZAÇÕES A
CADA HORA, UMA MÉDIA DE 53 POR DIA
18
A análise de dados de malware de 2013 da Check
Point destaca a alta frequência com a qual malwares
desconhecidos foram detectados em gateways no
mundo inteiro. Os dados de fontes externas confirmaram
essas descobertas. O AV-TEST21, um instituto de
pesquisa independente de antivírus e segurança em TI,
registra mais de 220 mil programas mal-intencionados
por dia. O instituto registrou mais de 80 milhões de
novos malwares em 2013, mais do que o dobro quando
comparado com 2012.
27%
33%
F
PD
EX
E
icr
os
Ar
of
qu
tO
ivo
ffi
ce
m
or
to
Tipos de malware desconhecido
M
Dos formatos de arquivo do Microsoft Office, o mais
popular foi o Word (.doc), embora nossa análise de
dados por isolamento de malware tenha descoberto
que os invasores distribuíram seus ataques também
em outros formatos. No total, detectamos malwares
desconhecidos em 15 diferentes tipos de arquivo do
Office, incluindo arquivos de modelo do Word e do
Power-Point, além de vários formatos do Excel. Embora
a maioria dos arquivos mortos mal-intencionados
estivesse no formato ZIP (presumidamente porque
todos os sistemas Windows têm a capacidade de abrir
esses arquivos), a análise da Check Point detectou
malwares em todos os outros principais tipos de arquivo
morto, como tar, RAR, 7z e CAB.
Uma infestação de novos malwares
5%
A análise de detecções em 2013 mostrou que a
maioria dos malwares desconhecidos foi entregue
aos clientes‑alvo por e-mail, mais frequentemente
incorporados em anexos. Em 2013, o PDF foi o
formato mais popular, responsável por quase 35%
dos arquivos detectados pela simulação por conter
malwares desconhecidos, desenvolvidos para explorar
versões sem patches do Adobe Reader (Gráfico 2-3).
A pesquisa contínua mostra que os formatos EXE e
de arquivo morto também são bastante utilizados,
sendo responsáveis por 33% e 27% dos arquivos malintencionados analisados, respectivamente.
35%
Gráfico 2-3
Nossa pesquisa sobre dados de malware de 2013
fornece mais esclarecimentos sobre essa tendência e
seu impacto difuso. Em toda a nossa amostra, 1/3 das
organizações baixou pelo menos um arquivo infectado
com malware desconhecido.
CONTOS DA CRIPTA
A fim de ignorar a detecção pelo software antimalware,
premium (FUD). Tecnicamente classificadas como um
os autores de malwares modernos mantêm e usam
empacotador PE (Portable Executable)24, e para não
ferramentas de ofuscação especializadas chamadas
serem confundidas com o ransomware de criptografia,
de "criptas". Para verificar se suas variantes não
como o CryptoLocker25, criptas como essas disfarçam
são detectadas, os autores de malwares evitam as
os executáveis usando vários esquemas de criptografia
plataformas de varredura antivírus on-line, como VirusTotal
e codificação, habilmente combinados e recombinados,
e outras que compartilham amostras com fornecedores
muitas vezes mais de uma vez.
de antimalware e, no lugar, utilizam serviços privados,
como o RazorScanner, Vscan (também conhecido como
Essa amostra detectada, que foi capaz de se esquivar
NoVirusThanks) e o chk4me. As criptas são classificadas
da maioria das soluções antivírus, foi comparada
pelas comunidades de hackers como UD (UnDetectable,
com uma detecção semelhante de outro país, que
indetectáveis) ou FUD (Fully UnDetectable, totalmente
foi determinada para ser uma versão diferentemente
indetectáveis), de acordo com seu sucesso na evasão
ofuscada da mesma carga útil do DarkComet e para se
de detecção do antivírus.
comunicar com o mesmo servidor C&C. Juntos, esses
fatores indicam que essas duas detecções distintas
Em 2013, a Simulação de Ameaças da Check Point
(uma na Europa e a outra na América Latina) fazem, na
detectou uma variante criptografada e anteriormente
verdade, parte da mesma campanha.
desconhecida desenvolvida para distribuir a RAT
(ferramenta de administração remota) DarkComet23.
Essas detecções destacam os trabalhos internos da
No caso de nossa amostra detectada, uma string
família de ataques avançados que estão mudando
PDB incorporada revelou ser um produto da iJuan
o cenário de ameaças e a gama de soluções que os
Crypter, que está disponível on-line como uma versão
gerentes de segurança precisam para defender suas
gratuita (UD), bem como uma opção de compra
redes e seus dados.
Essa explosão de malwares desconhecidos tem sido
impulsionada em parte pela acessibilidade das técnicas
de ofuscação que, no passado, exigiam habilidades,
ferramentas especializadas, ou ambas (leia o adendo:
Contos da cripta)22. Os casos que estudamos neste
capítulo ilustram como os meios pelos quais o malware
agora está sendo distribuído atingiram um grau maior
de sofisticação que, muita vezes, estão associados a
meras variantes. Essa sofisticação compõe os desafios
impostos, que exigem que recursos de análise e
detecção mais inteligentes e sutis sejam implantados
em uma escala além dos recursos de gerenciamento,
monitoramento e resposta a incidentes disponíveis em
muitas organizações.
Recomendações
A explosão em 2013 de malwares desconhecidos
significa que as organizações devem rever as
ferramentas e os processos implantados basicamente
para detectar e reagir aos ataques direcionados de baixo
volume. Os recursos somente de detecção que exigem
atenuação manual e carecem de bloqueio automático
deixam as equipes de segurança sobrecarregadas,
pois elas tentam acompanhar a onda de malwares
desconhecidos que golpeiam suas redes.
A simulação, ou o isolamento automatizado e avançado
de malwares, agora é uma solução obrigatória para
qualquer organização. Mesmo o antivírus, o antibot e
as soluções IPS que melhor reagem terão que lidar com
uma janela de 2 ou 3 dias, durante a qual o malware
desconhecido permanece escondido; um intervalo
mais do que suficiente para que os invasores ganhem
força dentro de uma organização.
19
Ciclo de vida de um malware
Criação
Kit "faça você mesmo"/
kit de ferramentas
para malware
SpyEye
Zeus Builder
Citadel Builder
Cripta/empacotador
UPX GUI
PFE CX
Indectables.net
Joiner/associador
File Joiner
EXEBundle
Kit de ferramentas
"faça você mesmo"
Cripta/empacotador
Joiner/associador
Validação
Detecção
QA do malware
Malware conhecido
Desconhecido
Lançado
Decididamente, essas soluções devem ser parte
integrante da infraestrutura de segurança de uma
organização, em vez de uma camada adicional que é
executada sobre ela. As organizações devem buscar
soluções de simulação que possam proporcionar:
• Integração: a integração perfeita com a
infraestrutura de endpoint, e-mail e gateways é
a única maneira de dimensionar e implantar sem
aumentar a complexidade e o custo. A integração
ao e-mail é particularmente essencial, pois o e-mail
é o vetor de ataque principal contra clientes, dentro
e fora da rede.
• Prevenção: as abordagens apenas de detecção
não são mais suficientes para malwares
desconhecidos em alto volume. As organizações
devem buscar soluções que se baseiem na
prevenção, que forneça a capacidade de detectar
e bloquear automaticamente o malware antes que
ele atinja seu destino.
A SIMULAÇÃO, OU O ISOLAMENTO
AUTOMATIZADO E AVANÇADO DE MALWARES,
AGORA É UMA SOLUÇÃO OBRIGATÓRIA
PARA QUALQUER ORGANIZAÇÃO
20
QA do malware
Multi-AV Scan
NoVirusThanks
•
Automação: a redução de processos manuais de
análise e atenuação permite que as organizações
acompanhem esses ataques, ao mesmo tempo
que englobam outros objetivos de segurança e de
negócios. A prevenção automatizada é essencial,
assim como a integração do fluxo de trabalho e da
geração de relatórios para eficácia de notificação
e reação.
O rápido aumento de malwares desconhecidos muda
claramente o ambiente de segurança, invocando novas
estratégias e tecnologias, bem como uma abordagem
para segurança que possa fornecer proteção efetiva
sem sobrecarregar os recursos da organização. A
adoção desses novos requisitos deve ser vista como
uma das principais prioridades (e uma das urgências
a serem consideradas) para cada organização. Ao
mesmo tempo, tipos de ataques mais familiares e
estabelecidos há bastante tempo continuam sendo uma
ameaça séria e exigem vigilância contínua e medidas
defensivas proativas. As últimas tendências de malwares
conhecidos são exploradas no próximo capítulo.
03
O MAL
CONHECIDO
Malware no mundo
corporativo
21
22
03 O MAL CONHECIDO: MALWARE NO MUNDO CORPORATIVO
03
O MAL CONHECIDO:
MALWARE NO MUNDO
CORPORATIVO
A segurança de informações dominou as manchetes
em 2013, desde as revelações sobre programas de
vigilância cibernética patrocinados pelo estado e hacks
em organizações, como o Washington Post e o Yahoo,
até surtos de malware de alta visibilidade, como o
CryptoLocker, e violações de dados de consumidores
de varejo em uma escala que desmoralizou qualquer
relato anterior.
Por comparação, o ano passado fez com que 2012
parecesse tranquilo; e 2012 não foi, de modo algum,
um momento de calmaria em se tratando de ataques
cibernéticos. Esse ano foi notável pela quantidade
e dimensão de ataques cibernéticos, inclusive pelo
aumento do hacktivismo, hacks patrocinados pelo
estado na mídia e nos negócios e violações de dados
em instituições financeiras no mundo todo. As principais
tendências do malware em 2012 observadas no
Relatório de Segurança de 201327 da Check Point foram:
• Democratização
de
ameaças
persistentes
avançadas
• Difusão de botnets
• Aumento nas vulnerabilidades, expandindo a
superfície de ataque
AS WMDs (ARMAS DE DESTRUIÇÃO EM MASSA)
FORAM UMA PREOCUPAÇÃO POR DÉCADAS.
AGORA É HORA DE NOS PREOCUPARMOS COM
UM NOVO TIPO DE WMD.
John Mariotti26
Em nossa pesquisa, descobrimos que essas tendências
não só continuaram em 2013, mas aceleraram em
quase todos os aspectos, desde a frequência com a
qual o malware entrou nas organizações até a extensão
e gravidade das infecções pelo bot.
Mais rápido nem sempre é o melhor
Se há uma única estatística da pesquisa de segurança
da Check Point em 2013 que melhor captura os desafios
do malware que agora confrontam os administradores
de segurança, é o aumento da frequência com a qual o
malware foi baixado pelas organizações que estudamos
(Gráfico 3-1). Em 2012, quase metade (43%) das
organizações que analisamos tiveram malwares
baixados por usuários, em média, menos de um por dia,
e outras 57% tiveram malwares baixados a cada 2 horas
a 24 horas.
84 %
DAS ORGANIZAÇÕES BAIXARAM UM
ARQUIVO MAL-INTENCIONADO
23
Em contrapartida, em 2013, quase 2/3 (58%) das
organizações tiveram malwares baixados por usuários
a cada duas horas ou menos. Essa aceleração no
ritmo dos ataques cibernéticos nas organizações está
refletida em todas as estatísticas da nossa pesquisa de
segurança mais recente. Neste capítulo, exploramos
os detalhes dessa mudança e suas implicações para a
segurança e os gerentes, primeiramente, observando as
alterações das vulnerabilidades que criam a superfície
de ataque para criadores de malware e hackers.
Frequência de download de malware
(% de organizações)
58%
14%
58%
14%% Até 2 horas
13
13%19%
12% 19%
De 2 a 6 horas
12%
12%%
11
De 6 a 12 horas
11
12%%
7% 12% De 12 a 24 horas
43%
7%
43%
58% DAS ORGANIZAÇÕES TIVERAM
MALWARES BAIXADOS POR USUÁRIOS
A CADA DUAS HORAS OU MENOS
destino para os invasores, além do aumento da área
que os administradores de segurança (já lutando com
a introdução de dispositivos móveis e serviços de
consumo na rede corporativa) precisavam defender.
Mas 2013 representou verdadeiramente uma tendência
positiva? Em alguns aspectos, sim. Geralmente, a defesa
da vulnerabilidade envolve duas abordagens principais:
• Aplicar patches de fornecedores disponíveis às
vulnerabilidades para corrigir o problema. Agora,
para sistemas cliente, muitas vezes isso é feito
automaticamente, com poucos testes ou nenhum;
para servidores, os testes adicionais muitas vezes
são obrigatórios para verificar se os patches não
apresentam efeitos negativos.
• Implantação de IPSs (sistemas de prevenção contra
invasões) para detectar e, se desejado, bloquear
tentativas de explorar vulnerabilidades conhecidas.
Às vezes, isso é feito como uma medida provisória
até que uma atualização possa ser aplicada como
parte do ciclo normal de aplicação de patches. Em
outros casos, o IPS é o meio básico e de longo
prazo de defesa para sistemas que não podem ser
corrigidos por uma série de motivos.
2013
Mais de
1 dia
Número total do Common
Vulnerabilities and Exposure
2012
2013
Gráfico 3-1
Menos vulnerabilidades ou uma falsa esperança?
O único fator de risco no cenário de segurança das
informações que não aumentou em 2013 foi o número
de vulnerabilidades reportadas. À primeira vista, isso
parece oferecer algum alívio depois dos dados de 2012,
que sugeriram que a recente tendência decrescente em
vulnerabilidades reportadas tinha sido revertida, pois
seus números ficaram na marca de 27% em relação a
2011, totalizando 5.297, conforme rastreado pelo banco
de dados CVE (Common Vulnerabilities and Exposures)
(Gráfico 3-2). Na verdade, 2012 viu um cenário de
vulnerabilidade que expandiu as oportunidades de
24
2013
2012
2013
2012
5.191
2012
5.297
2011
2011
2010
2009
2010
4.155
4.651
2009
2008 5.736
2008
5.632
Gráfico 3-2
Source: Common Vulnerabilities and Exposures (CVE) database
A CADA
60
SEGUNDOS
UM HOST ACESSA UM SITE
MAL-INTENCIONADO
O número de vulnerabilidades recentemente reportadas
tende a ter uma correlação positiva direta na carga de
trabalho das organizações de TI e segurança. Nesse
aspecto, 2013 certamente parece ter trazido boas
novas para os atarefados gerentes de segurança.
O banco de dados CVE mostrou uma diminuição no
número de vulnerabilidades reportadas, de 5.191 para
o ano, um modesto decréscimo de 2% ao ano desde
2012, e incluiu um decréscimo de 9% no número de
vulnerabilidades "críticas" reportadas.
Mas a história não é assim tão simples quanto parece
ser. Apesar de menos vulnerabilidades terem sido
reportadas, os especialistas do setor concordam que
um aumento no número de vulnerabilidades críticas
está sendo desviado pelos mercados cinza e negro
— um desenvolvimento possivelmente mais tenebroso
(leia o adendo: Dias zero, muito dinheiro).
DIAS ZERO, MUITO DINHEIRO
Apesar do aumento nos programas de recompensa de
fornecedores pelas vulnerabilidades detectadas pelos
pesquisadores, o alto valor de mercado das verdadeiras
vulnerabilidades de dia zero está fazendo com que os
pesquisadores as vendam às agências governamentais
"de chapéu cinza"28 (aqueles que trabalham com hackers
para expandir seus recursos de defesa cibernética) e às
organizações profissionais de teste de penetração. Um
mercado de malware paralelo ainda mais lucrativo serve
os hackers de chapéu preto; veja abaixo que os preços de
vulnerabilidades anteriormente não reportadas variam por
plataforma de destino, partindo de US$ 5.000 para o Adobe
Reader e chegando até US$ 250.000 para o iOS da Apple. A
disponibilidade das explorações de dia zero aos compradores
coloca os ataques cibernéticos avançados dentro do
alcance de qualquer organização, independentemente das
habilidades técnicas que possuam.
PLATAFORMA DE DESTINO
PREÇO
Adobe Reader
US$ 5.000-US$ 30.000
Mac OS X
US$ 20.000-US$ 50.000
Android
US$ 30.000-US$ 60.000
Plug-ins de navegador Flash ou Java
US$ 40.000-US$ 100.000
Microsoft Word
US$ 50.000-US$ 100.000
Microsoft Windows
US$ 60.000-US$ 120.000
Navegadores Firefox ou Safari
US$ 60.000-US$ 150.000
Navegadores Chrome ou Internet Explorer
US$ 80.000-US$ 200.000
Apple iOS
US$ 100.000-US$ 250.000
Fonte: Forbes
25
10
Mesmo que mais vulnerabilidades novas sejam
arrastadas para "fora do mapa" e, possivelmente, levadas
para as mãos dos criadores de malware, a distribuição
de vulnerabilidades reportadas destaca outro desafio
enfrentado pelos gerentes de TI e segurança (Gráfico
3-3). A Oracle permaneceu como a principal plataforma
de vulnerabilidades reportadas em 2013, muitas das
quais foram encontradas nos produtos Java que são
Principais vulnerabilidades e exposições
por fornecedor em 2013
(número de vulnerabilidades)
496
433
394
345
192
Google
192
Apple
191
Redhat
190
Linux
175
160
Oracle
Cisco
IBM
Microsoft
Sun
Mozilla
Gráfico 3-3
Fonte: Banco de dados CVE (Common Vulnerabilities and Exposures)
26
amplamente usados nos aplicativos servidor e cliente,
apresentando, desse modo, uma ampla oportunidade
de destino para os invasores. Enquanto isso, a Microsoft
foi parar em quarto lugar na lista, tendo Cisco e IBM
reportado mais vulnerabilidades em seus produtos,
incluindo componentes da infraestrutura de rede e
servidor em larga escala que nem sempre são cobertos
pelo monitoramento e pelas políticas de proteção do IPS.
A maioria das organizações tem processos bem
definidos para implantação em tempo hábil dos
patches da Microsoft. O mesmo não se pode dizer de
aplicativos cliente como Java e Adobe Reader, e essa
lacuna os deixa expostos aos ataques que se baseiam
em navegador, por exemplo, "spear phishing" (e-mails
de phishing direcionado) e "watering hole", nos quais
um invasor compromete um site popular e incorpora
Vulnerabilidades e configurações
incorretas do endpoint corporativo
(% de hosts)
Hosts em que o usuário tem permissões de
Administrador local
38%
Hosts que têm pelo menos um dispositivo
Bluetooth instalado
Longe de dar esperança aos enclausurados gerentes
de TI e segurança, o ambiente de 2013 acaba se
revelando altamente favorável aos invasores:
• Mais vulnerabilidades no mercado negro, onde elas
permanecem no anonimato e sem aplicação de
patches
• Clientes amplamente desprotegidos
• Uma mudança no número de vulnerabilidades
voltada aos aplicativos e às plataformas que são
corrigidos com menos frequência
53%
Hosts que não possuem assinaturas AV atualizadas
Eventos de segurança pelo
principal fornecedor de software
18%
Hosts que não possuem versões de software atualizadas*
33%
Hosts que não possuem o Service Pack mais recente**
14%
Hosts que não executam firewall de desktop
67% Microsoft
68%
23%
Adobe
15%
13%
* O
s seguintes softwares foram verificados: Acrobat Reader,
Flash Player, Java, Internet Explorer
** As plataformas Microsoft Windows verificadas: Windows XP,
Windows 2003, Vista, 2008, 2008 R2, Windows 7
10%
VideoLAN
1%
Gráfico 3-4
Squid 4%
2%
A vulnerabilidade desses sistemas é composta pelo
fato de que quase 1/5 (18%) dos hosts estudados não
tinham as assinaturas mais recentes para a respectiva
solução antivírus. As consequências desse lapso podem
ser consideráveis; um invasor que é bem-sucedido na
conquista de uma base em um cliente vulnerável pode
ganhar uma plataforma sólida para explorar o restante
da rede da organização de destino. Dos endpoints
corporativos analisados, um total de 38% configurou
os usuários com permissões de Administrador local,
permitindo que o malware fosse executado no contexto
de sistema (raiz), quando executado, e não sendo
limitado ao contexto de usuário.
3Com 4%
Oracle* 4%
15%
CA Technologies
3%
Novell 2%
5%
2013
2012
Gráfico 3-5
* Java+Oracle+Sun Solaris
27
Invasores olham para além do Windows
Os dados de ataque da nossa pesquisa de 2013
mostram como os invasores estão se adaptando a essas
oportunidades de destino nas redes corporativas (Gráfico
3-5). Embora a Microsoft ainda se mantivesse como a
plataforma mais atacada em 2013, visada por pelo menos
um ataque em 67% das organizações analisadas, isso
representou um leve declínio em comparação com 2012.
Os aumentos nos ataques ao Adobe (Reader e Flash
Player) e VideoLAN (VLC media player) refletem o aumento
em visar aplicativos dos usuários finais, embora a atenção
intensificada sobre os dispositivos de infraestrutura e
plataformas seja evidente na maior incidência de ataques
em sistemas da Squid (proxy e cache na Web), 3Com
(alternância e roteamento) e CA (análise e identidade). Na
verdade, a distribuição dos ataques entre as plataformas
reflete a "longa cauda" descrita por Chris Anderson29 em
2006 (Gráfico 3-6). A cauda das plataformas visadas
é uma linha de "mercados de nicho para o infinito" e
atestados para o modelo de negócios orientado pelo
mercado, motivado economicamente, dos ataques
cibernéticos modernos.
A LONGA CAUDA
Mi
Ad
cro
so
%
0.2
ft
67
%
o
Vid be
eo 15
%
LA
N
10
Sq
%
uid
3C 4%
om
4
Or
ac %
le
4%
CA
No 3%
v
Au ell 2
rig
%
ma
LA
ND 2%
e
Ap sk 2
ac %
he
Ap 1%
p
Hy le 1
laF %
AX
1
HP %
0.4
Re
alN AO
%
etw L 0
.
ork 3%
s
Ya 0.2
ho
o0 %
.2
P
Bit HP 0 %
To
r re . 2 %
nt
WW 0.2
F %
Eventos de segurança por todos os fornecedores de software
Gráfico 3-6
28
33 %
51%
47%
36%
23%
16%
12%
9%
2%
2%
32%
68%
Os principais vetores de ataque observados em
nossa pesquisa de 2013 (Gráfico 3-8) inclinam-se
expressivamente para a RCE (execução remota de
código)31, com os três principais por incidência sendo
execução de código, corrupção de memória e estouros
de buffer. Até mesmo os ataques de DoS (negação de
serviço) podem servir de apoio a um ataque servindo
como uma cortina de fumaça, desviando a atenção
do ataque ao servidor de baixa visibilidade enquanto
ele está acontecendo. Até que a fumaça se dissipe, o
ataque é concluído e o servidor-alvo comprometido.
Clientes: sem patches, irrestritos e despreparados
Os clientes também representam os alvos, especialmente
de ataques baseados na rede que tentam se propagar em
uma rede interna ou em uma rede pública desprotegida.
Além da ausência de patches e service packs que
corrigem serviços facilmente visados e conhecidos,
como a RPC32, os clientes muitas vezes são deixados
vulneráveis por importantes recursos de proteção que
foram desativados. Por exemplo, quase 1/4 (23%) dos
endpoints corporativos analisados pela Check Point não
tinham um firewall de desktop ativado e mais da metade
(53%) tinham ativado o Bluetooth, o que os expõe a
ataques por redes sem fio em espaços públicos.
Os sistemas cliente também oferecem muitas outras
possibilidades de comprometimento, basicamente
explorando o comportamento do usuário por e-mail ou
navegação na Web. Nessas áreas, os dados da nossa
análise de 2013 refletem a aceleração na atividade de
malwares e a mudança na personalização em massa.
PIADA DO DIA:
USUÁRIOS FINAIS AINDA SÃO UM ELO FRACO
O e-mail permanece como o vetor favorito de propagação
do malware. Um exemplo de 2013 mostra que mesmo hoje,
os usuários finais continuam alheios de ataques simples,
criando um mecanismo de distribuição imediata para o
malware entre muitas organizações.
essa "piada" encaminhando a mensagem de e-mail aos
amigos e colegas de trabalho. Uma análise mais detalhada
descobriu que foi exatamente isso o que aconteceu, pois
o documento foi encaminhado a, pelo menos, mais três
grandes organizações francesas.
Em outubro de 2013, um usuário que trabalhava em um
grande fabricante na França recebeu uma mensagem de
e-mail com a linha de assunto "Blagounette du jour" ou
"Piada do dia".33 Anexado à mensagem de e-mail havia um
arquivo de 6 MB do Microsoft Excel.
Felizmente para essas organizações, esse documento
específico não transmitiu uma carga mal-intencionada
e não foi desenvolvido para causar nenhum dano aos
computadores dos usuários que o abriram. No entanto, ele
incluía todos os ingredientes de uma campanha de malware
direcionada. Os usuários que abriram esse documento
expuseram seus computadores e organizações a um risco
significativo, um composto por aqueles que o encaminharam
aos colegas de trabalho e aos amigos que trabalhavam em
outras organizações, que se tornaram um vetor adicional na
disseminação de uma piada que realmente não foi motivo
de risadas.
A análise automatizada de documentos de entrada suspeitos
em um isolamento virtual revelou que o arquivo do Excel
extraiu uma imagem do aplicativo Excel no sistema de
arquivos do computador e alterou a chave do papel de parede
do Registro para a nova imagem. Como a imagem muitas
vezes é percebida como uma demonstração de humor,
um usuário final inocente provavelmente compartilharia
30
Acesso a sites mal-intencionados
por número de hosts
ts
1a
2
3a
36%
4
sts
ts
ts
s
ho
s
ho
5a
20%
8
s
ho
18%
9a
o
6h
1
de
is sts
a
M ho
16
12% 15%
2013
31%
18%
20%
16%
15%
2012
de ser aberto pelos destinatários. Em vez de bloquear a
organização inteira com um e-mail de phishing facilmente
detectado, esses ataques visam um ou dois usuários
em uma organização, uma abordagem mais eficaz que
gerou um aumento de 20% no acesso de hosts a sites
mal-intencionados em comparação a 2012.
Essa tendência também explica o aumento de 2013 em
incidências de hosts que baixam um malware, pois 76%
das organizações analisadas tiveram de 1 a 4 hosts
baixando malware, um aumento de 69% em relação a
2012, enquanto as incidências permaneceram iguais ou
diminuíram para todas as outras contagens de usuário
(Gráfico 3-10).
Gráfico 3-9
Em 2013, a incidência de hosts que acessaram um
site mal-intencionado continuou aumentando. Nossa
pesquisa mostra que, em média, a cada 60 segundos
um host acessa um site mal-intencionado. Com exceção
da faixa de "1 a 2 hosts", o Gráfico 3-9 mostra que a
distribuição do número de hosts que acessaram sites
mal-intencionados permaneceu relativamente inalterada
desde 2012. Essa aparente boa notícia esconde um
grave problema, pois é um efeito das campanhas de
spear phishing que visam um número limitado de
usuários em uma organização e aproveitam os perfis em
mídias sociais para criar um e-mail que é mais provável
Um pequeno número de hosts acessando sites
mal‑intencionados e baixando malware em um número
maior de organizações levou a uma aceleração geral
da atividade do malware em 2013. Em média, um host
acessa um site mal-intencionado a cada minuto e a
cada 10 minutos um malware é baixado.
49% DAS ORGANIZAÇÕES TIVERAM
7 OU MAIS HOSTS INFECTADOS POR BOT
73 %
DAS ORGANIZAÇÕES TIVERAM PELO
MENOS UM BOT DETECTADO, EM
COMPARAÇÃO COM AS 63% EM 2013
31
BLOQUEADOR DE CRYPTOLOCKER
O CryptoLocker, um descendente do malware conhecido
como "ransomware", foi identificado pela primeira vez
no início de setembro de 2013. Como outras formas de
ransomware, o CryptoLocker se instala no computador da
vítima e é executado em segundo plano criptografando vários
arquivos de dados do usuário, desconhecidos do usuário final.
Um importante aspecto do CryptoLocker é que o agente do
malware precisa encontrar e iniciar a comunicação com
um servidor C&C para que possa iniciar o processo de
criptografia dos arquivos. Portanto, a maneira mais eficaz
de vencer o CryptoLocker é detectar e bloquear a tentativa
de comunicação inicial pelo agente, antes que ele possa
se conectar com o servidor C&C e iniciar o processo de
criptografia.
Quando a fase da criptografia é concluída, o CryptoLocker
exibe um aviso informando o usuário que seus arquivos foram
"feitos de reféns" e exige o pagamento de um resgate para
os criminosos descriptografarem os arquivos. A descrição
informa que se o usuário não atender a essa solicitação dentro
do período de pagamento (muitas vezes menos de quatro
dias), a chave privada necessária para descriptografar será
excluída de seus servidores, resultando na impossibilidade
permanente de recuperar os dados da vítima.
O CryptoLocker mostrou que a detecção do bot, muitas
vezes, considerada uma medida reativa, também pode
desempenhar um papel proativo e preventivo na defesa
Atualmente, não há método alternativo conhecido para
restaurar o acesso aos arquivos criptografados.
s
st
s
st
5
a
8
ho
3
%
17
12%
ts
1
a
4
9
32
ts
s
a
16
ho
M
ais
32
EM MÉDIA, UM HOST ACESSA
UM SITE MAL-INTENCIONADO A CADA
MINUTO E A CADA 10 MINUTOS
UM MALWARE É BAIXADO
76%
s
ho
a
ho
5% 4% ts
s
de
33
ho
Número de hosts
infectados com bots
Bots estendem seu alcance
Como seria esperado desse aumento na atividade
de infiltração, a pesquisa da Check Point revelou um
aumento correspondente nas infecções e atividades do
bot em 2013. Se para infiltração, o tema foi um volume
mais baixo de ataques direcionados, para bots, o
inverso foi real: alto volume e alta frequência. Em 2013,
as organizações com 22 ou mais hosts infectados por
bot aumentaram quase 400% (Gráfico 3-11), enquanto
as infecções por bot menores realmente diminuíram.
1 a 3 hosts
38%
48%
18%
Isso não deve ser entendido como uma diminuição de
infecções por bot de modo geral, uma vez que mais de
1/3 (38%) das organizações ainda tiveram pelo menos
de 1 a 3 hosts infectados por bot.
7 a 9 hosts
8%
10%
10 a 21 hosts
18%
18%
Além disso, as sustentações das infecções por bot
estão se tornando discutivelmente mais altas com
o surgimento de uma nova geração de ransomware,
exemplificado pela epidemia do CryptoLocker no fim de
2013 (leia o adendo: Bloqueador de CryptoLocker).
7%
22 a 35 hosts
0%
Mais de 35 hosts
As organizações não estão lutando contra infestações
por bot apenas mais extensas em seus ambientes; os
bots estão mais ativos também. A comunicação do bot
com os servidores C&C aumentou consideravelmente
em termos de frequência em 2013, com 47% das
organizações detectando, em média, mais de uma
tentativa de comunicação com o C&C por hora, um
aumento de 88% sobre 2012 (Gráfico 3-12). A média
da nossa amostra inteira de pesquisa é a de que um
bot tenta se comunicar com o servidor C&C a cada três
minutos. Cada uma dessas tentativas de comunicação
é uma ocasião para o bot receber invasões e
possivelmente fazer a extrusão de dados confidenciais
para fora da organização afetada. Essa aceleração na
frequência da comunicação com o C&C representa uma
séria ameaça às organizações que lutam para proteger
a segurança de seus dados e sistemas.
14%
4 a 6 hosts
16%
6%
2013
2012
Gráfico 3-11
33
77 %
77% mais de 4 semanas
DOS BOTS FICAM ATIVOS
POR MAIS DE 4 SEMANAS
menos de 4 semanas
23%
A defesa contra o bot tornou-se
essencial e mais desafiadora
Frequência de comunicação
do bot com sua central de
comandos e controles
47%
25%
Até 1 hora
De 1 a
2 horas
40%
45%
3% De 2 a 4 horas
6%
10%
Mais de 4 horas
24%
2013
2012
Gráfico 3-12
34
O aumento da frequência também apresenta uma
oportunidade para os gerentes de segurança de
detectar, parar e começar a paralisar as infecções por
bot em suas redes. A detecção da comunicação do bot
muitas vezes é a tarefa mais fácil; erradicar os bots sem
reconfigurar o sistema infectado é que pode ser um
enorme desafio. Bloquear efetivamente a comunicação
do bot está se tornando a parte mais difícil da luta do
antibot devido aos canais mais novos e sofisticados
do C&C utilizados pelos botnets com base em DGA
para driblar as ferramentas tradicionais de filtragem e
bloqueio (leia o adendo: A campanha de phishing não é
obra do divino)34.
UM BOT TENTA SE COMUNICAR
COM O SERVIDOR C&C
A CADA TRÊS MINUTOS
A CAMPANHA DE PHISHING NÃO É OBRA DO DIVINO
Em 2013, as campanhas de phishing analisadas pelo
Grupo de Pesquisa de Segurança e Malware da Check
Point destacou as técnicas cada vez mais sofisticadas que
os ataques de phishing de hoje utilizam para se esquivar
das blacklists, que são o centro da maioria das defesas
tradicionais, incluindo a utilização de algum formulário
de esquema de URL dinâmica que evita a detecção por
blacklists estáticas. No caso da campanha de phishing em
torno do kit de exploração nuclear, esse esquema também
resiste às análises dos pesquisadores de malware.
A análise do CryptoLocker pelos nossos pesquisadores
revelaram outro aspecto dessa tendência: como um botnet
baseado em DGA (algoritmo de geração de domínio)35, o
CryptoLocker emprega nomes de domínio dinâmicos e
aparentemente gerados aleatoriamente para estabelecer a
comunicação entre um bot e o servidor C&C. Os bots do
CryptoLocker geram 1.000 novos domínios todos os dias,
enquanto na outra ponta, os gerenciadores do CryptoLocker
registram esses mesmos 1.000 novos domínios e os
descartam depois de 24 horas. Consequentemente, os
domínios mal-intencionados têm poucas chances de serem
detectados e registrados pelos recursos do setor que criam
e mantêm blacklists de URLs e domínios mal-intencionados
conhecidos.
Vistas como um todo, essas campanhas recentes de
malware destacam a importante função de nomes de
domínio e URLs dinâmicas nesses ataques, especialmente
na evasão das blacklists estáticas que, geralmente, têm sido
usadas para detectar e bloquear phishing e bots. As URLs
dinâmicas e o DGA aproveitam a infraestrutura da própria
Internet para gerar variantes obscuras ou de uso único que
confundem um sistema de defesas com base na busca e
no bloqueio de endereços do tráfego de entrada e saída
que foram detectados anteriormente em uma rede global e
classificados como mal-intencionados.
Essas observações refletem uma tendência muito mais
ampla no setor do malware. Os invasores estão explorando
os pontos fracos dos métodos tradicionais de blacklists
de URL e sistema de nomes de domínio para escapar das
defesas existentes e atingir seus alvos. Nas descobertas
de sua pesquisa do segundo trimestre de 2013, o APWG
(Anti-Phishing Working Group)36 descobriu que enquanto
o TLD (domínio de topo)37 com permanecia como o mais
frequentemente usado nas campanhas de phishing (44% do
total de phishing, de 42% no 1º TRI), os TLDs de alguns
países eram mais comuns nos ataques de phishing do que os
de fato registrados; por exemplo, o Brasil (.br) tinha apenas
1% de domínios registrados, mas era responsável por 4%
dos TLDs de e-mail de phishing. Os phishers e criadores de
malware estão explorando o número absoluto de possíveis
TLDs de países isolados para gerar um número imenso de
nomes de domínio exclusivos e URLs, e os controles que
muitos supõem que estão a postos para evitar esse tipo de
abuso não estão funcionando. O relatório da "Pesquisa Global
de Phishing do 1º semestre de 2013: Tendências e Uso do
Nome de Domínio"38 do APWG explorou a função dos nomes
de domínio nos ataques de phishing mais detalhadamente e
descobriu que os registradores de domínio estão dormindo
no ponto ou estão ativamente ajudando os phishers.
Esse problema só tende a piorar. Em 2013, a ICANN (Internet
Corporation for Assigned Names and Numbers)39 anunciou
planos para aumentar o número de domínios de topo dos
22 atuais para 1.400, incluindo TLDs em caracteres não
latinos, como arábico, chinês e cirílico, entre outros. Embora
o APWG aponte que os TLDs de caracteres não latino estão
disponíveis há anos e não têm demonstrado sinais de uso
significativo entre os phishers, há todos os motivos para
se acreditar que os invasores vão procurar maneiras de
aproveitá-los como fornecedores de segurança tornandoos mais sofisticados para interromper URLs e domínios de
phishing que usam caracteres latinos. Isso testará os limites
de todas as técnicas de filtragem de URL e blacklist que
dependem dessas listas, seja local ou com base na nuvem,
de URLs conhecidas mal-intencionadas ou suspeitas e criará
um conjunto praticamente infinito de URLs de uso único que
podem ser empregadas em e-mails de phishing e nomes
de domínio que podem ser usados para botnets baseados
em DGA.
35
Recomendações
A análise da Check Point do cenário de segurança em
2013 revela que a atividade de malware aumentou em
todas as categorias. Esse aumento teve três aspectos
importantes:
• Maior atividade de infiltração, na qual os usuários
são expostos ao malware por meio de sites, e-mails
e downloads mal-intencionados
• Aumento das ameaças pós-infecção na forma de
infecções por bot mais amplas com comunicação
C&C mais frequentes
• Mais ataques em uma variedade maior de
plataformas, visando vulnerabilidades não apenas
em servidores e clientes Windows, mas também
na infraestrutura de rede e servidor e aplicativos
menos gerenciados
De modo geral, essa aceleração na atividade de
ataques cibernéticos representa um desafio ameaçador
para líderes de segurança e negócios corporativos que
já estavam se esforçando para enfrentar os desafios de
malware descritos no Relatório de Segurança de 2013
da Check Point. A única maneira de as organizações
gerenciarem eficazmente essa aceleração na atividade
de malware e lutarem contra o ritmo acelerado dos
ataques, infecções e extrusões em seu ambiente é
automatizar e coordenar várias camadas de defesa. As
medidas essenciais incluem:
•
•
•
•
•
Antivírus para gateway e endpoint com
filtragem de URL: as organizações devem estar
aptas a detectar e bloquear malwares e tentativas de
conexão a sites que são distribuidores conhecidos
de malware.
Antibot para gateway: além de detectar
malwares, essas soluções devem ter a inteligência
para atenuar as comunicações do botnet com base
em DGA.
Proteção IPS estendida: além do monitoramento,
você deve estar apto a ativar o bloqueio de ataques
de gravidade crítica. O sistema deve cobrir os
sistemas de rede, servidor e infraestrutura de TI
da Cisco e outros fornecedores e plataformas, não
apenas o Microsoft Windows.
Manutenção abrangente de sistemas e
aplicativos: assegure-se de que os processos
de aplicação de patches e gerenciamento de
vulnerabilidades estejam definidos para todos
os sistemas e aplicativos, incluindo Java e
Adobe Reader, não apenas clientes e servidores
Microsoft Windows.
Práticas recomendadas para configuração
de cliente e servidor: incluem restrição de uso
dos privilégios de Administrador, desativação do
Java e outros scripts, bem como limitação de
aplicativos que os usuários finais podem instalar
nos respectivos endpoints.
No próximo capítulo, examinaremos as descobertas de
nossa pesquisa de 2013 relacionadas aos aplicativos
e riscos que eles impõem aos dados corporativos e
usuários finais.
36
04
APLICATIVOS
COM FOME DE
DESTRUIÇÃO:
Aplicativos de alto
risco na empresa
37
38
04
APLICATIVOS COM FOME DE
DESTRUIÇÃO: APLICATIVOS DE
ALTO RISCO NA EMPRESA
O controle de aplicativos representa um desafio interno
que complementa e compõe os desafios externos
impostos pelos ataques cibernéticos. Os aplicativos
são essenciais à produtividade e às operações diárias
de cada organização, mas também criam graus de
vulnerabilidade em sua postura de segurança. De uma
perspectiva de segurança, eles lembram os habitantes
de A revolução dos bichos41, de George Orwell: todos
os aplicativos são iguais, mas alguns são mais iguais
que outros.
Os aplicativos de alto risco exemplificam esses desafios.
Diferentemente dos aplicativos de produtividade, como
o Microsoft Office, e dos aplicativos de mídia social Web
2.0 cada vez mais aceitos, como o Facebook, LinkedIn,
Twitter, WebEx e YouTube, os aplicativos de alto risco
permitem navegação anônima na Web, armazenamento
e compartilhamento de arquivos com base na nuvem,
MAS SE ESTIVERMOS ON-LINE,
O MUNDO TODO É LOCAL.
Neal Stephenson, Cryptonomicon40
uso remoto de aplicativos e dados de desktop, além
de compartilhamento de mídia e outros arquivos entre
usuários e computadores. Muita vezes, os aplicativos de
alto risco são executados nos limites de TI e soluções
oficialmente aprovadas, quando não juntos dentro delas,
e fazem parte da TI sombra em constante crescimento
dos aplicativos, dispositivos e serviços dirigidos ao
usuário final que estão operando nas redes corporativas
com pouca ou nenhuma supervisão.
86 %
DAS ORGANIZAÇÕES TÊM PELO MENOS
UM APLICATIVO DE ALTO RISCO*
* Compartilhamento de arquivos P2P, ferramentas para anonimato, e armazenamento e compartilhamento de arquivos
39
04 APLICATIVOS COM FOME DE DESTRUIÇÃO: APLICATIVOS DE ALTO RISCO NA EMPRESA
Porcentagem de organizações que usam aplicativos de alto risco
90%
Admin. remota
81%
86%
80%
75%
61%
56%
Armazenamento e
compartilhamento
de arquivos
Compartilhamento
de arquivos P2P
Ferramentas para anonimato
43%
2013
2012
Gráfico 4-2
Em 2012, a pesquisa de segurança da Check Point
revelou que os aplicativos Web 2.0 de alto risco eram
espalhados por toda a infraestrutura corporativa e
impunham riscos significativos de comprometimento
e vazamento de dados. Nossa análise de segurança
da rede corporativa em 2013 descobriu que, apesar
dos riscos conhecidos, a incidência de aplicativos de
alto risco aumentou em todas as categorias (Gráfico
4-2). Este capítulo examina as descobertas de cada
categoria e compartilha recomendações para amenizar
esse desafio.
A PESQUISA REGISTROU UM AUMENTO
GERAL NO USO DE FERRAMENTAS PARA
ANONIMATO NAS REDES CORPORATIVAS,
COM MAIS DA METADE (56%) DAS
ORGANIZAÇÕES ANALISADAS COM
REGISTRO DE PELO MENOS UM INCIDENTE
DE FERRAMENTA PARA ANONIMATO
Perigo no anonimato
Os aplicativos de anonimato são associados
basicamente ao fornecimento aos usuários de um meio
de navegar na Internet e visualizar sites permanecendo
no anonimato. Geralmente, eles dependem da criação
de um túnel criptografado para um conjunto de
servidores proxy HTTP que permitam aos usuários
ignorar os firewalls e as restrições de filtragem de
conteúdo. Alguns, como o Tor, empregam técnicas
adicionais de ofuscação de roteamento e até mesmo
plug-ins especiais de software ou navegador para
permitir que os usuários encubram seus rastros e se
esquivem do empregador, governo ou outros controles.
Em 2013, a pesquisa da Check Point registrou um
aumento geral no uso de ferramentas para anonimato
nas redes corporativas, com mais da metade (56%) das
organizações analisadas registrando pelo menos um
incidente de ferramentas para anonimato, um aumento
de 13% em relação a 2012.
41
PORTAL PARA A DEEP WEB
Também conhecido como The Onion Router, o Tor42 foi
novamente o aplicativo de anonimato mais amplamente
detectado em nossa pesquisa de 2013. O Tor já foi bem
conhecido por seu uso como um veículo para navegação
anônima que também ignora facilmente as políticas de
segurança organizacionais, mas em 2013, ele entrou
novamente em evidência como um portal para a Deep Web,
o baixo ventre sombrio da Internet aberta e pesquisável, ou
"Internet superficial"43. Caracterizada pela inacessibilidade
das ferramentas de pesquisa padrão, a Deep Web ganhou
atenção em 2013 em resposta às crescentes preocupações
nos EUA e no exterior quanto à supervisão e privacidade e à
notoriedade pelas prisões do Silk Road44.
Outros aplicativos de anonimato impõem um desafio
administrativo semelhante, mas a função do Tor como
um gateway para o Onionland e outras áreas da Deep
Web o tornam um risco específico para os gerentes de
Aplicativos de anonimato
mais conhecidos
15%
Tor
23%
14%
Ultrasurf
8%
12%
Hide My Ass!
7%
10%
OpenVPN
3%
10%
Gráfico 4-3
CoralCDN
2013
2012
42
segurança. Embora forneça anonimato e um amplo mercado
subterrâneo, a Deep Web também está cheia de malwares e
fraudes, e as organizações estão certas em se preocupar que
os funcionários que usam o Tor para escapar da vigilância
real ou percebida acabem expondo seus computadores e
a organização a um alto grau de risco. Mais recentemente,
os investigadores descobriram que os dados de cartão de
crédito roubados de vários varejistas que usaram o cavalo
de Troia de acesso remoto ChewBacca45 foram expulsos
para pontos de descarte do servidor usando o Tor.
A liberdade de expressão e o anonimato são essenciais
e devem ser preservados para os indivíduos. No entanto,
para os administradores de segurança em ambientes
corporativos, detectar e bloquear o uso do Tor e de outras
ferramentas de anonimato em sistemas da empresa e em
redes corporativas devem ser uma prioridade principal em
2014 e nos anos subsequentes.
Entretanto, os aplicativos de anonimato individuais viram
ganhos irregulares com a detecção do Tor em menos
organizações do que em 2012: 15% em 2013, em
comparação com os 23% em 2012 (Gráfico 4-3). Isso
reflete o aumento da atenção sobre o Tor (e a restrição)
em políticas de segurança corporativa e por bons
motivos (leia o adendo: Portal para a Deep Web). No
entanto, isso também pode ser consequência em parte
por funcionários envolvidos em navegação anônima
usarem sistemas e redes corporativos com menos
frequência, ou de usuários que alternam para outros
aplicativos de anonimato que são menos conhecidos
e, portanto, menos prováveis de serem bloqueados por
políticas corporativas.
04 APLICATIVOS COM FOME DE DESTRUIÇÃO: APLICATIVOS DE ALTO RISCO NA EMPRESA
Angariadas pela liberdade de expressão e pelos
defensores da privacidade, as ferramentas para
anonimato ajudaram a proteger a discrição (e até mesmo
as vidas) de dissidentes em países que estão passando
por períodos de agitação. Mais recentemente, as
revelações de 2013 sobre a vigilância patrocinada pelo
estado motivaram a adoção por usuários na Europa e
na Ásia como um refúgio à espionagem cibernética real
ou percebida. As diferenças regionais nas incidências
detectadas do uso de ferramentas para anonimato
em redes corporativas atestam esse fator, além de
apontarem para o sucesso relativo dos administradores
de segurança nas Américas no que se refere à restrição
do uso dessa categoria de aplicativos de alto risco
(Gráfico 4-4).
Assim como a lendária hidra46, se os administradores
foram bem-sucedidos ao eliminar o Tor em 2013,
foi apenas para verem mais seis ferramentas para
anonimato surgirem em substituição. A incidência
dos 10 principais aplicativos de anonimato restantes
aumentou em comparação com 2012.
54%
Américas
58%
40%
EMEA
54%
35%
Gráfico 4-4
RDP
71%
71% TeamViewer
50%
LogMeIn
VNC
21%
GoToAssist RemoteSupport
8%
7%
Ammyy Admin
Gráfico 4-5
Quem fareja uma RAT?
Utilização de aplicativos
de anonimato por região
49%
Principais aplicativos de
administração remota
A categoria mais amplamente detectada de aplicativos
de alto risco em nossa pesquisa de 2013 foram
aplicativos de administração remota. O mais conhecido
é a RDP (Área de Trabalho Remota da Microsoft), mas
muitos outros estão sendo amplamente usados pelo
mundo, com o TeamViewer crescendo em popularidade
desde 2012 (Gráfico 4-5). Esses aplicativos têm usos
legítimos, quando permitem às equipes de TI e de help
desk corporativas prestar serviços e gerenciar desktops
dos funcionários ao redor do mundo (leia o adendo:
Ferramentas de administração remota: o bom, o mau
e o feio).
APAC
2013
2012
No entanto, muitas organizações adotaram essas
ferramentas arbitrariamente com base nas necessidades
táticas, de modo que em vez de padronizar em um único
aplicativo de administração remota, as organizações de
TI empregaram três ou mais, dependendo da plataforma,
da conexão e da tarefa. Em 2013, os aplicativos de
administração remota foram os únicos em que foi
encontrada incidência mais alta de uso na vertical do
setor, com 90% de empresas nesse espaço registrando
pelo menos uma incidência detectada desses aplicativos.
43
FERRAMENTAS DE ADMINISTRAÇÃO REMOTA:
O BOM, O MAU E O FEIO
As ferramentas de administração remota, às vezes, são
confundidas com ferramentas de acesso remoto devido
ao seu acrônimo comum, "RAT". Na prática, embora as
ferramentas de administração remota carreguem riscos
operacionais e de segurança significativos, elas são
diferentes das ferramentas de acesso remoto associadas,
como a ChewBacca, Poison Ivy48, DarkComet e a famosa
Back Orifice49. Essencialmente cavalos de Troia na prática,
as ferramentas de acesso remoto não têm uso legítimo em
uma rede corporativa, e como uma grande ameaça, sua
detecção deve gerar uma rápida resposta para remoção,
correção e análise forense da possível exposição de dados.
As ferramentas de administração remota mais conhecidas,
por outro lado, frequentemente se proliferam em redes
em resposta às necessidades das equipes de TI e help
desk corporativas, pois elas tentam resolver problemas
e fornecer acesso a dados e aplicativos por uma ampla
gama de dispositivos e plataformas de usuário final em
constante crescimento. A ferramenta de administração
remota TeamViewer é um bom exemplo da tendência dessas
ferramentas. Em 2013, a presença da TeamViewer nas redes
pesquisadas cresceu em popularidade, impulsionada pelo
fim da versão gratuita do conhecido LogMeIn e pela expansão
do conjunto de recursos que inclui suporte extensivo a
plataformas não Windows, de recursos de conferência e
colaboração, bem como do desempenho sólido por uma
variedade de conexões sem precisar fazer alterações no
firewall exigidas pela RDP.
Isso tem seu preço, pois os recursos que a tornam uma nova
favorita para as equipes de TI também a tornam atraente para
os usuários finais que querem acessar remotamente seus
computadores de trabalho dos respectivos smartphones, tablets
ou, até mesmo, PCs domésticos, abrindo, dessa forma, buracos
na rede corporativa e colocando a segurança da organização
em risco. Nesses casos, até mesmo um funcionário bem
intencionado pode tornar uma RAT boa em má.
Compartilhamento de arquivos P2P:
não é seguro para o ambiente de trabalho
Principais aplicativos de
compartilhamento de arquivos P2P
BitTorrent Protocol 63%
25%
Soulseek
14%
eDonkey Protocol
13%
Xunlei
10%
Box Cloud
Gráfico 4-6
44
Os aplicativos de compartilhamento de arquivos P2P
(ponto a ponto) são usados para compartilhar arquivos
entre usuários. Frequentemente usados para distribuição
de material protegido pela lei de direitos autorais, de
softwares legais e pirateados, entre outras mídias, o
compartilhamento de arquivos P2P é o veículo preferido
para difusão do malware, que pode ser incorporado aos
arquivos compartilhados. Além de distribuir malwares a
usuários despreparados e inocentes, os aplicativos P2P
podem criar um backdoor nas redes corporativas; um
que permita os invasores em uma rede e o vazamento
de dados confidenciais para fora da rede.
Além disso, o uso frequente de aplicativos P2P, como
o BitTorrent, para distribuição de arquivos de música
e filmes protegidos pela lei de direitos autorais expõe
as organizações à responsabilidade por ações da RIAA
(Recording Industry Artists Association), que se tornou
rigorosa ao trabalhar com ISPs (provedores de serviços
de Internet) na identificação e perseguição das fontes
de distribuição de conteúdo pirateado e não licenciado
(Gráfico 4-6). Em 2013, o BitTorrent permaneceu como
Dropbox 85%
69%
48%
Windows Live Office
Obviamente, essa facilidade de compartilhamento
expõe uma organização ao risco significativo de
51%
26%
Os aplicativos de armazenamento de compartilhamento
de arquivos desempenham um papel importante na
ativação dessa capacidade, facilitando para os usuários
salvar conteúdo na pasta de um dispositivo e, assim, tê‑lo
replicado automaticamente na nuvem e sincronizado
novamente em todos os seus outros dispositivos
associados. Estender isso pelo compartilhamento com
outros usuários muitas vezes é tão fácil quanto enviar
um link aos destinatários, que podem então acessar e
até mesmo modificar os arquivos compartilhados.
Hightail (antigo YouSendIt)
22%
16%
SugarSync
13%
15%
ImageVenue
9%
14%
Mendeley
4%
2013
2012
o aplicativo de compartilhamento de arquivos P2P mais
popular, suas incidências detectadas aumentaram de
40% das organizações em 2012 para 63% em 2013.
Armazenamento de arquivos e oversharing
A capacidade de criar e compartilhar conteúdo
com facilidade entre dispositivos e usuários é uma
característica singular dos aplicativos Web 2.0.
85 %
45
DROPBOX GOLPEADO
2013 foi notável como o ano em que invasores e
pesquisadores perceberam o potencial de aplicativos
de armazenamento e compartilhamento de arquivos de
servirem como ferramentas para infiltração em organizações
e extrusão de dados confidenciais. Em março, foi revelado
que os hackers desenvolveram um mecanismo para usar o
Evernote como suporte às comunicações de extrusão e C&C
para redes de bot.
Logo depois, em abril, um pesquisador detalhou um
mecanismo para espalhar o malware em uma organização
usando os recursos de sincronização do Dropbox. Chamado
de DropSmack51, o ataque envolve incorporar comandos
macro em um arquivo com uma extensão .doc e um
cabeçalho legítimo e, em seguida, colocar esse arquivo em
uma pasta do Dropbox de um usuário da organização visada.
Não importa se o computador é um dispositivo gerenciado
Em 2013, esses riscos permaneceram, sendo
exacerbados pelo papel cada vez maior da mídia
social como uma ferramenta essencial para hackers no
planejamento e execução de ataques direcionados.
Perfil de mídia social
Várias
outras
entradas
SM
estilizadas
Perfil de mídia social
Alvo: sua empresa
Usuário: John Q,
Funcionário
pela empresa ou de propriedade do funcionário; assim que
o DropSmack é instalado em um dispositivo, as rotinas de
sincronização automática o replicam na pasta do Dropbox
em cada dispositivo associado à conta. O DropSmack
permite que um invasor ignore o perímetro e até mesmo
as defesas no nível de dispositivo para infiltração, C&C,
movimentação lateral e extrusão.
A introdução de novos recursos de segurança no Dropbox,
como uma autenticação de dois fatores e a criptografia,
foi destinada a atenuar as preocupações dos gerentes
de segurança, mas conforme mostra o DropSmack,
esses aplicativos ainda têm grande potencial para
compartilhamento de malwares e precisam ser monitorados
de perto em ambientes corporativos, se forem permitidos de
alguma forma.
podem esperar receber e-mails, bem como eventos
significativos dos quais participaram recentemente ou
dos quais participarão. De posse dessas informações,
um invasor pode criar um e-mail de spear phishing de
aparência bastante legítima para o funcionário-alvo, com
uma probabilidade bem grande de ser bem-sucedido.
Precisamos apenas voltar para as descobertas do
capítulo 3 para ver os efeitos dessa criação de perfil.
Entre os aplicativos de mídia social, o Facebook
permanece como o mais popular, avaliado em termos
de consumo de largura de banda nos ambientes
corporativos que analisamos em nossa pesquisa de
2013 (Gráfico 4-9).
•
Gráfico 4-8
Depois que os invasores tiverem visado uma organização
e identificado os indivíduos dentro dela que têm acesso
aos dados desejados, eles criam um perfil de mídia
social de cada funcionário-alvo (Gráfico 4-8). Esse perfil
mostra ao invasor informações valiosas, como sites e
serviços de compra on-line frequentemente usados
pelo funcionário, amigos e associados, de quem eles
46
O Twitter e o LinkedIn novamente completam o
triângulo dos principais aplicativos de mídia social,
mas todos viram uma redução nas incidências gerais
em comparação com 2012. Isso provavelmente não
tem a ver com a redução do uso pelos funcionários,
mas sim com uma troca dos PCs de trabalho e do
acesso pela rede corporativa pelo uso de conexões
de dados sem fio e celulares. Embora essa mudança
possa ter o benefício de reduzir a pressão em redes
corporativas e diminua a ameaça imediata de
malware aos PCs da empresa, o uso expandido de
aplicativos de armazenamento e compartilhamento
de arquivos, como o Dropbox, significa que uma
política sejam aplicados a novos aplicativos à medida
que são adotados pelos funcionários em substituição
aos aplicativos que foram bloqueados ou restritos.
Facebook 47%
11%
10%
9%
8%
Twitter
LinkedIn
Flickr
Pinterest
infecção em um MacBook ou tablet pessoal de
um usuário pode facilmente pular para o sistema
corporativo (leia o adendo: Dropbox golpeado).
Recomendações
Os aplicativos de alto risco de todos os tipos continuam
sendo uma crescente ameaça na empresa, mesmo que
as ferramentas específicas preferidas pelos usuários
finais mudem com o tempo. Embora algumas delas,
especialmente as de anonimato e redes P2P, não
tenham uso comercial legítimo e devam ser totalmente
erradicadas, as ferramentas para administração remota,
assim como as de compartilhamento e armazenamento
de arquivos podem atender às necessidades legítimas
de usuários e da TI, impondo um desafio mais complexo.
Mesmo as plataformas de mídia social frequentemente
aceitas, como Facebook, LinkedIn e YouTube, que
podem desempenhar um papel importante no marketing
da mídia social e nas estratégias de marketing de
conteúdo, podem apresentar um vetor atraente para
ataques de spear-phishing. Embora a proteção contra
malware possa se concentrar na detecção, prevenção
e erradicação abrangentes como seus princípios
orientadores, os aplicativos exigem uma abordagem
mais variada. Isso deve incluir:
Padronização de aplicativos aprovados: as
organizações que precisam de ferramentas de
administração remota para oferecer suporte às funções
de negócios ou da TI devem padronizar um único
aplicativo e, desse modo, monitorar suas redes em busca
da presença de outras ferramentas de administração
remotas. Se o bloqueio não for viável, a presença
delas deverá disparar um processo de notificação e
investigação para determinar quem as está usando
e como elas estão sendo usadas, e verificar se essas
são exceções válidas à política ou digressões táticas
que devem ser alinhadas com a política. Além disso, o
monitoramento e a aplicação devem ser associados a
usuários ou grupos de usuários autorizados e específicos,
de modo a garantir que apenas esses funcionários com
uma necessidade de negócios válida possam usá-los.
Uma abordagem semelhante pode ser usada para
ferramentas de armazenamento e compartilhamento
de arquivos; a TI deve implementar uma solução ou um
serviço seguro de nível corporativo para atender a essa
necessidade. Caso contrário, os usuários inevitavelmente
se voltarão aos aplicativos de TI sombra para ativar o
compartilhamento de arquivos e a sincronização entre
Controle de aplicativo baseado em categoria: os
administradores precisam estar aptos a bloquear famílias
inteiras de aplicativos se optarem por isso, em vez ter
que ativar o bloqueio de um por um. Além de simplificar
a administração, isso permite que os controles de
47
48
05
PREVENÇÃO
CONTRA PERDA
DE DADOS:
O grande retorno
49
50
05
PREVENÇÃO CONTRA PERDA DE
DADOS: O GRANDE RETORNO
Os incidentes de perda de dados ganharam novo
destaque em 2013, pois a Adobe Systems, Target,
Neiman Marcus e outras organizações de alta
visibilidade sofreram graves violações envolvendo
milhões de consumidores.
Os dados têm sido o alvo mais importante dos hackers,
o que inclui informações financeiras, propriedade
intelectual, informações comerciais internas e
credenciais de autenticação. Agora há muito mais
maneiras de os dados caírem em mãos erradas, pois
os dispositivos móveis e os aplicativos da TI sombra
abrem novos vetores de ataque e aumentam o risco
de perda ou extrusão. A Internet das coisas exacerba
a situação, uma vez que os dispositivos se comunicam
diretamente entre si para trocar informações sobre
consumo de energia interna, localização de veículo e
status, rastreamento de pacote, bem-estar pessoal e
muito mais. Quanto mais os dados fluem, das mais
diversas maneiras, torna-se cada vez mais difícil
controlar e proteger.
EM 2013,
PREVIDÊNCIA SOCIAL, CONTA BANCÁRIA E NÚMEROS
DE CARTÃO DE CRÉDITO NÃO SÃO APENAS DADOS.
EM MÃOS ERRADAS, ELES PODEM ACABAR COM AS
ECONOMIAS DA VIDA DE ALGUÉM, DEVASTAR SEU
CRÉDITO E CAUSAR RUÍNA FINANCEIRA.
Melissa Bean52
Os hackers não são a única ameaça aos
dados corporativos. Muitas violações ocorrem
inadvertidamente, pois os usuários enviam por e-mail
arquivo errado ao destinatário certo, ou o arquivo certo
ao destinatário errado — ou simplesmente deixam
o laptop desprotegido no lugar errado. O erro do
funcionário teve um papel importante em muitos dos
incidentes de perda de dados no ano passado, mas
intencional ou não, o resultado pode ser o mesmo:
dados confidenciais expostos ao risco, clientes
furiosos, reputações arruinadas, penalidades por não
conformidade e graves interrupções nos negócios.
88 %
DAS ORGANIZAÇÕES PASSARAM,
PELO MENOS, POR UM POSSÍVEL
INCIDENTE DE PERDA DE DADOS
51
PENSA QUE VOCÊ ESTÁ LIVRE DA PERDA DE DADOS?
TENTE DE NOVO...
Muitas organizações continuam negligenciando a
implementação de políticas e controles rígidos de proteção
de dados porque acham que elas não correm o risco de
violações de dados. A realidade dolorosa é que os hackers
não visam apenas os grandes bancos e varejistas e cada
organização possui dados confidenciais que podem ser
expostos por um e-mail errante ou um laptop perdido. Estes
são apenas alguns dos exemplos de 2013:
Informações pessoais, incluindo número da previdência
social, de 3.500 pacientes foram roubadas do Ministério
da Saúde da Flórida por funcionários que passaram os dados
a um parente para uso no preenchimento de restituições de
imposto fraudulentos53.
O conselho governamental de Islington (Londres) foi multado
em 70.000 depois que uma equipe interna publicou
O setor varejista pode ter sido o setor de mais alta
visibilidade a sofrer violações de dados em 2013,
porém, de acordo com a pesquisa de Check Point,
as organizações em todos os setores estão perdendo
o controle dos dados confidenciais, e isso está
acontecendo mais velozmente do que em 2012
(Gráfico 5-1).
Seria fácil para uma pequena organização considerar
a si mesma muito pequena para ter que se preocupar
com a perda de dados, mas nada poderia ser mais
falso (leia o adendo: Pensa que você está livre da
perda de dados? Tente de novo...). Uma das maiores
violações da história visou a Heartland Payments57,
uma empresa com 700 pessoas, quando ladrões
roubaram as informações digitais codificadas em tarjas
magnéticas integradas no verso dos cartões de crédito
e débito. Cada organização na cadeia de fornecimento
de informações corre risco de ataque e mesmo um
roubo relativamente pequeno pode gerar resultados
vantajosos para os hackers.
52
inadvertidamente planilhas contendo as informações
pessoais de 2.375 residentes, incluindo histórico de
saúde, no site público de uma agência de habitação54.
A Rotech Healthcare relatou a exposição acidental
de informações pessoais e de saúde de até 3.500
funcionários por uma antiga funcionária do departamento
de RH que teve permissão para manter seu computador
pessoal quando ela deixou a firma55.
O Information Commissioner’s Office do Reino Unido
informou mais de 60 violações da Lei de Proteção de Dados
pelo conselho de Anglesey (Wales) relacionadas ao acesso
inadequado aos dados pessoais dos habitantes,
incluindo publicações inadvertidas em sites públicos e por
e-mail56.
A pesquisa da Check Point descobriu que 88% das
empresas que analisamos passou por, pelo menos,
um possível evento de perda de dados, o que significa
que uma porção dos dados confidenciais foi enviada
para fora da organização por e-mail ou upload em um
navegador da Web. Esse foi um aumento considerável
sobre o já alto número de 54% que foi observado em
2012, e destaca a batalha constante das organizações
em proteger dados confidenciais contra exposição
acidental ou intencional.
TODOS OS DIAS UMA ORGANIZAÇÃO
PASSA POR 29 EVENTOS DE
POSSÍVEL EXPOSIÇÃO
DOS DADOS CONFIDENCIAIS
05 PREVENÇÃO CONTRA PERDA DE DADOS: O GRANDE RETORNO
Porcentagem de organizações com pelo
menos um possível evento de perda de
dados, por setor (% de organizações)
A CADA 49 MINUTOS DADOS
CONFIDENCIAIS SÃO ENVIADOS
PARA FORA DA ORGANIZAÇÃO
88%
50%
Industrial
88%
61%
Finanças
87%
70%
Governo
79%
45%
Gráfico 5-1
Telecom.
2013
2012
Os registros de dados comerciais, código-fonte e outros
segredos comerciais são estimados para representar a
maioria dos ativos das empresas norte-americanas e
estão sob constante ataque. A espionagem econômica
está avaliada em US$ 250 a US$ 500 bilhões por
ano, contando somente o custo de negócios norteamericanos. Enquanto os bancos e as empresas de
assistência médica sofreram uma longa pressão de
regulamentações externas para a proteção de dados
de clientes e pacientes, as empresas em setores como
manufatura, infraestrutura de energia, despacho,
indústrias extrativas e, até mesmo, o entretenimento
nem sempre usaram uma abordagem proativa para
segurança de dados. Essas são as organizações que
são cada vez mais visadas nas campanhas que usam
o malware personalizado em massa, bem como nos
ataques direcionados mais focados.
As regulamentações também se adaptam
Em outras palavras, a cada 49 minutos, dados
confidenciais são enviados para fora da organização.
Todos os dias, uma organização vivencia 29 eventos
de possível exposição de dados confidenciais. Esse é
um número preocupante de vazamento de dados para
qualquer organização de qualquer setor, que destaca
a necessidade de controles mais rígidos em torno dos
dados confidenciais.
Por setor, os aumentos mais drásticos ocorreram nos
setores Industrial e de Consultoria. Esses aumentos
fazem mais sentido no contexto dos tipos de dados
que foram atacados em 2013. (Gráfico 5-2) Nossa
pesquisa revelou que o código-fonte foi o tipo de dado
mais popular enviado para fora da organização em
2013, saltando de quase 50% desde 2012.
Apesar das numerosas violações em dados de cartão
de crédito de alta visibilidade que ocorreram em 2013,
a pesquisa da Check Point descobriu que a incidência
dos eventos de perda de dados de PCI em organizações
financeiras foi ligeiramente reduzida para 33%, em
comparação com os 36% revelados em 2012. Dentro
das organizações de seguros e assistência médica
da nossa pesquisa, houve um aumento de 16% das
organizações em 2012 para 25% em 2013 em eventos
relacionados à regulamentação HIPAA.
53
DADOS ENVIADOS PARA
FORA DA ORGANIZAÇÃO
PELOS FUNCIONÁRIOS
2013
Números de conta bancária 4%
2012
3%
Mensagem confidencial do Outlook 5%
7%
Arquivo protegido por senha 10%
14%
Informações salariais 14%
Informações de rede 14%
13%
Dados de
cartão de crédito 29%
35%
29%
21%
24% Código-fonte
Gráfico 5-2
EM
33 %
21%
Informações
pessoais
confidenciais
6% Registro dos
dados comerciais
DAS INSTITUIÇÕES FINANCEIRAS
VARRIDAS, AS INFORMAÇÕES DE
CARTÃO DE CRÉDITO FORAM ENVIADAS
PARA FORA DA ORGANIZAÇÃO
54
2013 viu a publicação do PCI-DSS 3.0 (Payment Card
Industry Data Security Standards 3.0)58, que incluiu
vários (e na hora certa) novos requisitos em relação a:
• Práticas de segurança para sistemas de não
usuários finais, como POS (ponto de venda) e
outros terminais.
• Aumento de treinamento do usuário sobre ataques
potenciais (phishing, USB, etc.) e tratamento
responsável de dados confidenciais.
• Teste de penetração de controles e proteções que
definem a segmentação entre os dados do titular
do cartão e outras partes da rede.
• Credenciais usadas pelos provedores de serviço
para acesso remoto aos ambientes de clientes que
estão sujeitos ao PCI-DSS.
Recomendações
De modo geral, os requisitos do DSS revisados enfatizam
"treinamento, conscientização e segurança como uma
responsabilidade compartilhada". Os padrões 3.0
entraram em vigor em 1º de janeiro de 2014 e eventos
de 2013 criaram um novo senso de urgência por trás
da adoção desses novos requisitos.
No mundo das crescentes perdas de dados de hoje,
as organizações devem tomar medidas para proteger
os dados confidenciais. A melhor maneira de evitar a
perda de dados involuntária é implementar uma política
corporativa automatizada que capture tais incidentes
antes que os dados saiam da organização. Tais
políticas podem ser mais bem aplicadas por meio de
uma solução DLP (prevenção contra perda de dados).
Os produtos DLP compatíveis com conteúdo possuem
um amplo conjunto de recursos e apresentam às
organizações várias opções de implantação.
Fazendo uma análise prospectiva de 2014, as
organizações terão novos requisitos e regulamentações
de conformidade e proteção de dados com os quais
lidar, incluindo o PCI-DSS 3.0, com seus requisitos
expandidos em relação à proteção de sistemas POS,
bem como uma nova ênfase no treinamento de usuários.
Na Europa, a nova Diretiva de Privacidade de Dados
da União Europeia, a GDPR (General Data Protection
Regulation)59, entra em vigor em 2014 também,
criando requisitos mais rígidos para proteção de
dados de cidadãos e clientes, tanto dentro dos países,
quanto nos limites nacionais e da União Europeia. As
organizações serão obrigadas a continuar aprimorando
suas políticas e práticas de segurança para cumprir
as novas regulamentações ou sanções financeiras
significativas de risco.
O surto de violações de dados em larga escala e
altamente publicadas durante todo o ano de 2013
(afetando algumas das marcas mais famosas do
mundo, bem como muitas organizações menores)
mostra que muito trabalho precisa ser feito para
proteger as informações pessoais e de negócios. Esse
desafio aumentará apenas em seu âmbito enquanto as
tendências, como mobilidade, e a Internet das coisas
expuserem dados para roubo ou exposição acidental de
novas maneiras. O erro humano tem um papel central
especial em muitos incidentes de perda de dados e isso
exigirá uma abordagem verdadeiramente abrangente e
holística para garantir que os dados não sejam expostos
ao risco nem deixados vulneráveis ao roubo.
Antes de implantar a solução DLP, as organizações
precisam desenvolver uma nítida estratégia de DLP com
base em considerações claramente definidas, como:
Que informações são consideradas confidenciais?
Quem pode enviá-las? Onde, como e em que tipos de
dispositivo elas podem ser usadas? Com essa estrutura
de política definida, você pode implementar e configurar
a solução de maneira adequada para oferecer suporte
aos requisitos exclusivos de negócios, segurança e
produtividade do usuário da organização. Para uma
prevenção eficaz contra a perda de dados, sua solução
deve englobar os recursos e medidas que se seguem.
55
A CONFORMIDADE COM A PCI DÁ UM FALSA
SENSAÇÃO DE SEGURANÇA?
As violações em massa de dados de cartão de crédito no fim
de 2013 revigoraram uma longa discussão sobre a relação
entre o PCI-DSS e a segurança, e especialmente se uma
empresa certificada como "em conformidade com a PCI"
está realmente protegida contra o hack.
Alguns argumentam que a certificação de conformidade com
a PCI estimula uma falsa sensação de segurança entre os
varejistas e o público. As violações de dados nas empresas
em conformidade e as ações como anulação retroativa do
status de conformidade com a PCI são associadas à geração
de ceticismo, enquanto a evolução contínua do padrão pode
dar a sensação de que elas são um alvo em movimento.
Diante dessas preocupações, a organização e os profissionais
da PCI mostram corretamente que as instâncias onde
empresas em conformidade com a PCI, como a Target, que
ficou conhecida por seguir processos sólidos de segurança,
Classificação de dados: alta precisão na identificação
de dados confidenciais é um componente essencial
de uma solução DLP. A solução DLP deve estar apta
a detectar PII (informações de identificação pessoal),
dados relacionados à conformidade (por exemplo,
dados da HIPAA, SOX, PCI, etc.) e dados comerciais
confidenciais, incluindo tipos de dados prontos para
uso e os tipos de dados definidos pela sua própria
personalização. À medida que os dados se movem
pela organização e além, a solução deve inspecionar
os fluxos de conteúdo e aplicar políticas nos protocolos
TCP mais amplamente usados, incluindo SMTP, FTP,
HTTP, HTTPS e webmail, usando correspondência
de padrão e classificação de arquivo para identificar
tipos de conteúdo, independentemente da extensão
do arquivo ou do formato de compactação. A solução
DLP deve poder reconhecer e proteger formulários
confidenciais com base nos modelos predefinidos e na
correspondência de arquivo/formulário.
56
mas que apesar disso sofreu uma violação de dados,
apontam para um problema importante no modo como a
segurança muitas vezes é posta em prática: isto é, não é um
produto, mas um processo.
Bob Russo, presidente do conselho de Padrões de Segurança
da PCI, ressaltou que a certificação de conformidade com
a PCI é um "instantâneo pontual" quando comentou no
Computerworld, "Você pode estar em conformidade hoje e
totalmente fora de conformidade amanhã".60
Os padrões são ferramentas valiosas para avaliar e
comparar a postura da segurança em relação às métricas
comuns. O perigo da certificação de conformidade está
mais no risco de que a organização pensará que "fez" com
segurança, do que em não se envolver no processo contínuo
de reavaliação e adaptação à medida que suas práticas de
dados e ambientes mudam.
Correção de incidente dirigida ao usuário: as
soluções DLP tradicionais podem detectar, classificar
e até mesmo reconhecer documentos específicos e
vários tipos de arquivo, mas não podem capturar a
intenção do usuário por trás do compartilhamento de
informações confidenciais. A tecnologia por si só é
inadequada porque não pode identificar essa intenção
e reagir adequadamente. Por conseguinte, uma solução
DLP de qualidade deve envolver usuários para atingir
bons resultados. Uma abordagem serve para capacitar
usuários a corrigir incidentes em tempo real. Em outras
palavras, a solução DLP deve informar o usuário que
sua ação pode resultar em um possível incidente de
vazamento de dados e capacitá-lo a decidir se descarta
a mensagem ou continua enviando-a. Essa metodologia
fortalece a segurança elevando a conscientização sobre
a política de armazenamento de dados e alertando
os usuários dos possíveis erros em tempo real, além
de reduzir o impacto do usuário permitindo rápida
autorização de si mesmo em comunicações legítimas.
Consequentemente, o gerenciamento da segurança
é simplificado porque o administrador pode rastrear
eventos de DLP para análise sem precisar atender
pessoalmente a cada solicitação de envio de dados
externa à medida que ela ocorre.
Proteção contra violações de dados internos:
outro importante recurso DLP é a capacidade não só
de controlar dados confidenciais impedindo-os de sair
da empresa, mas também de inspecionar e controlar
e-mails confidenciais enviados entre departamentos
dentro da mesma empresa. As políticas podem
ser definidas para impedir o vazamento acidental
interdepartamentais dos dados confidenciais, por
exemplo, planos de compensação, documentos de
recursos humanos confidenciais, documentos de
fusões e aquisições ou fichas médicas.
Proteção de dados para discos rígidos de endpoint:
as empresas devem proteger dados de laptop como
parte de uma política abrangente de segurança a fim
de impedir que intrusos obtenham informações valiosas
por meio de computadores perdidos ou roubados. Você
pode impedir que usuários não autorizados acessem
informações criptografando os dados em todos os
discos rígidos do endpoint, incluindo dados do usuário,
arquivos do sistema operacional e arquivos temporários
e apagados.
EM
Proteção de dados para mídia removível: os
funcionários muitas vezes combinam arquivos, como
de música, imagens e documentos com arquivos
corporativos, como financeiros e de recursos humanos,
em dispositivos de armazenamento USB e outras
mídias removíveis. Isso torna o controle dos dados
corporativos ainda mais desafiador. Ao criptografar
o armazenamento removível e impedir acesso não
autorizado para esses dispositivos, você pode minimizar
as violações na segurança, caso eles sejam perdidos
ou roubados.
Proteção
de
documento:
os
documentos
corporativos são carregados repetidamente na Web por
aplicativos de armazenamento e compartilhamento de
arquivos, enviados a smartphones pessoais, copiados
em dispositivos de mídia removível e compartilhados
externamente com parceiros de negócios. Cada uma
dessas ações coloca os dados confidenciais em risco
de serem perdidos ou usados incorretamente. Para
proteger documentos corporativos, uma solução de
segurança deve poder aplicar uma política de criptografia
de documento e conceder acesso exclusivamente aos
indivíduos autorizados.
25 %
DAS INSTITUIÇÕES DE SEGURO E
ASSISTÊNCIA MÉDICA EXAMINADAS, AS
INFORMAÇÕES DE SAÚDE PROTEGIDAS
PELA HIPAA FORAM ENVIADAS PARA
FORA DA ORGANIZAÇÃO
57
APRENDENDO COM OS ATAQUES NO PONTO DE VENDA
Embora hackear os terminais POS (ponto de venda) para
roubar dados de cartão de crédito tenha sido tecnicamente
possível, por muitos anos, os invasores achavam os
servidores que armazenam esses dados-alvo muito mais
fáceis. As melhorias na segurança dos servidores que
armazenam dados de cliente e cartão de crédito forçaram
os invasores a mudar o foco para a fonte de dados, e 2013
foi o divisor de águas para o hack do POS. Embora o escopo
e a escala dessas violações de dados de varejo fossem
chocantes para muitos, igualmente interessante para os
profissionais de segurança foi a variedade nessa categoria
de malware.
O malware do POS em si varia em termos de sofisticação,
da limpeza de memória do ChewBacca e Dexter61 genéricos
ao complexo BlackPOS62 e até malwares de POS mais
altamente direcionados descobertos na Neiman Marcus63.
No entanto, eles compartilham várias características que
permitem aos invasores se infiltrar em sistemas POS e
roubar grandes volumes de dados de cartão de crédito:
• Segurança dos sistemas POS em sistemas operacionais
desatualizados que, muitas vezes, permanecem
sem patches por meses, mesmo que o patch seja
disponibilizado.
• Ganho de entrada nos sistemas POS por meio de um
cliente ou servidor infectado no varejista visado
Gerenciamento de eventos: além de definir regras de
DLP para atender às políticas de uso de dados da sua
organização e implementar tecnologias para oferecer
suporte e aplicá-las, uma estratégia completa de
prevenção contra perda de dados deve incluir recursos
sólidos de monitoramento e geração de relatórios. Sua
solução de segurança deve permitir o monitoramento e
a análise dos eventos DLP históricos e em tempo real.
58
•
•
•
Capacidade de driblar o controle de aplicativos e
outras medidas de bloqueio de sistema, por exemplo,
infectando um servidor atualizado
Uso de criptografia, protocolos comuns e padrões
normais de tráfego de rede para ocultar os dados
enquanto eles estiverem sendo extraídos
Em muitas redes, acesso direto à Internet do próprio
dispositivo POS, muitas vezes porque é desse modo
que a cobrança real é realizada
Tentar resolver essas questões isoladamente não solucionará
o problema porque não resolve a causa principal: segmentação
fraca ou não existente das redes de produção e POS. As
redes varejistas destacam a importância de desenvolver e
implementar uma estratégia de segmentação de práticas
recomendadas que permita às organizações aplicar políticas
de contenção em hosts comprometidos e definir interações
intrassegmento que podem ser monitoradas e aplicadas
automaticamente. Por exemplo, o monitoramento da
aplicação da direção do tráfego e de tipos de segmentos
que contêm dispositivos POS restringiria oportunidades do
malware de propagar e expulsar dados. Quanto a isso, os
varejistas se encontrarão na vanguarda de uma mudança
que será realizada em todas as organizações para definir e
implementar a segmentação lógica e a aplicação orientada
por política pelos ambientes de TI.
Isso dá ao administrador de segurança uma visão clara
e ampla das informações que estão sendo enviadas
externamente e suas fontes, bem como fornece à
organização a capacidade de responder em tempo
real, se necessário.
O próximo capítulo apresenta um plano amplo e de alto
nível para segurança eficaz de hoje.
06
A ARQUITETURA
DE SEGURANÇA
PARA AS AMEAÇAS
DO FUTURO:
Proteção Definida
por Software
59
60
06
06
A ARQUITETURA DE SEGURANÇA
PARA AS AMEAÇAS DO FUTURO:
PROTEÇÃO DEFINIDA POR SOFTWARE
O Relatório de Segurança de 2014 da Check Point
apresenta os resultados da nossa análise detalhada
sobre ameaças à segurança e tendências em 2013.
Esse relatório pode ajudar os tomadores de decisão de
segurança e de negócios a entender a variedade das
ameaças que suas organizações estão enfrentando e
considerar novas ações para aprimorar a proteção do
ambiente de TI.
Os destaques da nossa pesquisa são:
• Houve uma explosão do malware desconhecido,
impulsionada pela tendência da "personalização
em massa" do malware
• Aumento da exposição ao malware e das infecções
pelo mundo, refletindo o aumento do sucesso das
campanhas de malware direcionadas.
• Aumento da presença de cada categoria de aplicativo
de alto risco em empresas no mundo todo.
• Aumento de incidentes de perda de dados pelos
setores e tipos de dados.
Enfrentando os desafios
As descobertas desse relatório indicam claramente que
o cenário de ameaças continua evoluindo enquanto as
estratégias e tecnologias de segurança empregadas
em muitas organizações são inadequadas frente
aos ataques cada vez mais sofisticados e nocivos. A
explosão de malwares desconhecidos está tornando
as soluções somente de detecção, rapidamente, em
produtos obsoletos. Os malwares conhecidos estão
superando as defesas existentes e atacando uma gama
maior de plataformas. Os aplicativos de alto risco, bem
como o Web 2.0, armazenamento e compartilhamento
de arquivos, além das ferramentas de administração
remota com usos comerciais legítimos, continuam se
proliferando, abrindo novos vetores de ameaça à medida
que se espalham. À medida que os incidentes de perda
de dados mal-intencionados e não intencionais causam
danos sem precedentes às organizações de todos os
UM NOVO PARADIGMA É NECESSÁRIO
PARA PROTEGER AS ORGANIZAÇÕES
DE MODO PROATIVO
tamanhos entre setores, e uma vez que a mobilidade,
a consumerização e a Internet das coisas representam
o desafio da proteção de dados, as organizações
precisam de um controle melhor sobre o fluxo e o uso
das informações.
Porém, enfrentar o cenário de ameaças em evolução
não é o único desafio no ambiente de TI. As empresas
de hoje estão se tornando cada vez mais dirigidas pelas
informações de fluência livre, fazendo com que as rede
corporativas não tenham mais limites claros. Os dados
corporativos viajam pela nuvem e por dispositivos
móveis, sendo propagados por ideias e publicações
em redes sociais. A iniciativa BYOD (traga seu próprio
dispositivo), a mobilidade e a computação em nuvem
revolucionaram ambientes estáticos de TI, introduzindo
a necessidade de infraestrutura e redes dinâmicas.
Em nosso mundo de redes e infraestruturas de TI
complexas, onde os perímetros não são mais bem
definidos e onde as ameaças aumentam de modo mais
inteligente todos os dias, precisamos definir a maneira
certa de proteger as empresas.
Hoje, há uma ampla proliferação de produtos de
segurança pontuais. No entanto, esses produtos
tendem a ser reativos e táticos por natureza, em vez
de arquitetonicamente orientados. As corporações de
hoje precisam de uma única arquitetura que combine
dispositivos de segurança de rede de alto desempenho
com proteções proativas em tempo real.
Um novo paradigma é necessário para proteger as
organizações de modo proativo.
61
06 A ARQUITETURA DE SEGURANÇA PARA AS AMEAÇAS DO FUTURO: PROTEÇÃO DEFINIDA POR SOFTWARE
A arquitetura de segurança da Proteção Definida
por Software
A arquitetura SDP (Proteção Definida por Software)
particiona a infraestrutura de segurança em três
camadas interconectadas:
• Uma camada de aplicação que se baseia em
pontos de aplicação de segurança em host, físicos e
virtuais e que segmenta a rede, bem como executa a
lógica de proteção em ambientes de alta demanda.
• Uma camada de controle que analisa diferentes
fontes de informações sobre ameaças e gera
proteções e políticas a serem executadas pela
camada de aplicação.
• Uma camada de gerenciamento que orquestra
a infraestrutura e proporciona o mais alto grau de
agilidade à toda a arquitetura.
Ao combinar a camada de aplicação de alto
desempenho com a camada de controle baseada em
software dinâmica e de rápida evolução, a arquitetura
SDP proporciona, além de resiliência operacional,
prevenção proativa contra incidentes para um cenário
de ameaças em constante mudança.
62
d
a
to
d
e
en
ri
a
a
m
d
ul
d
ci
en
a
is
çã
ib
o
il
a
id
o
M
en
ev
co
nt
ro
le
Pr
e
d
d
a
m
a
C
Po
n
ap tos d
lica e
ção
ão
o
çã
ca
a
d
a
d
e
a
p
li
Po
n
ap tos d
lica e
ção
m
Po
n
ap tos d
lica e
ção
Po
n
ap tos d
lica e
ção
a
teç
Pr ot eç ão
a
de ote
da çã
do o
s
Pr
Pro
am çã
ea o c
ça on
s tra
a
m
a
d
a
d
e
A
g
ut
o
er
m
V
C
a
nci
gê
eli
I n t o n t r as
c ça
ea
am
C
Com base na arquitetura Proteção Definida por Software,
as proteções são adaptadas automaticamente para
o cenário de ameaças sem que os administradores
de segurança precisem acompanhar manualmente
milhares de conselhos e recomendações. Essas
proteções integram-se perfeitamente ao ambiente mais
amplo de TI e a arquitetura apresenta uma postura
defensiva que aproveita de modo colaborativo as fontes
de inteligência internas e externas.
de
ca a
ç
líti
Po uran
g
se
C
o
d nt
e r
a ol
ce e
ss
o
Ao implementar a arquitetura Proteção Definida por
Software, as organizações de todos os tamanhos e em
qualquer local são protegidas: redes de matrizes, filiais,
roaming por smartphones ou dispositivos móveis, ou ao
usar ambientes de nuvem.
e
A fim de atender às necessidades de hoje de proteção
contra as ameaças à segurança em constante evolução
e ao mesmo tempo oferecer suporte às complexas
infraestruturas de TI, a Check Point apresenta a
Proteção Definida por Software.64 Trata-se de uma nova
metodologia e arquitetura de segurança pragmática
que oferece uma infraestrutura modular, ágil e, o mais
importante, SEGURA.
Camadas da Proteção Definida por Software
Implementando o plano de segurança em sua
organização
Um dos principais benefícios da SDP é a metodologia
simples de implementação do plano de segurança
oferecida. A Proteção Definida por Software — Plano
de segurança corporativa da Check Point descreve em
detalhes a arquitetura SDP, seus benefícios e uma clara
metodologia de implementação. Ela está disponível online gratuitamente em checkpoint.com/sdp.
A seção a seguir descreve detalhadamente, camada
por camada, como a SDP pode ser integrada à
sua organização para proteção contra as ameaças
apresentadas neste relatório.
Camada de aplicação
Começando com a camada de aplicação, desenvolvida
para ser confiável, rápida e simples, ela consiste em
gateways de segurança de rede e softwares baseados
em host que funcionam como os pontos de aplicação
de rede corporativos. Esses pontos de aplicação
podem ser implementados como físicos, virtuais ou
componentes de host do endpoint na rede corporativa
ou na nuvem.
06 A ARQUITETURA DE SEGURANÇA PARA AS AMEAÇAS DO FUTURO: PROTEÇÃO DEFINIDA POR SOFTWARE
Onde implantar esses pontos de aplicação em nossa
rede? Onde as redes forem simples, podemos aplicar
as proteções somente no perímetro. Mas quando
os perímetros não estiverem bem definidos, onde os
pontos de aplicação devem ser implantados?
A segmentação é a resposta. É o novo perímetro. Ao
dividir um ambiente complexo em segmentos menores
com base nos perfis de segurança e implantar um ponto
de aplicação no limite de cada segmento, o ambiente
estará protegido!
Camada de controle
O próximo elemento da arquitetura SDP é a camada de
controle. É onde as proteções são geradas e de onde
as políticas de segurança são enviadas para os pontos
de aplicação. Usando políticas de controle de acesso
e proteção de dados, os administradores definem
políticas baseadas em regra para controlar interações
entre usuários, ativos, dados e aplicativos. Trata-se
basicamente de um firewall e de um firewall de última
geração.
É onde as políticas são definidas para controle de acesso
a aplicativos de alto risco descritos no capítulo 4, como
ferramentas para anonimato, compartilhamento de
arquivos P2P, armazenamento de arquivos e aplicativos
de administração remota. Essas políticas também
controlam o fluxo de dados em movimento e parado,
bem como fazem a proteção contra vazamentos de
dados, como os descritos no capítulo 5.
As políticas de controle de acesso e proteção de
dados não são suficientes; também há a necessidade
de proteger as organizações contra os "caras
maus" e as ameaças em evolução. Para atingir esse
objetivo também, precisamos implementar proteções
que possam identificar ataques conhecidos e
desconhecidos, como os descritos nos capítulos 2 e 3.
Isso está sendo feito pela Prevenção contra Ameaças,
a segunda parte da camada de controle. Nessa parte,
as proteções contra ameaças estão sendo atualizadas
em tempo real e protegidas automaticamente pelos
pontos de aplicação, de modo que não há necessidade
de definir nenhuma política específica aqui, mas apenas
ativar o mecanismo de Prevenção contra Ameaças.
A chave para a eficácia da prevenção contra ameaças
é a inteligência. A inteligência contra ameaças deve ser
criada a partir do maior número de recursos possível,
processada e convertida em novas proteções de
segurança, bem como alimentada para todos os pontos
de aplicação em tempo real.
Camada de gerenciamento
A terceira camada é a de gerenciamento, que dá vida à
arquitetura SDP e é essencial ao gerenciamento de toda
a infraestrutura. A camada de gerenciamento apresenta
três características importantes: modularidade,
automação e visibilidade.
A modularidade fornece uma política hierárquica com
a capacidade de separar tarefas administrativas para
proporcionar a flexibilidade ideal de gerenciamento. A
automação e a transparência permitem a integração a
sistemas de terceiros criando políticas e proteção em
tempo real. E, por fim, a visibilidade permite coletar
informações de segurança de todos os pontos de
aplicação, fornecendo uma visão global da postura de
segurança da organização.
A Proteção Definida por Software oferece uma
infraestrutura modular e dinâmica que se adapta
rapidamente aos ambientes de TI e às ameaças em
evolução.
63
64
07
SOBRE A
CHECK POINT
SOFTWARE
TECHNOLOGIES
65
66
Ga
Se tew
g
Ch ura ay
ec nç s d
k a e
Po da
in
t
gu
Se
M gu
Ch óv ran
ec el ça
k da
Po
in
Se
t
g
N ura
Ch uve nça
ec m d
k d e
Po a
in
t
En r
a
Ch dpo nça
ec in d
k td e
Po a
in
t
Se
Ca
m
ad
a
de
co
nt
ro
le
Ca
m
ad
a
de
ge
s
b
ia
a
nc
PI
re
A
m
a
s
t
co
en
rt
to
Ev
en
ta
rt
Sm
a
er
Sm
ns
ol
e
07
REFERÊNCIAS
Stoll, Cliff. (2005). The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage. New York, NY: Pocket Books.
1
http://resources.infosecinstitute.com/hacktivism-means-and-motivations-what-else/
2
http://www.entrepreneur.com/article/231886
3
http://www.darkreading.com/advanced-threats/mass-customized-attacks-show-malware-mat/240154997
4
http://www.checkpoint.com/campaigns/securitycheckup/index.html
5
http://www.checkpoint.com/products/threat-emulation/
6
http://www.checkpoint.com/threatcloud-central/index.html
7
https://supportcenter.checkpoint.com/supportcenter/portal/role/supportcenterUser/page/default.psml/media-type/html?action=portlets.DCFileAction&eventSubmit_
doGetdcdetails=&fileid=20602
8
https://www.checkpoint.com/products/softwareblades/architecture/
9
http://www.checkpoint.com/products/index.html#gateways
10
Huxley, Thomas Henry (1887). On the Reception of the Origin of Species, http://www.todayinsci.com/H/Huxley_Thomas/HuxleyThomas-Quotations.htm
11
http://www.checkpoint.com/threatcloud-central/downloads/check-point-himan-malware-analysis.pdf
12
http://usa.kaspersky.com/
13
http://msdn.microsoft.com/en-us/magazine/cc164055.aspx
14
http://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon
15
http://news.cnet.com/Code-Red-worm-claims-12,000-servers/2100-1001_3-270170.html
16
http://www.cnn.com/2004/TECH/internet/05/03/sasser.worm/
17
http://support.microsoft.com/kb/2664258
18
http://www.pcmag.com/article2/0,2817,2370016,00.asp
19
https://www.virustotal.com/
20
http://www.av-test.org/en/home/
21
http://www.checkpoint.com/threatcloud-central/downloads/10001-427-19-01-2014-ThreatCloud-TE-Thwarts-DarkComet.pdf
22
http://contextis.com/research/blog/malware-analysis-dark-comet-rat/
23
http://www.princeton.edu/~achaney/tmve/wiki100k/docs/Portable_Executable.html
24
http://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomware-what-you-need-to-know/
25
Mariotti, John. (2010). The Chinese Conspiracy. Bloomington, IN: iUniverse.com
26
http://www.checkpoint.com/campaigns/security-report/download.html?source=google-ngfw-us-sitelink-report&gclid=CIfK-JuOhrwCFZFxQgodsBYA_w
27
https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/3/html/Security_Guide/ch-risk.html
28
Anderson, Chris. (2006). The Long Tail: Why the Future of Business is Selling Less of More. New York, NY: Hyperion.
29
http://www.fbi.gov/about-us/history/famous-cases/willie-sutton
30
http://searchwindowsserver.techtarget.com/definition/remote-code-execution-RCE
31
http://searchsoa.techtarget.com/definition/Remote-Procedure-Call
32
68
REFERÊNCIAS (cont.)
https://www.checkpoint.com/threatcloud-central/articles/2013-11-25-te-joke-of-the-day.html
33
http://www.checkpoint.com/threatcloud-central/articles/2013-12-03-new-wave-url-domain-malware.html
34
http://www.checkpoint.com/threatcloud-central/articles/2013-11-14-defeating-cryptocker.html
35
http://www.apwg.org/
36
http://www.checkpoint.com/threatcloud-central/articles/2013-12-03-new-wave-url-domain-malware.html
37
http://docs.apwg.org/reports/APWG_GlobalPhishingSurvey_1H2013.pdf
38
http://newgtlds.icann.org/en/program-status/delegated-strings
39
Stephenson, Neal. (2002). Cryptonomicon. New York, NY: Avon.
40
Orwell, George. (1956). Animal Farm. New York, NY: Signet Books.
41
https://www.torproject.org/
42
http://www.pcworld.com/article/2046227/meet-darknet-the-hidden-anonymous-underbelly-of-the-searchable-web.html
43
http://www.huffingtonpost.com/tag/silk-road-arrest
44
http://www.pcworld.com/article/2093200/torenabled-malware-stole-credit-card-data-from-pos-systems-at-dozens-of-retailers.html
45
http://www.britannica.com/EBchecked/topic/278114/Hydra
46
http://msdn.microsoft.com/en-us/library/aa383015(v=vs.85).aspx
47
http://www.securityweek.com/poison-ivy-kit-enables-easy-malware-customization-attackers
48
http://www.checkpoint.com/defense/advisories/public/2005/cpai-20-Decf.html
49
http://www.emea.symantec.com/web/ShadowIT-enduser/
50
http://www.techrepublic.com/blog/it-security/dropsmack-using-dropbox-to-steal-files-and-deliver-malware/
51
http://vote-il.org/politicianissue.aspx?state=il&id=ilbeanmelissa&issue=buscrime
52
http://www.scmagazine.com/florida-health-department-employees-stole-data-committed-tax-fraud/article/318843/
53
http://www.islingtongazette.co.uk/news/data_leak_lands_islington_council_with_70_000_fine_1_2369477
54
http://healthitsecurity.com/2013/11/12/rotech-healthcare-reports-three-year-old-patient-data-breach/
55
http://www.dailypost.co.uk/news/north-wales-news/anglesey-council-under-fire-over-6330304
56
http://www.informationweek.com/attacks/heartland-payment-systems-hit-by-data-security-breach/d/d-id/1075770
57
https://www.pcisecuritystandards.org/documents/DSS_and_PA-DSS_Change_Highlights.pdf
58
http://ec.europa.eu/justice/newsroom/data-protection/news/130206_en.htm
59
http://www.computerworld.com/s/article/9245984/Despite_Target_data_breach_PCI_security_standard_remains_solid_chief_says
60
http://www.csoonline.com/article/723630/dexter-malware-infects-point-of-sale-systems-worldwide-researchers-say
61
http://www.darkreading.com/vulnerabilities---threats/securestate-releases-black-pos-malware-scanning-tool/d/d-id/1141216
62
http://www.businessweek.com/articles/2014-02-21/neiman-marcus-hackers-set-off-60-000-alerts-while-bagging-credit-card-data
63
http://www.checkpoint.com/sdp
64
69
70
71
We Secure the Internet.
www.checkpoint.com
MATRIZES NO MUNDO
MATRIZES NOS EUA
5 HA’SOLELIM STREET, TEL AVIV 67897, ISRAEL
TEL: 972-3-753-4555 | FAX: 972-3-624-1100
EMAIL: [email protected]
959 SKYWAY ROAD, SUITE 300, SAN CARLOS, CA 94070
TEL: 800-429-4391; 650-628-2000 | FAX: 650-654-4233
©2014 Check Point Software Technolcgies Ltd. [Protected]- Todos os direitos reservados

Security Report 2014

Transcrição

Documentos relacionados

Detectados novos ataques de malware graças à

Malwares

Malwarebytes Endpoint Security

Série AX - FireEye

Gallup-McKinley County Schools

Aula 05 - Segurança na Internet (Versão PDF)

FireEye as a Service

Impeça ameaças antes que elas iniciem, bloqueando

Análise de Malwares com Software Livre

Recursos e benefícios Especificações técnicas