Queira o Sr. Perito analisar o Relatório de Ameaças da Websense – 2015

Introdução

Serão apresentados os principais pontos abordados no Relatório de Ameaças elaborado pela Websense Security Labs® em 2015. O arquivo original pode ser encontrado aqui.

O Cibercrime ficou mais fácil

O MaaS (Malware-as-a-Service) se consolidou enquanto prática, uma vez que mesmo quem não possui conhecimentos aprofundados na área pode ter acesso a tecnologias e ferramentas de ponta, incluindo amostras de código-fonte malicioso, provedores de serviços de ataque e kits de exploração.

Os ataques que exibem comportamento avançado estão se tornando comuns, especialmente nas áreas de evasão, para ocultar intenção ou identificação.

Evitar a armadilha da atribuição

A preocupação quanto à atribuição de autoria de um ataque deve ser deixado para as autoridades competentes, a empresa deve focar no aprimoramento de suas defesas e nas tarefas de gestão do incidente, como a reparação das informações.

Dentre as principais de técnicas para a manutenção do anonimato utilizadas pelos cibercriminosos em 2014, constam:

– Utilização do TOR (The Onion Router);

– Uso de sites comprometidos registrados por uma terceira parte independente, implicando, assim, o registrante no ataque;

– Uso de provedores de hospedagem resistentes as leis internacionais, que se recusam a cooperar com notificações de abuso ou solicitações de aplicações legais;

– Séries complexas de cadeias de redirecionamento, definidas para funcionar apenas para a organização-alvo e para funcionar apenas uma vez;

– O uso de DNS dinâmico para resolver domínios registrados por atacantes para endereços IP que mudam frequentemente fornecerá informações que ofuscam o caminho de DNS real e, portanto, não são acionáveis.

Elevar o conhecimento de TI

Para os interessados em ingressar na área de cibersegurança, uma boa notícia, de acordo com estudo da (ISC)2 sobre a Força de Trabalho de Segurança da Informação Global de 2013, existirá uma carência de 2,2 milhões de profissionais de Segurança de TI qualificados, até o ano de 2017.

Outra preocupação a se considerar é buscar metodologias e ferramentas visando a educação e conscientização dos usuários. A geração atual está mais familiarizada com o ambiente tecnológico, estando mais apta a compreender e disseminar os hábitos necessários para comportamentos mais seguros.

Percepção das ameças internas

As ameaças internas se manterão entre os principais fatores de risco para o furto de dados, podendo se dividir em dois tipos: acidentais e maliciosas. A acidental consiste no funcionário sendo ludibriado com engenharia social para abrir e-mails maliciosos ou navegar em um site comprometido. Já a maliciosa, quando o funcionário extrai/distribui propositalmente informações para obter ganhos monetários ou apoio na carreira.

Construindo uma infraestrutura frágil

Em 2014, o cenário de ameaças se expandiu para a infraestrutura de redes, quando vulnerabilidades ocultas foram reveladas nas bases dos códigos do Bash, OpenSSL, SSLv3 e outros que têm sido usados há décadas. Shellshock, Heartbleed e Poodle, para mencionar apenas alguns, demonstraram a natureza frágil dos padrões de infraestrutura e exigiram avaliação rápida dos riscos e aplicação de métodos de mitigação para prevenir explorações e furto de dados por cibercriminosos.

Déjà vu?

A reciclagem de mensagens de engenharia social não é nova. Mas observamos crescimento em 2014 na reciclagem de outras táticas, mescladas com novos métodos e técnicas para aumento da evasão. Um aspecto desse renascimento de táticas de ameaças foi mensurado pelo Websense Security Labs, que identificou mais de 3 milhões de anexos de e-mail com macros apenas nos últimos 30 dias de 2014. Um bom exemplo da eficácia dessa abordagem foi demonstrado em meados do ano passado, quando um ataque moderno, direcionado e avançado no setor financeiro usou macros do Microsoft Word extremamente atualizadas para evadir a detecção.

Em 2014, 81% de todos os e-mails examinados pela Websense foram identificados como indesejados. Um aumento de 25% em comparação ao ano anterior. E o mais interessante, além do volume de e-mails maliciosos, é o fato de que a Websense detectou 28% de mensagens de e-mail maliciosas antes que uma assinatura antivírus ficasse disponível, gerando uma janela de exposição de 17,5 horas para os usuários de antivírus.

Internet das coisas

A Internet das Coisas (IoT) ampliará as oportunidades para explorações à medida que cresce para uma faixa estimada de 20 a 50 bilhões de dispositivos conectados até 2020.

A IoT oferece conectividade e aplicativos que anteriormente eram inimagináveis, mas, a facilidade de implementação e o impulso para inovação são fatores para elevar as preocupações com segurança.

Informações confidenciais também podem sair da organização por câmeras e microfones, especialmente os equipados com o recurso de “ativação por voz”. Os cibercriminosos podem obter informações úteis com GPS e outros dispositivos com relatórios automáticos.

Evolução das ameaças

Os ataques vistos em 2014 demonstraram elevado grau de sofisticação e diminuição de linearidade. Observou-se maior utilização de explorações de Adobe Flash e Microsoft Silverlight, e menos dependência de vulnerabilidades do Adobe Reader.

A evasão da detecção é crítica durante a vigência de um ataque, desde a violação inicial até o período estendido de furto de dados. Alguns exemplos das técnicas mais notáveis que ficaram cada vez mais refinadas e prevalentes em 2014 incluem:

– Sistemas de direcionamento de tráfego (TDS, Traffic Direction System) foram implementados para entregar ameaças em geografias específicas;

– Redes TOR (The Onion Router) são usadas para tornar anônimas as fontes de comunicações relacionadas a botnets, downloads maliciosos ou furto de dados;

– Técnicas de evasão de sandboxing: O código malicioso pode consultar o sistema-alvo sobre artefatos de máquina virtual (incluindo procurar por modelos de discos rígidos específicos e pesquisar no Registro do Windows por chaves referentes a máquinas virtuais). Se forem encontradas, não ocorre nenhum comportamento malicioso.

– Os executáveis podem ficar adormecidos ou suspensos antes de acionar qualquer comportamento malicioso.

– Furtar diretamente moedas virtuais e “sequestrar” dados para obter resgate tornaram-se meios populares de monetizar um ataque.

Conclusão

Vulnerabilidades que haviam sido esquecidas e tiveram inclusive suas contramedidas removidas de algumas soluções antivírus, estão sendo novamente exploradas.

Os cibercriminosos estão aumentando em habilidade e em números absolutos. Esse fator, somado à carência de profissionais altamente qualificados em Segurança de TI demanda um grande investimento por parte das empresas, tanto em formação quanto em ferramentas.

As técnicas mais modernas de exploração vem demonstrando inovações na capacidade de evasão e misturando aplicações tradicionais com novos conceitos, alcançando alto grau de impacto.

A internet das coisas adiciona uma nova miríade de dispositivos e redes que não necessariamente estão preparados frente a esse cenário de ameaças.

Diante do exposto, podemos concluir que no atual cenário de ameaças, as organizações precisam aliar a educação e conscientização dos funcionários (associada à qualificação da equipe de Segurança de TI) à tecnologia avançada para mitigar os riscos inerentes às operações.