A Cisco divulgou esta semana o Cisco 2017 Midyear Cybersecurity Report, relatório que aborda a rápida, e cada vez mais estruturada, evolução das ameaças, com a previsão de um crescente potencial de ataques de “destruição de serviço” (DeOS). Esses tipos de ameaças são capazes de eliminar os backups e redes de segurança das empresas, que são, justamente, os meios necessários responsáveis por restaurar os sistemas e dados após um ataque cibernético. O estudo destaca ainda que, com o advento da Internet das Coisas (IoT), as principais indústrias estão oferecendo mais operações online e, com isso, tornando-se mais vulneráveis a ataques.
Os casos recentes de ciberataques como o WannaCry e o Nyetya mostram a rápida disseminação e o grande impacto que esses incidentes podem causar já que, a princípio, parecem típicos casos de ransomware, mas, na verdade, acabam sendo muito mais destrutivos. Os ataques de “destruição de serviço” (DeOS) – termo usado pela Cisco para definir essas ameaças – podem ser muito mais prejudiciais, já que não possibilitam a recuperação de dados pelas empresas.
“Os criminosos estão se tornando cada vez mais criativos na maneira como estruturam seus ataques. Com isso, empresas de todos os setores estão em uma corrida constante contra os cibercriminosos. A garantia da segurança começa com o fechamento das brechas mais óbvias e se torna uma prioridade comercial, como parte essencial do processo”, explica Ghassan Dreibi, Gerente de Desenvolvimento de Negócios de Segurança para LatAm, da Cisco.
A Internet das Coisas continua a oferecer novas oportunidades para cibercriminosos, pois com mais dispositivos conectados, há mais brechas de segurança, que são responsáveis pelo crescente número de ameaças. A recente atividade de botnet de IoT (rede de robo criada com dispositivos de IoT infectados) já indica que alguns hackers podem estar se preparando para uma ameaça cibernética de alto impacto e em larga escala que poderia interromper a própria internet.
Medir a eficácia das práticas de segurança em relação a esses ataques é crítico. A Cisco rastreia a melhoria na redução do “tempo de detecção” (TTD), a janela de tempo entre uma invasão e a detecção da ameaça. “Detectar uma ameaça com rapidez é fundamental para restringir o espaço operacional dos hackers e minimizar os danos causados pelas invasões”, completa o especialista da Cisco. Desde novembro de 2015, a Cisco diminuiu a média de tempo de detecção (TTD) de pouco mais de 39 horas para cerca de 3,5 horas do período de novembro de 2016 a maio de 2017. Esse índice é baseado na telefonia remota obtida dos produtos de segurança da Cisco implantados no mundo todo.
Cenário de ameaça: o que está em alta e o que não está
Os pesquisadores de segurança da Cisco assistiram a evolução do malware durante o primeiro semestre de 2017 e identificaram mudanças na forma como os criminosos estão adaptando suas técnicas. A Cisco percebeu o crescente número de vítimas de ataques que foram ativados por meio de abertura de links ou arquivos suspeitos. Os hackers estão desenvolvendo malwares sem necessitarem de arquivos que permaneçam na memória do dispositivo e que são mais difíceis de detectar ou rastrear, pois são eliminados logo que o dispositivo é reiniciado. Os criminosos dependem ainda de infraestrutura anônima e descentralizada, como um serviço de proxy Tor, para camuflar as atividades de comando e controle.
Enquanto a Cisco identificou um considerável declínio nos kits de exploração, outros ataques tradicionais estão ressurigindo:
• Os volumes de spam aumentam significativamente, pois os criminosos se dedicam a outros métodos testados, como e-mail, para distribuir malwares e gerar receita. Os pesquisadores de ameaça da Cisco antecipam ainda que o volume de spam com anexos maliciosos continuará aumentando enquanto que o cenário do kit de exploração continua em declínio;
• Spyware e adware, que muitas vezes não são considerados pelos profissionais de segurança por serem mais incômodos do que de fato prejudiciais, são formas de malware que persistem e trazem riscos para a empresa. A pesquisa da Cisco avaliou 300 companhias ao longo de um período de quatro meses e descobriu que três famílias de spyware prevalentes infectaram 20% da amostra. Em um ambiente corporativo, o spyware pode roubar informações de usuários e empresas, enfraquecer a conduta de segurança de dispositivos e aumentar os casos de malware;
• Evoluções no ransomware, como o crescimento do Ransomware-as-a-Service, acabam facilitando para os criminosos a realização desses ataques, independentemente do conjunto de habilidades. A Ransomware vem chamando a atenção da mídia e, segundo divulgações na imprensa, gerou mais de US$ 1 bilhão em 2016 de prejuizo no mundo, mas isso pode ser direto para algumas organizações, que enfrentam uma ameaça ainda maior e pouco difundida. O comprometimento de e-mail corporativo (BEC), um ataque em que um e-mail é projetado para enganar as empresas e transferir dinheiro para criminosos, está se tornando altamente lucrativo. Entre outubro de 2013 e dezembro de 2016, US$ 5,3 bilhões foram roubados via BEC, de acordo com o Internet Crime Complaint Center.
Diferentes setores da Indústria enfrentam desafios comuns
À medida que os criminosos continuam aumentando a sofisticação e a intensidade dos ataques, as empresas de diferentes setores da indústria são desafiadas a manterem os requisitos fundamentais de segurança cibernética. Quanto mais a Tecnologia da Informação e a Tecnologia Operacional convergem rumo à Internet das Coisas, as companhias têm que lidar mais com visibilidade e complexidade. Como parte do estudo de benchmark de capacidades de segurança, a Cisco entrevistou cerca de 3.000 líderes de segurança em 13 países e descobriu que, em todas as indústrias, as equipes de segurança estão cada vez mais subjugadas pelo volume de ataques. Isso leva muitas empresas a se tornarem mais reativas para que se mantenham protegidas.
• Mais de dois terços das companhias estão investigando alertas de segurança. Em certas indústrias (como saúde e transporte) esse índice é próximo de 50%;
• Mesmo nas indústrias mais responsivas (como finanças e saúde), as empresas estão mitigando menos de 50% dos ataques que sabem serem legítimos;
• As violações são uma forma de chamar a atenção dessas empresas. Em todas as indústrias, tais ataques conduziram para modestas melhorias de segurança em pelo menos 90% das organizações. Algumas indústrias (como do setor de transporte) que são menos sensíveis, a taxa de melhoria cai para 80%.
• Setor público – De todas as ameaças investigadas, 32% são identificadas como ameaças legítimas, mas apenas 47% são eventualmente remediadas;
• Varejo – 32% dos entrevistados do setor disseram que perderam receita devido a ataques no ano passado com cerca de um quarto de clientes perdedores ou oportunidades de negócios;
• Fabricação – 40% dos profissionais de segurança de manufatura disseram que não possuem uma estratégia formal de segurança, nem seguem práticas padronizadas de política de segurança da informação, como ISO 27001 ou NIST 800-53;
• Utilidades – Os profissionais de segurança disseram que ataques direcionados (42%) e ameaças persistentes avançadas, ou APTs (40%), foram os riscos de segurança mais críticos para suas empresas e,
• Saúde – 37% das empresas de saúde disseram que ataques direcionados são riscos de alta segurança para suas organizações.
Conselhos da Cisco para as empresas
Para combater os ataques cada vez mais sofisticados, as empresas devem assumir uma posição proativa em seus esforços de proteção. Com isso a Cisco Security recomenda:
• Manter a infraestrutura e as aplicações atualizadas, para que os invasores não possam explorar fraquezas conhecidas publicamente;
• Combater a complexidade por meio de uma defesa integrada;
• Envolver a liderança executiva desde o início do processo para garantir visibilidade completa dos riscos, resultados e restrições orçamentárias;
• Estabelecer métricas claras e usá-las para validar e melhorar as práticas de segurança;
• Avaliar o grau de conhecimento de segurança dos funcionários com treinamento baseado em função ao invés de padronizado e,
• Definir a defesa com uma resposta ativa. Não ativar o “configure e esqueça”, controles ou processos de segurança.
Para o MCR de 2017, um grupo diversificado de 10 parceiros de tecnologia de segurança foi convidado a compartilhar dados, os quais em conjunto, concluem o cenário de ameaça. Os parceiros que contribuíram para o relatório incluem Anomali, Flashpoint, Lumeta, Qualys, Radware, Rapid7, RSA, SAINT Corporation, ThreatConnect e TrapX. O ecossistema de parceiros de tecnologia de segurança da Cisco é um componente chave da visão da empresa para trazer uma segurança simples, aberta e automatizada para os clientes.