Segundo o relatório Midyear Cybersecurity Report 2016 da Cisco (MCR), as organizações atuais não estão preparadas para futuros desenvolvimentos de ransomware mais sofisticados. Infraestruturas frágeis, limpeza insatisfatória das redes e taxas lentas de detecção estão fornecendo tempo e cobertura amplos para os adversários operarem. De acordo com as conclusões do relatório, a luta para restringir o espaço operacional dos atacantes é o maior desafio para as empresas, ameaçando a fundação subjacente necessária para a transformação digital. Outras conclusões importantes do MCR incluem a expansão do foco dos adversários para ataques laterais pelos servidores, evoluindo métodos e aumentando o uso de criptografia para mascarar a atividade.
O ransomware tornou-se em 2016 o tipo de malware mais rentável da história. A expectativa da Cisco é que esta tendência continue com malwares ainda mais destrutivos, se espalhando por si só e contendo redes inteiras, fazendo as empresas de reféns. Novas variedades modulares de ransomware serão capazes de mudar rapidamente as táticas para maximizar a eficiência. Por exemplo, futuros ataques de ransomware poderão evitar a detecção apenas limitando o uso de CPU e abstendo-se de ações de comando e controle. Estas novas variedades de ransomware irão se espalhar mais rapidamente e se replicarão dentro das organizações antes de coordenar as atividades de resgate.
A visibilidade por toda a rede e pelos endpoints permanece como principal desafio. Em média, as organizações levam até 200 dias para identificar novas ameaças. De novembro a abril desse ano, o tempo médio da Cisco para detecção (TTD) continuou a superar o da indústria, atingindo um novo mínimo de aproximadamente 13 horas para detectar ameaças anteriormente desconhecidos (um resultado abaixo das 17,5 horas verificadas em outubro de 2015). Um tempo mais rápido para detecção de ameaças é crítico para restringir o espaço operacional dos atacantes e minimizar os danos das intrusões. Este número é baseado em telemetria de segurança opt-in, recolhida a partir de equipamentos de segurança da Cisco implantados em todo o mundo.
Como os atacantes continuam inovando, muitos defensores continuam lutando para manter a segurança de seus dispositivos e sistemas. Sistemas sem suporte e não corrigidos criam oportunidades adicionais para os atacantes ganharem acesso facilmente, permanecendo sem serem detectados e maximizando os danos e lucros. O Midyear Cybersecurity Report 2016 da Cisco mostra que este desafio persiste em escala global. Enquanto organizações em segmentos críticos como a área da Saúde sofreram um significativo aumento de ataques ao longo dos últimos meses, as conclusões do relatório indicam que todos as verticais e regiões do mundo têm se tornado alvos. Clubes e organizações, instituições de caridade, organizações não governamentais (ONGs) e empresas eletrônicas têm experimentado um aumento em ataques no primeiro semestre de 2016. No cenário mundial, as preocupações geopolíticas incluem a complexidade regulamentar e as políticas de segurança cibernética contraditórias de cada país. A necessidade de controlar ou acessar dados limitam e entram em conflito com o comércio internacional, em um cenário de ameaças sofisticadas.
Atacantes operando sem restrições
Para os atacantes, mais tempo para operar sem serem detectados resultam em mais lucratividade. No primeiro semestre de 2016, a Cisco já havia reportado que os lucros dos atacantes dispararam devido a:
Expansão do foco: Os atacantes estão ampliando o foco, partindo de ataques diretos aos clientes para tentativas laterais aos servidores, evitando a detecção e maximizando potenciais danos e lucros.
- As vulnerabilidades do Adobe Flash continuam a ser um dos principais alvos de publicidade maliciosa e exploit kits (kits de sondagem de brechas). No popular “Nuclear Exploit Kit”, o Flash representou 80% de tentativas bem-sucedidas.
- A Cisco também identificou uma nova tendência em ataques de ransomware que exploram vulnerabilidades dos servidores, especificamente dentro dos servidores Jboss, dos quais 10% daqueles em todo o mundo conectados à Internet foram comprometidos. Muitas das vulnerabilidades Jboss usadas para comprometer estes sistemas foram identificadas há cinco anos, ou seja, as atualizações básicas de instalação e reparação do fornecedor poderiam ter facilmente prevenido tais ataques.
Desenvolvendo os métodos de ataque: Durante o primeiro semestre de 2016, os adversários continuaram a evoluir seus métodos para capitalizar sobre a falta de visibilidade dos defensores.
- Exploit kit do tipo Windows Binary se tornou o principal método de ataque web ao longo dos últimos seis meses. Este método proporciona uma base forte em infraestruturas de rede e faz com que os ataques sejam mais difíceis de serem identificados e removidos.
- Durante este mesmo período, golpes via engenharia social do Facebook caíram do primeiro lugar em 2015.
Mascarando as evidências: contribuindo para os desafios de visibilidade dos defensores, os adversários estão aumentando o uso de criptografia como forma de mascarar vários componentes de suas operações.
- A Cisco observou um aumento do uso de criptomoeda (ou criptodinheiro), Transport Layer Security (TLS) e do Tor, formas de proteção dos dados que permitem a comunicação anônima na web.
- Significativamente, malwares voltados para HTTPS (navegação segura) e usados em campanhas de malvertising aumentaram 300% a partir de dezembro 2015 a março de 2016. O malware encriptado ainda permite que os adversários escondam suas atividades web e expandam seu tempo para operar.
Defensores lutam para reduzir vulnerabilidades, fechando brechas
Em face de ataques sofisticados, dos recursos limitados e da infraestrutura envelhecida, os defensores estão lutando para manter o mesmo ritmo que seus adversários. Os dados sugerem que os defensores estão menos propensos a limpar adequadamente a rede aplicando patches (correções), por mais crítica que a tecnologia seja para operações de negócios. Por exemplo:
- Em matéria de navegador, o Google Chrome, que emprega atualizações automáticas, tem 75% a 80% dos usuários usando a versão mais recente do navegador ou uma versão anterior;
- Quando mudamos de olhar de navegadores para softwares, o Java apresenta migrações lentas, com um terço dos sistemas examinados rodando Java SE 6, que já está sendo eliminado pela Oracle (a versão atual é SE 10).
- No Microsoft Office 2013, a versão 15x, 10% ou menos da população está usando a versão mais recente do service pack.
Além disso, a Cisco descobriu que grande parte de sua própria infraestrutura não foi apoiada ou operou com vulnerabilidades conhecidas. Este problema é sistêmico para todos os fornecedores e endpoints. Especificamente, os pesquisadores da Cisco examinaram 103,121 dispositivos da própria Cisco conectados à internet e descobriram que:
- Cada dispositivo em média estava rodando com 28 vulnerabilidades conhecidas;
- Os dispositivos estavam ativamente rodando vulnerabilidades conhecidas há uma média de 5,64 anos
- Mais de 9% tinham vulnerabilidades conhecidas há mais de 10 anos
Em comparação, a Cisco também analisou a infraestrutura de software em uma amostra de mais de 3 milhões de instalações. A maioria era Apache e OpenSSH com um número médio de 16 vulnerabilidades conhecidas, rodando há uma média de 5,05 anos.
Enquanto as atualizações de navegador para endpoints são as mais leves, as aplicações empresariais e de infraestrutura do lado do servidor são mais difíceis de atualizar e podem causar problemas de continuidade nos negócios. Em essência, quanto mais crítica é uma aplicação para operações de negócios, menos ela passará por manutenção, criando brechas e oportunidades para os atacantes.
A Cisco aconselha passos simples para proteger os ambientes de negócio
Os pesquisadores do grupo Talos, da Cisco, observaram que as organizações que levam em conta apenas alguns simples, mas significativos passos podem aumentar consideravelmente a segurança de suas operações. Isto inclui:
· Melhorar a limpeza da rede monitorando a rede; implantando patches e fazendo atualizações no tempo adequado; segmentando da rede; implementando defesas nas bordas – incluindo e-mail, segurança web e a próxima geração de firewalls e próxima geração IPS.
· Integrar defesas e utilizar uma abordagem de arquitetura para a segurança, ao invés de privilegiar implantação de produtos de nicho.
· Medir o tempo para detecção, insistir no tempo mais rápido disponível para descobrir ameaças, e então, mitigá-las imediatamente. Fazer com que as métricas sejam parte das políticas de segurança organizacional daqui para frente.
· Proteja seus usuários em todos os lugares em que estejam e o onde quer que eles trabalhem, não apenas os sistemas com os quais eles interagem e quando estão na rede corporativa.
· Fazer backup de dados críticos e rotineiramente testar a sua eficácia enquanto confirma se os back-ups não são suscetíveis para se comprometer.
Sobre o relatório
O Midyear Cybersecurity Report 2016 da Cisco analisa a mais recente inteligência de ameaças reunida pela Cisco Collective Security Intelligence. O relatório fornece insights da indústria baseados em dados e tendências de segurança cibernética da primeira metade do ano, juntamente com recomendações práticas para melhorar a postura com relação à segurança. Está baseado em dados de uma grande amostra somando um total diário de mais de 40 bilhões de pontos de telemetria. Pesquisadores da Cisco traduzem inteligência em proteção em tempo real para produtos e ofertas de serviços, imediatamente entregues para os clientes da companhia.