Guest

Fechar a janela de oportunidade para os ciberataques é a maior prioridade para as organizações

Hierarchical Navigation

O Relatório Semestral de Cibersegurança 2016 da Cisco destaca o aumento de ataques ransomware e de métodos cada vez mais sofisticados

Lisboa, 27 de julho de 2016 – A dificuldade para limitar o campo de atuação dos atacantes é o maior desafio que as organizações enfrentam e que pode também representar uma grande ameaça à transformação digital dessas organizações.

Esta é uma das conclusões do Relatório Semestral de Cibersegurança 2016 da Cisco, que destaca também a incapacidade das organizações para fazer frente a futuras espécies de ransomware mais sofisticadas, o maior enfoque dos ataques à infraestrutura de servidores, a contínua evolução dos métodos de ataque e a crescente utilização de cifras para mascarar a sua atividade.

Esta incapacidade deve-se principalmente à grande margem de atuação dos atacantes, fruto de uma frágil infraestrutura, redes infetadas e um lento rácio de deteção. Neste sentido, a parca visibilidade ao longo da rede e dos terminais é um problema grave. Em média as empresas tardam até 200 dias a identificar novas ameaças.

Uma deteção mais rápida das ameaças é algo essencial para limitar o campo de ação dos atacantes e minimizar o dano provocado pelas intrusões. Nos primeiros meses de 2016, a Cisco conseguiu reduzir o tempo médio de deteção de ameaças desconhecidas até perto de 13 horas (contra as 17,5 horas referenciadas em outubro de 2015), superando assim, largamente, a média da indústria dos 200 dias.

À medida que os atacantes reforçam a sua capacidade de inovação, as organizações continuam a ter problemas para manter a segurança dos seus dispositivos e sistemas. Os sistemas descontinuados e que não são atualizados são um foco de oportunidades adicional para os atacantes, funcionando mesmo com um acesso mais fácil, com uma maior capacidade de ocultação e com a possibilidade de maximizar os prejuízos e lucros – uma situação que se repete à escala global.

O malware mais rentável

O ransomware é, até à data, o tipo de malware mais rentável da história. A Cisco estima que a tendência de crescimento se mantenha e que o ransomware se torne ainda mais destrutivo, capaz de se estender, por si próprio, e sequestrar redes inteiros e, por consequência, organizações.

Novas espécies de ransomware modular podem alterar as suas táticas rapidamente para maximizar a sua eficácia. Por exemplo, os futuros ataques de ransomware vão conseguir evitar a deteção limitando o uso de CPU e evitando ações ‘command-and-control’. Estas novas espécies de ransomware vão conseguir espalhar-se de forma muito mais célere multiplicando-se automaticamente nas organizações antes que seja possível contê-las.

Ainda que as empresas de setores críticos como as que operam na área da saúde tenham sofrido um aumento significativo de ataques nos últimos meses, o Relatório sublinha que todos os setores verticais e mercados a nível mundial são alvo de malware. Organizações de caráter social, ONG e plataformas de comércio eletrónico enfrentaram um crescente número de ataques na primeira metade de 2016.

Da mesma forma, as questões geopolíticas, incluindo a especificidade regulamentar e as políticas contraditórias de cibersegurança dos países tornam ainda mais complexa esta situação. A necessiade de controlar os dados pode limitar e colocar em risco o comércio internacional que enfrenta um cenário de ameaças cada vez mais sofisticado.

Os atacantes operam sem restrições

Para os atacantes, um período de tempo mais alargado sem ser detetado representa receitas ainda melhores e nos primeiros seis meses de 2016 estes ataques aumentaram exponencialmente devido a fatores como:

Maior foco. Os atacantes estão a alargar o seu foco passando de explorar vulnerabilidade dirigidas a clientes para ataques dirigidos a servidores, evitando a sua deteção e maximizando potenciais prejuízos e lucros.

  • As vulnerabilidades do Adobe Flash continuam a ser um dos principais objetivos de malvertising e dos kits de exploração. No conhecido kit de exploração Nuclear, 80% dos ataques ao Flash foram bem-sucedidos.
  • A Cisco também detetou uma nova tendência nos ataques de ransomware que exploram vulnerabilidades no servidor, especialmente nos servidores JBoss: 10% dos servidos JBoss conectados à internet a nível mundial estavam infetados. Muitas das vulnerabilidades do JBoss utilizadas para comprometer estes sistemas foram identificadas há 5 anos, o que significa que um patching básico e atualizações de fornecedores poderiam ter prevenido estes ataques com facilidade.

Evolução dos métodos de ataque. Durante a primeira metade de 2016, os atacantes conseguiram fazer evoluir os seus métodos de ataque tirando partido da falta de visibilidade das organizações.

  • A exploração de vulnerabilidade Windows Binary tornou-se o principal método de ataque na web nos últimos 6 meses. Este método permite ao malware apropriar-se das infraestruturas de rede e conseguir que os ataques sejam mais difíceis de identificar e eliminar.
  • No período considerado no Relatório, os esquemas de engenharia social realizados através do Facebook caíram da primeira (onde estavam em 2015) para a segunda posição.

Maior capacidade para ocultar o rastro. Para complicar ainda mais os problemas de visibilidade das organizações, os atacantes estão a tornar mais frequente a utilização de cifras como método de ocultar vários componentes das suas operações.

  • A Cisco registou um aumento no uso de bit coins, do protocolo TLS e da rede Tor, que permitem a comunicação anónima a través da web.
  • O malware cifrado HTTPS utilizado em campanhas de malvertising cresceu 300% entre dezembro 2015 e março de 2016. O malware cifrado facilita ainda mais a capacidade dos atacantes em ocultar a sua atividade web e ampliar o tempo de operação.

Dificuldade para reduzir vulnerabilidades e oportunidades

Neste cenário de ataques sofisticados, recursos limitados e infraestrutura obsoleta, as organizações têm problemas para combater os adversários, sendo um dos principais problemas a “limpeza da rede” - como o patching – especialmente grave em sistemas críticos para o negócio. Por exemplo:

  • Se considerarmos os diferentes browsers, 75% a 80% dos utilizadores de Google Chrome (que efetua atualizações automáticas) utilizam a última versão do browser ou a versão anterior a essa.
  • No entando, analisando questões de software, um terço de todos os sistemas Java examinados correm a versão Java SE 6, que já foi descontinuada pela Oracle (a versão atual é a SE 10)
  • No Microsoft Office 2013, versão 15x, apenas 10% ou menos dos utilizadores estão a utilizar o último service pack.

Este problema é sistémico em todos os fornecedores e terminais. A Cisco detetou que uma parte considerável da sua infraestrutura também já está desatualizada o que tem vulnerabilidades conhecidas. Nos 103.121 dispositivos da Cisco ligados à internet que foram analisados, verificou-se que:

  • Cada dispositivo tinha em média 28 vulnerabilidades conhecidas.
  • Os dispositivos têm estado a funcionar ativamente com vulnerabilidades conhecidas, em média, há 6,64 anos.
  • Mais de 9% das vulnerabilidades conhecidas têm mais de 10 anos.

A Cisco também analisou a infraestrutura de software de outros fornecedores em mais de 3 milhões de instalações. A maioria eram Apache e OpenSSH, com uma média de 16 vulnerabilidades conhecidas a correr, em média, há 5,05 anos.

As atualizações dos browsers são as mais simples de realizar para os terminais, ao contrário das atualizações empresariais e da infraestrutura do servidor que podem por isso causar problemas de continuidade de negócio. No fundo, quanto mais crítica é a aplicação para a atividade do negócio, menor é a probabilidade de ser atualizada com frequência, gerando maiores oportunidade para os atacantes.

Recomendações simples para proteger os negócios

Os investigadores da Cisco Talos verificaram que as organziações que seguem simples mas importantes passos podem melhorar enormemente a segurança das suas operações, nomeadamente:

  • Maior ‘limpeza da rede’, através de montitorizaçao da rede; da implementação de patching e de atualizações atempadas; a segmentação da rede; a implementação de defesas no extremo da rede, incluindo segurança web e do email, Next Generation Firewalls e sistemas de IPS de Próxima Geração.
  • Defesas integradas, mediante uma aproximação a uma “arquitetura” de segurança face ao lançamento de soluções de nicho e dispersas.
  • Medir o tempo de deteção, procurando reduzi-lo para detetar ameaças e mitigá-las com maior rapidez, integrando essas métricas nas futuras políticas de segurança da organização.
  • Proteger os utilizadores onde eles estão e independentemente do local onde trabalham, por oposição a proteger simplesmente o sistema através daqueles que nele interagem e enquanto estão ligados à rede da própria empresa.
  • Realizar cópias de segurança dos dados críticos, fazendo prova, com frequência, da sua eficácia e confirmando que os back-ups não são suscetíveis de serem atacados.

Declarações de apoio

  • Marty Roesch, vice-presidente e arquiteto chefe de Segurança na Cisco: “À medida que as organizações adotam novos modelos de negócio em resultado da sua transformação digital e que as ciber-ameaças ficam cada vez mais sofisticadas e rentáveis, a segurança é o componente mais crítico. Os atacantes permanecem sem serem detetados e estão a conseguir aumentar o seu período de atuação. Para fechar esta janela de oportunidade, as organizações devem reforçar a sua visibilidade da rede e melhorar os processos como o patching ou a substituição da infraestrutura obsoleta”.

Sobre o Relatório

O Relatório Semestral de Cibersegurança 2016 da Cisco considera as últimas análises de informação de ameaças recolhidas pela Cisco Collective Security Intelligence. O relatório oferece conclusões chave baseadas em dados da indústria sobre as tendências e ameaças de ciberseguranla para a primeira metade do ano, assim como recomendações para melhor as políticas de segurança. Suportados por dados provenientes de uma análise diária a mais de 40.000 milhões de pontos de telemetria, os investigadores da Cisco transformam informação em proteções em tempo real para os nossos produtos e serviços, proporcionado esta mesma proteção de forma imediata a todos os clientes da Cisco, em todo o mundo.

Recursos Adicionais

Acerca da Cisco

A Cisco (NASDAQ: CSCO) é líder mundial em tecnologia que tem mantido a Internet a funcionar desde 1984. As nossas pessoas, produtos e parceiros ajudam a sociedade a estar conectada de forma segura e encontrar hoje a oportunidade digital de amanhã. Para ter acesso aos Comunicados de Imprensa em português visitar http://www.cisco.com/web/PT/press/press_home.html.

Para mais informações visite http://thenetwork.cisco.com e
https://emear.thecisconetwork.com/site/index/lang/en/.

Siga a Cisco Portugal no Twitter:

Conte connosco

  • Ligue grátis 800 880 456
  • Dias úteis, 9h-13h e 14h-18h