A Arbor Networks Inc. divisão de segurança da Netscout divulga seu 12o Relatório Anual sobre Segurança da Infraestrutura Global de Redes, (WISR – sigla em inglês para Worldwide Infrastructure Security Report), o cenário de ameaças se transformou com o surgimento de botnets formadas por dispositivos IoT (Internet das Coisas).
A multiplicação de dispositivos conectados em rede traz inegáveis benefícios para empresas e consumidores, porém as vulnerabilidades de segurança inerentes a esses equipamentos permitem que sejam utilizados como armas de ataque. O relatório da Arbor analisa em profundidade como os dispositivos IoT são recrutados e explorados para o ataque, revelando como funcionam as botnets criadas a partir do código-fonte Mirai, e oferece conselhos práticos para a defesa contra elas.
O relatório abrange ainda uma ampla gama de questões ligadas à segurança, que vão da detecção de ameaças e resposta a incidentes até serviços gerenciados, orçamentos e pessoal. Aborda, ainda, os desafios enfrentados pelas operadoras de serviços de Internet, como ameaças baseadas na rede e estratégias de defesa e mitigação.
O maior ataque de negação de serviço distribuído (DDoS – Distributed Denial of Service) verificado em 2016 foi de 800 Gbps – 60% maior do que o maior ataque registrado em 2015, de 500 Gbps. E os ataques DDoS não aumentaram apenas em volume, mas também em frequência e complexidade. A crescente escala e complexidade desses ataques levou um maior número de empresas a implementar soluções específicas de proteção anti-DDoS, a adotar as melhores práticas de defesa híbrida e a melhorar o tempo de resposta a incidentes – fatores positivos em um ambiente de ameaças que, do contrário, poderia ser muito sombrio.
“As pessoas entrevistadas para nossa pesquisa estão familiarizadas com um ambiente de ameaças em constante evolução, com ataques que vêm aumentando em tamanho e complexidade ao longo da última década. No entanto, as botnets IoT mudam o jogo em razão do enorme número de dispositivos envolvidos. Há bilhões desses dispositivos conectados à Internet, e eles são facilmente transformados em armas para o lançamento de ataques maciços. A crescente preocupação com o ambiente de ameaças se reflete nos resultados da pesquisa, que mostram melhorias significativas na implementação de melhores práticas tecnológicas, assim como nos processos de resposta”, observa Darren Anstee, que está à frente da área de tecnologia de segurança da Arbor Networks.
Principais conclusões
Inovação e exploração de vulnerabilidades fomentam os ataques DDoS: o surgimento de botnets que exploram as falhas de segurança inerentes a dispositivos IoT e a liberação do código-fonte Mirai resultaram na maior capacidade de lançamento de ataques de grande volume.
Escala: o expressivo crescimento no tamanho dos ataques se deve ao aumento das atividades de ataques baseados nos protocolos de reflexão/amplificação, e à transformação dos dispositivos de IoT em armas de ataques, ocasionando o surgimento de IoT botnets.
- Desde 2005, quando a Arbor começou a publicar seu relatório anual, o tamanho de ataques DDoS cresceu 7.900%, com uma taxa média anual de crescimento composto de 44%.
- Nos últimos cinco anos, o tamanho de ataques DDoS cresceu 1.233%, representando uma taxa média anual de crescimento composto de 68%.
Frequência: as chances de um ataque DDoS nunca foram tão altas, de acordo o número de ataques relatados pelos entrevistados:
- 53% dos prestadores de serviços (contra 44% em 2015) sofreram mais de 21 ataques por mês.
- Nos data centers, 21% dos entrevistados relataram mais de 50 ataques por mês, em comparação a apenas 8% no ano anterior.
- 45% das empresas, entidades governamentais e instituições de ensino pesquisadas sofreram mais de 10 ataques por mês – um aumento de 17% em relação ao ano anterior.
Complexidade: a utilização simultânea de diversos vetores de ataque vem sendo cada vez maior, atingindo ao mesmo tempo diferentes aspectos da infraestrutura da vítima. Os ataques multivetor ganham espaço por ser mais difícil a defesa contra eles. Normalmente são bastante efetivos, o que mostra a necessidade de uma defesa ágil, em múltiplas camadas.
- 67% dos prestadores de serviços e 40% dos entrevistados no segmento empresas/governo/educação relataram ataques multivetor a suas redes.
As consequências dos ataques DDoS estão se tornando claras: ataques DDoS conseguiram tornar inacessíveis inúmeros endereços web, acarretando prejuízos de milhares ou até milhões de dólares. Isso levou diretores e alta administração das empresas a considerar prioritária a defesa contra esses ataques.
- 61% dos data centers sofreram ataques capazes de saturar completamente sua banda.
- 25% dos provedores de serviços de data center e nuvem relataram custos de ataques DDoS superiores a 100 mil dólares e 5% mencionaram custos de um milhão de dólares.
- 41% das organizações empresariais/governamentais/educacionais reportaram ataques DDoS que excederam seus recursos de acesso pela Internet. Cerca de 60% dos entrevistados estimaram custos de inatividade superiores a 500 dólares por minuto.
Melhor avaliação de risco resulta em melhor comportamento de defesa: a pesquisa indicou haver em 2016 melhor compreensão dos danos à marca e despesas operacionais acarretados por ataques DDoS bem-sucedidos, levando as empresas a adotar as melhores práticas em estratégia defensiva. Em todos os setores aumentou o uso de soluções de proteção específica contra ataques DDoS e de métodos considerados como melhores práticas.
- 77% dos provedores de serviços entrevistados são capazes de mitigar ataques em menos de 20 minutos.
- Quase 55% dos entrevistados do segmento empresas/governo/instituições educacionais realizaram simulações de defesa anti-DDoS, sendo que cerca de 40% realizaram essas simulações pelo menos trimestralmente.
- A proporção de entrevistados em data centers e provedores de nuvem usando firewalls para defesa contra ataques DDoS caiu de 71% para 40%.
Escopo e Demografia da Pesquisa
- Os dados do relatório WISR baseiam-se em 356 entrevistas de fornecedores de serviços de Nível 1, Nível 2 e Nível 3, além de provedores de serviços móveis, hospedagem e redes empresariais e de outros segmentos em todo o mundo.
- Dois terços dos respondentes identificaram-se como profissionais de segurança, de rede ou de operações.
- As informações são relativas ao período que vai de novembro de 2015 até outubro de 2016.