A Cisco divulgou nesta terça-feira, 28, o relatório de segurança – Midyear Security Report 2015 –, que analisa a inteligência e as tendências das ameaças de segurança digital, mostrando a necessidade de se reduzir drasticamente o tempo de detecção (TTD) por parte das empresas para minimizar as consequências dos ataques, que estão cada vez mais sofisticados.
Isso porque entre as principais descobertas do relatório, ganha destaque para o Angler Exploit Kit, que desafia as organizações, criando novos vetores de ataque e oportunidades de monetização para os adversários, com uma eficiência da ordem de 40% em relação aos exploit kits de geração anterior.
O estudo mostra ainda que novos riscos associados ao Flash, a evolução do Ransomware e as ações do malware mutante Dridex reforçam a necessidade de redução de tempo de detecção. Com a digitalização dos negócios e a IoE, a capacidade de infiltração de malware e ameaças é ainda maior. ''A indústria de ataques é organizada e muito rápida. Se um usuário não atualiza um software no momento que recebe a mensagem de atualização, corre o risco em abrir uma brecha no pouco tempo e que deixa de realizar essa tarefa'', enfatiza Marcelo Bezerra, gerente de Engenharia de Segurança da Cisco na América Latina.
Ao mesmo tempo, estimativas da indústria de segurança apontam que, atualmente, o tempo de detecção varia entre 100 a 200 dias. Um programa ''espião'' pode ficar nos sistemas de uma empresa até 200 dias sem ser detectado, e de repente pode entrar em ação. Para reduzir esse tempo do chamado TTD (time to detection) , o serviço de Proteção Avançada contra Malware da Cisco (Advanced Malware Protection – AMP conseguiu reduzir para 46 horas.
As conclusões também ressaltam a necessidade de implantação de soluções integradas nas empresas, em vez de produtos pontuais, de trabalhar com fornecedores de confiança e listar os provedores de serviços de segurança para orientação e avaliação. Além disso, especialistas em geopolítica afirmam que é necessário ter uma estrutura global de governança cibernética para sustentar o crescimento econômico.
As organizações enfrentam desafios significativos com soluções pontuais e precisam considerar uma arquitetura integrada de defesa contra ameaças, incorporando a segurança a todos os ambientes e que seja aplicada em qualquer ponto de controle.
Segundo Paulo Breitenvieser Filho, diretor regional de vendas do segmento de Segurança da Cisco, o essencial é que a empresa tenha a percepção da relevância da segurança no negócio, onde a visibilidade torna-se fator essencial na estratégia de uma política de segurança, aliada a soluções de análise de contexto, de controle e inteligência. ''Nossa proposta é que antes de instalar qualquer ferramenta de segurança os funcionários saibam quais as regras adotadas. Se um funcionário acessa por alguns dias um site na Rússia, por exemplo, e a empresa não tem negócios com aquele país, a inteligência tem que detectar que esse acesso está fora de contexto'', explica.
As principais conclusões do estudo:
Angler – Invasores atacam no escuro: Angler é atualmente um dos exploit kits mais sofisticados e amplamente utilizados porque usa, de forma inovadora, as vulnerabilidades do Flash, Java, Internet Explorer e do Silverlight. Ele também se destaca na tentativa de evitar a detecção empregando a técnica de shadowing – duplicação de domínios, detendo a maior parte da atividade de shadowing de domínio.
O Flash está de volta: os exploits de vulnerabilidades do Adobe Flash integrados ao Angler e ao Nuclear exploit kits estão em ascensão. Isso ocorre devido à falta de aplicação de patches automatizadas e aos usuários que não fazem a atualização imediata.
No primeiro semestre de 2015, o número de vulnerabilidades do Adobe Flash Player aumentou em 66%, em comparação com todo o ano de 2014, reportado pelo Common Vulnerabilities and Exposure, CVE (Common Vulnerabilities and Exposure). Nesse ritmo, o Flash está prestes a estabelecer um recorde no número de CVEs relatados em 2015.
A evolução do Ransomware – O malware Ransomware mantém-se altamente lucrativo para os hackers, pois continua lançando novas variantes. Os ataques do Ransomware amadureceram ao ponto de serem totalmente automatizados e realizados por meio da dark web. Para despistar transações de pagamento da aplicação da lei, os resgates são pagos por meio de moedas encriptadas, como a bitcoin. i
Dridex: ações mutantes – Os criadores dessas ações mutantes têm um conhecimento sofisticado de evasão de medidas de segurança. Como parte de suas táticas de evasão, os invasores mudam rapidamente o conteúdo dos e-mails, os agentes do usuário, os anexos ou os referrers(registros) e lançam novas campanhas, forçando os sistemas antivírus tradicionais a detectá-los de novo.
Spams – O spam e e-mail phishing continuam a desempenhar um papel importante nos métodos de ataque mais utilizados. O volume de spam em todo o mundo se manteve relativamente consistente. A região das Américas registrou tendências para aumento do volume de spam. Enquanto os Estados Unidos registraram um aumento de 14% no volume de spam, o Brasil registrou 9% de queda no volume de spam.
Bloqueios – O relatório analisou os países e regiões onde a atividade de bloqueio a malwares se origina. Os países foram selecionados para o estudo com base no volume de tráfego de Internet. Hong Kong lidera a lista de países que hospeda mais servidores com conteúdo vulnerável que são bloqueados. O Brasil ocupa a sexta posição entre os 10 países com mais bloqueios, com uma taxa de 1.135, sendo que 1.0 é a taxa normal esperada de atividade de ataque.
Estrutura de ??Governança Cibernética Global
O relatório da Cisco diz que a atual governança cibernética mundial não está preparada para lidar com o cenário de ameaças emergentes ou os atuais desafios geopolíticos. A questão das fronteiras – como os governos recolhem dados sobre os cidadãos e as empresas e compartilham entre as jurisdições – é um obstáculo significativo para se atingir uma governança digital coesa, com a limitação da cooperação mundial. Uma estrutura colaborativa de governança digital, com diversos stakeholders, se faz necessária para sustentar a inovação dos negócios e o crescimento econômico global.
O estudo estabeleceu uma Índice Global de Malware, que mostra que China (4,126) e Hong Kong (6,255) tem uma alto índice de ataques e Estados Unidos (0,760), o menor. O valor de 1,0 é considerado como valor do índice de ataques normal, dentro desse critério.
(clique na imagem do mapa abaixo para ampliar)
Diz ainda que as organizações devem exigir que seus fornecedores de tecnologia sejam transparentes com relação à capacidade de demonstração de segurança presente em seus produtos, para que sejam considerados confiáveis. As empresas devem levar esse conhecimento a todas as etapas de desenvolvimento de produtos, da cadeia de abastecimento, passando por todas as etapas de implantação de seus produtos. Deve-se exigir dos fornecedores reivindicações contratuais, garantindo assim uma segurança melhor.