A Cisco possui mais de 200 escritórios no mundo todo. Os endereços, números de telefone e fax estão
disponíveis no site da...
Relatório de
Segurança
Anual da Cisco
de 2013
2013 Cisco Annual Security Report2
Vivendo no mundo
atual do sistema
“any-to-any”.
3
Os criminosos cibernéticos estão se beneficiando do cenário de ataques atual, o
qual encontra-se em rápida expansão e ba...
2013 Cisco Annual Security Report4
Conteúdo
5
A relação de dispositivos, nuvens e aplicativos	 6
Multiplicação de endpoints	 12
Os serviços estão presentes em muitas ...
2013 Cisco Annual Security Report6
A relação
entre
dispositivos,
nuvens e
aplicativos
7
O mundo do sistema any-to-any e a
Internet de Todas as Coisas são uma
evolução em termos de conectividade
e colaboração ...
2013 Cisco Annual Security Report8
A Internet de Todas as Coisas baseia-
se na “Internet das coisas”1
que
adicionando a in...
9
Soluções de segurança fragmentadas,
como a aplicação de firewalls a uma
borda de rede instável, não protegem
dados que a...
2013 Cisco Annual Security Report10
antigo agora é novidade" em se tratando
de crimes cibernéticos. Por vários anos, os
at...
11
2013 Cisco Annual Security Report12
Multiplicação
de endpoints
13
A evolução do sistema "any-to-any"
já envolve bilhões de dispositivos
conectados à Internet; em 2012, o
número destes d...
2013 Cisco Annual Security Report14
De pessoas para
máquina (P2M)
De pessoas para
pessoas (P2P)
De máquina para
máquina (M...
15
Na Internet de Todas as Coisas, as
conexões são os fatores mais importantes.
Os tipos de conexões, não o número,
são o ...
2013 Cisco Annual Security Report16
Atualização da consumerização de TI da Cisco
A multiplicação de endpoints é um fenômen...
17
Figura 2: desenvolvimento de dispositivos móveis da Cisco
Desde o princípio o apoio social tem sido um componente funda...
2013 Cisco Annual Security Report18
Os serviços
estão
presentes em
muitas nuvens
19
O tráfego mundial de dados está em
ascensão. De acordo com o Cisco
Global Cloud Index, espera-se que o
tráfego mundial ...
2013 Cisco Annual Security Report20
fizeram provavelmente não retornarão a
um modelo privado de data center. Embora
as opo...
21
"A virtualização e a computação em
nuvem criam problemas iguais aos da
consumerização de TI (BYOD), mas
totalmente refo...
2013 Cisco Annual Security Report22
Mistura de
negócios e
uso pessoal
A Geração Y e o local
de trabalho
23
Os funcionários modernos —
principalmente os jovens da “Geração
Y” — querem liberdade para navegar
na Internet não apen...
2013 Cisco Annual Security Report24
Parece haver uma divergência entre o
que os funcionários acham que podem
fazer com os ...
25
afirmaram acreditar que a maioria dos
sites mantenha a privacidade de suas
informações. Entretanto, 29% disseram
não ac...
2013 Cisco Annual Security Report26
Por que as empresas precisam propagar informações
que gerem conhecimento sobre a desin...
27
Para as notícias de última hora que exigem ação rápida, a melhor aposta pode ser
usar o antigo “teste da primeira impre...
2013 Cisco Annual Security Report28
Big data
Um bom negócio
para as empresas de
hoje
29
No mundo dos negócios, "big data" é
o assunto do momento — além disso, a
possibilidade de obter material analítico
vali...
2013 Cisco Annual Security Report30
A Coreia (45%), a Alemanha (42%), os
Estados Unidos (40%) e o México (40%)
têm as mais...
31
que a adoção da nuvem afetará a taxa de
adoção — e os benefícios — dos esforços
relacionados ao big data.
Mais da metad...
2013 Cisco Annual Security Report32
Estado da
exploração
O perigo se
esconde em lugares
surpreendentes
33
Muitos profissionais de segurança — e
certamente uma grande comunidade
de usuários on-line — têm ideias pré-
concebidas...
2013 Cisco Annual Security Report34
Figura 3: riscos de acordo com o tamanho da empresa
Até 2,5 vezes mais riscos de encon...
35
de conteúdo duvidoso mais comuns, com
um foco ainda mais preciso na inspeção e
na análise.”
Descobertas de malware
por ...
2013 Cisco Annual Security Report36
Figura 4: ocorrências de malware da Web por país
Um terço de todas as ocorrências de m...
37
Rússia
9,79%
Dinamarca
9,55%
Turquia
2,63%
Suécia
9,27%
China
5,65%
2
4
3
6
5
8
7
10
9
Em geral, os dados geográficos d...
2013 Cisco Annual Security Report38
Figura 5: principais tipos de malware da Web
Descobertas de malware do software Androi...
39
malware destinado para distribuição está
hospedado em um domínio completamente
diferente. Como os dados da Cisco são
ba...
2013 Cisco Annual Security Report40
As explorações ficam em segundo lugar,
com 10% do número total de ocorrências
de malwa...
41
Figura 6: principais tipos de conteúdo de malware para 2012
Explorações de Java corresponderam a 87% do total de explor...
2013 Cisco Annual Security Report42
Figura 7: categoria dos principais sites
Sites de compras on-line são 21 vezes mais pr...
43
Duas outras plataformas cruzadas —
PDF e Flash — levaram o segundo e o
terceiro lugares na análise da Cisco
dos princip...
2013 Cisco Annual Security Report44
Analisando os outros colocados na lista
de categorias de sites em que foram
encontrada...
45
Figura 8: aplicativos populares por acessos
As mídias sociais e o compartilhamento de vídeos on-line mudaram o modo com...
2013 Cisco Annual Security Report46
When Gothic Horror Gives Birth to Malware
de Kevin W. Hamlen
Professor Associado, Depa...
47
17
	Vishwath Mohan e Kevin W. Hamlen. “Frankenstein: Stitching Malware from Benign Binaries.” In. Proceedings
of the US...
2013 Cisco Annual Security Report48
Análise de vulnerabilidade e ameaças de 2012
O gráfico de categorias de vulnerabilidad...
49
Figura 10: categorias de vulnerabilidades e ameaças
Uma única vulnerabilidade nas soluções open-source ou de terceiros ...
2013 Cisco Annual Security Report50
Ameaças em
evolução
Novos métodos,
mesmas explorações
51
Hoje em dia, não importa qual
exploração cibernética é escolhida —
contanto que o método selecionado aja
com eficiência...
2013 Cisco Annual Security Report52
Embora as empresas possam acreditar-
se adequadamente protegidas contra a
ameaça do DD...
53
Ataques de amplificação e reflexão
Ataques de amplificação e reflexão de DNS20
utilizam resolvedores recursivos de sist...
2013 Cisco Annual Security Report54
Figura 11: evasões do Sistema de Prevenção de Intrusos (IPS)
A Cisco Security Research...
55
Armamento de técnicas
modernas de evasão
Criminosos cibernéticos desenvolvem
constantemente novas técnicas para
passar ...
2013 Cisco Annual Security Report56
Estudo de caso
Operação Ababil
Durante setembro e outubro de 2012, a Cisco e a Arbor N...
57
Lições aprendidas
Embora eles representem uma parte fundamental de qualquer portfólio de segurança de rede, os
disposit...
2013 Cisco Annual Security Report58
Envio de
spam sempre
presente
59
Os volumes de spam estão continuamente
em declínio em todo o mundo, de acordo
com uma pesquisa da Cisco, mas o
spam ain...
2013 Cisco Annual Security Report60
Figura 12: tendências mundiais de spam
Os volumes de spam global estão abaixo de 18%, ...
61
Taiwan
2,94%
Vietnã
4,00%
Índia
12,3%
China
4,19%
Coreia
4,60%
10
9
8
6
5
4 3
1
Grandes volumes de spam têm maior proba...
2013 Cisco Annual Security Report62
observados por provedores de e-mail, que
os encerrarão antes que seu objetivo possa
se...
63
Figura 13: origem do spam
A Índia mantêm a liderança de spans e os Estados Unidos dispararam para a segunda
posição.
me...
2013 Cisco Annual Security Report64
Figura 15: spam de IPv6
Embora os e-mails com base em IPv6 permaneçam representando um...
65
Anexos de e-mail
O spam foi considerado por muito tempo
como um mecanismo de disponibilização
de malware, especialmente...
2013 Cisco Annual Security Report66
Figura 16: marcas falsificadas
Os spammers têm como alvo produtos farmacêuticos, relóg...
67
Marcas falsificadas
Com e-mails de spam de marcas
falsificadas, os spammers usam empresas
e produtos para enviar suas m...
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013
Relatório de Segurança Anual da Cisco de 2013
Upcoming SlideShare
Loading in...5
×

Relatório de Segurança Anual da Cisco de 2013

638

Published on

Vivendo no mundo atual do sistema “any-to-any”.

Os criminosos cibernéticos estão se beneficiando do cenário de ataques atual, o qual encontra-se em rápida expansão e bastante presente no mundo do sistema “any-to-any”, no qual as pessoas fazem uso de qualquer dispositivo para acessar aplicativos empresariais em ambientes de rede que utilizam serviços em nuvem descentralizados. O relatório de segurança anual da Cisco® de 2013 destaca as tendências globais com base em dados do mundo real e oferece conhecimentos e análises que ajudam empresas e governos a melhorarem sua segurança no futuro. O relatório combina pesquisa especializada com inteligência de segurança agregados pela Cisco com enfoque em dados coletados durante o ano fiscal de 2012.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
638
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
25
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Relatório de Segurança Anual da Cisco de 2013

  1. 1. A Cisco possui mais de 200 escritórios no mundo todo. Os endereços, números de telefone e fax estão disponíveis no site da Cisco em www.cisco.com/go/offices. Todo o conteúdo está protegido por leis de direitos autorais. Copyright © 2011-2013 Cisco Systems, Inc. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Cisco e o logotipo Cisco são marcas comerciais da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em outros países. Uma lista das marcas registradas da Cisco pode ser encontrada em www.cisco.com/go/trademarks. Todas as marcas de terceiros citadas pertencem a seus respectivos proprietários. O uso do termo "parceiro" não implica uma relação de sociedade entre a Cisco e qualquer outra empresa. (020813 v2) Sede - América Cisco Systems, Inc. San Jose, CA Sede - Ásia e Pacífico Cisco Systems (USA) Pte. Ltd. Cingapura Sede - Europa Cisco Systems International BV Amsterdam, The Netherlands
  2. 2. Relatório de Segurança Anual da Cisco de 2013
  3. 3. 2013 Cisco Annual Security Report2 Vivendo no mundo atual do sistema “any-to-any”.
  4. 4. 3 Os criminosos cibernéticos estão se beneficiando do cenário de ataques atual, o qual encontra-se em rápida expansão e bastante presente no mundo do sistema “any-to-any”, no qual as pessoas fazem uso de qualquer dispositivo para acessar aplicativos empresariais em ambientes de rede que utilizam serviços em nuvem descentralizados. O relatório de segurança anual da Cisco® de 2013 destaca as tendências globais com base em dados do mundo real e oferece conhecimentos e análises que ajudam empresas e governos a melhorarem sua segurança no futuro. O relatório combina pesquisa especializada com inteligência de segurança agregados pela Cisco com enfoque em dados coletados durante o ano fiscal de 2012.
  5. 5. 2013 Cisco Annual Security Report4 Conteúdo
  6. 6. 5 A relação de dispositivos, nuvens e aplicativos 6 Multiplicação de endpoints 12 Os serviços estão presentes em muitas nuvens 18 A mistura entre uso corporativo e pessoal 22 A Geração Y e o local de trabalho Big Data 28 Um bom negócio para as empresas de hoje Estado da exploração 32 O perigo se esconde em lugares surpreendentes Ameaças em evolução 50 Novos métodos, mesmas explorações Envio de Spam sempre presente 58 Perspectiva de segurança para 2013 70 Sobre a Cisco Security Intelligence Operations 74
  7. 7. 2013 Cisco Annual Security Report6 A relação entre dispositivos, nuvens e aplicativos
  8. 8. 7 O mundo do sistema any-to-any e a Internet de Todas as Coisas são uma evolução em termos de conectividade e colaboração que se desdobra rapidamente. A relação entre dispositivos, nuvens e aplicativos. Embora essa evolução não seja inesperada, as empresas podem estar despreparadas para a realidade de navegação no mundo "any-to-any" — pelo menos de uma perspectiva de segurança. "O ponto principal da questão relacionada ao sistema de computação distribuída any- to-any é que alcançamos rapidamente o ponto em que é cada vez menos provável que um usuário acesse uma empresa por meio de uma rede corporativa," diz Chris Young, vice-presidente sênior do Grupo de segurança e governo da Cisco. “Cada vez mais, o foco volta-se para a cultura de qualquer dispositivo em qualquer local vindo de qualquer instanciação de rede. Os dispositivos habilitados para acessar a Internet — smartphones, tablets e muitos outros — tentam conectar aplicações que poderiam ser executadas em qualquer lugar, inclusive em uma nuvem de software como serviço (SaaS), em uma nuvem particular ou em uma nuvem híbrida.” Ao mesmo tempo, outra evolução está a caminho — um movimento contínuo em direção da formação da "Internet de todas as coisas - The Internet of Everything". Essa é a conexão inteligente de: • Pessoas: redes sociais, centros populacionais e entidades digitais • Processos: sistemas e processos comerciais • Dados: World wide web e informações • Coisas: mundo físico, dispositivos e objetos “Cada vez mais, o foco volta-se para a cultura de qualquer dispositivo em qualquer local vindo de qualquer instanciação de rede. Dispositivos com acesso à Internet — smartphones, tablets e outros — tentam se conectar a aplicativos que podem ser executados em qualquer lugar." Chris Young, Vice-Presidente Sênior do grupo de segurança e governo da Cisco
  9. 9. 2013 Cisco Annual Security Report8 A Internet de Todas as Coisas baseia- se na “Internet das coisas”1 que adicionando a inteligência de rede permite a convergência, a orquestração e a visibilidade por meio de sistemas previamente diferenciados. As conexões da Internet de Todas as Coisas não representam apenas dispositivos móveis ou laptops e desktops, mas também um número cada vez maior de conexões de máquina para máquina (M2M) que ficam conectadas on-line todos os dias. Essas “coisas” são objetos aos quais não damos muita importância, que geralmente usamos todos os dias e nem imaginamos que possam estar conectados — como um sistema de aquecimento doméstico, uma turbina eólica ou um carro. A Internet de Todas as Coisas com certeza é uma condição futura, mas que não está tão distante quando a questão do any-to-any é considerada. Enquanto isso ela irá criar desafios de segurança para as empresas, mas também trará novas oportunidades. “Coisas incríveis acontecerão com o crescimento da Internet de Todas as Coisas”, diz Nancy Cam-Winget, engenheira renomada da Cisco. “O crescimento e a convergência de pessoas, processos, dados e coisas na Internet tornará as conexões em rede mais importantes e valiosas do que nunca.” Além disso, a Internet de Todas as Coisas criará novos recursos, experiências mais valiosas e oportunidades econômicas sem precedentes para países, negócios e indivíduos." Como a nuvem compromete a segurança O desafio de proteger uma grande variedade de aplicações, dispositivos e usuários — seja no contexto do sistema "any-to-any" ou da Internet de Todas as Coisas — é dificultado pela popularidade da nuvem como meio de gerenciar sistemas corporativos. De acordo com dados reunidos pela Cisco, espera-se que o tráfego de data centers em termos globais seja quadruplicado nos próximos cinco anos, e o componente de crescimento mais rápido será a nuvem. Em 2016, o tráfego global em nuvem corresponderá a dois terços do tráfego total de data centers. “O aumento do número de pessoas, processos, dados e coisas na Internet, e sua convergência, tornará as conexões em rede mais importantes e valiosas do que nunca.” Nancy Cam-Winget, engenheira renomada da Cisco Espera-se que o tráfego global de data centers seja quadruplicado nos próximos cinco anos, e o componente de crescimento mais rápido serão os dados em nuvem. Em 2016, o tráfego global em nuvem corresponderá a dois terços do tráfego total do data centers.
  10. 10. 9 Soluções de segurança fragmentadas, como a aplicação de firewalls a uma borda de rede instável, não protegem dados que atualmente se movimentam constantemente entre dispositivos, redes e nuvens. Mesmo entre os data centers — que agora abrigam as "joias da coroa" (big data) das empresas — a virtualização torna- se mais a regra do que a exceção. Abordar desafios de segurança difundidos pela virtualização e pela nuvem requer repensar posturas de segurança para refletir sobre este novo paradigma — controles com base em perímetro e modelos antigos de acesso e contenção precisam ser alterados para proteger o novo modelo de negócios. Funcionários conectados e privacidade de dados Outro fator comprometedor na equação any-to-any são os funcionários jovens e móveis. Este grupo acredita que é capaz de fazer negócios onde quer que esteja e com qualquer dispositivo que tenha em mãos. Em destaque no Relatório de segurança anual da Cisco de 2013 estão as descobertas do Relatório Cisco Connected World Technology 2012, que foram reunidas na pesquisa realizada em 2011 sobre as novas atitudes que estudantes universitários e jovens profissionais em todo o mundo têm em relação ao trabalho, à tecnologia e à segurança. O último estudo se concentra ainda mais nas atitudes desses funcionários em relação à segurança, com enfoque especial na privacidade e em quanto e com que frequência uma empresa pode interferir no desejo do funcionário de usar livremente a Internet no trabalho. O estudo do Relatório Cisco Connected World Technology 2012 também analisa se a privacidade on-line ainda é algo com que todos os usuários se preocupam ativamente. Análise de dados e tendências mundiais de segurança O Relatório de segurança anual da Cisco de 2013 inclui uma análise profunda de tendências de malware e spam da Web, com base em pesquisas realizadas pela Cisco. Enquanto muitos que operam na "economia paralela" têm concentrado seus esforços no desenvolvimento de técnicas cada vez mais sofisticadas, a pesquisa da Cisco deixa claro que os criminosos cibernéticos frequentemente adotam métodos bem conhecidos e básicos para comprometer os usuários. O aumento de ataques de negação de serviço distribuído (DDoS) no último ano é apenas um exemplo da tendência "o Outro fator comprometedor na equação do sistema de computação distribuída any-to-any são os funcionários jovens e móveis. Este grupo acredita que é capaz de fazer negócios onde quer que esteja usando qualquer dispositivo que tenha em mãos.
  11. 11. 2013 Cisco Annual Security Report10 antigo agora é novidade" em se tratando de crimes cibernéticos. Por vários anos, os ataques de DDoS — que podem paralisar provedores de serviços de Internet (ISPs) e afetar o tráfego para e de sites visados — não tiveram muita importância na lista de prioridades de segurança de TI para muitas empresas. Entretanto, campanhas recentes de várias empresas famosas — incluindo instituições financeiras dos EUA2 — servem como lembrete de que qualquer ameaça à segurança cibernética pode causar uma interrupção significativa e até mesmo um dano irreparável, caso a organização não esteja preparada para isso. Portanto, ao criar planos de gerenciamento de continuidade de negócios, as empresas devem considerar como reagiriam e se recuperariam de um evento cibernético prejudicial — caso um evento se torne um ataque DDoS direcionado à empresa, um importante recurso de fabricação ativado pela Internet de repente ficar off-line, um ataque a diversos estágios avançados por um criminoso oculto ou algo nunca visto antes. "Enquanto a discussão de segurança de TI sofreu mais que sua cota de alarmismo nos último anos, vemos algumas mudanças perturbadoras no ambiente de ameaças que governos, empresas e sociedades enfrentam," diz John N. Stewart, vice- presidente sênior e chefe de segurança da Cisco. "O crime cibernético já não é mais um mero um aborrecimento ou mais uma despesa feita quando fechamos negócios. Abordamos um ponto decisivo em que as perdas econômicas geradas pelo crime cibernético ameaçam suplantar os benefícios econômicos criados pela tecnologia da informação. Está claro que precisamos de novas ideias e de um novo enfoque para reduzir o dano que o crime cibernético causa no bem-estar mundial.” "Vemos algumas mudanças incômodas no ambiente de ameaças com que se deparam governos, empresas e sociedades.” John N. Stewart, vice-presidente sênior e chefe de segurança da Cisco.
  12. 12. 11
  13. 13. 2013 Cisco Annual Security Report12 Multiplicação de endpoints
  14. 14. 13 A evolução do sistema "any-to-any" já envolve bilhões de dispositivos conectados à Internet; em 2012, o número destes dispositivos no mundo subiu para mais de 9 bilhões. 3 Considerando que atualmente menos de 1% das coisas no mundo físico estão conectadas, resta um vasto potencial para “conectar o não conectado.”4 Estima-se que com uma Internet que já tenha uma projeção de 50 bilhões de “coisas” conectadas a ela, o número de conexões aumentará para 13.311.666.640.184.600 em 2020. Adicionar apenas mais uma "coisa" conectada à Internet (50 bilhões + 1) aumentará o número de conexões em mais 50 bilhões.5 Quanto às “coisas” que finalmente compreenderão o “todas as coisas,” estas variarão de smartphones e sistemas de aquecimento doméstico a turbinas eólicas e carros. Dave Evans, futurista-chefe do grupo de soluções de negócios de Internet da Cisco, explica assim o conceito da multiplicação de terminais: “Num futuro próximo, quando seu carro estiver conectado à Internet de Todas as Coisas, o número de coisas na Internet simplesmente aumentará em um. Pense nos vários outros elementos com os quais seu carro poderia se conectar— outros carros, semáforos, sua casa, equipe de serviços, relatórios de meteorologia, sinais de alerta e até mesmo a própria rodovia.”6 “Num futuro próximo, quando seu carro estiver conectado à Internet de Todas as Coisas, o número de coisas na Internet simplesmente aumentará em um. Pense nos vários outros elementos com os quais seu carro poderia se conectar— outros carros, semáforos, sua casa, equipe de serviços, relatórios de meteorologia, sinais de alerta e até mesmo a própria rodovia.” David Evans, futurista-chefe da Cisco
  15. 15. 2013 Cisco Annual Security Report14 De pessoas para máquina (P2M) De pessoas para pessoas (P2P) De máquina para máquina (M2M) Pessoas Dados Processo Coisas Negócios Residência Móvel Figura 1: A Internet de Todas as Coisas A Internet de Todas as Coisas é a conexão inteligente de pessoas, processos, dados e coisas. Na Internet de Todas as Coisas, as conexões são os fatores mais importantes. Os tipos de conexões, não o número, são o que criam valor entre pessoas, processos, dados e coisas.
  16. 16. 15 Na Internet de Todas as Coisas, as conexões são os fatores mais importantes. Os tipos de conexões, não o número, são o que criam valor entre pessoas, processos, dados e coisas. Por fim, o número de conexões reduzirá o número de coisas.7 A explosão de novas conexões, que já faz parte da Internet de Todas as Coisas, é impulsionada principalmente pelo desenvolvimento cada vez maior de dispositivos habilitados por IP, como também pelo aumento da disponibilidade mundial de banda larga e do advento do IPv6. Os riscos de segurança criados pela Internet de Todas as Coisas não se relacionam apenas à multiplicação de endpoints any-to-any que nos aproxima diariamente de um mundo ainda mais conectado, mas também à oportunidade de agentes maliciosos utilizarem ainda mais incursões para comprometer usuários, redes e dados. As próprias novas conexões criarão riscos porque irão gerar ainda mais dados em movimento que precisam ser protegidos em tempo real — incluindo os volumes crescentes de big data que as empresas continuarão a coletar, armazenar e analisar. “A Internet de Todas as Coisas ganha forma rapidamente, portanto o profissional de segurança precisa pensar em como mudar seu enfoque da simples proteção de endpoints e do perímetro de rede," diz Chris Young. “Haverá muitos dispositivos, conexões e tipos de conteúdo e aplicativos — e esse número só irá crescer. Neste panorama, a própria rede se torna parte do paradigma de segurança que permite que as empresas estendam a política e o controle sobre os ambientes de rede." “A Internet de Todas as Coisas ganha forma rapidamente, portanto o profissional de segurança precisa pensar em como mudar seu enfoque da simples proteção de endpoints e do perímetro de rede". Chris Young, Vice-Presidente Sênior do grupo de segurança e governo da Cisco
  17. 17. 2013 Cisco Annual Security Report16 Atualização da consumerização de TI da Cisco A multiplicação de endpoints é um fenômeno que a Cisco conhece bem em sua própria organização de 70.000 funcionários em todo o mundo Desde a formalização da prática de consumerização de TI há dois anos, a empresa presenciou uma taxa de crescimento de 79% no número de dispositivos móveis em uso na empresa. O relatório de segurança anual da Cisco de 20118 analisou primeiro a jornada de consumerização de TI em desenvolvimento na Cisco, a qual faz parte da ampla e contínua transição da organização para tornar- se uma “empresa virtual.” No momento, a Cisco alcança o último estágio de sua planejada jornada, que durará vários anos. A Cisco será cada vez mais uma empresa independente de locais e serviços e ainda assim seus dados estarão seguros.9 Em 2012, a Cisco adicionou cerca de 11.000 smartphones e tablets em toda a empresa — ou aproximadamente 1.000 novos dispositivos com acesso à Internet por mês. “No final de 2012, havia quase 60.000 smartphones e tablets em uso na organização — incluindo quase 14.000 iPads — e todos eles faziam parte da tendência de consumerização (BYO, bring your own),” diz Brett Belding, gerente sênior de supervisão da Cisco IT Mobility Services. “Os dispositivos móveis na Cisco agora fazem parte da tendência de consumerização (BYO, bring your own), ponto.” O tipo de dispositivo que teve o maior aumento em sua utilização na Cisco foi o iPad da Apple. "É fascinante pensar que há três anos este produto nem mesmo existia," diz Belding. “Agora há mais de 14.000 iPads sendo usados na Cisco todos os dias por nossos funcionários para uma variedade de atividades — relacionadas tanto ao uso pessoal quanto ao trabalho. E os funcionários estão usando iPads além de seus smartphones.” Quanto aos smartphones, o número de iPhones da Apple em uso na Cisco quase triplicou em um período de dois anos, quase atingindo a marca de 28.600 aparelhos. Os dispositivos RIM BlackBerry, Google Android e Microsoft Windows também estão incluídos no programa consumerização de TI da Cisco. Os funcionários optam por trocar o acesso a dados corporativos em seu dispositivo pessoal mediante acordo sobre controles de segurança. Por exemplo, usuários que desejam verificar e-mails e calendários em seus dispositivos precisam obter o perfil de segurança da Cisco, o qual aplica recursos como limpeza remota, criptografia e senha. “Comportamos mais dispositivos do que antes e ,ao mesmo tempo, temos tido o menor número de casos de suporte. Nosso objetivo é que algum dia um funcionário possa simplesmente trazer qualquer dispositivo para usar o Cisco Identity Services Engine (ISE) e configurar nossas principais ferramentas de colaboração de WebEx, incluindo Meeting Center, Jabber e WebEx Social.” Brett Belding, gerente sênior responsável pela supervisão do Cisco IT Mobility Services
  18. 18. 17 Figura 2: desenvolvimento de dispositivos móveis da Cisco Desde o princípio o apoio social tem sido um componente fundamental do programa de consumerização de TI da Cisco. "Nos apoiamos fortemente na [plataforma de colaboração corporativa] WebEx Social como nossa plataforma de sustentação para a consumerização de TI e ela nos rende grandes dividendos," diz Belding. “Comportamos mais dispositivos do que antes e ,ao mesmo tempo, temos tido o menor número de casos de suporte. Nosso objetivo é que um dia um funcionário possa simplesmente trazer qualquer dispositivo para usar o Cisco Identity Services Engine (ISE) e configurar nossas principais ferramentas de colaboração da WebEx, incluindo Meeting Center, Jabber e WebEx Social.” A próxima etapa da consumerização de TI na Cisco, de acordo com Belding, é melhorar ainda mais a segurança com o aumento da visibilidade e do controle sobre todas as atividade e dispositivos, tanto na rede física quanto na infraestrutura virtual, além de aprimorar a experiência do usuário. "Preocupar-se com a experiência do usuário é a tendência principal da consumerização de TI," diz Belding. “Tentamos aplicar este conceito à nossa organização. Temos que fazer isso. Acho que atualmente estamos testemunhando uma "TI-zação" dos usuários. Antes eles perguntavam, "Posso usar este dispositivo no trabalho?" Agora eles dizem, "Entendo que você precisa manter a empresa segura, mas não interfira na minha experiência de usuário.’” iPhone iPad BlackBerry Android Outros TOTAL PLATAFORMA DEZ 2010 DEZ 2011 DEZ 2012
  19. 19. 2013 Cisco Annual Security Report18 Os serviços estão presentes em muitas nuvens
  20. 20. 19 O tráfego mundial de dados está em ascensão. De acordo com o Cisco Global Cloud Index, espera-se que o tráfego mundial de data centers seja quadruplicado nos próximos cinco anos. Ele aumentará a uma taxa de crescimento anual composta (CAGR) de 31% entre 2011 e 2016. 10 Deste enorme aumento, o componente com crescimento mais rápido são os dados em nuvem O tráfego global em nuvem aumentará seis vezes nos próximos cinco anos, crescendo a uma taxa de 44% de 2011 a 2016. Na verdade, o tráfego em nuvem corresponderá a dois terços do tráfego total de data centers em 2016.11 Esta explosão do tráfego em nuvem levanta questões sobre a habilidade das empresas gerenciarem estas informações. Na nuvem, as linhas de controle não são claras: uma empresa pode posicionar redes de segurança em torno de seus dados de nuvem quando não possui e opera o data center? Como ferramentas de segurança básica, como firewalls e softwares antivírus, podem ser aplicadas quando a borda de rede não pode ser definida? Não importa quantas questões de segurança sejam levantadas, é claro que cada vez mais empresas adotam os benefícios das nuvens — e aquelas que o O tráfego global em nuvem aumentará seis vezes nos próximos cinco anos, crescendo a uma taxa de 44% de 2011 a 2016.
  21. 21. 2013 Cisco Annual Security Report20 fizeram provavelmente não retornarão a um modelo privado de data center. Embora as oportunidades da nuvem apresentadas para empresas sejam muitas, — incluindo economias de custos, maior colaboração da força de trabalho, produtividade e emissão de carbono reduzida — os possíveis riscos de segurança que as empresas enfrentam como resultado da transferência de dados de negócios e processos para a nuvem incluem: Hipervisores Se comprometido, este software que cria e executa máquinas virtuais poderia causar um ataque de hackers em massa ou comprometer dados relacionados a vários servidores — apresentando a mesma facilidade de gerenciamento e acesso que a virtualização oferece a um hacker bem-sucedido. Um hipervisor malicioso (controlado por “hyperjacking”) pode obter controle total de um servidor.12 Custo reduzido de entrada A virtualização reduziu o custo de entrada para oferecer serviços como um servidor virtual privado (VPS). Comparado a modelos de data center com base em hardware, observamos um crescimento rápido, barato e uma infraestrutura facilmente disponível para atividades criminosas. Por exemplo, há vários serviços de VPS disponíveis para compra instantânea (com a possibilidade de compra usando Bitcoin ou outros tipos de pagamento difíceis de rastrear) que são destinados ao submundo do crime. A virtualização tornou a infraestrutura muito mais barata e fácil de ser disponibilizada — com pouca ou nenhuma verificação das atividades. “Dissociação” de aplicações virtualizadas Como as aplicações virtualizadas são dissociadas dos recursos físicos que usam, fica mais difícil para as empresas aplicarem abordagens de segurança tradicionais. Provedores de TI buscam minimizar os custos com uma oferta bastante flexível em que os recursos podem ser movidos conforme necessário — em contraste com o grupo de segurança que busca reunir serviços com esta postura de segurança e os mantém longe de outros que podem ser menos seguros. Um hipervisor malicioso (controlado por “hyperjacking”) pode obter controle total de um servidor.12
  22. 22. 21 "A virtualização e a computação em nuvem criam problemas iguais aos da consumerização de TI (BYOD), mas totalmente reformulados," diz Joe Epstein, antigo CEO da Virtuata, uma empresa adquirida pela Cisco em 2012 que disponibiliza recursos inovadores para proteger informações virtuais em nível de máquina em data centers e ambientes de nuvem. "Aplicativos e dados de alto valor atualmente são movidos em torno do data center. O conceito de cargas de trabalho virtuais deixam as empresas desconfortáveis. No ambiente virtual, como você sabe que pode confiar no que está executando? A resposta é que você não tem sido capaz disso até agora — e essa incerteza tem sido o principal obstáculo para a adoção da nuvem." Mas Epstein observou que é cada vez mais difícil para as empresas ignorarem a virtualização e a nuvem. “O mundo compartilhará tudo,” ele diz. “Tudo será virtualizado e compartilhado. Não fará sentido continuar executando apenas data centers privados. As nuvens híbridas estão onde a TI está.” A resposta para estes desafios crescentes de nuvem e virtualização é a segurança adaptativa e responsiva. Neste caso, a segurança deve ser um elemento programável integrado de forma contínua na estrutura do data center subjacente, de acordo com Epstein. Além disso, a segurança precisa ser criada na fase de design, ao invés de ser imposta na fase de pós-implementação. “A virtualização e a computação em nuvem criam problemas assim como os da consumerização de TI, mas totalmente reformulados... Aplicativos e dados de alto valor movem-se atualmente em torno do data center.” Joe Epstein, antigo CEO da Virtuata
  23. 23. 2013 Cisco Annual Security Report22 Mistura de negócios e uso pessoal A Geração Y e o local de trabalho
  24. 24. 23 Os funcionários modernos — principalmente os jovens da “Geração Y” — querem liberdade para navegar na Internet não apenas quando e como querem, mas também com os dispositivos de sua escolha. Entretanto, eles não querem que essas liberdades sejam infringidas por seus chefes, o que prenuncia uma situação de tensão para profissionais de segurança. De acordo com o estudo do Relatório Cisco Connected World Technology 2012, dois terços dos entrevistados acreditam que os chefes não deveriam rastrear as atividades on-line dos funcionários em dispositivos da empresa. Em resumo, eles acham que os chefes não deveriam monitorar seu comportamento. Apenas cerca de um terço (34%) dos funcionários entrevistados disse que não se importaria se os chefes rastreassem seu comportamento on-line. Apenas um em cinco entrevistados disse que seus chefes rastreiam suas atividades on-line em dispositivos da empresa, enquanto 46% disseram que seus chefes não rastreiam as atividades. Descobertas do último estudo Connected World também mostram que a Geração Y tem fortes opiniões sobre os chefes rastrearem a atividade on-line dos funcionários — mesmo aqueles que relataram que trabalham em empresas onde isso não ocorre. Apenas um em cinco entrevistados disse que seus chefes rastreiam suas atividades on-line em dispositivos da empresa, enquanto 46% disseram que seus chefes não rastreiam as atividades.
  25. 25. 2013 Cisco Annual Security Report24 Parece haver uma divergência entre o que os funcionários acham que podem fazer com os dispositivos fornecidos pela empresa e quais políticas o setor de TI realmente dita sobre o uso pessoal, o que aumenta ainda mais os desafios para os profissionais de segurança. Quatro dos 10 entrevistados disseram que devem usar dispositivos fornecidos pela empresa para atividades de trabalho, enquanto um quarto disse que tem permissão para usar os dispositivos da empresa para atividades não relacionadas ao trabalho. Entretanto, 90% dos profissionais de TI entrevistados disseram que têm de fato políticas que proíbem que dispositivos fornecidos pela empresa sejam usados para atividades on- line pessoais — apesar de 38% saber que os funcionários quebram políticas e usam dispositivos para atividades pessoais além das atividades relacionadas ao trabalho. (É possível encontrar mais informações sobre a perspectiva da Cisco em relação a estes desafios de consumerização de TI na página 16.) Privacidade e geração Y De acordo com o Relatório Cisco Connected World Technology 2012 a Geração Y aceitou o fato de que, graças à Internet, a privacidade pessoal pode ser algo ultrapassado. 90% dos jovens consumidores entrevistados disseram que a era da privacidade está ultrapassada e acreditam que não podem controlar a privacidade de suas informações. Um terço dos entrevistados relatou que não se preocupa com os dados que são armazenados e capturados sobre eles. Em geral, a Geração Y também acredita que sua identidade on-line é diferente de sua identidade off-line. 40% disseram que estas identidades geralmente são diferentes dependendo da atividade em questão, enquanto 36% acreditam que estas identidades são totalmente diferentes. Apenas 8% acreditam que estas identidades são iguais. Jovens consumidores também têm grandes expectativas de que os sites respeitarão a privacidade de suas informações, geralmente sentindo-se mais seguros em compartilhar dados com as principais mídias sociais ou sites comunitários devido ao anonimato que o número expressivo de usuários proporciona. Entre os entrevistados, 46% disseram esperar que determinados sites mantenham suas informações seguras, enquanto 17% Parece haver uma divergência entre o que os funcionários acreditam que podem fazer com os dispositivos disponibilizados pela empresa e quais políticas o setor de TI realmente dita sobre o uso pessoal desses dispositivos.
  26. 26. 25 afirmaram acreditar que a maioria dos sites mantenha a privacidade de suas informações. Entretanto, 29% disseram não acreditar que os sites mantenham a privacidade de suas informações e se preocupam com segurança e roubo de identidade. Compare o conceito acima com a ideia de compartilhar dados com um empregador que entende o contexto de quem eles são e o que fazem. “A Geração Y está iniciando no mercado de trabalho e trazendo novas práticas e atitudes relacionadas à informação e à segurança. Essa geração acredita no fim da privacidade — ou seja, que na prática ela não existe —, e é com base nesse paradigma que as empresas devem trabalhar. Esse conceito é alarmante para as gerações anteriores que estão no mercado de trabalho atual", diz Adam Philpott, diretor da EMEAR Security Sales da Cisco. “As empresas podem, entretanto, disponibilizar treinamentos sobre a segurança de informações, alertando seus funcionários sobre os riscos envolvidos, e oferecer orientações sobre como compartilhar melhor as informações e usufruir das ferramentas on-line que fazem parte da área de segurança de dados”. “A Geração Y está iniciando no mercado de trabalho e trazendo novas práticas e atitudes relacionadas à informação e à segurança. Essa geração acredita no fim da privacidade — ou seja, que na prática ela não existe —, e é com base nesse paradigma que as empresas devem trabalhar. Esse conceito é alarmante para as gerações anteriores que estão no mercado de trabalho atual". Adam Philpott, diretor da EMEAR Security Sales
  27. 27. 2013 Cisco Annual Security Report26 Por que as empresas precisam propagar informações que gerem conhecimento sobre a desinformação das mídias sociais por Jean Gordon Kocienda, analista de ameaças mundiais da Cisco As mídias sociais têm sido um grande benefício para muitas empresas. A capacidade de estabelecer conexões diretamente com clientes e outros públicos com o uso do Twitter e do Facebook ajudou muitas empresas a criar o reconhecimento da marca por meio da interação social on-line. O lado negativo desta comunicação direta super rápida é que as mídias sociais podem permitir que informações imprecisas e enganosas sejam espalhadas a uma velocidade incrível. Não é difícil imaginar um cenário em que um terrorista coordena ataques em terra usando tweets enganosos com a intenção de obstruir rodovias e linhas telefônicas, ou enviar pessoas para caminhos perigosos. Por exemplo: o governo da Índia bloqueou centenas de sites e textos controlados13 em uma tentativa de restaurar a calma na parte nordeste do país depois que fotos e mensagens de texto foram postadas. Os rumores incitaram pânico em milhares de trabalhadores migrantes, que sobrecarregaram estações de trem e ônibus. Campanhas de desinformação de mídia social também têm afetado os preços de mercado. Uma informação roubada da página da Reuters no Twitter relatou que o Exército Livre da Síria tinha sucumbido em Alepo. Alguns dias depois, um feed de notícias do Twitter foi comprometido e um suposto diplomata russo publicou no site que o presidente sírio Bashar Al-Assad estava morto. Antes dessas contas serem desacreditadas, o preço do petróleo nos mercados internacionais disparou.14 Profissionais de segurança precisam estar em alerta para estas publicações de mídia social de rápida propagação e possivelmente prejudiciais, especialmente se essas publicações forem direcionadas à própria empresa — é necessário uma ação rápida para defender as redes contra malwares, advertir os funcionários sobre tentativas de phishing (roubo de identidade), reencaminhar uma entrega ou oferecer consultoria sobre segurança aos funcionários. Os executivos de segurança desejam evitar a todo custo alertar gerentes sobre notícias de última hora que podem vir a ser uma farsa. A primeira defesa que temos contra notícias fabricadas é confirmá-las através de várias fontes. Antigamente, os jornalistas faziam isso por nós. Quando líamos ou ouvíamos uma notícia, ela já havia sido confirmada. Atualmente, assim como nós, muitos jornalistas obtêm suas histórias de fontes como o Twitter, e se vários de nós acreditarmos na mesma história, podemos facilmente confundir re-tweets com a confirmação do fato. Para as notícias de última hora que exigem ação rápida, a melhor aposta pode ser usar o antigo “teste da primeira impressão.” Se a história parecer artificial, pense duas vezes antes de repeti-la ou citá-la.15
  28. 28. 27 Para as notícias de última hora que exigem ação rápida, a melhor aposta pode ser usar o antigo “teste da primeira impressão.” Se a história parecer artificial, pense duas vezes antes de repeti-la ou citá-la.
  29. 29. 2013 Cisco Annual Security Report28 Big data Um bom negócio para as empresas de hoje
  30. 30. 29 No mundo dos negócios, "big data" é o assunto do momento — além disso, a possibilidade de obter material analítico valioso por meio dos vastos volumes de informações que as empresas coletam, geram e armazenam tem tido bastante visibilidade. O relatório Cisco Connected World Technology 2012 analisou o impacto da tendência do big data em empresas — e mais especificamente, em suas equipes de TI. De acordo com as descobertas do estudo, aproximadamente três quartos (74%) das empresas em todo o mundo coletam e armazenam dados, e os administradores usam a análise de big data para a tomada de decisões de negócios. Além disso, sete entre dez entrevistados do setor de TI relataram que o big data será uma prioridade estratégica para suas empresas e equipes no próximo ano. O desenvolvimento ou surgimento da mobilidade, da nuvem, da virtualização, da multiplicação de endpoints e de outras tendências de rede, abrirá caminho para um uso ainda maior de big data e de oportunidades analíticas com foco para negócios. Mas há preocupações em torno da segurança do big data. As descobertas do estudo do Connected World mostram que um terço dos entrevistados (32%) acredita que o big data compromete os requisitos de segurança e proteção de dados e redes porque há muitos dados e muitas formas de acessá-los. Em resumo, o big data aumenta os vetores e ângulos que equipes de segurança empresarial — e soluções de segurança — devem proteger. Aproximadamente 74% das organizações em todo o mundo coletam e armazenam dados, e os administradores usam a análise de big data para a tomada de decisões de negócios.
  31. 31. 2013 Cisco Annual Security Report30 A Coreia (45%), a Alemanha (42%), os Estados Unidos (40%) e o México (40%) têm as mais altas porcentagens de entrevistados do setor de TI que acreditam que o big data compromete a segurança. Para garantir a segurança, a maioria dos entrevistados do setor de TI — mais de dois terços (68%) — acredita que toda a equipe desse setor deve participar da preparação de estratégias e da administração dos esforços que envolvem o big data em suas empresas. Gavin Reid, diretor de pesquisa de ameaças da Cisco Security Intelligence Operations, diz “O big data não compromete a segurança — ele a torna possível. Na Cisco coletamos e armazenamos 2,6 trilhões de registros todos os dias — isso forma a plataforma de onde podemos iniciar a detecção e o controle de incidentes.” Há obstáculos que impedem a adoção de soluções projetadas para ajudar as empresas a gerenciar melhor e a extrair todo o potencial do grande volume de dados (big data) que geram. Os entrevistados apontaram a falta de orçamento, de tempo para estudar o big data, de soluções apropriadas, de equipes de TI e de profissionais especializados nesse setor. Um entre quatro entrevistados em todo o mundo (23%) disse que a falta de mão de obra especializada e de pessoal foi um fator inibidor para que sua empresa usasse o big data de forma eficiente. Isso indica a necessidade de que mais profissionais iniciantes no mercado de trabalho sejam treinados nesta área. Da mesma forma, a nuvem é o fator de sucesso do big data de acordo com 50% dos entrevistados do setor de TI para o estudo Connected World. Eles acreditam que suas empresas precisam trabalhar em planos e implantações de nuvem para tornar o big data um negócio rentável em todo o mundo. Essa percepção teve destaque na China (78%) e na Índia (76%), onde mais de três entre quatro entrevistados acreditavam que havia uma dependência da nuvem antes do big data realmente se tornar um sucesso. Como resultado, em alguns casos o estudo indica Coreia, Alemanha, Estados Unidos e México possuem as mais altas porcentagens de entrevistados do setor de TI que acreditam que o big data complica a segurança. Há obstáculos que impedem a adoção de soluções que são especificamente projetadas para ajudar as empresas a gerenciar melhor e a extrair todo o potencial do grande volume de dados (big data) que geram. Os entrevistados apontaram a falta de orçamento, de tempo para estudar o big data, de soluções apropriadas, de equipes de TI e de profissionais especializados nesse setor.
  32. 32. 31 que a adoção da nuvem afetará a taxa de adoção — e os benefícios — dos esforços relacionados ao big data. Mais da metade dos entrevistados gerais do setor de TI também confirmou que as discussões sobre o big data em suas empresas ainda não são produtivas. Isso não é surpreendente se considerarmos que apenas agora o mercado tenta entender como aproveitar, analisar e usar de forma estratégica o big data. Em alguns países, entretanto, discussões sobre big data resultam em decisões significativas sobre estratégia, direção e soluções. China (82%), México (67%), Índia (63%) e Argentina (57%) lideram neste ponto. Mais da metade dos entrevistados destes países afirmam que as discussões sobre big data em suas empresas estão bem encaminhadas — e geram ações e resultados sólidos. Três entre cinco entrevistados do setor de TI do relatório Mundo conectado 2012 acreditam que o big data pode ajudar os países e suas economias a se tornarem mais competitivos no mercado mundial. Em alguns países, entretanto, discussões sobre big data resultam em decisões significativas sobre estratégia, direção e soluções. China, México, Índia e Argentina lideram neste ponto. Mais da metade dos entrevistados desses países afirmam que discussões sobre big data em suas empresas estão bem encaminhadas — e geram ações e resultados sólidos.
  33. 33. 2013 Cisco Annual Security Report32 Estado da exploração O perigo se esconde em lugares surpreendentes
  34. 34. 33 Muitos profissionais de segurança — e certamente uma grande comunidade de usuários on-line — têm ideias pré- concebidas sobre quais os possíveis locais em que as pessoas podem se deparar com um perigoso malware da Web. De modo geral, acredita-se que os sites que promovem atividades criminosas — como sites de venda de produtos farmacêuticos ilegais ou de produtos de luxo falsificados — têm mais chance de hospedar um malware. Nossos dados revelam a verdade sobre este conceito ultrapassado. No cenário atual das ameaças cibernéticas as ocorrências de malware na Web geralmente não são produto de sites de conteúdo duvidoso. "As ocorrências de malware da Web aparecem em todos os locais visitados pelos usuários da Internet — incluindo os mais conceituados sites, os quais são visitados com frequência, mesmo que seja com o intuito de conduzir negócios," diz Mary Landesman, pesquisadora de segurança sênior da Cisco. "Na verdade, sites de empresas e indústrias são uma das três principais categorias visitadas quando uma ocorrência de malware é encontrada. Obviamente os sites de negócios não são projetados para serem nocivos. Os perigos, entretanto, frequentemente estão em anúncios exploratórios bem visíveis que são distribuídos para sites legítimos ou em hackers que visam comunidades de usuários nos sites comuns mais usados. Além disso, sites infectados por malware são predominantes em muitos países e regiões — não apenas em um ou dois países, o que distorce a noção de que sites de alguns países podem hospedar mais conteúdo malicioso que outros. “A Web é o mecanismo de disponibilização de malware mais impressionante que já vimos até hoje. Ela supera até mesmo o worm ou os vírus mais produtivos em sua capacidade de atingir — e infectar — um público em massa silenciosamente e com eficiência," diz Landesman. “As empresas precisam de proteção, mesmo se bloquearem os sites Os perigos estão frequentemente escondidos em anúncios on-line de cunho exploratório de alta visibilidade.
  35. 35. 2013 Cisco Annual Security Report34 Figura 3: riscos de acordo com o tamanho da empresa Até 2,5 vezes mais riscos de encontrar malware da Web em grandes organizações. 250 ou menos 251–500 501–1000 1001–2500 2501–5000 5001–10.000 10.001–25.000 Mais de 25.000 Risk by Company Size Número de funcionários Todas as empresas — independente do tamanho — enfrentam um risco significativo de descobertas de malware da Web. Toda empresa deve concentrar-se nos fundamentos da proteção de sua rede e propriedade intelectual.
  36. 36. 35 de conteúdo duvidoso mais comuns, com um foco ainda mais preciso na inspeção e na análise.” Descobertas de malware por tamanho da empresa As empresas maiores (com mais de 25.000 funcionários) têm um risco 2,5 vezes maior de encontrar malware do que empresas pequenas. Este risco elevado pode ser causado por uma maior propriedade intelectual de alto valor. Por isso as grandes empresas são um alvo mais frequente. Enquanto empresas pequenas possuem menos ocorrências de malware da Web por usuário, é importante observar que todas as empresas — independentemente do tamanho — enfrentam um risco significativo de ocorrências de malware. Toda empresa deve concentrar-se nos fundamentos da proteção de sua rede e propriedade intelectual. Descobertas de malware por país A pesquisa da Cisco mostra uma mudança significativa no panorama mundial para as ocorrências de malware da Web por país em 2012. A China, que foi a segunda da lista de ocorrências de malware da Web em 2011, caiu drasticamente seis posições em 2012. A Dinamarca e a Suécia agora estão no terceiro e quarto lugar, respectivamente. Os Estados Unidos permaneceram no topo do ranking em 2012, assim como em 2011, com 33% de todas as ocorrências de malware por meio de sites hospedados nesse país. Mudanças na localização geográfica entre 2011 e 2012 provavelmente refletem mudanças tanto na detecção quanto nos hábitos do usuário. Por exemplo, "malvertising", ou o malware disponibilizado através de anúncios on- line, tiveram uma função mais significativa nas descobertas de malware da Web em 2012 do que em 2011. Vale lembrar que descobertas de malware da Web ocorrem com mais frequência através da navegação normal em sites legítimos que podem ter sido comprometidos ou estão apresentando anúncios maliciosos involuntários. Um anúncio malicioso pode afetar qualquer site, independente de sua origem. Em geral, os dados geográficos de 2012 demonstram que a Web pode causar infestações de forma uniforme — ao contrário das percepções de que apenas um ou dois países sejam responsáveis por hospedar malware da Web ou de que qualquer país esteja mais seguro que outro. Assim como a disponibilização de conteúdo dinâmico da Web 2.0 permite a monetização de sites em todo o mundo, também é possível facilitar a disponibilização de malware da Web mundialmente. Claro, há uma diferença distinta entre onde uma descoberta de malware da Web ocorre e onde o malware realmente está hospedado. Em malvertising, por exemplo, a descoberta normalmente ocorre quando visitamos um site legítimo e com boa reputação que por acaso apresenta um anúncio de terceiros. Entretanto, o
  37. 37. 2013 Cisco Annual Security Report36 Figura 4: ocorrências de malware da Web por país Um terço de todas as ocorrências de malware da Web foram encontradas em domínios hospedados nos Estados Unidos. GANHOS DE 2011 DECLÍNIO DE 2011 Estados Unidos Alemanha 33,14% Holanda 2,27% 6,11% Reino Unido 4,07% Irlanda 1,95% 1
  38. 38. 37 Rússia 9,79% Dinamarca 9,55% Turquia 2,63% Suécia 9,27% China 5,65% 2 4 3 6 5 8 7 10 9 Em geral, os dados geográficos de 2012 demonstram que a Web pode causar infestações de forma uniforme — ao contrário das percepções de que apenas um ou dois países sejam responsáveis por hospedar malware da Web ou de que qualquer país esteja mais seguro que outro.
  39. 39. 2013 Cisco Annual Security Report38 Figura 5: principais tipos de malware da Web Descobertas de malware do software Android cresceram 2.577% em 2012, apesar de que os malwares de aparelhos móveis compreendem uma pequena porcentagem do total de ocorrências de malware da Web. JAN FEV MAR ABR MAI JUN JUL AGO SET OCT NOV DEZ Android Growth Kit de malware/hacker 0,057% Ransomware 0,058% Scareware 0,16% Dispositivo móvel 0,42% Vírus 0,48% Worm 0,89% Baixador 1,1% Roubo de Informações 3,4% Exploração de 9,8% Mal script/iframe 83,4% Crescimento do Android: 2577%
  40. 40. 39 malware destinado para distribuição está hospedado em um domínio completamente diferente. Como os dados da Cisco são baseados no local da ocorrência, eles não tem relação alguma com a origem do malware. Por exemplo, a popularidade elevada das mídias sociais e dos sites de entretenimento na Dinamarca e na Suécia, juntamente com os riscos de malvertising, é altamente responsável pelo aumento das ocorrências de sites hospedados nessas regiões, mas este não é um indicativo da origem real do malware. Principais tipos de malware da Web em 2012 Os malwares do software Android cresceram substancialmente mais rápido que qualquer outra forma de malware disponibilizado através da Web. Uma tendência importante, pois foi relatado que o Android possui a maior participação de mercado de dispositivos móveis do mundo. É importante observar que as descobertas de malware para dispositivos móveis compreenderam apenas 0,5% de todas as descobertas de malware em 2012, com o Android obtendo mais de 95% de todas essas descobertas de malware da Web. Além disso, em 2012 ocorreu o surgimento do primeiro botnet de Android documentado em livre circulação, o que indica que os desenvolvimentos de malware para dispositivos móveis em 2013 precisam de muita atenção. Enquanto alguns especialistas afirmam que o Android é uma "grande ameaça" ou que deve ser o enfoque principal das equipes de segurança corporativa em 2013 — os dados reais mostram o contrário. Conforme observado acima, o malware da Web para dispositivos móveis, em geral, compõe menos de 1% do total de ocorrências — número distante do cenário "apocalíptico" que muitos detalham. O impacto da consumerização de TI e da proliferação de dispositivos não pode ser ignorado. No entanto, a maior preocupação das empresas devem ser ameaças, tais como a perda de dados acidental, devendo garantir que os funcionários não "vasculhem" ou façam "jailbreak" em seus dispositivos, instalando apenas aplicações de canais de distribuição oficiais e confiáveis. Caso os usuários optem por não usar mais as lojas de aplicativos móveis oficiais, eles devem ter certeza de que, antes de fazer o download, conhecem e confiam no autor do aplicativo e podem provar que o código não foi violado. Quando analisamos de modo mais amplo o panorama de malwares da Web, não nos surpreendemos com o fato de que scripts e iFrames maliciosos corresponderam a 83% das ocorrências achadas em 2012. Embora seja relativamente compatível com o ano anterior, é uma descoberta sobre a qual vale a pena discutir. Estes tipos de ataques frequentemente representam códigos maliciosos em webpages "confiáveis" que podem ser visitadas por usuários todos os dias — o que significa que um invasor é capaz de comprometer os usuários sem mesmo levantar suspeitas.
  41. 41. 2013 Cisco Annual Security Report40 As explorações ficam em segundo lugar, com 10% do número total de ocorrências de malware no ano passado. Entretanto, estes dados são em grande parte um resultado de onde o bloqueio ocorreu em comparação com a concentração real de explorações na Web. Por exemplo, 83% de scripts maliciosos e iFrame ocultos são bloqueios que ocorrem em um estágio anterior, antes do acontecimento de qualquer exploração. Por isso, podem artificialmente diminuir o número de explorações observadas. As explorações ainda são uma grande causa das infecções via Web e sua presença continuada enfatiza a necessidade de os fornecedores adotarem as melhores práticas de segurança nos ciclos de vida de seus produtos. As organizações devem se concentrar na segurança como parte do design e do processo de desenvolvimento do produto, com divulgações de vulnerabilidade oportunas e ciclos de correção imediatos/ regulares. As empresas e os usuários também precisam ser orientados a respeito dos riscos de segurança associados ao uso de produtos que não são mais respaldados pelos fornecedores. Isso também é essencial para que as empresas possam manter um processo de gerenciamento das principais vulnerabilidades e para que os usuários possam manter seu hardware e software atualizados. Entre os cinco principais estão os ladrões de informações, com 3,5% do total de descobertas de malware da Web em 2012, baixadores (1,1%) e worms (0,8%). Mais uma vez, estes números são um reflexo de onde o bloqueio ocorre, geralmente no ponto em que o script ou iFrame malicioso é encontrado pela primeira vez. Como resultado, estes números não refletem o número real de ladrões de informações, baixadores ou worms que são distribuídos através da Web. Principais tipos de conteúdo de malware Criadores de malware buscam constantemente maximizar seu retorno sobre o investimento (ROI) encontrando maneiras de atingir o maior número de possíveis vítimas com o menor esforço e, quando possível, se aproveitam de tecnologias de plataforma cruzada. Para estes fins, kits de ferramentas geralmente distribuem explorações em uma ordem específica. Assim que uma exploração de sucesso for distribuída, não será possível fazer tentativas de nenhuma outra exploração. A alta concentração de pacotes de exploração do software Java—87% do total de explorações da Web— mostra que são feitas tentativas de inserção dessas vulnerabilidades anteriormente a outros tipos de pacotes de exploração. Isso demonstra também que os invasores estão obtendo sucesso usando os pacotes de exploração do software Java. Além disso, com mais de 3 bilhões de dispositivos executando Java,16 a tecnologia representa um caminho aberto para que hackers escalem seus ataques através de várias plataformas
  42. 42. 41 Figura 6: principais tipos de conteúdo de malware para 2012 Explorações de Java corresponderam a 87% do total de explorações da Web. J F M A M J J A S O N D J F M A M J J A S O N D Aplicação Texto Imagem Vídeo Áudio Mensagem Java PDF Flash Active-X 0% 20% 40% 60% 80% 100% 0% 20% 40% 60% 80% 100% Aplicação 65.05% Texto 33.81% Imagem 1.09% Vídeo 0.05% Áudio 0.01% Mensagem 0.00% Tipos dos principais conteúdos mensais Total dos principais tipos de conteúdo Tipos de conteúdo explorado A alta concentração de pacotes de exploração do software Java mostra que são feitas tentativas de inserção dessas vulnerabilidades anteriormente a outros tipos de pacotes de exploração. Isso demonstra também que os invasores estão obtendo sucesso usando os pacotes de exploração do software Java.
  43. 43. 2013 Cisco Annual Security Report42 Figura 7: categoria dos principais sites Sites de compras on-line são 21 vezes mais propensos a disponibilizar conteúdo malicioso que sites de software falsificado. Observação: A categoria “conteúdo dinâmico” está no topo da lista da Cisco dos principais locais para probabilidade de infecções de malware. Esta categoria inclui sistemas de disponibilização de conteúdo, como estatísticas da Web, análise de sites e outros conteúdos de terceiros não relacionados a publicidade. Jogos 6,51% Hospedagem de sites 4,98% Mecanismos de busca e portais 4,53% Computadores e Internet 3,57% Compras 3,57% Viagem 3,00% Comunidades on-line 2,66% Entretenimento 2,57% Armazenamento e backup on-line 2,27% Notícias 2,18% Esportes e divertimentos 2,10% Serviços de transferência de arquivos 1,50% SaaS e B2B 1,40%E-mail baseado na Web 1,37% Educação 1,17% Transporte 1,11% Saúde e nutrição 0,97% Conteúdo dinâmico e CDN 18,30% Propagandas 16,81%Negócios e indústria 8,15% Top Site Category for Web Malware Encounter
  44. 44. 43 Duas outras plataformas cruzadas — PDF e Flash — levaram o segundo e o terceiro lugares na análise da Cisco dos principais tipos de conteúdo para distribuição de malware. Apesar de o Active X ainda estar sendo explorado, os pesquisadores da Cisco têm observado um uso constantemente baixo da tecnologia como um veículo para malware. Entretanto, conforme observado anteriormente em relação ao Java, números menores de certos tipos de explorações são em grande parte uma reflexão da ordem em que foram feitas as tentativas de exploração. Ao analisar conteúdo de mídia, os dados da Cisco revelam quase o dobro de malware com base em imagem em comparação do que em vídeos que não são em Flash. Entretanto, isso deve-se em parte, à forma como os navegadores lidam com tipos de conteúdo declarado e aos esforços dos invasores para manipular estes controles declarando tipos de conteúdo errados. Além disso, sistemas de comando e controle de malware frequentemente distribuem informações do servidor através de comentários escondidos em arquivos de imagem comuns. Principal categoria de site Conforme mostram os dados da Cisco, a ideia de que infecções de malware resultam mais comumente de sites "arriscados", como os de software falsificado, é um engano. A análise da Cisco indica que a grande maioria das ocorrências de malware da Web ocorrem por meio da navegação comum em sites populares. Em outras palavras, a maioria das ocorrências acontece nos locais mais visitados pelos usuários— onde eles acreditam serem sites seguros. Em segundo lugar na lista estão os anúncios on-line, que correspondem a 16% do total de descobertas de malware da Web. A publicação de anúncios é um meio comum de monetizar sites, portanto um único anúncio malicioso distribuído dessa maneira pode causar um impacto negativo e de alto impacto. A grande maioria das descobertas de malware da Web ocorrem por meio da navegação comum em sites populares. Em outras palavras, a maioria das descobertas acontece nos lugares mais visitados pelos usuários— e que pensam ser seguros.
  45. 45. 2013 Cisco Annual Security Report44 Analisando os outros colocados na lista de categorias de sites em que foram encontradas ocorrências de malware, os sites de empresas e indústrias—os quais incluem tudo, desde sites corporativos a recursos humanos e serviços de frete— ficaram em terceiro lugar. Jogos on-line estão em quarto lugar, seguidos por sites de hospedagem da Web e os mecanismos de busca ficaram em quinto e sexto lugares, respectivamente. As 20 principais categorias de site não contam com os sites normalmente considerados como maliciosos. Há uma mistura saudável de tipos de site populares e legítimos, como compras on-line (nº 8), notícias (nº13) e aplicativos de SaaS/business-to-business (nº 16). Os criminosos cibernéticos prestaram muita atenção aos hábitos modernos de navegação para expor o maior número de pessoas possível aos malwares da Web. Onde os usuários on-line estiverem, os criadores de malware os seguirão e se aproveitarão de sites confiáveis através do comprometimento direto ou de redes de distribuição de terceiros. Aplicativos populares por acessos As mudanças em como as pessoas usam seu tempo on-line aumentam o terreno para que criminosos cibernéticos lancem explorações. Empresas de todos os portes estão adotando as mídias sociais e o compartilhamento de vídeos on-line. A maioria das marcas tem presença no Facebook e no Twitter e muitos estão integrando as mídias sociais em seus próprios produtos. A medida que estes destinos da Web vão atraindo o público de modo massivo e vão sendo incorporados dentro das configurações empresariais, mais oportunidades de distribuição de malware vão sendo criadas. De acordo com o Cisco Application Visibility and Control (AVC), a grande maioria (91%) das solicitações da Web foi dividida entre mecanismos de busca (36%), sites de vídeo on-line (22%), redes de anúncios (13%) e redes sociais (20%). Os criminosos cibernéticos prestaram muita atenção aos hábitos modernos de navegação para expor o maior número de pessoas possível aos malwares da Web. Empresas de todos os portes estão adotando as mídias sociais e o compartilhamento de vídeos on-line. A maioria das marcas tem presença no Facebook e no Twitter e muitos estão integrando as mídias sociais em seus próprios produtos.
  46. 46. 45 Figura 8: aplicativos populares por acessos As mídias sociais e o compartilhamento de vídeos on-line mudaram o modo como os funcionários dispõem de seu horário de trabalho — expondo novas vulnerabilidades. Se os dados nos principais sites visitados na Internet estão correlacionados à categoria mais perigosa de sites, os mesmos locais em que os usuários on-line têm a maior exposição a malwares, como mecanismos de busca, estão entre as principais áreas que guiam às ocorrências de malware da Web. Esta correlação mostra mais uma vez que os criadores de malware estão concentrados em maximizar seu ROI — e, portanto, centralizarão seus esforços nos lugares onde o número de usuários e a facilidade de exposição são maiores. Se os dados nos principais sites visitados na Internet estão correlacionados à categoria mais perigosa de sites, os mesmos locais em que os usuários on-line têm a maior exposição a malwares, como mecanismos de busca, estão entre as principais áreas que guiam às ocorrências de malware da Web. 36% 9% Mecanismo de pesquisa Anúncios Rede Social Outros 20% 13% 22% Vídeo on-line Top Web Applications by Hits
  47. 47. 2013 Cisco Annual Security Report46 When Gothic Horror Gives Birth to Malware de Kevin W. Hamlen Professor Associado, Departamento de Ciências da Computação da Universidade do Texas, Dallas A camuflagem do malware é uma ameaça emergente que profissionais de segurança enfrentarão cada vez mais. Enquanto a maioria dos malwares usam mutação ou ofuscação para diversificar e tornar a aplicação de engenharia reversa mais difícil, o malware com auto-camuflagem é ainda mais furtivo, misturando- se com o software específico já presente em cada sistema infectado por esse tipo de malware. Isso pode enganar as defesas que procuram por anomalias de software com descompactação de tempo de execução ou código criptografado, que frequentemente expõem malwares mais convencionais. A última tecnologia de malware de auto-camuflagem — apropriadamente apelidada de Frankenstein17 — é um produto de nossa pesquisa deste ano no Cyber Security Research and Education Center na Universidade do Texas, em Dallas. Assim como a história fictícia do cientista louco no romance de terror de Mary Shelley, o “malware Frankenstein” cria mutantes que roubam partes de corpos (ou seja, códigos) de outros softwares e as une para criar variantes exclusivas de si mesmo. Cada Frankenstein mutante é, portanto, composto totalmente de um software não anômalo e de aparência benigna, não executa descompactação de tempo de execução ou criptografia suspeita e tem acesso a um conjunto sempre em expansão de transformações de códigos dos vários programas que ele encontra. Sorrateiramente, o Frankenstein dá vida às suas criações usando uma variedade de técnicas extraídas de teorias de compiladores e análises de programas. Primeiro, os binários da vítima são examinados em busca de pequenas sequências de bites que decodificam sequências de instruções possivelmente úteis, chamadas de gadgets. Em seguida, um pequeno interpretador abstrato infere os possíveis efeitos semânticos de cada gadget descoberto. É aplicada uma pesquisa retroativa para descobrir sequências de gadgets que, quando executadas em ordem, têm o efeito de implementar o comportamento malicioso da carga útil do malware. Assim como a história fictícia do cientista louco no romance de terror de Mary Shelley, o “malware Frankenstein” cria mutantes que roubam partes de corpos (ou seja, códigos) de outros softwares e as une para criar variantes exclusivas de si mesmo.
  48. 48. 47 17 Vishwath Mohan e Kevin W. Hamlen. “Frankenstein: Stitching Malware from Benign Binaries.” In. Proceedings of the USENIX Workshop on Offensive Technologies (WOOT), pp. 77-84, agosto de 2012. 18 Mohammad M. Masud, Tahseen M. Al-Khateeb, Kevin W. Hamlen, Jing Gao, Latifur Khan, Jiawei Han e Bhavani Thuraisingham. “Cloud-based” Malware Detection for Evolving Data Streams. 311 ACM Transactions on Management Information Systems (TMIS), 2(3), outubro de 2011. Cada sequência descoberta é finalmente montada para formar um novo mutante. Na prática, o Frankenstein descobre mais de 2.000 gadgets por segundo, acumulando mais de 100.000 dos binários de apenas duas ou três vítimas em menos de cinco segundos. Com um conjunto tão grande de gadgets à sua disposição, os mutantes resultantes raramente compartilham alguma sequência de instruções comuns; cada uma delas, portanto, parece exclusiva. Em geral, nossa pesquisa sugere que malwares de última geração podem cada vez mais evitar mutações simples com base em criptografia e compactação em favor de ofuscações binárias metamórficas avançadas, como as usadas pelo Frankenstein. Essas ofuscações são fáceis de implementar, apoiam a propagação rápida e são eficientes para ocultar o malware das fases de análise estática da maioria dos mecanismos de detecção de malware. Para enfrentar esta tendência, os defensores precisarão desenvolver algumas das mesmas tecnologias usadas para desenvolver o Frankenstein, que incluem análise estática com base em semântica ao invés de sintática, extração de recursos e assinaturas semânticas derivadas do aprendizado de máquina,18 em vez da análise puramente manual. Este artigo relata uma pesquisa apoiada em parte pelo prêmio nº 1054629 da National Science Foundation (NSF) e pelos EUA. Prêmio FA9550-10-1-0088. da Air Force Office of Scientific Research (AFOSR) Qualquer opinião, descoberta, conclusão ou recomendação externada são do autor e não necessariamente reflete a da NSF ou da AFOSR. Em geral, nossa pesquisa sugere que malwares de última geração podem cada vez mais evitar mutações simples com base em criptografia e compactação em favor de ofuscações binárias metamórficas avançadas, como as usadas pelo Frankenstein.
  49. 49. 2013 Cisco Annual Security Report48 Análise de vulnerabilidade e ameaças de 2012 O gráfico de categorias de vulnerabilidades e ameaças mostra um aumento significativo no total de ameaças — em 2012, o número de ameaças aumentou 19,8% com relação ao ano de 2011. Esse aumento acentuado das ameaças aplica uma forte pressão na capacidade de as empresas manterem os sistemas de gerenciamento de vulnerabilidades atualizados e corrigidos — especialmente com a mudança para ambientes virtuais. As empresas também estão tentando adotar um uso maior de softwares open-source e de terceiros a serem incluídos em seus produtos e ambientes. Uma única vulnerabilidade nas soluções open-source ou de terceiros pode impactar uma grande variedade de sistemas em todo o ambiente, o que torna difícil a identificação e a correção ou a atualização de todos esses sistemas,” diz Jeff Shipley, gerente da Cisco Security Research and Operations. Quanto aos tipos de ameaças, o maior grupo é o de ameaças ao gerenciamento de recursos; isso geralmente inclui vulnerabilidades de negação de serviço, ameaças à validação de entradas como erros de injeção SQL e criação de script de site cruzado e fluxos de buffer que resultam na negação de serviço. A preponderância de ameaças semelhantes de anos anteriores, combinada com a elevação acentuada nas ameaças, indica que o segmento de segurança precisa se preparar melhor para a detecção e a manipulação dessas vulnerabilidades. As Cisco IntelliShield Alert Urgency Ratings refletem o nível da atividade de ameaças relacionadas a vulnerabilidades específicas. O aumento substancial nas taxas de urgência de nível 3 indica que mais vulnerabilidades realmente estão sendo exploradas. Isso aconteceu provavelmente por causa do aumento na publicidade que liberou explorações por pesquisadores ou ferramentas de teste e a incorporação dessas explorações nos kits de ferramentas de ataque. Esses dois fatores permitem que mais explorações fiquem disponíveis e sejam usadas livremente por hackers e grupos criminosos. As Cisco IntelliShield Alert Severity Ratings refletem o grau do impacto das explorações de vulnerabilidades bem-sucedidas. As taxas de gravidade também mostram um aumento notável nas ameaças de nível 3 — pelas mesmas razões indicadas acima em relação à pronta disponibilidade de ferramentas de exploração Figura 9: taxas de urgência e gravidade Números de alertas mensais de 2012 Números de alertas mensais de 2011 Números de alertas mensais de 2010 Janeiro Fevereiro Março Abril Maio Junho Julho Agosto Setembro Outubro Novembro Dezembro 417 259 158 417 430 253 177 847 518 324 194 1364 375 167 208 1740 322 174 148 2062 534 294 240 2596 422 210 212 3018 541 286 255 3559 357 167 190 3916 418 191 227 4334 476 252 224 4810 400 203 197 5210 Total Reamp NovoTotal Reamp NovoTotal Reamp Novo 6292 3488 28045301 2684 26175210 2780 2430 0 1000 2000 3000 4000 5000 6000 7000 8000 J F M A M J J A S O N D 2010 2011 2012 2010 2011 2012 Gravidade =3 Gravidade =4 Gravidade =5 Urgência =3 Urgência =4 Urgência =5 0 10 20 30 40 50 60 0 500 1000 1500 2000 Classificação Classificação 403 237 166 403 400 176 224 803 501 276 225 1304 475 229 246 1779 404 185 219 2183 472 221 251 2655 453 213 240 3108 474 226 248 3582 441 234 207 4023 558 314 244 4581 357 195 162 4938 363 178 185 5301 552 344 208 552 551 317 234 1103 487 238 249 1590 524 306 218 2114 586 343 243 2700 647 389 258 3347 514 277 237 3861 591 306 285 4452 572 330 242 5024 517 280 237 5541 375 175 200 5916 376 183 193 6292
  50. 50. 49 Figura 10: categorias de vulnerabilidades e ameaças Uma única vulnerabilidade nas soluções open-source ou de terceiros pode impactar uma grande variedade de sistemas em todo o ambiente, o que torna difícil a identificação e a correção ou a atualização de todos esses sistemas”. Jeff Shipley, gerente da Cisco Security Research and Operations. Números de alertas mensais de 2012 Números de alertas mensais de 2011 Números de alertas mensais de 2010 Janeiro Fevereiro Março Abril Maio Junho Julho Agosto Setembro Outubro Novembro Dezembro 417 259 158 417 430 253 177 847 518 324 194 1364 375 167 208 1740 322 174 148 2062 534 294 240 2596 422 210 212 3018 541 286 255 3559 357 167 190 3916 418 191 227 4334 476 252 224 4810 400 203 197 5210 Total Reamp NovoTotal Reamp NovoTotal Reamp Novo 6292 3488 28045301 2684 26175210 2780 2430 0 1000 2000 3000 4000 5000 6000 7000 8000 J F M A M J J A S O N D 2010 2011 2012 2010 2011 2012 Gravidade =3 Gravidade =4 Gravidade =5 Urgência =3 Urgência =4 Urgência =5 0 10 20 30 40 50 60 0 500 1000 1500 2000 Classificação Classificação 403 237 166 403 400 176 224 803 501 276 225 1304 475 229 246 1779 404 185 219 2183 472 221 251 2655 453 213 240 3108 474 226 248 3582 441 234 207 4023 558 314 244 4581 357 195 162 4938 363 178 185 5301 552 344 208 552 551 317 234 1103 487 238 249 1590 524 306 218 2114 586 343 243 2700 647 389 258 3347 514 277 237 3861 591 306 285 4452 572 330 242 5024 517 280 237 5541 375 175 200 5916 376 183 193 6292
  51. 51. 2013 Cisco Annual Security Report50 Ameaças em evolução Novos métodos, mesmas explorações
  52. 52. 51 Hoje em dia, não importa qual exploração cibernética é escolhida — contanto que o método selecionado aja com eficiência. Isso não quer dizer que os agentes na economia paralela não continuam comprometidos com a criação de ferramentas e técnicas ainda mais sofisticadas para afetar usuários, infectar redes, roubar dados confidenciais, entre muitos outros objetivos. Em 2012, no entanto, houve uma tendência que tentava resgatar os bons e velhos malwares para descobrir novas maneiras de criar interrupções ou evadir proteções de segurança corporativa. Os ataques DDoS são um exemplo importante — várias grandes instituições financeiras dos Estados Unidos foram alvos famosos de duas campanhas importantes e relacionadas lançadas por grupos de hacktivistas estrangeiros nos últimos seis meses de 2012 (para análise detalhada, consulte a seção tendências de ataques de negação de serviço distribuídos em 2012). Alguns especialistas em segurança avisam que esses eventos são apenas o início e que os hacktivistas, redes criminosas organizadas e até mesmo Estados-nação, serão os responsáveis19 por esses ataques no futuro, trabalhando tanto de forma colaborativa como de forma independente. “Nós estamos percebendo no DDoS uma tendência na qual os invasores acrescentam contexto adicional ao site alvo do ataque para que a interrupção se torne mais significativa, diz Gavin Reid, diretor da Threat Research for Cisco Security Intelligence Operations, Em vez de fazer um fluxo SYN, agora, o DDoS tenta manipular um aplicativo específico da empresa — o que possivelmente provocará um conjunto de danos em cascata, no caso de falha.” Em 2012 houve uma tendência que tentava resgatar os bons e velhos malwares para descobrir novas maneiras de criar interrupções ou evadir proteções de segurança corporativa.
  53. 53. 2013 Cisco Annual Security Report52 Embora as empresas possam acreditar- se adequadamente protegidas contra a ameaça do DDoS, muito provavelmente suas redes não poderiam ser defendidas contra os tipos de ataques implacáveis e em alto volume testemunhados em 2012. Mesmo contra adversários sofisticados — mas medianos—, a modernidade' atual na segurança de rede é frequentemente ultrapassada de forma significativa, diz Gregory Neal Akers, Vice-Presidente Sênior do Advanced Security Initiatives Group da Cisco. Outra tendência na comunidade de crimes cibernéticos gira em torno da democratização de ameaças. Vemos cada vez mais que atualmente as ferramentas e técnicas — e a inteligência sobre como explorar vulnerabilidades — são amplamente compartilhadas na economia paralela. “Recursos de táticas de espionagem se desenvolveram muito, diz Akers. “Agora vemos mais especialização e colaboração entre agentes maliciosos. É uma linha de produção de ameaças: alguém desenvolve um bug, outra pessoa cria o malware, outra projeta o componente de engenharia social e assim por diante. A criação de poderosas ameaças que os ajudarão a obter acesso ao grande volume de ativos de alto valor encontrados na rede é um dos motivos pelos quais o criminosos cibernéticos estão combinando suas expertises com mais frequência. Mas, na comunidade de crimes virtuais, como em qualquer empresa do mundo real que terceiriza suas tarefas, eficiência e redução de custos estão entre os principais estimuladores da abordagem criar uma ameaça. O talento autônomo contratado para essas tarefas normalmente anuncia suas habilidades e paga taxas para a ampla comunidade de crimes cibernéticos por intermédio de mercados on-line secretos. Mesmo contra adversários sofisticados — mas medianos—, a modernidade atual da segurança de rede é frequentemente ultrapassada de forma significativa. Gregory Neal Akers, vice-presidente sênior do Advanced Security Initiatives Group da Cisco
  54. 54. 53 Ataques de amplificação e reflexão Ataques de amplificação e reflexão de DNS20 utilizam resolvedores recursivos de sistema de nomes de domínio (DNS) ou servidores oficiais de DNS para aumentar o volume de tráfego de ataques enviados a uma vítima. Ao falsificar21 mensagens de solicitação de DNS, esses ataques escondem a verdadeira fonte do ataque e enviam consultas de DNS que retornam mensagens de resposta de DNS 1.000 a 10.000% maiores que a mensagem de solicitação de DNS. Esses tipos de perfis de ataque são comumente observados durante ataques 22 DDoS. As empresas participam inadvertidamente desses ataques ao deixar resolvedores recursivos abertos pela Internet. Eles podem detectar os ataques usando várias ferramentas23 e tecnologias de telemetria 24 de fluxo que podem ajudar a proteger 25 seu servidor DNS ou mensagens de resposta26 de DNS com limite de taxa. Tendências ataques de negação de serviço distribuídos em 2012 A análise a seguir é derivada do repositório do Arbor Networks ATLAS, que compreende dados mundiais reunidos a partir de várias origens, de 240 ISPs, tráfego de monitoração de pico de 37,8 Tbps.27 Os tamanhos dos ataques continuam a ser uma tendência ascendente Em geral, houve um aumento no tamanho médio de ataques no ano passado. Houve um aumento de 27% em volume de ataques (de 1.23 Gbps em 2011 para 1.57 Gbps em 2012) e um aumento de 15% nos pacotes por segundo usados em ataques (de 1,33 Mpps em 2011 para 1,54 Mpps em 2012). Demografia dos ataques As três principais fontes de ataques monitoradas, depois de remover 41% de fontes para as quais não há atribuição devido ao anonimato de dados, são a China (17,8%), Coreia do Sul (12,7%) e Estados Unidos (8%). Os maiores ataques O maior ataque monitorado foi medido em 100,84 Gbps e durou aproximadamente 20 minutos (a fonte do ataque é desconhecida devido ao anonimato de dados). O maior ataque monitorado em pps correspondente foi medido em 82,36 Gbps e durou aproximadamente 24 minutos (a fonte do ataque é desconhecida devido ao anonimato de dados).
  55. 55. 2013 Cisco Annual Security Report54 Figura 11: evasões do Sistema de Prevenção de Intrusos (IPS) A Cisco Security Research and Operations mantém vários laboratórios de malware para observar o tráfego de elementos maliciosos na prática. O malware é liberado intencionalmente nesses laboratórios para garantir se os dispositivos de segurança são eficientes; os computadores também são deixados intencionalmente vulneráveis e expostos à Internet. Protocolo de controle de transmissão, Src Porta: 32883 (32883), Dst DCE RPC Bind, Fragmento: Único, FragLen: 820, Call: 0 Versão: 5 Versão (inferior): 0 Tipo de Pacote: bind (11)  Sinalizadores do pacote: 0x03  Representação de dados: 10000000 Comprimento do fragmento.: 820 Comprimento autorizado: 0 ID de chamada: 0 Transm. máx. de frag.: 5.840 Recup. máx. de frag.: 5.840 Grupo de assoc.: 0x00000000 Número de itens de contexto: 18  ID de contexto: 0 Número de itens de transm.: 1  UUID da interface: c681d4c7-7f36-33aa-6cb8-535560c3f0e9  ID de contexto: 1 Número de itens transf.: 1  Interface UUID: 2ec29c7e-6d49-5e67-9d6f-4c4a37a87355
  56. 56. 55 Armamento de técnicas modernas de evasão Criminosos cibernéticos desenvolvem constantemente novas técnicas para passar por dispositivos de segurança. Os pesquisadores da Cisco observam de forma cautelosa as novas técnicas e o armamento de técnicas bem conhecidas. A Cisco Security Research and Operations mantém vários laboratórios de malware para observar o tráfego de elementos maliciosos na prática. O malware é liberado intencionalmente nesses laboratórios para garantir se os dispositivos de segurança são eficientes; os computadores também são deixados intencionalmente vulneráveis e expostos à Internet. Durante esse teste, a tecnologia Cisco Intrusion Prevention System (IPS) detecta um ataque bem conhecido à Chamada de Procedimento Remoto da Microsoft (MSRPC). Uma análise cuidadosa determinou que o ataque utiliza uma tática de evasão de malware nunca vista em uma tentativa de passar pelos dispositivos de segurança.28 A evasão enviou vários IDs de contexto de ligação dentro da solicitação de ligação inicial. Este tipo de ataque pode evadir proteções a menos que o IPS monitore e determine quais IDs foram bem- sucedidas. Criminosos cibernéticos desenvolvem constantemente novas técnicas para passar por dispositivos de segurança. Os pesquisadores da Cisco observam de forma cautelosa as novas técnicas e o armamento de técnicas bem conhecidas.
  57. 57. 2013 Cisco Annual Security Report56 Estudo de caso Operação Ababil Durante setembro e outubro de 2012, a Cisco e a Arbor Networks monitoraram uma campanha de ataques de DDoS direcionada e muito séria conhecida como Operação Ababil, que tinha como alvo instituições financeiras com base nos EUA. Os ataques a DDoS foram premeditados, concentrados, anunciados e executados à risca. Os invasores foram capazes de deixar vários sites financeiros importantes indisponíveis para clientes legítimos por minutos — e nas ocorrências mais graves, por horas. Durante os eventos, vários grupos assumiram a responsabilidade pelos ataques. Pelo menos um grupo alegou estar protestando contra a legislação de direitos autorais e de propriedade intelectual nos Estados Unidos. Outros divulgaram seu envolvimento como uma resposta a um vídeo publicado no YouTube que apresentava conteúdo ofensivo para uma parcela de muçulmanos. Do ponto de vista de segurança cibernética, a Operação Ababil é notável porque aproveitou aplicativos da Web e servidores de hospedagem comuns que são tão populares quanto vulneráveis. Outro fator óbvio e incomum usado nessa séries de ataques foi que ataques simultâneos, em alta largura de banda, foram lançados contra várias empresas do mesmo setor (financeiro). Como é observado frequentemente no setor de segurança, o antigo torna-se atual novamente. Em 18 de setembro de 2012, o Cyber Fighters of Izz ad-Din al-Qassam postou no Pastebin29 fazendo um apelo aos muçulmanos para que atacassem instituições financeiras e plataformas de negociação de commodities. As ameaças e alvos específicos foram expostos perante o mundo durante quatro semanas consecutivas. A cada semana, novas ameaças junto a novos alvos foram seguidos por ações ocorridas nos horários e datas indicados. Na quinta semana, o grupo parou de nomear alvos, mas deixou claro que as campanhas continuariam. Conforme prometido, as campanhas recomeçaram no começo de dezembro de 2012, mais uma vez tendo como alvo várias grandes instituições financeiras dos EUA. A fase 2 da Operação Ababil também foi anunciada no Pastebin.30 Ao invés de infectar máquinas, uma variedade de aplicativos da Web de PHP, incluindo o Sistema de Gerenciamento de Conteúdo Joomla, serviram como os principais robôs da campanha. Além disso, muitos sites do WordPress, frequentemente usando o plug-in TimThumb desatualizado, foram comprometidos mais ou menos ao mesmo tempo. Os invasores também tiveram como alvo servidores sem manutenção que hospedavam esses aplicativos e carregaram webshells de PHP para desenvolver mais ferramentas de ataque. O conceito de comando e controle não foi aplicado da maneira típica. Os invasores conectaram-se a ferramentas diretamente ou usaram servidores, scripts e proxies intermediários. Durante os eventos cibernéticos em setembro e outubro de 2012, uma grande quantidade de arquivos e ferramentas com base em PHP foram usados, não apenas o “tsoknoproblembro” (conhecido como “Brobot”) relatado. A segunda fase da atividade também utilizou ferramentas de ataque atualizadas como o Brobot v2. A Operação Ababil desenvolveu uma combinação de ferramentas com vetores que atacam a camada de aplicações em HTTP, HTTPS e DNS com tráfego de ataque volumétrico em uma variedade de protocolos TCP, UDP, ICMP e outros protocolos IP. A análise da Cisco mostrou que a maioria dos pacotes foram enviados para TCP/UDP porta 53 (DNS) ou 80 (HTTP). Enquanto o tráfego em UDP porta 53 e TCP portas 53 e 80 representam um tráfego normalmente válido, pacotes destinados para UDP porta 80 representam uma anomalia geralmente não usada por aplicações. Um relatório detalhado dos padrões e cargas úteis da campanha da Operação Ababil pode ser encontrado no Resposta ao evento da Cisco: Ataques de negação de serviço distribuídos em instituições financeiras.31
  58. 58. 57 Lições aprendidas Embora eles representem uma parte fundamental de qualquer portfólio de segurança de rede, os dispositivos IPS e de firewall dependem de uma inspeção de tráfego stateful. As técnicas da camada de aplicativos usadas na campanha da Operação Ababil derrubaram facilmente as tabelas de estados e, em vários casos, fizeram com que elas falhassem. A tecnologia inteligente de mitigação de DDoS foi uma das medidas preventivas eficientes utilizadas. Os serviços de segurança gerenciados e os provedores de serviço da Internet (ISPs) têm seus limites. Durante um típico ataque DDoS, acredita-se que os ataques volumétricos devem ser combatidos na rede. Para as campanhas da camada de aplicativos implantadas mais próximas às vítimas, eles devem ser tratados no data center ou na borda do cliente. Como várias empresas foram alvejadas simultaneamente, os centros de depuração de rede ficaram sobrecarregados. É fundamental manter o hardware e o software atualizados nos dispositivos de mitigação de DDoS. As implantações mais antigas nem sempre estão aptas a combater as ameaças mais recentes. Também é importante ter a capacidade certa nos locais certos. Ser capaz de mitigar um grande ataque é inútil se o tráfego não puder ser canalizado para o local onde a tecnologia foi implantada. Embora a mitigação de ataques de DDos em nuvem ou de rede geralmente apresente uma largura de banda muito mais elevada, as soluções implantadas localmente oferecem um melhor tempo de reação contra os ataques, além de melhor controle e visibilidade sobre eles. A combinação dos dois cria uma solução mais completa. Em conjunto com tecnologias de DDoS em nuvem e de rede, e como parte do material de apoio produzido para os eventos da Operação Ababil, a Cisco resumiu as tecnologias de detecção e mitigação no Identifying and Mitigating the Distributed Denial of Service Attacks Targeting Financial Institutions Applied Mitigation Bulletin.32 Essas técnicas incluem o uso de filtro da Lista de controle de acesso de trânsito (tACL), análise de dados de NetFlow e unicast Reverse Path Forwarding (uRPF). Além disso, há várias melhores práticas que devem ser regularmente revisadas, testadas e implementadas que ajudarão muito as empresas a se prepararem e a reagirem a eventos de rede. Uma biblioteca com conteúdo sobre essas melhores práticas pode ser encontrada no Cisco SIO Tactical Resources33 e no Service Provider Security Best Practices.34
  59. 59. 2013 Cisco Annual Security Report58 Envio de spam sempre presente
  60. 60. 59 Os volumes de spam estão continuamente em declínio em todo o mundo, de acordo com uma pesquisa da Cisco, mas o spam ainda é uma ferramenta prática para muitos criminosos cibernéticos, que o veem como uma maneira eficiente e conveniente de expor os usuários a malwares e para possibilitar uma ampla gama de golpes. Entretanto, apesar da percepção de que o malware é normalmente desenvolvido através de anexos de e-mail de spam, a pesquisa da Cisco mostra que atualmente muito poucos spammers utilizam esse método; ao invés disso, lançam mão de links maliciosos no e-mail como um mecanismo de distribuição muito mais eficiente. O spam é algo menos disperso que no passado, com muito mais spammers preferindo como alvo grupos específicos de usuários na esperança de gerar retornos financeiros mais altos. Marcas famosas de empresas farmacêuticas, relógios de luxo e eventos como a temporada fiscal, estão no topo da lista das coisas mais promovidas por spammers em suas campanhas. Com o tempo, os spammers aprenderam que a maneira mais rápida de atrair cliques e compras — e de gerar lucro — é promover marcas falsificadas e se aproveitar de eventos atuais que atraem a atenção de grandes grupos de usuários. Tendências mundiais de spam Desde as retiradas de botnet em grande escala de 2010, os spans enviados em altos volumes não são tão eficientes como antes e os spammers aprenderam isso e mudaram sua tática. Existe uma clara evolução que segue na direção de campanhas menores e com maior direcionamento, baseadas em eventos mundiais e em subconjuntos específicos de usuários. Grandes volumes de spam também têm maior probabilidade de ser
  61. 61. 2013 Cisco Annual Security Report60 Figura 12: tendências mundiais de spam Os volumes de spam global estão abaixo de 18%, com a maioria dos spammers mantendo horários comerciais em fins de semanas. Estados Unidos Arábia Saudita Brasil 11,38% 3,60% Polônia 2,72% 3,60% Rússia 3,88% 7 2 GANHOS DE 2011 DECLÍNIO DE 2011 Rússia 5% Catalão 3% Japonês 3% Dinamarquês 2% Francês 1% Romeno 1% Espanhol 1% Alemão 1% English 79% Chinês 1% Spam Language
  62. 62. 61 Taiwan 2,94% Vietnã 4,00% Índia 12,3% China 4,19% Coreia 4,60% 10 9 8 6 5 4 3 1 Grandes volumes de spam têm maior probabilidade de ser observados por provedores de e-mail, que os encerrarão antes que seu objetivo possa ser concluído.
  63. 63. 2013 Cisco Annual Security Report62 observados por provedores de e-mail, que os encerrarão antes que seu objetivo possa ser concluído. Em 2011, os volumes gerais de spam mundiais ficaram abaixo de 18%. Isso está longe da queda radical de volume observada em 2010, seguinte às retiradas de botnet, mas a diminuição da tendência ainda é considerada como um avanço positivo. Os spammers continuam concentrados na minimização de esforços enquanto maximizam o impacto. De acordo com a pesquisa da Cisco, o volume de spans caiu 25% nos finais de semana, quando os usuários muitas vezes não acessam e-mails. O volume de spans subiu nos níveis mais altos nas terças e quartas- feiras — uma média de 10% mais alto que em outros dias da semana. Essa atividade reforçada no meio da semana e volumes mais baixos no final de semana permitem que spammers vivam vidas normais. Isso também oferece a eles tempo para investir na criação de campanhas adaptadas com base em eventos mundiais no começo da semana que os ajudarão a gerar uma taxa de resposta mais alta. Em 2012 houve vários exemplos de spammers que usaram notícias sobre eventos mundiais — e até grandes tragédias — para tirarem proveito dos usuários. Durante a supertempestade Sandy, por exemplo, os pesquisadores da Cisco identificaram um golpe de ação de bump and dump com base em uma campanha de spam. Utilizando uma mensagem de e-mail pré-existente que fazia um apelo às pessoas para que elas investissem em penny stocks (ações de baixo valor) voltadas para a exploração de recursos naturais, os spammers começaram a anexar às mensagens manchetes sensacionalistas sobre a supertempestade Sandy. Um aspecto incomum dessa campanha é que os spammers utilizaram endereços IP exclusivos para enviar um lote de spam — e não ativaram esses endereços desde então. Origem do spam No mundo do spam, alguns países permanecem nas mesmas posições enquanto outros mudaram notavelmente suas classificações. Em 2012, a Índia permaneceu no topo do ranking como uma fonte mundial de spans. Os Estados Unidos subiram da sexta posição em 2011, para a segunda em 2012. Completando os cinco principais países originadores de spam estão a Coreia (na terceira posição), a China (na quarta posição) e o Vietnã (na quinta posição). Em 2012 houve vários exemplos de spammers que usaram notícias sobre eventos mundiais — e até grandes tragédias — para tirarem proveito sobre os usuários.
  64. 64. 63 Figura 13: origem do spam A Índia mantêm a liderança de spans e os Estados Unidos dispararam para a segunda posição. menos de 25% mais de 10% SEGUNDA-FEIRA TERÇA-FEIRA QUARTA-FEIRA QUINTA-FEIRA SEXTA-FEIRA SÁBADO DOMINGO GANHOS NA METADE DA SEMANA DECLÍNIO PARA FINS DE SEMANA menos de 18% DECLÍNIO DE 2011 PARA 2012 VOLUMES DE SPAM JAN 28, 2013 200 pm De modo geral, a maioria dos spammers concentra seus esforços na criação de mensagens de spam que apresentam os idiomas falados pelos mais frequentes usuários de e-mails. De acordo com a pesquisa da Cisco, o principal idioma para mensagens de spam em 2012 foi o inglês, seguido pelo russo, catalão, japonês e dinamarquês. É importante observar que há diferenças entre a origem de envio do spam e os idiomas que são usados na mensagem de spam; por exemplo, enquanto a Índia foi o país número um em origem de spans em 2012, os dialetos locais não se classificaram entre os 10 principais em termos de idiomas usados em spam enviado da Índia. O mesmo foi observado para Coreia, Vietnã e China.
  65. 65. 2013 Cisco Annual Security Report64 Figura 15: spam de IPv6 Embora os e-mails com base em IPv6 permaneçam representando uma porcentagem muito pequena do tráfego geral, eles estão crescendo com o aumento de usuários de e-mails migrando para uma infraestrutura com o IPv6 habilitado. Figura 14: anexos de e-mail Apenas 3% dos spans possuem anexos em comparação com 25% de e-mails válidos, mas anexos de spam são 18% maiores. Only 3% of Spam has an Attachment, versus 25% of Valid Email 3% 25% 18% E-mail válidoE-mail de spam Anexos de spam são 18% maiores Email Attachments JUN JUL AGO SET OUT NOV DEZ Aumento de e-mails por IPv6: 862% Aumento de spans por IPv6: 171% IPv6 Spam
  66. 66. 65 Anexos de e-mail O spam foi considerado por muito tempo como um mecanismo de disponibilização de malware, especialmente quando um anexo está envolvido. Mas uma pesquisa recente da Cisco sobre o uso de anexos de e-mail em campanhas de spam, mostra que esta percepção pode ser um mito. Apenas 3% do total de spans possui um anexo, contra 25% de e-mails válidos. Nos raros casos em que uma mensagem de spam não inclui um anexo, ela é em média de 18% maior que um anexo normal que seria incluído em um e-mail válido. Como resultado, esses anexos tendem a ser contrastantes. Nos e-mails modernos, os links reinam. Os spammers projetam suas campanhas para convencer os usuários a visitarem os sites onde podem comprar produtos ou serviços (geralmente duvidosos). Uma vez ali, as informações pessoais dos usuários são coletadas, com frequência sem seu conhecimento, ou eles são comprometidos de alguma outra maneira. De acordo com a análise Marcas Falsificadas, exibida posteriormente nesta seção, foi revelado que a maioria dos spans são originados em grupos que buscam vender um conjunto de mercadorias de marcas famosas muito específico - de relógios de luxo a produtos farmacêuticos - os quais, na maior parte dos casos, são falsos. Spam de IPv6 Embora os e-mails com base em IPv6 permaneçam representando uma porcentagem muito pequena do tráfego geral, eles estão crescendo com o aumento de usuários de e-mails migrando para uma infraestrutura com o IPv6 habilitado. No entanto, apesar do volume geral de e-mails crescer rapidamente, esse não é o caso dos spans de IPv6. Isso sugere que os spammers estão evitando o tempo e os gastos despendidos com a migração para o novo padrão da Internet. Não há uma necessidade que estimule os spammers - e praticamente nenhum ou mesmo zero benefícios - para que seja feita tamanha mudança no momento atual. Devido ao esgotamento dos endereços IPv4 e ao crescimento explosivo do uso do IPv6, impulsionado pelos dispositivos móveis e pela comunicação M2M, prevê-se que os spammers atualizem sua infraestrutura e agilizem seus esforços. Nos e-mails modernos, os links reinam. Os spammers projetam suas campanhas para convencer os usuários a visitarem os sites onde podem comprar produtos ou serviços. Uma vez ali, as informações pessoais dos usuários são coletadas, com frequência sem seu conhecimento, ou eles são comprometidos de alguma outra maneira.
  67. 67. 2013 Cisco Annual Security Report66 Figura 16: marcas falsificadas Os spammers têm como alvo produtos farmacêuticos, relógios de luxo e temporadas fiscais. Medicamentos prescritos Relógios de luxo Cartão de crédito Análises de negócios Redes profissionais Transferência financeira eletrônica Software de contabilidade Rede social Associações de profissionais Companhia aérea Correio Perda de peso Organização governamental Software do Windows Empresa de celular Classificados on-line Impostos Hormônio de crescimento humano Notícias Serviços de pagamento eletrônico Cartões Carros de luxo Serviços de folha de pagamento JAN FEV MAR ABR MAY JUN JUL AGO SET OUT NOV DEZ 5% 50% 100% Visualização do consumidor do Windows 8 Spans relacionados a aparelhos celulares coincide com o lançamento do iPhone 5 Spans relacionados a redes sociais profissionais Software de contabilidade durante a temporada fiscal dos EUA Spoofed Brands for Spam
  68. 68. 67 Marcas falsificadas Com e-mails de spam de marcas falsificadas, os spammers usam empresas e produtos para enviar suas mensagens na esperança de que usuários on-line cliquem em um link ou façam uma compra. A maioria das marcas falsificadas são de medicamentos prescritos, como ansiolíticos ou antibióticos. Além disso, marcas de relógios de luxo também fazem parte do burburinho que permanece constante durante todo o ano. A análise da Cisco mostra que os spammers também têm a habilidade de vincular suas campanhas aos eventos de notícias. De janeiro a março de 2012 os dados da Cisco mostraram um aumento no número de spans relacionados ao software Windows, o que coincidiu com o lançamento do sistema operacional Windows 8. De fevereiro a abril de 2012, durante a temporada fiscal dos EUA, a análise mostra um aumento vertiginoso de spans desenvolvidos para softwares fiscais. De janeiro a março de 2012, e então novamente de setembro a dezembro de 2012 — o inicio e o final do ano — o spam relacionado a redes profissionais teve grandes aparições, talvez porque os spammers sabiam que as pessoas muitas vezes começam a procurar por trabalho durante estes períodos do ano. De setembro a novembro de 2012, os spammers executaram uma série de campanhas passando-se por empresas de telefonia móvel, coincidindo com o lançamento do iPhone 5. Resumindo: os spammers desempenham essa atividade pelo dinheiro e, ao longo dos anos, aprenderam que a maneira mais rápida de atrair cliques e compras é oferecendo produtos farmacêuticos e artigos de luxo e adaptando seus ataques a eventos que chamem a atenção da maior parte do mundo. Em resumo, os spammers desempenham essa atividade pelo dinheiro e, ao longo dos anos, aprenderam que a maneira mais rápida de atrair cliques e compras é oferecendo produtos farmacêuticos e artigos de luxo e adaptando seus ataques a eventos que chamem a atenção da maior parte do mundo.

×