Artigos



[Relatório] Panorama de ataque cibernético de 2017 do 1º semestre

Como é o panorama de ataque cibernético de 2017 até hoje então? E o que você precisa ter em mente para proteger seu negócio da melhor forma?

A segurança cibernética não é mais uma questão de emprego discutida apenas entre técnicos, analistas e gerentes de TI. Ele constantemente aparece em grandes noticiários sob o grande número de brechas em larga escala e vazamentos de dados. O grande número de casos e a gravidade dos ataques cibernéticos obrigaram todos a levar a segurança da informação a sério – mesmo aqueles que anteriormente não queriam ter nada a ver com isso.

O ano de 2016 foi um dos maiores em termos de segurança cibernética: o Ransomware efetivamente se tornou o assunto principal das mídias, hackers interferiram a eleição nos EUA, várias botnets causaram interrupção de internet em larga escala e testemunhamos um grande vazamento de dados, como o Panama Paper e Yahoo.

Como monitoramos o panorama da ameaça para ajudar a se defender contra esses tipos de ameaças? Além de seguir as notícias e manter nossos ouvidos abertos na comunidade, também reunimos dados através de outros meios, um dos quais é a nossa rede honeypot.

Simplificando, os honeypots são servidores de iscas que são usados para atrair a atenção dos atacantes segundo as aparências, oferecendo-lhes dados valiosos, enquanto na realidade, a localização da hospedagem dos dados é isolada e monitorada, permitindo que aqueles que implantaram o honeypot, coletem informações importantes sobre um ataque, como a sua localização e tipo de origem.

A F-Secure utiliza uma grande rede internacional de honeypot para nos ajudar a monitorar o panorama de ameaças globais em um nível geral. Além disso, a F-Secure instalou honeypots para as redes privadas dos seus clientes usando a solução de Serviço de Detecção Rápida (RDS).

Olhando para os dados recolhidos em nossos servidores de honeypots durante o primeiro semestre deste ano, temos algumas notícias: tão ruim quanto 2016 pode ter sido, 2017 será ainda pior.

Houve um acréscimo de 223% nas conexões feitas nos Honeypots da F-Secure. Dado extraído do 1º semestre de 2017, comparado ao 2º semestre de 2016.
Honeypot: Servidor de armadilha usado para estudar e detectar atacantes.

Em comparação com os dados do 2º semestre de 2016, nossos sensores registraram o dobro de ataques durante o primeiro semestre de 2017. Embora parte disso possa ser atribuída a melhorias em nossa tecnologia e o aumento no número de honeypots em nossa rede, um acréscimo desta magnitude só pode significar uma coisa: os ataques cibernéticos estão em ascensão.

De acordo com os nossos dados, o tráfego dos endereços IPs geolocalizados na Rússia compreende quase metade do volume global total. Logo após a Rússia, os antigos favoritos são EUA, Holanda, Alemanha e China – a Bélgica também aparece como um novo competidor. Os países-alvo mais comuns ficaram mais ou menos os mesmos: a maioria dos ataques é dirigida contra os EUA, Holanda, Alemanha e Reino Unido.

DE ONDE VEM OS ATACANTES: Rússia 44%,  Estados Unidos 15%, Outros 12%, Holanda 7%, Bélgica 6%, Alemanha 6%, China 5%, Reino Unido 2%, França 1%, Ucrânia <1% e Vietnam <1%.
OS MAIORES ALVOS: Estados Unidos 42%, Outros 29%, Alemanha 7%, Holanda 7%, Reino Unido 4%, Áustria 3%, Rússia 2%, Irlanda 2%, China 2%, Itália 1% e Japão 1%.

Além de aumentar sua quantidade de ataques, os hackers também estão constantemente evoluindo seus métodos. Por exemplo, os atacantes estão cada vez mais tentando se posicionar como usuários normais dentro de uma rede, disfarçando-se efetivamente entre o tráfego padrão. Eles também estão se concentrando em fazer conexões remotas para atingir computadores e afastando-se dos métodos mais “vistos” no passado: como a varredura de portas.

Eles continuam explorando novas superfícies de ataque, como os dispositivos IoT (Internet das Coisas), percebemos que a porta UPnP 1900 ocorreu um aumento no tráfego. Eles são rápidos também para incorporar novas ferramentas de ataque, como as vulnerabilidades NSA vazadas pelo grupo Shadow Brokers (tráfego para a porta SMB 445 também houve um salto).

Ataques aos payload: 66% arquivos executáveis maliciosos. 33% Sem arquivo, scripts e comandos.
Comportamento do atacante: 57% se comportou como um usuário normal. 43% mostrou comportamento mal intencionado.

Então, o que tudo isso significa para as empresas em geral?

Em primeiro lugar, a probabilidade de você ser atacado aumentou significativamente. Seja uma tentativa de violação direcionada ou uma onda de Malwares direcionada para qualquer pessoa que atravesse o caminho do atacante, você e sua organização são alvos potenciais.

Lista de afazeres?

  • Certifique-se de que está executando a versão mais recente do seu sistema operacional, habilite as atualizações automáticas para aplicativos e implemente o software necessário para protegê-lo de ataques.
  • Crie um protocolo de segurança de operações sólidas (OpSec) e assegure-se de que todos os funcionários o sigam para minimizar o risco de sua organização ser vítima de várias táticas de engenharia social.

Em segundo lugar, os atacantes ficaram cada vez mais inteligentes e melhores. É cada vez mais provável que algo escorregue pelas rachaduras do seu programa de segurança (muitas vezes resultando em um bom OpSec ou erro humano) e ponha em risco suas operações. Você precisa estar devidamente equipado para detectar e responder a ataques quando eles acontecerem. Para este fim:

  • Familiarize-se com os princípios básicos de (Managed Detection and Response) MDR.
  • Se possível, contrate uma empresa de segurança cibernética para monitorar seu tráfego de dados.
  • Crie planos de contingência efetivos e práticos, caso sua organização seja atingida.

Manter a segurança efetiva da informação é uma constante luta: você nunca terá finalizado. Às vezes, pode parecer frustrante e inútil investir tanto tempo e dinheiro para manter-se atualizado com as últimas tendências de ataque e ainda ser forçado a vigiar diariamente sua infraestrutura.  As consequências de se comprometer à segurança em qualquer empresa são muitas vezes incompreensíveis ou até mesmo irreversíveis.

A segurança cibernética exige muito trabalho. O único consolo que podemos oferecer é o seguinte: você não precisa fazer isso sozinho.

 

Texto traduzido por: Felipe Santana

Referências

[Report] Cyber Attack Landscape of 2017, So Far





Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Parceiros

Av. Dom João VI, 11, Edf. Seta Empresarial, 2º Andar, Brotas | Cep: 40.285-000 | Salvador - Bahia - Brasil
Tel.: 71 3018-7381 / 3018-7381 www.xlogic.com.br - sac@xlogic.com.br

XLOGIC. © 2020. Todos os direitos reservados.