Cisco prevê mais Destruição de Serviço devido a aumento da escala e impacto das ciberameaças







A rápida evolução das ameaças e a sua maior escala poderão resultar em ataques de "Destruição de Serviço" (DeOS, Destruction of Service) capazes de eliminar as redes seguras e de backup, utilizadas pelas organizações para restaurar os seus sistemas e os seus dados após um incidente de cibersegurança. Esta é a principal conclusão do Relatório Semestral de Cibersegurança 2017 da Cisco, que destaca também como a imparável evolução da Internet of Things (IoT) está a aumentar o espaço de manobra dos ciberataques, a sua escalabilidade e potencial impacto em múltiplos setores. 

Incidentes recentes como o WannaCry e o Nyetya mostraram a rápida capacidade de expansão e grande impacto dos ciberataques que se assemelham a ransomware mas que, na verdade, são mais destrutivos. Esta evolução leva a Cisco a prever o que se denomina de ataques de Destruição de Serviços, que poderão resultar em danos maiores que os ataques tradicionais, ao deixar os negócios sem possibilidade de recuperação.  


A IoT alarga as oportunidades para os atacantes e as vulnerabilidades de segurança, prontas a serem exploradas, terão um papel fundamental na hora de facilitar estas campanhas de grande impacto. A recente atividade de botnets IoT nas redes sugere que alguns ciberdelinquentes poderão estar a criar já as bases para um ataque de grandes dimensões e alto impacto que terá, inclusivamente, o poder de parar a Internet. 

Medir a efetividade das práticas de segurança é essencial. Um menor Tempo de Deteção (TTD, Time to Detection) – o tempo que vai desde que se analisa um arquivo até que se deteta a ameaça – é crítico para limitar o espaço operativo dos atacantes e minimizar o impacto das instruções. A Cisco acaba de anunciar um TTD médio de 3,5 horas entre novembro de 2016 e maio de 2017, um avanço considerável face às 39 horas registadas em novembro de 2015. Este valor é obtido através de telemetria interna de dados procedentes de dispositivos de segurança da Cisco implementados à escala global.   

Evolução das Ameaças
Durante a primeira metade de 2017, os investigadores de segurança da Cisco detetaram mudanças nas técnicas que os adversários utilizam para distribuir, ocultar e evitar a deteção do malware. Concretamente, os ciberatacantes recorrem cada vez mais à interação com as vítimas para ativar ameaças, como por exemplo através de incentivo aos cliques em links ou abertura de anexos. Também criam malware dito "sem arquivo", que consiste em memória e é mais difícil de detetar ou investigar dado que se elimina com o reinício dos dispositivos. Outra técnica passa pela utilização de infraestrutura anónima e descentralizada – como serviços Tor Proxy – para ocultar as atividades command and control.

Embora a Cisco tenha detetado um decréscimo notável da utilização de exploit kits, surgem outros tipos de ataques mais tradicionais:

  • O volume de spam cresce significativamente. Os adversários apoiam-se em métodos clássicos mas efetivos de distribuição de malware e geração de benefícios próprios, como o email. A Cisco prevê que o volume de spam com anexos maliciosos continuará a aumentar, ao passo que a atividade dos exploit kits continua com flutuações.   
  • O spyware e o adware, frequentemente considerados por profissionais de segurança como os mais danosos, são tipos de malware que persistem e geram riscos para as organizações. Após avaliação de uma amostra de 300 empresas durante um período de quatro meses, os investigadores da Cisco descobriram três famílias predominantes de spyware que infetaram 20% da amostra. Nos ambientes corporativos, o spyware pode roubar informação dos utilizadores e da empresa, debilitando a segurança dos terminais e aumentando as infeções por malware.  
  • Aumento do Ransomware-Como-Serviço (RaaS, Ransomware-as-a-Service) facilita a evolução do ransomware ao alcance de qualquer ciberdelinquante, uma vez que não requer conhecimentos técnicos avançados. Estima-se que o ransomware tenha gerado um benefício para os cibercriminosos de 1 000 milhões de dólares em 2016, e que pouco falta para uma ameaça de maiores dimensões, frequentemente desvalorizada.
  • Business Email Compromise (BEC), um ataque baseado em técnicas de engenharia social que utiliza emails corporativos falsos com resgate associado, está a converter-se num método cada vez mais lucrativo. Entre outubro de 2013 e dezembro de 2016 foram roubados 5 300 milhões de dólares através de ataques BEC, de acordo com o Internet Crime Compliant Center. 

Desafios para as Organizações
Enquanto os ciberdelinquantes continuam a aumentar a sofisticação e intensidade dos ataques, as organizações de diversos setores continuam a ter problemas para cumprir os requisitos de defesa contra os ciberataques básicos. A convergência das TI (tecnologias de informação) e das TO (tecnologias operativas) na era da IoT gera problemas de visibilidade e de complexidade para as organizações. De acordo com o último Security Capabilities Benchmark Study – estudo realizado pela Cisco no qual participaram cerca de três mil responsáveis de segurança de 13 países – as equipas de segurança estão cada vez mais saturadas pelo crescente volume de ataques, o que se traduz numa proteção mais reativa e menos proactiva. 

  • Apenas dois terços das organizações investigam os alertas de segurança. Em certos setores (como saúde e transportes), este número desce para cerca de 50%.
  • Incluindo em setores mais proactivos (como o financeiro), as organizações estão a mitigar menos de metade das ameaças identificadas como legítimas ou não maliciosas.
  • As vulnerabilidades ou falhas de segurança geram mais atenção. Na maior parte dos setores, pelo menos 9 em cada 10 organizações adotam melhorias de segurança básicas para evitar estas falhas, ainda que alguns como transporte (8 em cada 10 organizações) avançam menos neste sentido.

Principais conclusões destacadas por setor:

  • Administração Pública. 32% das ameaças investigadas são legítimas, mas apenas 47% delas são mitigadas.
  • Retalho. Outros 32% afirmam ter perdido lucro em consequência dos ataques em 2016, sendo que 1 em cada 4 retalhistas perderam clientes ou oportunidades de negócio.
  • Fabril. 4 em cada 10 profissionais de segurança no setor fabril admitem não ter uma estratégia formal de segurança nem cumprir as normas estandardizadas como ISO 27001 ou NIST 800-53.
  • Utilities. Os ataques dirigidos (para 42% dos profissionais de segurança) e das APT's ou ameaças persistentes avançadas (segundo 40% dos consultados) constituem os principais riscos de segurança para as organizações de utilities em 2016.
  • Saúde. Cerca de 37% das organizações de saúde consideram os ataques como ameaças de alto risco.

Recomendações da Cisco
Para enfrentar os crescentes e cada vez mais sofisticados ciberataques, a Cisco recomenda às organizações adotar uma proteção proactiva:

  • Manter a infraestrutura e as aplicações atualizadas, de forma a que os atacantes não possam explorar vulnerabilidades conhecidas.
  • Reduzir a complexidade através de uma defesa integrada e limitando a utilização de silos.
  • Envolver a liderança o mais cedo possível para assegurar um correto entendimento dos riscos de segurança e das limitações de orçamento.
  • Fomentar a educação dos colaboradores, especialmente a formação por cargo em detrimento de uma abordagem one-size-fits-all.
  • Reforçar as defesas com os controlos de processo ativos em vez de passivos.

No Relatório Semestral de Cibersegurança 2017 da Cisco participou um diverso grupo de 10 parceiros tecnológicos de segurança, quer partilharam dados e trabalharam conjuntamente em conclusões: Anomali, Flashpoint, Lumeta, Qualys, Radware, Rapid7, RSA, SAINT Corporation, ThreatConnect e TrapX. O ecosistema de parceiros tecnológicos de segurança constitui uma componente esencial na visão da Cisco, que passa por proporcionar às organizações uma segurança simples, integrada, aberta e automatizada.


Declarações de Apoio

  • Steve Martino, Vice-Presidente e CISO na Cisco: "Os nossos adversários são cada vez mais criativos na hora de conceber ataques, como demonstram os incidentes recentes como WannaCry e Nyetya. Embora a maioria das organizações esteja a tomar medidas para melhorar a sua segurança após um incidente, trata-se de uma luta constante para vencer os atacantes. Uma segurança verdadeiramente efetiva começa por mitigar vulnerabilidades básicas e por converter a cibersegurança numa prioridade de negócio."

  • David Ulevitch, Vice-Presidente e Diretor Geral da Divisão de Segurança na Cisco: "A complexidade continua a entorpecer muitos dos esforços de reforço de segurança. As múltiplas soluções pontuais e não integradas acumuladas ao longo dos anos criam enormes oportunidades para os atacantes, que podem facilmente identificar vulnerabilidades ignoradas ou falhas de segurança. Para reduzir o TTD com efetividades e limitar o impacto dos ataques, os fornecedores de soluções devem apostar numa arquitetura mais integrada, que melhore a visibilidade e simplifique a gestão, facilitando a eliminação de falhas de segurança."



Sobre o Relatório
O Relatório Semestral de Cibersegurança 2017 da Cisco estuda as últimas análises de Threat Inteligence recolhidas pela divisão Cisco Collective Security Intelligence. O Relatório proporciona conclusões chave baseadas em dados da indústria sobre as tendências e ameaças de cibersegurança para a primeira metade do ano, bem como recomendações para melhorar as políticas de segurança. Apoiando-se em dados vindos de análises diárias de mais de 40.000 milhões de pontos de telemetria, os investigadores da Cisco transformam esta inteligência em proteções em tempo real, oferecidas nos nossos produtos e serviços de forma imediata a todos os clientes da Cisco no mundo.

Recursos Adicionais


0 Comments: