Notícias

28.04.2014 | admin

Relatório da Verizon elenca invasões em 9 categorias

Mais incidentes, mais fontes e maior variedade de ameaças. Para tentar associar e analisar dezenas de milhares de incidentes identificados em 2013 – mais especificamente 63 mil incidentes de segurança confirmados –, a Verizon aplicou uma técnica de agrupamento estatístico para a elaboração do ¨2014 Data Breach Investigations Report (DBIR)¨. Foram identificados nove padrões de ameaças que juntos descrevem 92% dos vazamentos de dados coletados em 2013. Surpreendentemente, nove em cada dez brechas observadas em 50 organizações globais durante um ano inteiro podem ser descritas a partir desses nove padrões distintos.

Dados do relatório ¨2014 Data Breach investigations Report (DBIR)¨
  • 50 organizações globais contribuíram para a elaboração deste relatório.
  • 1.367 brechas de segurança foram confirmadas.
  • 63.437 incidentes foram identificados.
  • 95 países estão representados no DBIR.

Segundo a Verizon, ¨o ano de 2013 pode ser lembrado como o ´ano das brechas no setor varejista´. Mas, uma avaliação mais abrangente indica que também foi o ano da transição dos ataques geopolíticos para ataques em larga escala em sistemas de pagamento de cartões¨. Abaixo, elaboramos um resumo com algumas informações do documento, que contém 60 páginas com gráficos variados e informações detalhadas mês a mês. Vale a pena ler o original.

1. Intrusões em pontos de vendas

Descrição: ataques remotos contra ambientes onde se realizam transações de vendas a varejo, especialmente as que permitem o uso de cartões. Crimes envolvendo adulteração ou troca de dispositivos são cobertos no padrão Skimming.

Principais segmentos: acomodação, alimentação, varejo.

Frequência: 198 incidentes, com a confirmação de exposição de dados em todos eles.

Os ataques aos pontos de vendas estão diminuindo nos últimos anos, apesar da maior exposição na mídia. O ataque de força bruta às conexões remotas aos pontos de vendas é o principal vetor de intrusão. A tática de malware ¨RAM scraping¨ foi a mais proeminente em 2013 (85%). Os criminosos varrem a internet em busca de portas bertas para acesso remoto e se o script identifica algum dispositivo como um ponto de venda ele utiliza possíveis credenciais (força bruta) para acessar o equipamento. Depois, instala-se o malware (RAM scraper) para coletar e vazar os dados de cartões de pagamento

Os RAM scrapers permitem que os dados de cartões sejam capturados enquanto são processados na memória (ainda não criptografados) em vez de coletá-los quando estão no disco ou em trânsito pela rede, já criptografados.

2. Ataques em aplicativos web

Descrição: qualquer incidente em que algum aplicativo web é o vetor do ataque. Isso inclui exploradores de vulnerabilidades em códigos de aplicativos, bem como mecanismos de autenticação frustrados.

Segmentos mais afetados: informações, utilidades, manufatura e varejo.

Frequência: 3.973 incidentes totais, sendo que em 490 foi confirmada a exposição de dados.

As aplicações web são atacadas basicamente de duas formas, explorando-se uma fragilidade dos aplicativos ou roubando-se credenciais de um usuário válido. A maior parte dos ataques de 2013 miravam sistemas de gerenciamento de conteúdo, como Joomla!, WordPress ou Drupal, para ganhar controle sobre os servidores e utilizá-los em campanhas DDoS. A cada três ataques web, pouco menos de dois possuíam motivações ideológicas (65%), um tinha motivação financeira (33%) e uma pequena porcentagem restante estava ligada a espionagem (2%).

3. Ameaça interna e mau uso de informação privilegiada

Descrição: todo incidente relacionado ao mau uso dos dados de uma companhia são incluídos nesta categoria. Trata-se principalmente da ação de alguém de dentro da empresa, que pode estar associado a parceiros externos.

Segmentos mais afetados: setor público, governo, setores administrativos, transportes, manufatura, mineração.

Total de incidentes: 11.698, sendo que em 112 foi confirmada a exposição de dados.

A principal motivação deste tipo de crime é financeira. Em 2013, houve um aumento da espionagem com foco em dados internos e segredos de negócios e uma ampliação das táticas de invasão. O exemplo mais marcante de 2013 foi Edward Snowden, que embora seja um exemplo extremo, ilustra os riscos que as organizações correm ao lidar com funcionários não confiáveis. O abuso em situações de privilégio representou 88% das ações identificadas pela Verizon, seguido pelo uso de hardware não aprovado pela organização (18%), suborno (16%), mau uso de emails (11%).

4. Roubo físico e perdas

Descrição: Um incidente em que um equipamento contendo informações desaparece, seja por extravio ou por ação maliciosa.

Segmentos mais afetados: saúde, setor público, mineração

Total de incidentes: 9.704, sendo que em 116 foi confirmada a exposição de dados.

A maior parte dos roubos acontece dentro da área de trabalho da vítima. Ou seja, ter informações sensíveis sob quarto paredes, trancadas, não é suficiente para se prevenir extravios. Embora não seja conhecido ou reportado a maneira como os atores conseguiram acesso físico a esses locais, mais de 80% dos roubos em que esses dados são relatados envolvem desabilitações ou bypass dos controles.

5. Erros diversos

Descrição: Incidentes são ações não intencionais que comprometem diretamente atributos de segurança de informações dos ativos. Importante dizer que essa categoria não inclui equipamentos perdidos, que são agrupados em roubos.

Segmentos mais afetados: setor público, saúde, administrativo.

Frequência: 16.554, sendo que em 412 foi confirmada a exposição de dados.

Após examinar 16K de informações sobre incidentes, a Verizon concluiu que processos de negócios altamente repetitivos e rotineiros que envolvem informações sensíveis são particularmente propenso a erros. Também é digno de nota que este padrão contém mais incidentes causados ​​por parceiros de negócios do que qualquer outro.

Praticamente todo incidente envolve algum elemento de erro humano. Por exemplo, não aplicar um patch no WordPress certamente deixará a aplicação vulnerável a ataques, sem necessariamente comprometer o sistema. Erros de entrega ( mandar documentos e/ou emails para pessoas erradas)  representam a maioria dos incidentes (44%), já os erros de publicação, ou seja, publicar acidentalmente informações privadas em fontes públicas, como o servidor web da empresa, representam 22%. Entre os três mais, encontram-se erros de eliminação, com 20%, que refere-se ao descarte de mídias digitais sem a devida sanitização. Erros de configuração correspondem a 6%.

6.Crimeware

Descrição: Qualquer incidente envolvendo malware que não se enquadre em padrões como espionagem ou ataques a pontos de vendas. Esse padrão abrange um grande espectro de incidentes envolvendo diferentes tipos de malwares e de finalidades.

Segmentos mais afetados: público, informação, utilidades, manufatura.

Frequência: 12.535 incidentes totais sendo que em 50 houve a confirmação de exposição de dados.

A meta principal é ganhar controle sobre sistemas como uma plataforma para usos ilícitos como roubar credenciais, realizar ataques DDoS, espalhar spams, etc. Os vetores mais comuns de infecção são download na web e drive-bys. Os ataques podem ser por motivações ideolõgicas ou brincadeiras (65%), interesses financeiros (33%) e espionagem (2%).

7. Skimmers para cartões de pagamento

Descrição: todos os incidente em que um dispositivo de clonagem de cartão (skimmer) é fisicamente implantando em uma máquina que faz a leitura de faixas magnéticas de cartões de crédito (ex: ATMs, máquinas de abastecimento, terminais de vendas etc.).

Segmentos mais afetados: financeiro, varejo.

Frequência: 130 incidentes sendo que em todos eles houve confirmação de exposição de dados.

Não há grandes variações nos padrões de ação nesse tipo de crime. Grupos criminosos instalam os chamados skimmers em ATMs (o que é mais comum) e em outros leitores de cartão. Em um nível mais qualitativo, os skimmers estão se parecendo mais com as máquinas reais em sua aparência e estão mais eficientes em exportar dados por meio de Bluetooth, transmissão por celular etc.

8. Ciberespionagem

Incidentes nesse padrão incluem acesso não autorizado a redes ou sistemas associados a atores ligados a governo e/ou motivos de espionagem.

Segmentos mais afetados: profissional, transporte, maufatureira, mineração, público.

Frequência: 511 incidentes no total, sendo que em 306 houve a confirmação da exposição de dados.

Esse tipo de incidente triplicou em relação ao ano passado, mas a Verizon alerta: ¨Antes de concluir que estamos afirmando que hove um grande aumento na espionage em 2013, temos certeza de que inúmeras organizações têm sido alvo da espionage por anos e anos. Atribuimos este aumento graças à expansão da contribuição de nossos parceiros. Este padrão apresenta um agama de variedades maior do que qualquer outro elencado pelo relatório. As mudanças mais evidentes em relação ao ultimo relatório incluem o aumento do compromentimento estratégico da web e a ampliação geográfica das regiões representadas tanto pelos infratores quanto pelas vítimas. Globalmente, a ciberespionagem atinge principalmente os Estados Unidos (54%), seguido pela Coreia do Sul (6%) e Japão (4%). Os agentes desse tipo de ataque estão proeminentemente associados a governos (87%) contra 11% do crime organizado.

9. Ataque de negação de serviço

Qualquer ataque que tem por objetivo comprometer a disponibilidade da rede e dos sistemas, inclui tanto ataques arede e aplicativos.

Segmentos mais afetados: financeiro, varejo, profissional, informação, público.

Frequência: um total de 1.187 incidentes registrados sendo que em nenhum deles foi confirmada a exposição de dados.

O destaque para os ataques DDoS em 2013 foi a campanha do grupo Izz ad-Din al-Qassam Cyber Fighters (ou QCF) contra o setor financeiro. Por várias semanas, no final de 2012 até a primeira metade de 2013, o grupo realizou a chamada operação Ababil gerando ondas de ataques DDoS contra bancos norte-americanos, comprometendo sistemas de gerenciamento de conteúdo (CMS) vulneráveis para criar ataques de grande largura de banda dos centros de servidores.

Share:

| More

Press agent

Roberta Maia - roberta.maia@techbiz.com.br
(21) 3736-7058/ (21) 98290-4653