Relatório de segurança da Cisco reforça importância da defesa integrada

Soluções pontuais não são capazes de lidar com o desenvolvimento de überbots, que acessam servidores de hospedagem web, nameservers e data centers; alertas de ameaças aumentaram 14% em 2013 

Entra ano e sai ano, os relatórios que revelam a quantas andam a segurança nas organizações mundo afora reafirmam uma certeza: os ataques cibernéticos à infraestrutura das empresas estão cada vez mais frequentes, direcionados e profissionais. E o alerta contra o inimigo também segue a mesma linha: é preciso ir além da segurança da informação e investir no que a TechBiz Forense Digital nomeia como defesa cibernética integrada. Ou seja, em vez de soluções pontuais é necessário criar uma estrutura de prevenção, detecção e reação às ameaças que permita monitorar e analisar continuamente o tráfego de rede, identificar comportamentos maliciosos, ter uma visão unificada do contexto e acelerar o tempo de resposta aos incidentes.

 Esses também são os conselhos da Cisco em seu mais recente relatório de segurança. No documento ¨Cisco 2014 Annual Security Report¨, a multinacional sugere ainda que os executivos respondam a duas perguntas essenciais para iniciar a jornada rumo à maturidade da segurança da informação:

  1. Onde estão os dados críticos da empresa? 
  2. Como podemos criar um ambiente seguro para proteger esses dados, especialmente quando novos modelos de negócios, como a computação em nuvem e a mobilidade reduzem o controle sobre esses dados? 
¨Enquanto tendências como cloud computing e mobilidade reduzem a visibilidade e aumentam a complexidade da segurança, as organizações precisam abraçá-las porque são críticas para a sua vantagem competitiva e para o sucesso do seu negócio. Mas, brechas de segurança estão emergindo – e se ampliando – enquanto os times de segurança tentam alinhar as tradicionais soluções de segurança com as novas e rápidas maneiras de se fazer negócios. Ao mesmo tempo, agentes maliciosos estão trabalhando rapidamente para explorar as falhas que soluções pontuais não integradas não conseguem endereçar. E as ameaças estão sendo bem-sucedidas porque possuem recursos que as tornam mais ágeis¨, diz o relatório.

 E a Cisco alerta:

“Sistemas confiáveis não devem ser confundidos com sistemas imunes a ataques externos. Clientes de TI e usuários têm um importante papel na missão de manter a efetividade e a confiabilidade dos sistemas, cortando as tentativas de corromper suas operações. Isso inclui instalação constante de atualizações e patches focados em segurança, vigilância constante para reconhecer comportamentos anormais no sistema e medidas efetivas contra os ataques”.

Os dados

Alerta este que vale para todas as empresas, das pequenas às grandes. Do universo pesquisado pela Cisco, 100% das redes realizavam conexões com domínios conhecidos como sítios de malware ou vetores de ameaças. Todas também apresentavam tráfego suspeito e excessivo para páginas de governos ou de órgãos militares - partindo de empresas que não possuem relacionamento com esses stakeholders. O pior, indicadores de comprometimento sugerem que as penetrações em rede não são detectadas por longos períodos.

Veja outros dados divulgados no relatório:

  • 96% realizavam conexões com infraestruturas de sequestro conhecidas ou sites comprometidos; 
  • 92% apresentavam conexões com sites sem conteúdo que possivelmente possuem códigos para injetar malwares nos sistemas; 
  • 88% realizavam conexões não programadas com FTP suspeitos; 
  • 79% realizavam conexões de dentro de uma organização a sites VPN suspeitos; 
  • 50% realizavam de tentativas de conexão com sites de pornografia conhecidos. 

Tendências

Os alertas de ameaças cresceram 14% ao longo de 2013. Erros de buffer estão no topo das ameaças, com 21% nas categorias de ameaças listadas pelo Common Weakness Enumeration (CWE). E uma outra tendência verificada pelo relatório da Cisco foi a dos ataques “Watering holes”, que miram um grupo determinado de pessoas com interesses em comum e têm como alvo websites específicos de determinadas indústrias. No ano passado, os alvos preferidos foram a mineração e a agricultura, bem como a indústria de eletrônicos. 

A linguagem de programação Java corresponde a 91% dos exploits web, sendo que 76% das companhias que utilizam os serviços Cisco Web Security rodam o Java 6, uma versão em fim de vida, sem suporte.

Segundo o ¨Cisco 2014 Annual Security Report¨, a nova reviravolta dos exploits maliciosos é ganhar acesso em servidores de hospedagem web, nameservers e data centers para tirar vantagem do enorme poder de processamento e da largura de banda que eles oferecem. Através dessa abordagem, os exploits podem alcançar muito mais usuários de computadores não suspeitos e ter muito mais impacto na organização-alvo, seja para fazer uma afirmação política, minar um adversário ou gerar receitas.

¨Em essência, essa tendência em mirar a infraestrutura da internet significa que a fundação da web não é mais confiável. Métodos usados, em última análise, para ganhar acesso aos servidores são variados e incluem táticas como trojans para o gerenciamento de estações de trabalho que roubam credenciais de login de servidores, ferramentas de vulnerabilidade em terceiros usadas em servidores e tentativas de login por força bruta. Vulnerabilidades desconhecidas no software do servidor também podem gerar incursões. Um servidor de hospedagem comprometido pode infectar milhares de websites pelo mundo¨, revela o documento.

A campanha de ataques denominada DarkLeech, reportada pela Cisco em 2013, por exemplo, comprometeu em um curto período de tempo pelo menos 20 mil websites legítimos ao redor do mundo, que usavam o software de servidor Apache HTTP. Sites foram infectados com a backdoor Secure Shell Daemon (SSHD) que permitiu aos atacantes remotos carregarem e configurem módulos Apache maliciosos. Os atacantes injetaram dinamicamente iframes (elementos HTML) em tempo real nos websites hospedados, que entregavam códigos exploradores e outros conteúdos maliciosos por meio de kits exploradores Blackhole.

Leia o relatório completo.

Comentários