Spear Phishing: Uma das ameaças mais efetivas

[av_slideshow_full size=’entry_without_sidebar’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full slide_type=’image’ id=’9636′ video=’http://’ mobile_image=” video_format=” video_ratio=’16:9′ title=” custom_title_size=” custom_content_size=” caption_pos=’caption_bottom’ link_apply=” link=’lightbox’ link_target=” button_label=’Click me’ button_color=’light’ link1=’manually,http://’ link_target1=” button_label2=’Click me’ button_color2=’light’ link2=’manually,http://’ link_target2=” font_color=” custom_title=” custom_content=” overlay_opacity=’0.5′ overlay_color=” overlay_pattern=” overlay_custom_pattern=”][/av_slide_full]
[/av_slideshow_full]

[av_textblock size=” font_color=” color=”]

[/av_textblock]

[av_textblock size=” font_color=’custom’ color=’#161515′]

Spear Phishing: uma das ameaças mais efetivas
 

O que é Spear Phishing?

 Spear phishing é um ataque  de phishing pequeno e direcionado, focado em uma pessoa, grupo de pessoas, ou organização específica com o objetivo de penetrar suas defesas. 

É executado após um processo de pesquisa sobre o alvo e tem algum componente personalizado através de engenharia social inteligente e relevante, projetado para fazer o alvo executar alguma ação contra seus próprios interesses (como clicar em um link ou baixar um arquivo malicioso, ou até efetuar transferências bancárias). 

Normalmente esses ataques têm origem em alguma fonte confiável para o usuário – como um e-mail ou website com o qual ele habitualmente interage – e que tenha sido comprometida, ou pela qual o atacante esteja se passando. 

Por exemplo, se você vai participar de algum evento em São Paulo, mas faz check-in no Facebook no Rio de Janeiro, um atacante pode te enviar a seguinte mensagem: “Oi, Sérgio! Soube que você está indo para São Paulo na semana que vem.Enquanto você estiver lá, vale a pena visitar esse restaurante maravilhoso, tenho certeza de que você vai gostar!” 

Nesse caso, a mensagem de e-mail ou em redes sociais (link de post de redes sociais) – onde os ataques são cada vez mais comuns – pode vir acompanhada de um link para o site do suposto restaurante, ou um PDF do suposto cardápio, ambos, claro, maliciosos. 

Por um lado, um ataque de phishing comum pode ser algo como “você é o usuário número X do nosso serviço, clique aqui e insira seus dados para obter seu prêmio”, uma mensagem genérica, enviada a uma imensa base de vítimas.

Já o spear phishing, por ser baseado em pesquisa e orientado por engenharia social, costuma se dirigir à vítima por nome e/ou cargo e tratando sobre um assunto que interesse ou seja pertinente ao contexto da vítima.

O Spear phishing é muito mais difícil de detectar do que o phishing comum

Assim, é muito mais difícil não só de ser identificado, como também reportado (tornando-se conhecido), do que um ataque de phishing comum, porque levanta menos suspeitas já que é direcionado e atinge um número menor de vítimas em potencial a cada campanha, quando comparado ao phishing regular. 

Ataques como estes têm por objetivo roubar informações pessoais como login, senhas, dados do cartão de crédito, ou mesmo dados sensíveis de uma organização, como sua base de clientes e contatos, dados desses clientes, e dados internos da organização em si.  

Quando os ataques são bem-sucedidos e as informações são efetivamente roubadas, elas podem ser usadas para manipular preços de ações, efetuar transferências bancárias, assumir identidades, revelar segredos industriais ou governamentais, espionar concorrência, dentre outras possibilidades.  

Diversas formas de ataque…

 Além de vir por mensagens personalizadas, que podem chegar por e-mail ou redes sociais, por exemplo, spear phishing pode ser conduzido aproveitando-se de um watering hole em websites comprometidos, explorando vulnerabilidades zero-day altamente cobiçadas.  

Um ataque watering hole é um exploit de segurança em que o atacante procura comprometer um grupo específico de usuários finais (como o time financeiro de determinada empresa, ou o departamento de inspeção de uma agência governamental específica), infectando sites que eles normalmente visitam. 

O objetivo é infectar o computador de um usuário-alvo e obter acesso à rede no local de trabalho do mesmo. O termo “zero-day” refere-se à natureza desconhecida da vulnerabilidade (a não ser para os hackers). Este ponto cego de segurança é então explorado por hackers antes que o servidor tenha conhecimento e possa corrigi-lo. 

Vale lembrar que o atacante nem sempre rouba seus dados na hora, às vezes o spear phishing é porta de entrada para um ataque ainda pior: segundo a TrendMicro91% dos ciberataques com alvo específico começam com um email de spear phishing, sendo eles a isca mais comum de infiltração de Ameaças Avançadas e Persistentes (APTs).

Spear Phishing é o maior vetor de advanced persistent threats

APTs usam malwares sofisticados para permanecerem numa rede por muito tempo, adaptando-se às defesas dela de modo a permanecer não-detectado enquanto procura a melhor forma de obter as informações cobiçadas. 

Os ataques APTs que entram em uma organização através spear phishing representam uma mudança clara na estratégia dos cibercriminosos.

Eles não precisam mais de campanhas de spam em massa já que a efetividade de um ataque de spear phishing bem feito é muito maior, sendo ele essencial para fazer com que indivíduos com acesso privilegiado (que normalmente têm algum treinamento de boas práticas de segurança) sejam fisgados pela fraude que parece ser completamente legítima.
 

Os segmentos mais afetados

 Ainda de acordo com a TrendMicro, em contextos de empresas ou organizações governamentais, as pessoas normalmente compartilham arquivos (como relatórios, documentos, e currículos) por e-mail, já que fazer download da internet é mal visto. Por isso, esse tipo de lugar recebe mais spear phishing por anexo de email do que qualquer outro meio. 

Já os sem anexos, com link para download de um arquivo, por exemplo, costumam ser enviados para organizações não-governamentais, grupos de ativistas e organizações internacionais que ficam localizadas em diversos pontos ao redor do mundo, de modo que um link para download de arquivo de localização remota não parece suspeito. 

Governos, ativistas, e empresas do setor financeiro são as três verticais mais afetadas por ataques de spear phishing como meio para uma APT.

Isso se dá, provavelmente, por conta da quantidade de informações publicamente disponíveis sobre estas organizações, inclusive as de contato direto e sobre seus colaboradores. 

Entretanto, negócios menores, com menos defesas e menos preparação de segurança, são alvos mais fáceis para conseguir quantias de dinheiro rapidamente, e os ataques contra as pequenas empresas continuaram a crescer.

Um dos métodos mais comuns nestes casos, chamamos também de CEO Fraud ou Whaling. São ataques de spear phishing focados em equipes financeiras e de contabilidade, afirmando partirem do CEO, requisitando transferências de grandes quantidades de dinheiro.

Nenhum negócio está livre do risco

Isso mostra que nenhum negócio é sem risco. Atacantes motivados puramente por lucro podem ser tão tecnicamente sofisticados e bem organizados como qualquer instituição patrocinada por governos, para ataques de cunho político.
 

Para começar a se proteger 

Deve-se sempre lembrar que os atacantes só têm que ter sucesso uma vez, enquanto as empresas devem bloquear múltiplas tentativas de ataque para permanecerem seguras. As empresas devem começar a pensar sobre o que fazer quando (e não “se”) tal violação ocorrer. A primeira dica, portanto, é: assuma que você será atacado. 

Porém, a maioria das soluções tradicionais não está preparada para lidar com as ameaças avançadas, como ransomwaresspear phishingvulnerabilidades zero-day e APTs. Antes que um antivírus tradicional possa detectar e parar um ataque, o ransomware já criptografou todos os arquivos e bloqueou o acesso ao sistema. Nesse sentido, os softwares de próxima geração, ou next-generation antivirussão as melhores ferramentas para proteger o seu negócio. 

NGAV tem uma visão centrada no sistema de segurança de endpoint, examinando todos os processos em cada extremidade para detectar e bloquear as ferramentas, táticas, técnicas e procedimentos maliciosos usados pelos atacantes, através de algoritmos, o que o torna mais adequado para lidar com esse tipo de ameaça complexa. 

Entretanto, vale lembrar que uma plataforma de TI só é segura até onde os usuários fazem dela segura. Em outras palavras, você é tão seguro quanto o seu elo mais fraco, que, já sabemos, na maioria esmagadora das vezes, é o fator humano.

Por isso, os funcionários precisam ser treinados devidamente quando o assunto é segurança. Conscientização de segurança deve ser a sua primeira linha de defesa contra todos os tipos de phishingspear phishing, e outras diversas ameaças contra a segurança da sua empresa. 

Cibercriminosos estão aumentando seus recursos para explorar qualquer informação pessoal descoberta através de engenharia social.

A partir do momento em que qualquer um pode virar um alvo de um ataque de spear phishing, combater esta ameaça requer treinamentos de conscientização contínuos para todos os usuários para que, por exemplo, eles sejam cuidadosos com o que eles compartilham, de modo que evitem revelar informações pessoais online para não se tornarem vítimas de roubo de identidade. 

Um exemplo recente de ataque de phishing

No início de 2018, a Politico reportou que o Departamento de Estado dos Estados Unidos (United States Department of State) teria enviado um alerta a seus funcionários sobre uma ‘tsunami’ de mensagens maliciosas para levar colaboradores a abrirem as portas para hackers. 

De acordo com a mensagem enviada pelo Departamento de Estado, os cibercriminosos estavam usando como assunto do e-mail de spear phishing uma menção a uma conferência de ciências políticas, ou uma conferência de tecnologia, de modo a tentar as vítimas a clicarem nos links para download de anexos infectados. Outros assuntos ainda mencionavam segredos de mercado financeiro. 

Na época, o Departamento de Estado não confirmou se havia ou não enviado o alerta, mas declarou que seus funcionários são frequentemente alertados em treinamentos de cibersegurança e por notificações a estarem sempre alertas para atividades suspeitas que podem ter o Departamento de Estado como alvo. 

Como vimos, funcionários do Departamento de Estado dos Estados Unidos precisam ser treinados em cibersegurança, fazer treinamentos regulares, e estarem alertas e conscientizados… e os seus estão preparados? E você? 

E, por isso, a segunda dica é… 

 …Conscientização! Ela é a chave para a proteção. Isso porque não há firewall que impeça um ser humano de ser vítima de um golpe de engenharia social, ou de descuido e distração, ou mesmo de ter uma iniciativa maliciosaA forma como agimos e nos comportamos é a única maneira de nos resguardarmos.

Conscientização é a chave para a proteção

Para isso, fique atento a algumas medidas fundamentais: 

  • Usar senhas fortes: são as que contêm letras maiúsculas e minúsculas, números, e caracteres especiais. Elas demoram muito mais para serem quebradas por programas e algoritmos; 
  • Altere suas senhas com frequência; 
  • Não use a mesma senha para mais de um aplicativo, sistema ou website: uma para cada login, já que ter senhas variadas impede a exposição de todas as suas contas se uma delas vazar; 
  • Tenha um gerenciador de senhas para administrar senhas fortes e variadas sem precisar decorá-las, de modo que você pode gerar novas senhas aleatoriamente (que não significam nada para você e não serão adivinhadas por engenharia social), além de não precisar anotar em uma planilha ou até em um papelzinho, e pode inseri-las automaticamente; 
  • Use um gerenciador de senhas para compartilhar informações de login com segurança e privacidade com o time; 
  • Não clicar em links suspeitos: ao passar o cursor do mouse em cima de um hiperlink, você verá seu URL. Se for encurtado (bit.ly), por exemplo, pode ser uma fraude. 
  • Não abrir anexos não solicitados: eles podem possuir malwares ou documentação falsa, como um boleto fraudulento; 

Pode parecer muita coisa para se lembrar, muito trabalho a fazer, mas na verdade, tudo isso é uma questão de hábito, que será facilitada pela atuação de um programa de conscientização sólido, como o PSAP da PROOF.  

Ter a certeza de que seus funcionários estão atentos e conscientes faz de um programa de conscientização um recurso valioso para garantir que toda a empresa receba treinamento, educação e conscientização apropriados em consonância com as políticas e procedimentos organizacionais da empresa.
 

Conclusão 

spear phishing vem crescendo e se diversificando: não atinge mais apenas organizações gigantes, governos, e ativistas. Muito pelo contrário, é um método extremamente efetivo contra pequenos e médios negócios que ainda caminham os primeiros passos em direção a boas práticas de segurança. 

Ninguém está livre e todos são alvos. Muitas vezes o spear phishing não se encerra no ataque, roubo e publicação da informação, porque como vimos, é o maior vetor de APTs atual, e os riscos associados são substanciais.

São muito mais difíceis de serem identificados por sua característica de foco e especificidade e, por isso, são muito mais efetivos que o phishing comum. 

Apesar de ser uma ameaça amplamente conhecida, da qual conhecemos muitos métodos, técnicas e ferramentas, muitas pessoas e organizações continuam caindo e os números relativos aos prejuízos gerados – tanto em valor quanto em quantidade – continuam a aumentar.

Isso mostra o despreparo que ainda existe, enfatizando a importância do treinamento e capacitação dos colaboradores no que diz respeito à identificação de ameaças modernas e complexas como essa. 

Não há questão de ‘se’ alguém pode ser vítima de cibercrime e, especialmente, do cada vez mais popular spear phishing; e sim de ‘quando’.

Mas não há ferramenta digital – seja antivírus ou firewall – que funcione contra engenharia social. Seus colaboradores estão afiados? Você conhece as ameaças? Você está preparado? 
[/av_textblock]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,250′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_one_fifth first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_three_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/THREAT-ANATOMY-REPORT.png’ attachment=’8902′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=’_blank’ caption=” font_size=” appearance=’on-hover’ overlay_opacity=’0.7′ overlay_color=’#1f211f’ overlay_text_color=’#ffffff’ animation=’no-animation’]
WANNACRY THREAT ANATOMY REPORT
[/av_image]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_button_big label=’BAIXE O THREAT ANATOMY REPORT’ description_pos=’below’ link=’manually,https://d335luupugsy2.cloudfront.net/cms/files/9568/1507148257WannaCry_Threat-Reportd.pdf’ link_target=” icon_select=’yes-left-icon’ icon_hover=’aviaTBicon_hover’ icon=’uf130′ font=’flaticon’ custom_font=’#e7e6e6′ color=’custom’ custom_bg=’#1f211f’ color_hover=’custom’ custom_bg_hover=’#fc9a1a’][/av_button_big]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_three_fifth]

[av_one_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2015/06/A5_-_7_dicas_contra_phishing_durante_o_período_de_IR-300×211.png’ attachment=’7049′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

PHISHING NO PERÍODO DE IMPOSTO DE RENDA

[/av_textblock]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2015/06/thumb_phishing-calendar-300×211.png’ attachment=’7050′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

PHISHING CALENDAR

[/av_textblock]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_image src=’https://www.proof.com.br/wp-content/uploads/2015/06/thumb_phishing-facts-300×211.png’ attachment=’7051′ attachment_size=’medium’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

PHISHING FACTS

[/av_textblock]

[/av_one_third][av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”][/av_one_third]

Sua empresa pode estar sendo vigiada

Quando o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança do Brasil (CERT.br) divulgou dados sobre os incidentes registrados em 2015, vimos (além de uma queda no número de incidentes registrados), um crescimento nos ataques motivados por scan.

Em 2014, os ataques por fraude foram os campeões, representando 44,6%, enquanto, em 2015, caíram para 23,3%. Já os ataques de scan, saltaram de apenas 25% em 2014 para 54% em 2015.

Para entendermos os motivos desse crescimento, precisamos esclarecer um ponto importante: o scan não chega a ser um ataque, mas uma intenção. Esse tipo de ação equivale à de alguém que passa de carro na frente da casa de uma vítima para sondar se sua correspondência está na porta ou se existem jornais se acumulando na entrada. Não chega a ser roubo, mas um levantamento do alvo. Apenas se houver uma tentativa de invasão o suspeito será preso.

O scan é a primeira atividade de um cibercriminoso e consiste na instalação de softwares capazes de escanear uma rede inteira. Assim, os criminosos podem descobrir o que está “do outro lado” – quais serviços existem no servidor e na rede, quais são as vulnerabilidades e qual é o melhor momento para tentar uma ação.

A quantidade de scans registrados pelo CERT.br preocupa principalmente por mostrar um aumento nas tentativas de ataque e, apesar de não ser considerado propriamente um ataque, o scan é, sim, considerado um incidente. Afinal, que empresa gosta de alguém vigiando seus ativos para tentar uma ação maliciosa a qualquer momento?

Já existe uma série de softwares que funcionam nas mãos dos criminosos como “robôs” que passeiam pela web em busca de vulnerabilidades. Essas aplicações ficam escaneando a rede até encontrar algo que possa ser explorado.

Os dados mostram que os cibercriminosos no Brasil estão de olhos mais abertos e abrangendo grupos cada vez maiores para atacar nos momentos mais oportunos. Estamos sendo cada vez mais observados e as falhas de segurança das empresas são ainda mais perigosas, pois são percebidas com rapidez pelos hackers.

Para evitar esse tipo de ataque, é preciso investir na proteção de perímetro e em equipamentos capazes de detectar ameaças pelo comportamento. Esse tipo de ferramenta pode ajudar a manter os ativos mais seguros, pois consegue detectar ações suspeitas, como múltiplas tentativas de conectar-se em várias portas diferentes. O bloqueio pode ser feito por soluções de IPS, por exemplo, ou um Next Generation Firewall.

O número de ataques diminuiu?

Além do aumento nos casos de scan, outra informação que saltou aos olhos de quem viu os dados divulgados pelo CERT.br foi a diminuição no número de incidentes divulgados. Vale lembrar que, no Brasil, ao contrário dos Estados Unidos, as empresas não são obrigadas a divulgar os incidentes que sofrem.

A diminuição no número de incidentes no ano de 2015, no entanto, mostra que o ano de 2014 foi um “ponto fora da curva” por causa da Copa e das eleições em outubro, com ataques de DoS e de fraude dando saltos no final de setembro.

Seguindo esse padrão, podemos prever que o ano de 2016 trará registros assustadores, com a ascensão do ransomware e a chegada das Olimpíadas. Sua empresa está com a segurança em dia para enfrentar os cibercriminosos?

O que ganhamos com as redes de inteligência de segurança

As redes de colaboração em segurança, que consistem no compartilhamento de dados relacionados a ameaças cibernéticas, começaram em 2014 com a criação da Cyber Threat Alliance. A rede de inteligência em segurança foi fundada por grandes fabricantes de soluções de segurança, entre eles a Symantec e a Palo Alto Networks. Desde então, a tendência é que mais empresas se juntem a esta iniciativa.

Essas redes têm como objetivo o monitoramento de fontes de dados de inteligência de segurança para notificar, alertar e emitir indicadores de possíveis ameaças, além de coletar dados de inteligência relevantes para diferentes organizações e identificar atacantes, suas táticas, técnicas e procedimentos.

Essa prática traz uma série de benefícios para empresas das mais diferentes indústrias. O compartilhamento de conhecimento permite que cada organização possa fortalecer sua estrutura de segurança com base em informações atualizadas, além de criar planos de resposta a incidentes mais eficientes.

O maior desafio desse processo, no entanto, é convencer as empresas da importância de dividir seus dados de segurança para um bem comum. Também é difícil compartilhar informações relevantes para um programa completo de segurança, incluindo prevenção, monitoração e reposta.

Felizmente, novas ações têm gerado progresso na eficiência das redes de colaboração, conforme é possível destacar na iniciativa abaixo do governo dos Estados Unidos.

 

Compartilhamento de dados públicos e privados

Em 2015, o governo dos Estados Unidos deu um grande incentivo ao compartilhamento de inteligência em segurança por meio de iniciativas voltadas para a cibersegurança nacional. Um dos legados mais importantes do presidente Barack Obama foi a criação de uma rede de colaboração de dados, o Cyber Threat Intelligence Integration Center (CTIIC).

Desde a criação do CTIIC, o progresso tem sido lento, porém, a colaboração ainda é uma das maiores prioridades do governo americano. O CTIIC faz parte da mesma rede de compartilhamento de inteligência que inclui também a National Cyber Investigative Joint Task Force, cujas missões incluem a manutenção de parcerias com a indústria, o setor privado e a National Cybersecurity and Communications Integration Center, que inclui o compartilhamento de dados privados.

O objetivo do CTIIC é promover uma cooperação mais rápida para remediar o problema dos recursos governamentais insuficientes para lidar com as ameaças digitais. O órgão vai reunir informações de vários departamentos que trabalham separadamente e deverá também coordenar ações contra o ciberterrorismo.

No Brasil, as atividades relacionadas à inteligência são frágeis. O país não conta com um sistema de inteligência na área tecnológica e as leis não exigem que incidentes de segurança sejam tornados públicos, diferentemente dos Estados Unidos. Casos como o de Edward Snowden, que revelou atos de espionagem da Agência Nacional de Segurança (NSA) americana ao Brasil, mostram nossa fragilidade. Milhões de e-mails e ligações de brasileiros e estrangeiros foram monitorados no país durante a ação do governo americano.

 

Cooperação é inevitável

O compartilhamento de informações entre empresas da mesma indústria também é algo que deve crescer com o tempo, mas que progride com lentidão no Brasil e no mundo. Historicamente, as empresas adquiriram o hábito de guardar seus dados a sete chaves por considerarem sua posse uma vantagem competitiva e por terem medo de revelar informações confidenciais.

Porém, as organizações, aos poucos, terão de perceber que, ao fazer isso, estão guardando informações que serviriam ao bem maior de toda a comunidade. Ações como a do governo americano estimulam o crescimento de mais alianças para compartilhar informações de segurança para empresas de toda a indústria.

O avanço da complexidade das ameaças mostra que o compartilhamento de dados de segurança deve continuar se fortalecendo e será cada vez mais importante para desenvolver as proteções necessárias para as novas ameaças. Além de dados mais ricos sobre ameaças, essa cooperação trará a governos e indústrias mais informações sobre ferramentas e táticas.

DROWN expõe desafios da segurança da informação

Passados menos de dois anos da descoberta do Heartbleed, mais uma vulnerabilidade foi encontrada na biblioteca OpenSSL, uma implementação de código aberto dos protocolos SSL e TLS com forte criptografia usada em sistemas de todo o mundo. O DROWN, nome dado à nova falha, afeta servidores HTTPS e outros serviços que dependem de SSL e TLS. Acredita-se que 33% dos servidores HTTPS estejam vulneráveis, incluindo 25% dos maiores domínios HTTPS e 22% de todos os sites tidos como confiáveis pelos navegadores.

O ataque explora as falhas de uma versão já antiga do SSL, mas ainda disponível, a SSLv2. O protocolo foi lançado na década de 1990 e já está obsoleto há um tempo, porém, ainda é encontrado em muitos servidores, seja por padrão ou em razão de más configurações, negligência ou pela presença de dispositivos antigos.

A brecha quebra a criptografia e expõe comunicações e informações da web e de servidores de e-mail e VPNs, incluindo senhas, números de cartões de crédito, segredos industriais e outros dados sensíveis. Até máquinas que não usam SSLv2 estão vulneráveis se o servidor com o qual se comunicam suporta o protocolo antigo. O ataque usa as falhas da versão já aposentada para atacar a segurança de conexões feitas sob protocolos completamente diferentes.

A mantenedora da OpenSSL já disponibilizou uma atualização para lidar com o DROWN e outras vulnerabilidades em seu software de código aberto. O update desabilita o SSLv2 como padrão, bem como outras configurações fracas do SSLv3 e versões posteriores.

O que podemos aprender com o DROWN

O DROWN revela um conflito já antigo entre as atualizações de segurança e a retrocompatibilidade com versões antigas, algo que continua sendo exigido pelos usuários e que, como demonstrado, pode ser de grande ajuda para os hackers.

A falha também mostra uma grande dificuldade presente na maioria das empresas: manter a engenharia de software e a criptografia em dia. Mais uma vez, as organizações são obrigadas a encarar os perigos da criptografia e das configurações obsoletas e da falta de testes.

Ainda que não use, qualquer servidor que permita conexões com SSLv2 está vulnerável ao DROWN. Muitas empresas reusam o mesmo certificado e a mesma chave em seus servidores de web e e-mail, por exemplo. Nesse caso, se o servidor de e-mail suporta SSLv2 e o servidor de web não aceita, um hacker pode tirar vantagem disso para quebrar conexões TLS do servidor.

Não se trata de uma vulnerabilidade tão potencialmente devastadora quanto o Heartbleed, por exemplo, mas é algo que merece atenção por se tratar de um ataque prático, que pode ser executado sem muitos custos para o criminoso, visando alvos de grande valor. A única maneira de deter a brecha é desabilitando o SSLv2 de todos os servidores.

O DROWN também lembra as empresas sobre a necessidade de testar todos os servidores (incluindo servidores web, e-mail, FTP, entre outros) para garantir que as configurações funcionem da maneira esperada. A vulnerabilidade não deveria ser algo tão preocupante se houvesse testes para garantir que as máquinas não fossem capazes de se conectar usando uma versão ultrapassada do SSL.

Nesse caso, a inspeção manual será de extrema importância para lidar com a falha, pois mesmo os servidores HTTPS portadores do certificado PCI-DSS, que já aboliu o uso do SSLv2, podem estar reusando chaves privadas em outro servidor (como servidor de e-mail, por exemplo) que tenha suporte para SSLv2.

Além de testar todos os servidores para garantir que todas as configurações desabilitem o SSLv2 (de preferência, o SSLv3 também), as empresas devem agir rapidamente para fazer o upgrade para versões mais recentes do OpenSSL.

Como pensar a segurança da informação para pequenas empresas

No Brasil as empresas de pequeno e médio porte em geral não se preocupam com a segurança da informação por não se acharem importantes o bastante para serem alvo de criminosos e, por consequência, não verem valor nisso.

Existe uma falta de entendimento sobre como a segurança é importante para o negócio e quais seriam as consequências de um ataque bem-sucedido. Se grandes empresas perdem milhões em grandes ataques, para empresas pequenas o dano pode ser catastrófico.

Porém, em tempos de crise, por onde começar? Siga os nossos passos:

Entenda a ameaça real

Um erro comum de pequenas e médias empresas é achar que elas não são um alvo, porém, o relatório Verizon Data Breach Investigations Report de 2015 notou que 60% dos ataques bem-sucedidos foram direcionados às pequenas e médias empresas justamente porque elas não têm a expertise e os recursos necessários para monitorar e gerenciar produtos de segurança no seu ambiente. O relatório também mostrou que os estragos não são em menores proporções quando se trata de empresas pequenas. Grandes empresas de fato têm perdas maiores, mas apenas porque têm mais registros para perder.

Outra razão para que as pequenas e médias empresas corram riscos é achar que basta se proteger para propósitos de compliance, porém, passar em auditorias não quer dizer que a empresa esteja segura. É comum o investimento em ferramentas como firewalls e sistemas de segurança básicos para cumprir com normas de auditorias, enquanto soluções mais modernas são ignoradas.

Segurança da informação é essencial para o negócio

No Brasil ainda são pequenos os investimentos em inteligência em segurança da informação. O budget ainda é direcionado para a troca de um equipamento ou outro que, no final, acaba não acrescentando em nada à segurança.

A falta de maturidade em segurança da informação das pequenas e médias empresas as leva a pensar que a segurança se resume à compra de novos aparatos tecnológicos e não à proteção dos dados. A compra de novos softwares são apenas uma parte da estratégia, que inclui a implementação de políticas de segurança para proteger os ativos da empresa.

Para isso é importante conhecer as vulnerabilidades do negócio, ter capacidade de quantificar o impacto dessas vulnerabilidades caso sejam exploradas, determinar o nível de risco aceitável e o que deve ser mitigado e só então pensar na implementação de tecnologias e processos para eliminar os riscos.

Escolha o melhor parceiro

Nas pequenas empresas é comum ter apenas uma pessoa responsável pela segurança da informação. Quando o negócio vai crescendo e as demandas aumentam é comum recorrer a um parceiro de segurança da informação, que oferecerá implementações, consultorias e serviços gerenciados de segurança (em inglês, Managed Security Service – MSS).

Para isso, é preciso considerar o nível de expertise e de recursos e procurar um serviço que proteja o ambiente durante 24h e sete dias por semana. A empresa precisa ter conhecimento dos produtos de segurança oferecidos e capacidade de detectar e solucionar ameaças, como o MSS PROOF.

Com Dark Reading