websense® security labs previsÕes de … filegoogle docs controla o bot. com o acesso cada vez...

PREVISÕES DE SEGURANÇA PARA 2015

Websense® security Labs™


1. Socorro! Chamem o Médico da TI. Meu hospital está sendo atacado - outra vez!O setor de saúde terá um aumento substancial nas campanhas de ataques de furto de dados

2. Sua geladeira não é uma ameaça à segurança de TI. Sensores industriais são.Os ataques à Internet das Coisas terão foco em casos de uso em negócios, e não em produtos de consumo

3. As violações aos cartões de crédito serão a menor de suas preocupações.Os ladrões de cartões de crédito vão se transformar em traficantes de informações

4. Você só é quem seu telefone diz que é.A consolidação da autenticação no telefone acionará explorações em dados específicos, mas não para furtar dados no telefone

5. Código Aberto ou Portas Abertas?Novas vulnerabilidades emergirão de décadas de códigos-fonte antigos

6. As ameaças por email estão evoluindo.As ameaças por email assumirão um novo nível de sofisticação e evasão

7. Google Docs controla o bot.Com o acesso cada vez maior das empresas à nuvem e às ferramentas de mídia social, as instruções de comando e controle passarão a ser hospedadas em sites legítimos

8. Novos jogadores entram em campo na ciberguerra.Teremos novos (ou recém-revelados) jogadores no campo de batalha global da ciberguerra/ciberespionagem

03

04

06

07

09

10

11

12

SUMÁRIO

03

SOCORRO! CHAMEM O MÉDICO DA TI. MEU HOSPITAL ESTÁ SENDO ATACADO - OUTRA VEZ!

PREVISÃO 1

O setor de saúde terá um aumento substancial nas campanhas de ataques de furto de dados.De acordo com o Identity Theft Resource Center, os registros de saúde foram responsáveis por 43% das principais violações de dados reportadas em 20131. Registros médicos e dados de pacientes são alvos lógicos para os criminosos digitais. Os registros de saúde representam um tesouro repleto de dados valiosos para um atacante. Nenhum outro tipo de registro único contém tantas Informações Pessoais Identificáveis (PII, Personally Identifiable Information) que podem ser usadas em uma infinidade de ataques de acompanhamentos diferentes e variados tipos de fraude. Os registros de saúde não contêm apenas informações vitais sobre a identidade de uma pessoa (nome, endereço, seguro social), mas também com frequência estão vinculados a informações financeiras e de seguros. O acesso a PII permite que um atacante cometa fraudes de identidade, enquanto as informações financeiras podem levar à exploração financeira. Trata-se de uma área de ataque secundária lógica e lucrativa para cibercriminosos já atuantes no roubo de dados de cartões de crédito.

Profissionais de saúde também estão em risco. Com frequência, eles tendem a contornar políticas de segurança de TI para atender melhor os pacientes. Em uma emergência médica, as apostas não poderiam ser mais elevadas. Quando um médico ou enfermeiro precisa dos recursos do computador para acessar dados porque a saúde de um paciente está em risco, a política de TI fica em segundo lugar em relação à saúde do paciente. No calor do momento, esse comportamento pode elevar os riscos de ameaças digitais ou resultar no acesso e armazenamento de informações confidenciais sem segurança.

Isso também ocorre em ambientes do setor de saúde que estão em transição dos registros para o formato digital e eletrônico. Embora tenha ocorrido um grande impulso político para tal migração digital dos registros, a segurança de hospitais e nos cuidados médicos (especialmente em consultórios menores) ainda não está atualizada ao desafio de proteger os dados valiosos de pacientes.

Como resultado, os ciberataques direcionados às organizações de saúde manterão rápida ascensão em frequência e êxito.

1. www.idtheftcenter.org/ITRC-Surveys-Studies/2013-data-breaches.html


“A indústria de saúde é um dos principais alvos para os cibercriminosos. Com milhões de registros de pacientes agora em formato digital, o maior desafio do setor para 2015 será impedir que as informações pessoais de identificação escapem por lacunas na segurança e caiam nas mãos de hackers.”– Carl Leonard, Principal Analista de Segurança, Websense Security Labs

04

SUA GELADEIRA NãO É UMA AMEAÇA à SEGURANÇA DE TI. SENSORES INDUSTRIAIS SãO.

PREVISÃO 2

Os ataques à Internet das Coisas Termo em Inglês (IoT Internet of Things) terão foco em casos de uso em negócios, e não em produtos de consumo.Haverá pelo menos uma grande violação a uma companhia através de um dispositivo conectado à internet recém-introduzido, mais provavelmente com um controlador lógico programável ou outro dispositivo semelhantemente conectado, em um ambiente de fabricação.

Embora, muitas invasões em geladeiras, termostatos residenciais e carros tenham chegado às manchetes, a probabilidade de uma grande campanha de ataques usando itens residenciais conectados via Internet das Coisas é mínima. Com frequência, não há muita sofisticação nesses dispositivos “inteligentes” e usar esses itens para criar um ataque viável seria muito desafiador, considerando o estado atual da tecnologia.

Embora talvez seja necessário se preocupar com criminosos digitais derretendo a sua manteiga ou azedando o leite em sua geladeira, há pouca recompensa em ataques contra seus dispositivos domésticos conectados. Os criminosos estão com os olhos voltados para outros alvos.

A Internet das Coisas mudará significativamente o cenário de segurança de outras formas, com os principais desafios em IoT estando focados no uso comercial. Cada dispositivo conectado à internet aumenta muito o número de superfícies de ataque nas empresas. A Internet das Coisas deverá crescer muito e ser uma das principais fontes para as dores de cabeça de CSOs este ano, herdando as preocupações advindas do BYOD no passado.


05

Por exemplo, processos totalmente novos estão evoluindo rapidamente rumo à arquitetura da Internet das Coisas. Contudo, há uma grande probabilidade de que no mínimo uma dessas áreas observará tráfego de ataque, especialmente quando segurança não é uma prioridade para a maioria das inovações e porque nem tudo será revelado.

Muitos dos novos dispositivos IoT conectados na rede corporativa incluem compartilhamento de informações assistidos por máquinas. Esses dispositivos automatizam grandes indústrias para garantir que plantas operacionais, como usinas de energia, fábricas e plataformas de petróleo, funcionem sem problemas.

Quando se conecta um novo dispositivo a essas redes existentes e altamente complexas, eles podem ter outro tipo de protocolo de comunicação. Depois que aumenta o fluxo de comunicações nas empresas torna-se um desafio identificar qual tráfego é legítimo e o que pode ser um ataque de furto de dados. Como resultado, essa comunicação também pode passar sem monitoramento.

Além disso, o tempo de parada desses sistemas pode significar milhões em perda de receita. Portanto, os líderes das empresas não estão dispostos a tolerar essa possibilidade. Qualquer interrupção devido a um falso positivo de uma solução de segurança não será tolerado pelos altos executivos, o que significa que grande parte dessas comunicações entre máquinas também permanecerão desprotegidas.

“A Internet das Coisas significa que produtos de consumo, de TVs a geladeiras, agora estão conectados digitalmente. Embora a empresa não precise temer as implicações de um aparelho doméstico interconectado, todo dispositivo, aplicativo e upgrade conectado à internet de um funcionário novo é um vetor de ameaças em potencial.” – Charles Renert, VP, Websense Security Labs

PREVISÃO 2


06

AS VIOLAÇÕES AOS CARTÕES DE CRÉDITO SERãO A MENOR DE SUAS PREOCUPAÇÕES.

PREVISÃO 3

Os ladrões de cartões de crédito vão se transformar em traficantes de informações.Com bilhões de dólares circulando por aí, os ataques digitais ao varejo em busca de dados de cartões de crédito provavelmente continuarão em 2015. Contudo, à medida que os especialistas em segurança em varejo aumentam as defesas (e medidas de segurança como tecnologias de chip e PIN são exigidas), observaremos uma transformação na forma como esses furtos são cometidos.

Por exemplo, quando cartões são haqueados e colocados à venda em sites de cartões furtados do mundo inteiro, o valor deles diminui conforme são marcados ou cancelados pelo banco emissor. A janela de tempo para maximizar o lucro dessas iniciativas continua a diminuir, embora os criminosos estejam encontrando novas formas de furtá-los. Devido a esse declínio de valor, é provável que os criminosos procurem coletar ainda mais números de cartões de crédito do que atualmente, tentando também manter o valor das informações detidas por um período mas longo.

Acreditamos que os ladrões de dados começarão a ajustar seu malware para coletar outras informações disponíveis, em vez de apenas detalhes relevantes de cartões de crédito. Com uma pequena modificação no código, o malware para furto de dados de cartão de crédito agora também furta credenciais ou quaisquer informações associadas com o terminal, incluindo identidade do usuário, programas de fidelidade de clientes ou outros dados relacionados à loja. Se puderem associar seus esforços massivos de coleta de dados, poderão começar a reunir os dados individuais e coletar perfis inteiros de cada usuário, com diversos cartões de crédito, dados regionais e geográficos, informações pessoais e de comportamento. Essas informações pessoais, obtidas na nuvem criminosa, valeriam consideravelmente mais do que o simples número de cartão de crédito furtado.

Assim, os criminosos que vendem contas de cartão de crédito provavelmente poderão adaptar à atividade ilegal a venda de dossiês completos de identidades pessoais.


07

VOCê Só É qUEM SEU TELEfONE DIZ qUE É

PREVISÃO 4

A consolidação da autenticação no telefone acionará explorações em dados específicos, mas não para furtar dados no telefoneApesar de toda a onda de alertas, os dispositivos móveis continuarão a ser um fator irrelevante para a imensa maioria dos ataques de malware contra empresas. Embora seja verdade que o número de variantes e incidentes de malware móvel tenha crescido muito ano a ano (lembre-se de que, essencialmente, começamos do zero), ainda não chegam nem a um ponto percentual entre os ataques gerais ou ataques avançados.

Entretanto, os dispositivos móveis cada vez mais serão alvo de ataques mais amplos para furto de credenciais ou ataques de autenticação para uso em data posterior.

Para obter um entendimento mais completo do problema, realmente precisamos pensar em dispositivos móveis como condutores para a Nuvem. À medida que a Nuvem obtém mais dados, as organizações facilitam o acesso a esses dados através de diversos tipos de dispositivos, sejam eles por desktop, tablets ou celulares. Por isso, veremos criminosos tendo como alvo os dispositivos móveis – não para simplesmente quebrar o código de um telefone e furtar dados do dispositivo, mas como um vetor para os recursos de dados cada vez maiores que os dispositivos podem acessar livremente na Nuvem.


08

PREVISÃO 4

A mobilidade também cria possíveis vulnerabilidades na área de autenticação de usuários. Muitos serviços online procuraram desviar a autenticação para grandes redes sociais, de forma que, para acessar seus serviços, os usuários precisavam fazer login usando as informações da conta do Facebook, por exemplo. A crença era de que a segurança do Facebook era muito mais sofisticada do que a deles. É um pouco irônico, contudo, que os profissionais de segurança recomendem usar senhas diferentes para cada site, embora agora possamos usar a mesma “conta principal” (por exemplo, Facebook) para autenticar o login em muitos serviços.

Este problema de ponto de falha único vai se estender para os telefones este ano, porque os smartphones estão cada vez mais sendo usados como uma medida de autenticação fora de banda primária, especialmente para aplicativos críticos aos negócios. A autenticação vai se tornar uma questão de segurança ainda mais premente conforme a transição para novas implementações abrangentes de autenticações móveis e sociais fora da banda se desenvolvam. Os ataques que buscam comprometer credenciais sociais e dispositivos fora de banda aumentarão em escala massiva.

Os criminosos aproveitarão a dependência cada vez maior no smartphone como uma medida de autenticação. É provável que isso se manifeste como código malicioso projetado para interceptar os elementos de autenticação de geração de texto ou código integrado em programas para celular, ou clonem ou imitem um dispositivo móvel próprio para assumir o controle de outras contas, em uma variação dos ataques man-in-the-middle (referência ao atacante que intercepta os dados). Com essas informações, os criminosos podem usar o dispositivo como chave para acessar uma grande variedade de informações disponíveis para o usuário, incluindo dados corporativos valiosos.


09

CóDIGO ABERTO OU PORTAS ABERTAS?Novas vulnerabilidades emergirão de décadas de códigos-fonte antigos. Grandes vulnerabilidades, como OpenSSL, Heartlbeed e Shellshock, existem em código-fonte aberto há anos e só foram enxergadas as fraquezas por um novo par de olhos. Embora essas vulnerabilidades só tenham sido reveladas recentemente, não devemos descartar de que foram usadas no passado como vetores de exploração, antes de se tornarem públicas.

É muito provável que cada uma dessas vulnerabilidades já tenha estado na mira de atacantes digitais sofisticados há muito tempo. Associe isso aos desafios com as falhas no

gerenciamento de certificados, protocolos HTTPS e SSL por determinados serviços na nuvem, poderemos enfrentar um grande obstáculo este ano. Os atacantes usarão as vulnerabilidades em código antigo para atacar novos aplicativos.

A velocidade de desenvolvimento usando ferramentas de terceiros é surpreendente. Ninguém desenvolve a partir do zero. A taxa de adoção de programação de código aberto como componente básico de novos softwares e serviços excede muito a inspeção do código desses aplicativos. Infelizmente, a segurança ainda não está integrada na maioria dos ciclos de desenvolvimento. À medida em que o código-fonte é usado e alterado em um novo aplicativo ou serviço, cada integração abre oportunidades para riscos.

Falhas em código antigo, incluindo código proprietário legado, e não apenas código-fonte aberto, permitirão grandes violações de dados em aplicativos divergentes, porque o código nunca foi inspecionado adequadamente por terceiros antes ou após a integração. Se for feito um modelo de ameaças para a internet, os resultados mostram que os protocolos subjacentes usados estão ou serão quebrados.

Em 2015, pelo menos uma grande violação de dados, um verdadeiro baú do tesouro, terá origem em dados confidenciais de empresas transmitidos ou protegidos de forma inadequada em sites de armazenamento em nuvem disponíveis publicamente e fundamentados em código antigo.

“O código-fonte antigo é o novo cavalo de Troia que espera para ser explorado, e o código-fonte aberto é só o início. Com tanto código escrito e em uso, é impossível identificar todos os pontos de exposição adormecidos até que tenham sido executados. Por isso, sempre que um código-fonte é alterado ou integrado como parte de um upgrade de aplicativo ou serviço, essas vulnerabilidades sistêmicas desconhecidas têm potencial para expor as redes a ataques.”– Carl Leonard, Principal Analista de Segurança, Websense Security Labs


PREVISÃO 5

10

AS AMEAÇAS POR EMAIL ESTãO EVOLUINDO

PREVISÃO 6

As ameaças por email assumirão um novo nível de sofisticação e evasão.Embora a Web continue sendo o maior vetor para ataques contra empresas, o email terá um papel cada vez mais fundamental no comprometimento de dados. Algoritmos de Geração de Domínios massivamente polimórficos e técnicas de evasão em evolução testarão os limites da maioria das atuais soluções para segurança de email.

Os cibercriminosos que aumentam as apostas estão aperfeiçoando suas habilidades de campanha anteriormente associadas apenas a ataques avançados e direcionados. Essas táticas avançadas, projetadas para burlar a maioria das soluções modernas de segurança para email, estão rapidamente se transformando em nova norma à medida em que ameaças por email mais sofisticadas aumentam.

Como resultado, embora os volumes de spam estejam diminuindo, a maioria dos usuários começará a observar um aumento na quantidade de spam que recebem na caixa de entrada, porque a maioria das medidas de segurança de email será incapaz de detectá-los no exame na Nuvem, antes de passá-los para a caixa de entrada do usuário.

Embora em geral associados com o estágio de Isca dentre os 7 Estágios2 da Cadeia de Ameaças, observamos uma tendência crescente para emails que não contêm um link ou mensagem de spam, mas na verdade são os primeiros passos de Reconhecimento para um ataque avançado. Como o remetente e o texto são suficientemente randomizados e o corpo do email não inclui malware nem links para análise, estes emails acabam passando pela maioria das soluções de segurança. Contudo, automatizando o processo em toda a organização, os atacantes podem ainda usar este método para validar credenciais e se preparar com mais eficácia para outros aspectos de penetração de um ataque.

“Ao longo dos anos, temos observado o email se tornar o ponto de entrada preferencial para furto de dados na Web. Com todos os olhos voltados principalmente para as ameaças mais avançadas e óbvias, a previsão é de que as ameaças por email aumentem conforme os atacantes aperfeiçoem suas técnicas e operações de reconhecimento para contornar os limites das soluções de segurança de email atuais.”– Carl Leonard, Principal Analista de Segurança, Websense Security Labs

2. www.websense.com/sevenstages


11

GOOGLE DOCS CONTROLA O BOT

PREVISÃO 7

Com o acesso cada vez maior das empresas à nuvem e às ferramentas de mídia social, as instruções de comando e controle passarão a ser hospedadas em sites legítimos.À medida que as empresas ampliam o acesso às ferramentas na nuvem, de colaboração e redes sociais, os criminosos migrarão sua infraestrutura de Comando e Controle para ocultação nesses canais aprovados.

No mundo corporativo atual, os administradores de rede que monitoram atividades de internet sinalizam o tráfego para sites maliciosos, mas não pensam duas vezes se o tráfego de rede mostra um usuário visitando o Twitter a cada quatro horas ou acessando o Google Docs. Os criminosos vão se aproveitar disso e cada vez mais colocar a infraestrutura de Comando e Controle com malware nesses canais.

Além disso, observaremos o comprometimento de sites legítimos que se destacam em determinada indústria, para instruir em vez de distribuir malware. Assim, os sites “waterhole” poderão ser modificados e, em vez de entregar malware (e arriscar a detecção de um dropper), poderão simplesmente ser usados para controlar o malware já presente em um dispositivo.

Da mesma forma, prevemos que a exfiltração será perpetuada por esses canais aprovados pela empresa para ocultar os ataques de furto de dados nas análises.


12

NOVOS jOGADORES ENTRAM EM CAMPO NA CIBERGUERRA.

PREDICTION 8

Teremos novos (ou recém-revelados) jogadores no campo de batalha global da ciberguerra/ciberespionagem.No ano passado, a divulgação de documentos confidenciais comprovou que estados-nação estão se envolvendo ativamente em planejamento, táticas e ataques de ciberguerra. Em grande parte, essas manobras definiram um modelo principalmente bem-sucedido. Isso sem dúvida atrairá novos recrutas para a ciberguerra mundial.

Ao contrário das medidas anteriores para limitar o acesso a armas de guerra estratégicas (como tratados de não-proliferação nuclear), atualmente não há restrição para a capacidade de países, facções de governos, grupos rebeldes e pessoas com interesses nacionalistas de se envolver em atividades da ciberguerra.

Tratados de guerra digital poderão estar no horizonte em alguns anos mas, neste ínterim, o hacking de estados-nação continuará e os adversários empunhando computadores como armas nessas batalhas irão se multiplicar tremendamente.

Como não é necessário ter financiamento de estados-nação no aproveitamento das ferramentas atuais para criar malware destrutivo, observaremos um aumento em “células” afiliadas que realizam iniciativas independentes de ciberguerra/ciberespionagem, mas em apoio aos estados-nação.

Além disso, há de se ter atenção ao aumento das atividades em ciberespionagem de países com previsão de grande crescimento econômico mundial. Esses países têm mais probabilidade de serem os próximos a se envolver em atividades de ciberguerra e ciberespionagem para proteger e promover suas riquezas crescentes.



Para obter mais informações, visite: www.websense.com/securitylabs

© 2015 Websense, Inc. Todos os direitos reservados. Websense e o logotipo da Websense são marcas registradas da Websense, Inc. nos Estados Unidos e em diversos países. Todas as outras marcas registradas pertencem aos respectivos proprietários. Quaisquer planos de produtos, especificações e previsões aqui contidos são apenas para fins informativos e podem estar sujeitos a alteração sem garantias de qualquer tipo, expressas ou implícitas.

[WSL-2015PREDICTIONS-PTBRA4-18NOV14]

websense® security labs previsÕes de … filegoogle docs controla o bot. com o acesso cada vez...

Documents