Cisco PDF

Relatrio de Segurana
Anual da Cisco de 2014
Relatrio de Segurana Anual da Cisco de 2014
Resumo executivo
O problema da confiana
O uso excessivo da confiana um modo comum de operao dos agressores online e
outros agentes mal-intencionados. Eles se aproveitam da confiana dos usurios depositada
em sistemas, aplicativos e nas pessoas e empresas com quem interagem com frequncia. E
essa ttica funciona: h ampla evidncia de que os intrusos esto inventando novos mtodos
para integrar malware em redes, permanecendo sem serem detectados por longos perodos,
e para roubar dados e prejudicar sistemas essenciais.
Utilizando mtodos que vo desde o roubo de senhas e credenciais com o uso da
manipulao social at infiltraes furtivas e ocultas executadas em minutos, os agentes
mal-intencionados continuam a se aproveitar da confiana pblica, trazendo consequncias
danosas a todos os atingidos. No entanto, o problema de confiana vai alm de criminosos
que se aproveitam de vulnerabilidades ou que atacam usurios atravs da manipulao social:
ela enfraquece a confiana nas empresas pblicas e privadas.
As redes atuais esto enfrentando duas formas de desgaste de confiana. Uma o declnio
da confiana do cliente na integridade dos produtos. A outra a evidncia
crescente de que agentes mal-intencionados esto derrotando
os mecanismos de confiana. Desta forma, questionada a a
Agentes
eficcia das garantias de rede e aplicativos, da autenticao e
mal-intencionados
das arquiteturas de autorizao.
continuam a inovar as
maneiras de explorar
a confiana pblica
com consequncias
bastante danosas.
Neste relatrio, a Cisco oferece dados e percepes

sobre as principais preocupaes de segurana, como
mudanas em malware, tendncias em vulnerabilidades
e a ressurgncia de ataques DDoS (distributed denial-ofservice). O relatrio examina tambm campanhas direcionadas
a empresas, grupos e setores especficos, alm da sofisticao
crescente daqueles que tentam roubar informaes confidenciais.
O relatrio finalizado com recomendaes para o exame holstico de
modelos de segurana e a obteno de visibilidade em todo o processo de ataque: antes,
durante e aps um ataque.
Principais descobertas
As trs principais descobertas do Relatrio de Segurana Anual da Cisco de 2014 esto abaixo:
Ataques contra a infraestrutura tm como alvo recursos significativos em toda a Internet.

E xploraes mal-intencionadas esto obtendo acesso a servidores de hospedagem na web, nameservers e em
data centers. Isso sugere a formao de berbots que procuram ativos de alta reputao e com muitos recursos.
E rros de buffer so a ameaa principal, com 21% das categorias de ameaa de Enumerao de pontos fracos
comuns (CWE, Common Weakness Enumeration).
O
s encontros com malware esto se deslocando para os setores de fabricao de eletrnicos e de agricultura e
minerao, com uma taxa de encontro mdio seis vezes maior que a mdia as verticais do setor.
Agentes mal-intencionados esto usando aplicativos confiveis para se aproveitar de lacunas na segurana do
permetro.
O spam continua com sua tendncia de queda, embora a proporo de spam mal-intencionado permanea
constante.
O
Java compreende 91% das exploraes na web; 76% das empresas que usam os servios Cisco Web Security
executam o Java 6, uma verso de fim de ciclo, sem suporte.
Ataques do tipo "watering hole" tm como objetivo sites especficos relacionados a um determinado setor para
distribuir malware.
As investigaes de empresas multinacionais mostram evidncias de comprometimento interno. O trfego suspeito

emana de suas redes e tenta se conectar em sites questionveis (100% das empresas esto fazendo chamadas a
hosts de malware mal-intencionado).
O
s indicadores de comprometimento sugerem que as penetraes em redes podem ficar sem serem detectadas
por longos perodos.
Os alertas de ameaa aumentaram em 14% por ano; novos alertas (alertas no atualizados) esto em crescimento.
9
9% de todos os malwares para dispositivos mveis em 2013 tiveram como alvo dispositivos Android. Os usurios
de Android tambm tiveram a maior taxa de encontros (71%) com todas as formas de malware distribudos na web.
Contedo do relatrio
O Relatrio de Segurana Anual da Cisco de 2014 apresenta
percepes sobre segurana em quatro reas principais:
Confiana
Todas as empresas devem se preocupar em encontrar o
equilbrio certo entre confiana, transparncia e privacidade,
pois h muito em jogo. Nessa rea, abordamos trs
presses que tornam ainda mais desafiadoras as tentativas
dos profissionais de segurana em ajudar suas empresas a
atingir esse equilbrio:
Maior rea de superfcie de ataque

Proliferao e sofisticao do modelo de ataque
Complexidade de ameaas e solues
Inteligncia de ameaas
Usando o maior conjunto de telemetria de deteces
disponvel, a Cisco e a Sourcefire analisaram e reuniram
percepes sobre segurana do ano passado:
Ataques contra a infraestrutura tm como alvo recursos

significativos em toda a Internet.
Agentes mal-intencionados esto usando aplicativos confiveis

para se aproveitar de lacunas na segurana do permetro.
Indicadores de comprometimento sugerem que as
penetraes em rede podem ficar sem serem detectadas

por longos perodos.
Setor
Nesta seo, os investigadores do Cisco Security
Intelligence Operations (SIO) elevam a discusso em
torno das tendncias do setor que se estendem alm da
telemetria da Cisco, embora ainda afetem as prticas de
seguranadesde tentativas de login forado, atividade de
DDoS de grande escala e esforos de ransomware at a
crescente dependncia na nuvem, falta de talentos na rea
de segurana e outras preocupaes.
Recomendaes
As empresas enfrentam um aumento no nmero de ataques,
na proliferao e sofisticao de tipos de ataque e da
complexidade dentro da rede. Muitas sentem dificuldades
em solidificar uma viso de segurana sustentada por uma
estratgia eficaz que usa novas tecnologias, simplifica a
arquitetura e as operaes, e fortalece suas equipes de
segurana.
Esta seo destaca como um modelo de segurana
voltado especificamente para as ameaas permite que os
responsveis pela segurana da rede enfrentem o ataque
do comeo ao fim, em todos os vetores de ataque, e que
respondam a todo o instante de maneira contnua: antes,
durante e aps um ataque.
Como a Cisco avalia o panorama das ameaas

A Cisco desempenha uma funo crucial na avaliao de ameaas, dada a prevalncia de
suas solues e a abrangncia da sua inteligncia de segurana:
16 bilhes de solicitaes web so inspecionadas todos os dias atravs do Cisco Cloud

Web Security
93 bilhes de e-mails so inspecionados todos os dias atravs da soluo de e-mail

hospedado da Cisco
200.000 endereos IP so avaliados diariamente

400.000 amostras de malware so avaliadas diariamente
33 milhes de arquivos de endpoint so avaliados todos os dias pelo FireAMP
28 milhes de conexes de rede so avaliadas todos os dias pelo FireAMP
Essa atividade resulta na deteco das seguintes ameaas pela Cisco:
4,5 bilhes de e-mails so bloqueados todos os dias

80 milhes de solicitaes so bloqueadas todos os dias
6.450 deteces de arquivos de endpoint ocorrem diariamente no FireAMP
3.186 deteces de rede de endpoint ocorrem todo dia no FireAMP
50.000 invases de rede so detectadas todos os dias
Contedo
Confiana.. . . . . . . . . . . . . . . . . . . ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Novas maneiras de fazer negcios, novas lacunas de segurana.................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Um desgaste da confiana.. . . . ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Principais desafios de segurana para 2014........................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Sistemas confiveis e transparentes................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Inteligncia de ameaas................................................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Alertas de ameaas em crescimento.................................................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
O volume de spam est caindo, mas o spam mal-intencionado ainda uma ameaa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Exploraes da web: Java lidera o grupo.. ............................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
BYOD e mobilidade: amadurecimento dos dispositivos beneficiam o crime ciberntico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Ataques direcionados: o desafio de desalojar "visitantes" persistentes e difundidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Instantneo de malware: tendncias observadas em 2013........................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Alvos primrios: verticais do setor...................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Fraturas em um ecossistema frgil..................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Trfego mal-intencionado, frequentemente um sinal de ataques direcionados, detectados em todas
as redes corporativas. . . . . . . . . . . .......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Setor.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Tentativas de login forado, uma das tticas favoritas para comprometer sites.. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Ataques DDoS: o que era velho voltou a ser novidade............................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
DarkSeoul.. . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
A falta de talentos na rea de segurana e as lacunas nas solues............... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
A nuvem como um novo permetro.................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Recomendaes.. . . . .......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Objetivos para 2014: verificao da confiabilidade e melhoria da visibilidade...... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Apndice.. . . . . . . . . . . . . . . . . . . .......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
As empresas de segurana precisam de cientistas de dados.. ..................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Sobre o Cisco SIO.. ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Cisco SIO.. . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Sobre este documento
Software recomendado
Este documento contm material que pode ser pesquisado e distribudo.
Adobe Acrobat verso 7.0 e superiores
Procure por esse cone para abrir o recurso de localizao no Adobe Acrobat.
[ ] Procure por esses cones para compartilhar o contedo.
Confiana
Todas as empresas devem se preocupar em encontrar o
equilbrio certo entre confiana, transparncia e privacidade,
pois h muito em jogo.
Confiana
Novas maneiras de fazer

negcios, novas lacunas de
segurana
Os elos fracos na cadeia de fornecimento de tecnologia so uma
particularidade do complexo panorama atual de riscos e ameaas
cibernticas.
O mesmo se aplica emergncia da infraestrutura abrangente, onde qualquer dispositivo
em qualquer local pode vir a qualquer instanciao da rede.1 H tambm uma abundncia
crescente de dispositivos que utilizam a Internet (smartphones, tablets, etc.) tentando se
conectar a aplicativos que podem ser executados em qualquer local, incluindo uma nuvem
pblica de software como servio (SaaS), uma nuvem privada ou uma nuvem hbrida.2
Mesmo os servios bsicos de infraestrutura de Internet se tornaram alvo de hackers que
desejam aproveitar a reputao, a largura de banda e o tempo de atividade e disponibilidade
contnuos dos servidores de hospedagem na web, nameservers e data centers, para lanar
campanhas cada vez maiores. (Consulte "Fraturas em um ecossistema frgil", pgina 43.)
[ Embora tendncias como a computao em nuvem e a mobilidade
estejam reduzindo a visibilidade e aumentando a complexidade da

segurana, as empresas ainda precisam adot-las, pois elas so
cruciais para trazer vantagem competitiva e sucesso comercial.
No entanto, as lacunas de segurana esto emergindo (e
A infraestrutura bsica
se aprofundando) medida que as equipes de segurana
tentam alinhar solues tradicionais com estilos novos e em
da Internet se tornou alvo
rpida evoluo de fazer negcios. Enquanto isso, os agentes
dos hackers.
mal-intencionados esto trabalhando mais rpido para se
aproveitar de lacunas que as solues pontuais no integradas
simplesmente no podem lidar. E eles esto tendo sucesso,
pois tm os recursos para serem mais geis. ]
A rede do crime ciberntico est se ampliando, se fortalecendo e opera
cada vez mais como qualquer rede empresarial legtima e sofisticada. Hoje, a hierarquia do
crime ciberntico similar a uma pirmide (consulte Figura 1). Na base esto os oportunistas
que no so tcnicos e usurios de "crimeware como servio" que desejam ganhar dinheiro,
comunicar algo, ou ambos, com suas campanhas. No meio esto os revendedores e
10
Confiana
sustentadores de infraestrutura (os "intermedirios"). No topo esto os inovadores tcnicos,

os grandes agentes os quais as autoridades policiais mais procuram, mas que so difceis de
serem encontrados.
Os criminosos cibernticos geralmente tm objetivos comerciais claros ao lanar suas
exploraes. Eles sabem quais informaes procuram ou qual resultado desejam obter, e
sabem o caminho que devem percorrer para atingir esses objetivos. Os inimigos passaro
tempo significativo pesquisando seus alvos, frequentemente atravs de informaes
disponibilizadas publicamente em redes sociais, e planejando seus objetivos estrategicamente.
[ Muitos agentes na chamada "economia paralela" tambm enviam malware de vigilncia para
coletar informaes sobre um ambiente, incluindo a tecnologia de segurana implantada, para

que possam direcionar seus ataques. Esse reconhecimento anterior explorao uma forma
dos criadores de malware se certificarem de que eles funcionaro. Uma vez integrados em
uma rede, o malware avanado que eles projetaram pode se comunicar com servidores de
controle e comando externamente e se disseminar lateralmente por toda a infraestrutura para
cumprir sua misso, seja ela o roubo de dados vitais ou a interrupo de sistemas essenciais. ]
FIGURA 1
A hierarquia do crime ciberntico
Inovadores
tcnicos
Revendedores /
mantenedores de infraestrutura
Oportunistas no tcnicos / usurios de crimeware como servio
11
Confiana
Um desgaste da confiana
Ameaas com a inteno de se aproveitar da confiana
dos usurios nos sistemas, em aplicativos e das pessoas
e de empresas que eles conhecem, so agora acessrios
permanentes no mundo ciberntico.
Disseque quase qualquer esquema e no centro haver algum abuso de confiana: malware
enviado a usurios que navegam legitimamente por sites populares. E-mails de spam que
parecem ter sido enviados por empresas conhecidas, mas que contm links para sites malintencionados. Aplicativos mveis de terceiros infiltrados por malware e baixados de lojas
online populares. Informantes que usam privilgios de acesso a informaes para roubar
propriedade intelectual dos empregadores.
Talvez devesse haver uma suposio, por parte de todos os usurios, de que no se pode
confiar em nada no mundo ciberntico. E os profissionais de segurana
deveriam prestar um servio s suas empresas, ao no confiar em
trfegos de rede3ou ter plena f nas prticas de segurana
dos fornecedores ou cadeias de fornecimento que viabilizam
Deveria haver uma
tecnologia empresa. Porm, as empresas dos setores
suposio, por parte de
pblico e privado, usurios individuais e at mesmo naes
todos os usurios, de
querem ainda ter a garantia de poder confiar nas tecnologias
fundamentais de que dependem todos os dias.
que no se pode confiar
em nada no mundo
Essa necessidade de confiana na segurana ajudou a
avanar ainda mais os Critrios comuns para avaliao
ciberntico.
da segurana da tecnologia da informao (Common
Criteria), a linguagem e a estrutura que permitem s agncias
governamentais e outros grupos a definio das exigncias que os
produtos de tecnologia devem cumprir para garantir sua confiabilidade. Hoje,
26 pases, incluindo os Estados Unidos, esto participando do Common Criteria Recognition
Arrangement (Acordo de reconhecimento de critrios comuns), um acordo multilateral que
possibilita o reconhecimento mtuo de produtos avaliados pelos governos participantes.
No entanto, em 2013, a confiana, em geral, sofreu um revs. O catalisador: Edward
Snowden. O ex-contratado do governo norte-americano vazou informaes confidenciais
para o The Guardian, um jornal britnico; informaes que ele obteve enquanto trabalhava em
uma misso da Agncia Nacional de Segurana dos EUA (NSA).4
12
Confiana
As revelaes de Snowden imprensa at o momento incluem detalhes sobre o programa

de vigilncia eletrnica e de coleta de dados da NSA, o PRISM,5 alm do programa NSAGCHQ6 em separado, conhecido como MUSCULAR, atravs do qual as redes de fibra tica
que transportam trfego de data centers estrangeiros de grandes empresas de Internet foram
alegadamente grampeadas.7
Essas e outras revelaes de Snowden sobre prticas de vigilncia do governo desgastaram
a confiana em muitos nveis: entre naes, entre governos e o setor privado, entre cidados
privados e seus governos, e entre cidados privados e as empresas no setor pblico e
privado. Elas tambm, naturalmente, levantaram preocupaes sobre a presena e os
riscos potenciais de vulnerabilidades no intencionais e de "portas dos fundos" (backdoors)
intencionais em produtos tecnolgicos, e se os fornecedores esto fazendo o bastante para
evitar esses pontos fracos e proteger os usurios finais.
Principais desafios de
segurana para 2014
[ medida que a confiana se desgasta, e se torna mais difcil
definir quais sistemas e relacionamentos so realmente confiveis,
as empresas enfrentam vrias situaes importantes que
enfraquecem sua capacidade de lidar com a segurana:
1 | Maior rea de superfcie de ataque
2 | Proliferao e sofisticao do modelo de ataque
3 | Complexidade das ameaas e solues ]
Esses problemas combinados criam e exacerbam as lacunas de segurana que permitem
que agentes mal-intencionados lancem exploraes mais rpido do que o tempo levado pelas
empresas para resolverem seus pontos fracos de segurana.
Essas ameaas e esses riscos so examinados em mais detalhes nas pginas a seguir.
13
Confiana
1 |Maior rea de superfcie de ataque

Hoje, a superfcie de ataque apresenta possibilidades infinitas para que os agentes malintencionados enfraqueam um ecossistema de segurana grande mas frgil. A superfcie
aumentou exponencialmente e ainda est se expandido; h muitos endpoints, muitas vias de
acesso e muitos dados que no esto sob controle da empresa.
Os dados so o prmio que a maioria dos inimigos querem obter atravs de suas campanhas,
pois eles so essencialmente dinheiro. Se os dados tiverem qualquer "valor de mercado",
seja a propriedade intelectual de uma grande corporao ou os dados de sade de um
indivduo, eles sero desejados e, desta forma, estaro em risco. Se o valor do alvo maior
que o risco de compromet-lo, ele ser hackeado. At mesmo as pequenas empresas esto
correndo o risco de serem hackeadas. A maioria das empresas, de pequeno e grande porte,
foi comprometida e nem mesmo sabe disso: 100% das redes empresariais analisadas pela
Cisco tm trfego vindo de sites que hospedam malware.
FIGURA 2
A anatomia de uma ameaa moderna
Internet e
aplicativos de nuvem
Campus
Empresa
Rede pblica
Permetro
Data center
O ponto de entrada da infeco

ocorre fora da empresa
Ameaas cibernticas avanadas

contornam o permetro de defesa
A ameaa se espalha e tenta

roubar dados de alto valor
14
Confiana
A anatomia de uma ameaa moderna, esboada na Figura 2, ressalta como o objetivo final
de muitas campanhas de crimes ciberntico atingir o data center e
extrair dados valiosos. Neste exemplo, uma ao mal-intencionada
ocorre em um dispositivo fora da rede corporativa. Ela causa um
infeco, que se move para uma rede de campus. Essa rede
O objetivo final
serve como um trampolim para a rede empresarial e depois a
de muitas campanhas
ameaa chega ao tesouro: o data center.
de crimes cibernticos
Em funo da expanso da rea de superfcie de ataque e

atingir o data center
ataque de dados de alto valor por hackers, os especialistas
em segurana da Cisco recomendam que as empresas
e extrair dados
procurem responder a duas importantes perguntas em
importantes.
2014: "aonde nossos dados essenciais residem?" e "como
podemos criar um ambiente seguro para proteger esses
dados, especialmente quando novos modelos empresariais, como a
computao em nuvem e mobilidade, nos deixam com pouco controle sobre eles?"
2 |Proliferao e sofisticao do modelo de ataque

O panorama de ameaas de hoje muito diferente daquele de apenas 10 anos atrs.
Ataques simples que causavam danos contidos deram espao a operaes modernas
de crime ciberntico que so sofisticadas, bem financiadas e capazes de causar grandes
problemas s empresas.
As empresas se tornaram o foco dos ataques direcionados. Esses ataques so muito difceis
de serem detectados, permanecem nas redes por longos perodos e renem recursos de
rede para lanar ataques em outros locais.
Para cobrir todo a sequncia do ataque, as empresas precisam lidar com uma ampla variedade
de vetores de ataque com solues que operam em todos os lugares em que a ameaa
possa se manifestar: na rede, em endpoints, em dispositivos mveis e em ambientes virtuais.
"Onde residem nossos dados importantes?" e "como

podemos criar um ambiente seguro para proteger esses
dados, especialmente quando novos modelos de negcios,
como a computao em nuvem e mobilidade, nos deixam
com pouco controle sobre eles?"
Especialistas de segurana da Cisco
15
Confiana
3 | Complexidade das ameaas e solues

J se foram os dias em que bloqueadores de spam e software antivrus podiam proteger um
permetro de rede facilmente definido da maioria das ameaas. As redes de hoje vo alm
das fronteiras tradicionais e constantemente desenvolvem e criam novos vetores de ataque:
dispositivos mveis, aplicativos habilitados pela web e mveis, hipervisores, mdia social,
navegadores da web, computadores domsticos e at mesmo veculos. Solues que estejam
atuando em um determinado momento no conseguem responder infinidade de tecnologias
e estratgias utilizadas por agentes mal-intencionados. Isso torna o monitoramento e o
gerenciamento da segurana de informaes ainda mais difceis para as equipes de segurana.
As vulnerabilidades das empresas esto aumentando, pois as
empresas esto trabalhando atravs de solues pontuais
desagregadas e vrias plataformas de gerenciamento.
O resultado: um conjunto de tecnologias diferentes ao
longo de pontos de controle que nunca foram projetados
para trabalharem em conjunto. Isso aumenta as chances
de comprometimento das informaes do cliente, da
propriedade intelectual e de outras informaes confidenciais,
e coloca a reputao da empresa em risco.
Solues que
estejam atuando em
um determinado momento
no conseguem responder
infinidade de tecnologias
e estratgias utilizadas
por agentes malintencionados.
necessrio um recurso contnuo que fornea a melhor

oportunidade para atender aos desafios de ambientes de ameaa
complexos. Ataques implacveis no ocorrem em um nico momento
especfico; eles so contnuos. assim que devem ser as defesas da empresa.
Com a complexidade das ameaas e solues correspondentes no nvel mais alto j registrado,
as empresas precisam repensar sua estratgia de segurana. Em vez de depender de solues
pontuais, elas podem minimizar a complexidade integrando continuamente a segurana na
prpria malha da rede, para que a rede possa:
Monitorar e analisar continuamente arquivos e identificar comportamento

mal-intencionado subsequente sempre que ele comear.
Ajudar as empresas a expandir a aplicao de polticas, aumentando a

superfcie na qual os dispositivos de rede podem ser colocados.
Acelerar o tempo de deteco j que assim possvel visualizar mais trfego.

Dar s empresas a capacidade de agregar reconhecimento de contexto
exclusivo que no possvel obter ao contar apenas com dispositivos
especficos segurana.
16
Confiana
A mudana rumo aos servios de nuvem e mobilidade est colocando uma carga maior
de segurana nos endpoints e dispositivos mveis que, em alguns casos, podero nunca
tocar a rede corporativa. O fato que os dispositivos mveis apresentam riscos segurana
quando so usados para acessar recursos da empresa; eles se conectam
facilmente com servios de nuvem e computadores de terceiros com
posturas de segurana que so possivelmente desconhecidas e
que esto fora do controle da empresa. Alm disso, o malware
Os dispositivos
para dispositivos mveis est crescendo rapidamente, o que
mveis introduzem
aumenta ainda mais os riscos. Dada a falta de at mesmo
uma visibilidade bsica, a maioria das equipes de segurana
riscos segurana
de TI no tem os recursos necessrios para identificar as
quando so usados
possveis ameaas a esses dispositivos.
para acessar recursos

da empresa.
Abordagens avanadas, como a contnua disponibilidade de

recursos, desempenharo uma funo maior no tratamento de
malware avanado atravs de anlises de big data que agregam
dados e eventos em toda a rede estendida para proporcionar maior
visibilidade, at mesmo depois de um arquivo ter sido movido na rede ou
entre endpoints. diferente da segurana de endpoint em um momento especfico, que
verifica arquivos em um determinado perodo para determinar uma disposio de malware.
O malware avanado pode escapar dessa verificao para estabelecer-se rapidamente em
endpoints e se espalhar pelas redes.
Sistemas confiveis e
transparentes
Em funo da maior rea de superfcie de ataque, do crescimento da
proliferao e sofisticao do modelo de ataque e da complexidade
das ameaas e solues, precisamos confiar nas informaes
que consumimos, junto com os sistemas que as fornecem,
independentemente de como acessamos os servios em rede.
A criao de um ambiente de rede verdadeiramente seguro se torna ainda mais complexa,
medida que governos e empresas investem em mobilidade, colaborao, computao
em nuvem e outras formas de virtualizao. Esses recursos ajudam a melhorar a resilincia,
aumentar a eficincia e reduzir custos, mas tambm podem introduzir riscos adicionais.
17
Confiana
A segurana dos processos de fabricao que criam produtos de TI est agora tambm em
risco, com produtos falsificados e adulterados se tornando um problema crescente. Como
resultado, os lderes governamentais e corporativos atuais identificam de forma esmagadora
a segurana ciberntica e problemas relacionados confiana como as principais
preocupaes. A pergunta que os profissionais de segurana deveriam se fazer : o que
faramos de maneira diferente se soubssemos que um comprometimento fosse iminente?
Os agentes mal-intencionados procuraro e exploraro qualquer ponto fraco de segurana na
cadeia de fornecimento de tecnologia. Vulnerabilidades e backdoors intencionais em produtos de
tecnologia podem, em ltima anlise, proporcion-los o "acesso total". Backdoors tm sido um
problema de segurana h bastante tempo e deveriam ser uma preocupao para as empresas,
pois elas existem exclusivamente para ajudar a facilitar atividades clandestinas ou criminosas.
O desenvolvimento de sistemas confiveis significa construir a segurana do zero, desde o
incio at o trmino do ciclo de vida de um produto. O ciclo Cisco Secure
Development Life (CSDL)8 prescreve uma metodologia que pode
ser repetida e medida, que foi projetada para incorporar a
Os agentes
segurana do produto no estgio de concepo, atenuar as
vulnerabilidades durante o desenvolvimento e aumentar a
mal-intencionados
resilincia de produtos em funo de um ataque.
procuraro e exploraro
Sistemas confiveis fornecem a base de uma abordagem de
qualquer ponto fraco
melhoria contnua segurana, que antev e antecipa novas
de segurana na cadeia
ameaas. Tais infraestruturas no s protegem informaes
de fornecimento de
essenciais, como tambm ajudam a evitar interrupes de
tecnologia.
servios essenciais. Produtos confiveis respaldados por
fornecedores confiveis permitem que seus usurios minimizem os
custos e os dano de reputao resultantes do abuso de informaes,
interrupes de servio e violaes de informaes.
Sistemas confiveis, no entanto, no devem ser confundidos com imunidade a ataques
externos. Os clientes e usurios de TI desempenham uma funo importante para manter a
eficcia de sistemas confiveis, ao afastar tentativas de corromper suas operaes. Isso inclui
a instalao de atualizaes e correes focadas em segurana dentro do prazo, vigilncia
constante no reconhecimento de comportamento anormal do sistema e contramedidas
eficazes contra ataques.
18
Principais preocupaes
para 2014 dos CISOs de hoje
medida que chefes de segurana
de informaes (CISOs) pesquisam
o panorama de ameaas atual, eles
enfrentam a presso crescente
para proteger terabytes de dados,
cumprir regulamentos rigorosos de
conformidade e avaliar os riscos
de se trabalhar com fornecedores
terceirizadosfazendo tudo isso com
oramentos em reduo e equipes
reduzidas de TI. Os CISOs tm muito
mais tarefas e ameaas complexas
e sofisticadas para gerenciar. Os
principais estrategistas de segurana
dos servios de segurana da Cisco,
que aconselham os CISOs sobre
abordagens de segurana para suas
organizaes, oferecem essa lista
de preocupaes e desafios mais
urgentes para 2014:
Gerenciamento de conformidade
A preocupao mais universal entre
CISOs pode ser a necessidade de
proteger seus dados que residem
em uma rede cada vez mais porosa,
enquanto gastam recursos de
alto valor com a conformidade. A
conformidade isolada no igual
a ser seguro; simplesmente um
patamar mnimo que foca nas
necessidades de um ambiente
especial regulado. A segurana,
enquanto isso, uma abordagem que
engloba tudo que abrange todas as
atividades comerciais.
Confiana na nuvem
OS CISOs devem tomar decises
sobre como gerenciar informaes
com segurana com os oramentos
Continua na prxima pgina
Confiana
As tecnologias no permanecem imutveis, nem os

agressores. A garantia de confiabilidade do sistema
precisa abranger todo o ciclo de vida de uma rede, desde
o projeto inicial at a fabricao, integrao de sistemas,
operao diria, manuteno e atualizaes e, finalmente, a
desativao da soluo.
A necessidade de sistemas confiveis vai alm da prpria
rede de uma empresa e inclui as redes nas quais uma
empresa se conecta. As equipes de pesquisa e operaes
de segurana da Cisco observaram o aumento no uso de
"piv" ao longo do ano passado. A tcnica deo uso de piv
no crime ciberntico envolve a utilizao de uma backdoor,
vulnerabilidade ou simples aproveitamento de confiana em
algum ponto na cadeia de ataque como um trampolim para
lanar uma campanha mais sofisticada contra alvos muito
maiores, como a rede de uma grande empresa de energia
ou data center de uma instituio financeira. Alguns hackers
usam a confiana que existe entre as empresas como a
base do piv, se aproveitando de um parceiro comercial
confivel para atacar e explorar outro parceiro empresarial
ou governamental desavisado.
A vigilncia apropriada no panorama moderno das
ameaas. A segurana deve se adaptar a todos os estados
transientes que fazem parte do ambiente de TI empresarial,
atravs da validao da confiabilidade do sistema de forma
mensurvel e objetiva, baseada em dados e processos
confirmveis independentes. A abordagem mais sustentvel
uma defesa dinmica ajustada ao ambiente nico de
uma empresa, que inclui controles de segurana que esto
em constante evoluo, para que possam permanecer
relevantes.9
Os sistemas confiveis podem existir nesse ambiente e a
transparncia essencial para constru-los. "Um sistema
confivel deve ser construdo sobre uma base forte:
prticas de desenvolvimento de produtos, uma cadeia de
fornecimento confivel e uma abordagem de arquitetura
que consiste em projeto de rede, implantao e polticas",
19
Confiana
Continuao da pgina anterior
e tempo finitos que lhe so alocados.

Por exemplo, a nuvem se tornou
uma maneira econmica e gil para
gerenciar armazns de dados que
no param de crescer, mas ela cria
mais preocupaes aos CISOs. Os
CEOs e a diretoria veem a nuvem
como uma panaceia para eliminar
hardware caro. Eles querem os
benefcios de descarregar dados na
nuvem e esperam que o CISO faa
isso acontecer, com segurana e
rapidamente.
Confiana nos fornecedores
Como a nuvem, as organizaes
exploram os fornecedores para
fornecer solues especializadas. O
modelo de custo de usar empresas
terceirizadas faz sentido. No entanto,
esses fornecedores so alvos de alto
valor para criminosos, que sabem que
suas defesas podem no ser to fortes.
Recuperao de violaes de
segurana
Todas as empresas devem supor que
foram hackeadas, ou pelo menos
concordar que no uma questo de
"se eles sero alvo de um ataque" e
sim "quando". Hacks recentes, como
a Operao Night Dragon, a violao
da RSA e o ataque Shamoon contra
uma grande empresa de petrleo
e gs em 2012, esto na mente de
muitos CISOs. (Consulte a pesquisa
da Cisco sobre a prevalncia de
atividades mal-intencionadas em
redes corporativas na pgina 48.)
diz John N. Stewart, vice-presidente snior e chefe de

segurana da Cisco. "Mas o atributo mais importante a
transparncia do fornecedor".
A compensao por mais transparncia menos
privacidade, mas o equilbrio correto pode ser obtido atravs
de cooperao, o que leva a maiores oportunidades para
alinhar a inteligncia de ameaas com as melhores prticas
de segurana. Todas as empresas devem se preocupar em
encontrar o equilbrio certo entre confiana, transparncia e
privacidade, pois h muito em jogo.
[ longo prazo, uma melhor segurana ciberntica poder
ser obtida para todos os usurios e todo o potencial da

emergente economia da Internet de Todas as Coisas10
poder ser concretizado. Porm, cumprir essas metas
depender de polticas de privacidade eficazes e defesas
de rede robustas que distribuem de forma inteligente a
carga de segurana pelos endpoints e pela rede. curto
prazo e talvez mais prximo de ns, est a necessidade de
qualquer empresa moderna de usar os melhores mtodos
e informaes disponveis para ajudar a proteger seus
ativos mais valiosos e garantir que eles no contribuam
diretamente para aumentar os desafios relacionados
segurana ciberntica. ]
As empresas de hoje devem considerar o possvel
impacto de suas prticas de segurana no ecossistema de
segurana ciberntica, que se torna cada vez maior, mais
complexa e interconectada. Abdicar dessa "viso geral"
pode resultar na obteno de uma baixa pontuao de
reputao para a empresa, o que significa que nenhum dos
principais provedores de segurana permitiria o acesso ao
seu site. No fcil para uma empresa sair da lista negra e
algumas podem nunca se recuperar completamente.
Para saber mais sobre as prticas dos sistemas confiveis
da Cisco, acesse www.cisco.com/go/trustworthy.
20
Inteligncia de
ameaas
Com o uso do maior conjunto de telemetria de deteces, a
Cisco e a Sourcefire analisaram e reuniram as percepes sobre
segurana do ano passado.
21
Alertas de ameaas em
crescimento
As vulnerabilidades e ameaas relatadas pelo Cisco IntelliShield
mostraram um crescimento constante em 2013: em outubro de
2013, os totais anuais cumulativos de alerta aumentaram em 14%
a cada ano desde 2012 (Figura 3).
Os alertas em outubro de 2013 estavam em seu nvel mais elevado desde que o IntelliShield
comeou a registr-los em maio de 2000.
Tambm notvel o aumento significativo de novos alertas em comparao com alertas
atualizados, conforme o rastreamento pelo IntelliShield (Figura 4). Fornecedores e pesquisadores
de tecnologia esto descobrindo um nmero cada vez maior de novas vulnerabilidades (Figura
6) e essas descobertas so o resultado de uma nfase maior na utilizao de um ciclo de vida
de desenvolvimento altamente seguro, alm de melhorias na segurana em seus prprios
produtos. O elevado nmero de novas vulnerabilidades tambm pode ser um sinal de que os
fornecedores esto examinando o cdigo de seus produtos e corrigindo problemas antes que
os produtos sejam lanados e suas vulnerabilidades exploradas.
FIGURA 3
Totais acumulados de alertas anuais, 2010-2013

7000
2013
2012
6000
2011
5000
2010
4000
3000
2000
1000
0
Jan.
Fev.
Mar.
Abr.
Mai.
Jun.
Jul.
Ms
Ago.
Set.
Out.
Nov.
Dez.
22
Mais ateno ao desenvolvimento de softwares seguros pode ajudar a construir a confiana

nas solues dos fornecedores. Um ciclo de vida de desenvolvimento seguro no s atenua
o risco de vulnerabilidades e permite que os fornecedores detectem defeitos potenciais no
incio do desenvolvimento, como tambm diz aos compradores que eles podem confiar
nessas solues.
FIGURA 4
320
Alertas
novos e atualizados, 2013
1000
291
517
347
391
286
324
366
303
333
386
400
387
437
215
224
221
211
212
600
256
281
293
278
800
Novo
Alerta
de ameaa
200
Atualizado
Alerta
Jan.
Fev.
Mar.
Abr.
Mai.
Jun.
Ms
Jul.
Ago.
Set.
Out.
Nov.
23
FIGURA 5
Categorias de ameaas comuns rastreadas pelo Cisco IntelliShield

OBS.: essas categorias de ameaas CWE (Common Weakness Enumeration, Enumerao de pontos fracos
comuns), conforme as definies do National Vulnerability Database (https://nvd.nist.gov/cwe.cfm), so combinadas
com os mtodos que os agentes mal-intencionados usam para atacar as redes.
1
CWE-119: erros de buffer
CWE-264: permisses, privilgios

e controle de acesso
CWE-310: problemas com criptografia
Outros alertas Intellishield

(atividade, problemas, CRR, AMB)
CWE-200: vazamento/divulgao de informaes
CWE-399: erros de gerenciamento de recursos

4
CWE-79: Cross-Site Scripting (XSS)

8
CWE-20: validao de entrada
CWE: erro de design
CWE-94: injeo de cdigo
CWE-287: problemas com autenticao

CWE-352: Cross-Site
Request Forgery (CSRF, Falsificao de
solicitao entre sites)
CWE-22: path traversal
CWE-78: injees de comandos de SO
CWE-89: injeo de SQL
CWE-362: condies de corrida
CWE-255 gerenciamento de credenciais
CWE-59: sequncia de link

CWE-16: configurao
CWE: informaes insuficientes

CWE: outros
CWE-189: erros numricos
7
2
5
4
24
O volume de spam est caindo,

mas o spam mal-intencionado
ainda uma ameaa
O volume de spam estava em uma tendncia descendente em
todo o mundo em 2013. No entanto, embora o volume geral
possa ter diminudo, a proporo de spam mal-intencionado
permanece constante.
Spammers usam a velocidade como uma ferramenta para abusar da confiana de usurios
de e-mail, fornecendo enormes quantidades de spam quando eventos ou tendncias
reduzem a resistncia dos destinatrios s fraudes de spam.
Na sequncia da exploso na maratona de Boston em 15 de abril de 2013, duas grandes
campanhas de spam tiveram incio (uma em 16 e outra em 17 de abril), projetadas para atrair
usurios de e-mail vidos por notcias sobre o impacto do evento. Os pesquisadores da Cisco
detectaram o registro de centenas de domnios relacionados exploso,
poucas horas aps o ataque na maratona de Boston.11
Ambas as campanhas de spam continham linhas de assunto
sobre supostos boletins de notcias relacionados s exploses,
enquanto as mensagens continham links que diziam conduzir
a vdeos das exploses das bombas ou notcias de fontes
de imprensa de boa reputao. Os links direcionavam os
destinatrios a pginas web que continham links vinculados
a histrias ou vdeos reais de notcias e tambm a iframes
mal-intencionados projetados para infectar os computadores
dos visitantes. Em seu pico, o spam relacionado exploso da
maratona de Boston compunha 40% de todas as mensagens de
spam entregues em todo o mundo, em 17 de abril de 2013.
Os spammers atacam
o desejo das pessoas
por mais informaes
na sequncia de um
grande evento.
A Figura 6 mostra uma das campanhas de spam de botnet disfarada como

uma mensagem da CNN.12 A Figura 7 mostra o HTML fonte de uma mensagem de spam da
exploso da maratona de Boston. O iframe final (ofuscado) para um site mal-intencionado.13
Como o spam de ltimas notcias to imediato, os usurios de e-mail tm mais
probabilidade de acreditar que as mensagens de spam so legtimas. Os spammers atacam
o desejo das pessoas por mais informaes na sequncia de um grande evento. Quando os
spammers enviam aos usurios os links que eles desejam, muito mais fcil iludi-los a efetuar
uma ao desejada, como clicar em um link infectado. Tambm muito mais fcil evitar que
eles suspeitem que algo est errado com a mensagem.
25
FIGURA 6
Spam da maratona de Boston
FIGURA 7
HTML fonte de uma mensagem de spam da exploso na maratona de Boston
<iframe width="640" height="360"

src="https://www.youtube.com/embed/H4Mx5qbgeNo">
<iframe>
src="https://www.youtube.com/embed/JVU7rQ6wUcE">
<iframe>
src="https://bostonmarathonbombing.html">
<iframe>
26
Spam de acordo com os nmeros

O volume de spam global est caindo, de acordo com os dados coletados pela Cisco Threat
Research Analysis and Communications (TRAC)/SIO (Figura 8), embora as tendncias variem
de acordo com o pas (Figura 9).
FIGURA 8
Volume global de spam, 2013

Fonte: Cisco TRAC/SIO
160
140
Bilhes por dia
120
100
80
60
40
20
0
Jan.
Fev.
Mar.
Abr.
Mai.
Jun.
Jul.
Ago.
Set.
Out.
Ms
FIGURA 9
Tendncias de volume, 2013

Volume em porcentagem
25
20
Estados Unidos
Itlia
Repblica da
Coreia
Espanha
China
15
10
Jan.
Fev.
Mar.
Abr.
Mai.
Jun.
Ms
Jul.
Ago.
Set.
Out.
27
FIGURA 10
Principais temas de mensagens de spam em todo o mundo
1.
Depsito bancrio/notificaes
de pagamento
2.
Compra de produto online
3.
Foto anexada
Confirmao de compra de produto,

solicitao de ordem de compra,
oramento, avaliao.
Fotos mal-intencionadas anexadas.
4.
Avisos de envio
5.
Encontros online
6.
Impostos
Faturas, entrega ou recolhimento,

rastreamento.
Sites de encontros online.
Documentos tributrios, reembolsos,

relatrios, informaes de dbito,
preenchimento online da declarao do
imposto de renda.
7.
Facebook
8.
Vale-presente ou cupom
9.
PayPal
Status da conta, atualizaes,

notificaes, software de segurana.
Alertas de vrias lojas

(Apple foi a mais popular).
Atualizao de conta, confirmao,

notificao de pagamento, contestao
de pagamento.
Notificaes de depsitos, transferncias,

pagamentos, cheque devolvido, alerta de
fraude.
28
Exploraes da web:
Java lidera o grupo
De todas as ameaas na Web que enfraquecem a segurana, as
vulnerabilidades na linguagem de programao Java continuam a
ser o alvo mais frequentemente explorado por criminosos online,
de acordo com os dados da Cisco.
As exploraes no Java ultrapassam as detectadas em Flash ou documentos Adobe PDF, que
so tambm vetores populares para atividade criminosa (Figura 11).
Os dados da Sourcefire, agora parte da Cisco, tambm mostram que as exploraes do Java
compem a ampla maioria (91%) dos indicadores de comprometimento (IoCs) monitorados
pela soluo FireAMP da Sourcefire para anlise e proteo avanada de malware (Figura 12).
O FireAMP detecta comprometimentos ao vivo em endpoints e depois registra o software que
causou tal comprometimento.
FIGURA 11
Ataques mal-intencionados gerados atravs de PDF,

Flash e Java em 2013
Fonte: relatrios da Cisco Cloud Web Security
16%
14%
12%
PDF
10%
Flash
8%
Java
6%
4%
2%
0
Jan.
Fev.
Mar.
Abr.
Mai.
Jun.
Ms
Jul.
Ago.
Set.
Out.
Nov.
29
Para ameaas como exploraes do Java, o problema mais significativo enfrentado pelos
profissionais de segurana a maneira como o malware entra em seu ambiente de rede
e onde eles deveriam concentrar os esforos para minimizar a infeco. Aes individuais
podem no parecer mal-intencionadas, mas seguir uma cadeia de eventos pode nos
esclaracer de onde vem o malware. O encadeamento de eventos a capacidade de conduzir
uma anlise retrospectiva sobre os dados que conectam o caminho tomado pelos agentes
mal-intencionados para contornar a segurana de permetro e se infiltrar na rede.
Os IoCs podem sozinhos demonstrar que acessar um dado site seguro. Por sua vez, a
inicializao do Java pode ser uma ao segura, como pode ser a inicializao de um arquivo
executvel. No entanto, uma empresa est em risco se um usurio visitar um site com uma
injeo de iframe, que depois inicializa o Java; o Java ento baixa um arquivo executvel e
esse arquivo executa aes mal-intencionadas.
FIGURA 12
Indicadores de comprometimento, por tipo

Source: Sourcefire (soluo FireAMP)
2%
Microsoft Word
3%
Microsoft Excel
3%
Adobe Reader
91%
Comprometimento do Java
1%
Microsoft PowerPoint
30
A onipresena do Java o mantm no topo da lista de ferramentas favoritas de criminosos,

o que torna os comprometimentos do Java de longe a atividade mais mal-intencionada da
"cadeia de eventos" em 2013. Como a pgina Web "Sobre" do Java explica, 97% dos
computadores de mesa empresariais executam Java, assim como 89% dos computadores de
mesa em geral nos EUA.14
O Java fornece uma superfcie de ataque grande demais para que os criminosos ignorem.
A tendncia que eles construam solues que executem exploraes em ordem.
Por exemplo, eles tentam primeiramente violar uma rede ou roubar dados usando as
vulnerabilidades mais fceis e mais conhecidas antes de passar a outros mtodos. Na maioria
dos casos, o Java a explorao que os criminosos escolhem para comear, pois ele traz o
melhor retorno de investimento.
Mitigao do problema do Java

Embora as exploraes de Java sejam comuns e as vulnerabilidades sejam difceis de
eliminar, h mtodos para reduzir seu impacto:
Quando for prtico, desativar o Java em navegadores em toda a rede pode evitar que essas
exploraes sejam iniciadas.
Ferramentas de telemetria como o Cisco NetFlow, integrado em muitas solues de
segurana, podem monitorar trfego associado ao Java, proporcionando aos profissionais

de segurana uma melhor compreenso das fontes de ameaas.
O amplo gerenciamento de correes pode fechar muitas brechas de segurana.

O monitoramento de endpoint e as ferramentas de anlise que continuam a rastrear e
analisar arquivos aps eles sua entrada na rede podem detectar retrospectivamente e
impedir ameaas que parecem seguras, mas que exibem comportamento mal-intencionado
posteriormente.
Uma lista priorizada de dispositivos potencialmente comprometidos pode ser gerada usando
IoCs para correlacionar inteligncia de malware (mesmo aparentemente eventos benignos) e

para identificar uma infeco de dia zero sem assinaturas de antivrus existentes.
A atualizao para a verso mais recente do Java tambm pode ajudar a contornar as
vulnerabilidades. De acordo com a pesquisa da Cisco TRAC/SIO, 90% dos clientes da Cisco
usam uma verso do Java 7 Runtime Environment, a verso mais atual do programa. Isso
bom do ponto de vista da segurana, j que essa verso provavelmente oferece maior
proteo contra vulnerabilidades.
31
No entanto, a pesquisa da Cisco TRAC/SIO mostra tambm que 76% das empresas que
usam solues da Cisco usam tambm o Java 6 Runtime Environment, alm do Java 7.
O Java 6 uma verso anterior que atingiu seu fim de vida e no tem mais suporte. As
empresas frequentemente usam ambas as verses do Java Runtime Environment, pois
diferentes aplicativos podem depender de diferentes verses para executar o cdigo Java.
No entanto, com mais de trs quartos das empresas pesquisadas pela Cisco utilizando uma
soluo em fim de vida com vulnerabilidades que nunca sero corrigidas publicamente, os
criminosos tm ampla oportunidade de explorarem os pontos fracos.
Em 2013, os encontros com malware Java na web atingiram um pico em abril, com 14% de
todo o malware encontrado na web. Esses encontros caram a seu ponto mais baixo em
maio e junho de 2013, com cerca de 6% e 5% de todos os encontros com malware na web,
respectivamente (Figura 13).
(No incio desse ano, a Oracle anunciou que no publicaria mais atualizaes do SE do Java 6
em seu site de download pblico, apesar de atualizaes existentes do SE do Java 6 estarem
disponveis no Java Archive na Oracle Technology Network).
Se profissionais de segurana, que tm tempo limitado para lutar contra exploraes web,
decidirem focar a maior parte de sua ateno no Java, eles podero colocar seus recursos no
lugar certo.
FIGURA 13
Encontros de malware web no Java, 2013

6,50%
6,00%
4%
5,00%
7,50%
9,00%
6,75%
6%
7,50%
8%
9,50%
10%
6,25%
12%
12,25%
14,00%
14%
2%
0
Jan.
Fev.
Mar.
Abr.
Mai.
Jun.
Ms
Jul.
Ago.
Set.
Out.
Nov.
32
BYOD e mobilidade:
amadurecimento dos dispositivos
beneficia o crime ciberntico
Os criminosos cibernticos e seus alvos compartilham um desafio
comum: ambos esto tentando descobrir como usar da melhor
maneira a tendncia de BYOD e mobilidade para obter vantagem
empresarial.
Duas coisas parecem estar ajudando os criminosos a obter uma vantagem. Primeiro, a
maturao das plataformas mveis. Os especialistas em segurana da Cisco observam que
quanto mais os smartphones, tablets e outros dispositivos tm desempenho semelhante ao de
computadores de mesa e laptops tradicionais, mais fcil se torna projetar malware para eles.
Segundo, o uso crescentes de aplicativos mveis. Quando os usurios baixam aplicativos
mveis, eles esto colocando um cliente leve no endpoint e baixando cdigo. Outro desafio:
muitos usurios baixam aplicativos mveis regularmente sem pensar na segurana.
Enquanto isso, as equipes de segurana de hoje esto s voltas com
um problema considervel: como proteger qualquer usurio, em
qualquer dispositivo, localizado em qualquer lugar e acessando
qualquer aplicativo ou recurso.15 A tendncia de BYOD apenas
Muitos usurios
complica esses esforos. difcil gerenciar todos esses tipos
baixam aplicativos
de equipamentos, especialmente com um oramento de TI
mveis regularmente
limitado. Em um ambiente de BYOD, o CISO precisa ter a
sem pensar
certeza de que a sala de dados rigorosamente controlada.
na segurana.
A mobilidade oferece novas maneiras de comprometimento

de usurios e dados. Os pesquisadores da Cisco observaram
agentes usando canais de rede sem fio para espionar e obter
acesso aos dados trocados atravs desses canais. A mobilidade
tambm apresenta uma variedade de problemas de segurana para
empresas, incluindo a perda de propriedade intelectual e outros dados confidenciais, caso o
dispositivo de um funcionrio seja roubado ou perdido e no esteja protegido.
33
De acordo com especialistas da Cisco, instituir um programa formal para gerenciamento

de dispositivos mveis, para ajudar a garantir que qualquer dispositivo seja protegido antes
que ele possa acessar a rede, uma soluo para melhorar a segurana da empresa. No
mnimo, um bloqueio de nmero de identificao pessoal (PIN) deve ser obrigatrio para a
autenticao do usurio e a equipe de segurana deveria conseguir desligar ou apagar o
dispositivo remotamente, caso ele seja roubado ou perdido.
Tendncias de malware para dispositivos mveis: 2013

A seguinte pesquisa em tendncias de malware para dispositivos mveis durante 2013 foi
conduzida pela Cisco TRAC/SIO e Sourcefire, agora parte da Cisco.
Os malwares para dispositivos mveis, que atacam dispositivos especficos
compunham apenas 1,2% de todos os encontros de malware na web
em 2013. Embora no sejam uma porcentagem significativa, ainda
vale a pena observar, pois o malware para dispositivos mveis
Os malwares para
claramente uma rea de explorao emergente (e lgica) para
dispositivos mveis,
desenvolvedores de malware.
De acordo com pesquisadores da Cisco TRAC/SIO, quando
o malware para dispositivos mveis tem a inteno de
comprometer um dispositivo, 99% de todos os encontros tm
dispositivos Android como alvo. Os cavalos de troia que tem
como alvo dispositivos com capacidade para Java Micro Edition
(J2ME) estavam em segundo lugar em 2013, com 0,84% de todos
os encontros com malware para dispositivos mveis.
que atacam dispositivos

especficos, compunham
apenas 1,2% de todos os
encontros de malware
na web em 2013.
Todavia, nem todo malware para dispositivos mveis projetado para atacar dispositivos
especficos. Muitos encontros envolvem phishing, likejacking, ou outros ardis de engenharia
social, ou redirecionamentos forados a sites diferentes dos esperados. Uma anlise dos
agentes de usurio pela Cisco TRAC/SIO revela que os usurios de Android, com 71%, tm as
mais altas taxas de encontro com todas as formas de malware distribudos na web, seguidos
pelos usurios de iPhone da Apple, com 14% de todos os encontros com malware (Figura 14).
Os pesquisadores da Cisco TRAC/SIO tambm relataram a evidncia de esforos para
monetizar os comprometimentos de Android durante 2013, incluindo lanamentos de adware
e spyware relacionados com empresas de pequeno e mdio porte (SME).
Com 43,8%, Andr/Qdplugin-A foi o malware para dispositivos mveis mais frequentemente
encontrado, de acordo com a pesquisa da Cisco TRAC/SIO. Encontros comuns se deram
atravs de cpias reempacotadas de aplicativos legtimos distribudos atravs de mercados
no oficiais (Figura 15).
34
FIGURA 14
Encontros com malware na web por dispositivos mveis

100%
80%
60%
40%
20%
Windows CE
Kindle
Zune WP
Nook
Playstation
Motorola
Windows
Telefone
Huawei
iPod
Symbian
Nokia
BlackBerry
iPad
iPhone
Android
FIGURA 15
10 principais encontros com malware para dispositivos mveis, 2013

50%
40%
30%
20%
10%
Andr/DroidRt-C
Trojan-SMS.AndroidOS.
Agent.ao
AndroidOS.
Wooboo.a
Andr/Gmaster-E
Andr/DroidRt-A
Trojan.AndroidOS.
Plangton.a
Andr/Spy-AAH
Andr/SMSSend-B
Andr/SmsSpy-J
Andr/NewyearL-B
Andr/Qdplugin-A
An
Tro
dr.
ja
98%
11%
14%
16%
Andr.SMSSend
10%
7%
6%
4%
4%
4%
4%
3%
r.Tr
oj a
xplo
els
l o i t.E
n.S t
r.E xp
r.Tro
ja
And
ndr
id
it.Ratc
p l o i t. A
A ndr.E x plo
B C. E x
And
Andr.Exploit.Gingerbreak
nserve
n.G
ein
nr.
imi
T
roj
An
a n.
dr.
Dro
Tro
An
id D
jan
d
rea
r
.A
An
.Tr
mL
dr d
o
d
j
igh
r
a
(2
.Tr
n.G
t
%
o
(2 ) A
j
o
a
%)
n d n. A l d d r
ea
An r.T
nd
m
r
r
dr
.Tr ojan orat
oj
.
a n Pj a
p
.Y
ZH p s
C
Ad
rojan.A
Andr.T
ak
O pf
.
n
ja
ix t y
(>1%
) An
dr.Tr
tCo
ts
m pa
tible
Push
ad er
ueSP
.TG Lo
.Ro g
n.N o
ojan
r.Troj
an
dr.T
roja
(>1%
) An
ad
ck p o s
ojan.OB
(>1%)
A ndr.T
rojan. A
(>1%)
And
(>1%) A n
dr.Tr
(>1%) A ndr.Tr
ojan.Chuli
(>1%) Andr.Trojan.G ingerMas

ter
(>1%) Andr.Trojan.Badnews
keTimer
jan.G ones
min
.Fa
(>1%) Andr.Trojan
Tro
(1%) A ndr.
jan.K
ndr.Tro
(1%) A
on
.Zson
ank t
r ojan
ndr.T
dr.Tr
A
(1%)
An
(1%)
.Pl
ojan
And
oid
gF
.Tro
ndr
r
nD
n
Ku
35
FIGURA 16
Principais famlias de malware Android observadas em 2013
Obs.: o SMSSend foi responsvel por 98% de todo o malware para Android; os 2% restantes so mostrados
proporcionalmente. Fonte: Sourcefire
3%
3%
7%
36
Ataques direcionados:
o desafio de desalojar
"visitantes" persistentes e
difundidos
So grandes as chances de que ataques direcionados j tenham
se infiltrado em suas redes.
E como eles se alojam dentro de uma rede, eles tendem a ficar por ali, roubando dados
sem serem detectados ou usando recursos de rede como "piv" e depois atacando outras
entidades (para mais informaes sobre uso de pivs, consulte pgina 18). O dano vai alm
do roubo de dados ou interrupo de negcios: a confiana entre parceiros e clientes pode ir
embora se esses ataques no forem desalojados das redes na hora certa.
Ataques direcionados ameaam a propriedade intelectual, os dados de clientes e as
informaes confidenciais do governo. Seus criadores usam ferramentas sofisticadas
que contornam a infraestrutura de segurana de uma empresa. Os
criminosos se esforam muito para se certificar de que essas
brechas no sejam detectadas, usando mtodos que resultam
em "indicadores de comprometimento" quase imperceptveis,
Criminosos
ou IoCs. Sua abordagem metdica para entrar nas redes e
efetuar sua misso envolve uma "cadeia de ataque", a cadeia
se esforam muito
de eventos conduzida atravs das fases de um ataque.
para certificar-se de que
Uma vez que esses ataques direcionados encontram um
lugar na rede para se esconder, eles efetuam suas tarefas
sem problemas e geralmente as conduzem sem serem
notados.
essas brechas no
sejam detectadas
37
FIGURA 17
A cadeia de ataque
Para compreender a gama de ameaas atuais e defender eficazmente a rede, os profissionais de segurana de TI
precisam pensar como os invasores. Com uma compreenso mais profunda da abordagem metodolgica utilizada
por esses agentes mal-intencionados em sua misso, as empresas podem identificar maneiras de fortalecer suas
defesas. A cadeia de ataque, uma verso simplificada da "cadeia da morte ciberntica", descreve os eventos que
conduzem s fases de um ataque, e que nelas ocorrem.
1. Pesquisa
Obteno de um panorama completo de um ambiente:

rede, endpoint, mvel e virtual, incluindo as tecnologias
implantadas para proteger o ambiente.
2. Gravao
Criao de malware direcionado e que reconhece

o contexto.
3. Teste
Garantia de que o malware funciona como o planejado,

especificamente de maneira que possa escapar das
ferramentas de segurana implantadas.
4. Execuo
Navegao atravs da rede estendida, reconhecendo

o ambiente, escapando da deteco e movendo-se
lateralmente at atingir o alvo.
5. Cumprimento da misso
Coleta de dados, criao de interrupo ou causar destruio.
38
Instantneo de malware:
tendncias observadas em 2013
Especialistas em segurana da Cisco executam pesquisa e
anlises contnuas de trfego de malware e outras ameaas
descobertas, que podem oferecer uma percepo sobre o possvel
comportamento criminoso e uma ajuda na deteco de ameaas.
FIGURA 18
Principais categorias de malware

Essa figura mostra as principais categorias de malware. Os cavalos de troia so o malware mais comum, seguidos
pelo adware. Fonte: Sourcefire (solues ClamAV e FireAMP)
4% 4%
Downloader
Worm
Dropper (0%)
8%
Adware
Cavalo de troia
20%
Virus
64%
FIGURA 19
Principais famlias de malware para Windows

Essa figura mostra as principais famlias de malware para Windows. A maior, Trojan.Onlinegames, abrange
principalmente ladres de senhas. Ela foi detectada pela soluo de antivrus ClamAV da Sourcefire. Fonte:
Sourcefire (soluo ClamAV)
Spyeye (>1%)
3%
Hupigon
4%
Blackhole
7%
Gamevance
10%
Zeusbot
10%
Megasearch
11%
Syfro
14%
Multiplug
(Adware)
Onlinegames
41%
39
FIGURA 20
10 principais categorias de hosts de malware na web, 2013

Esta figura mostra os hosts de malware mais frequentes de acordo com a pesquisa da Cisco TRAC/SIO.
45%
40%
35%
No classificado
Outro
30%
25%
20%
15%
Negcios e indstria
Infraestrutura
Hospedagem na Web
Anncios
Computadores e Internet
Compras
Notcias
Mquinas de pesquisa e portais
Comunidades online
10%
5%
0
Jan.
Fev.
Mar.
Abr.
Mai.
Jun.
Jul.
Ago.
Set.
Out.
Nov.
Ms
FIGURA 21
Categorias de malware, por porcentagem e total

de encontros, 2013
3%
(1%)
SMS, phishing
e likejacking
(1%)
Construtores
e ferramentas de hackers
5%
Worms e vrus
Ransomware
e scareware
17%
Downloader
e dropper
22%
Cavalos de Troia
para roubo de dados
23%
iFrames
e exploraes
Cavalos de Troia com

vrias finalidades
27%
40
A pesquisa da Cisco TRAC/SIO durante 2013 mostra que cavalos de troia com vrias
finalidades foram os malwares mais frequentemente encontrados, com 27% do total de
encontros. Scripts mal-intencionados, como exploraes e iframes, foram a segunda
categoria mais frequentemente encontrada, com 23%. Cavalos de troia para roubos de dados,
como ladres de senha e backdoors, compunham 22% do total de encontros de malware na
web, com cavalos de troia de downloaders e dropper em quarto lugar com 17% do total de
encontros (consulte a Figura 21).
O declnio contnuo em hosts e endereos IP exclusivos de malware (30% de declnio entre
janeiro de 2013 e setembro de 2013) sugere que o malware esteja sendo concentrado em
um nmero menor de hosts e de endereos IP (Figura 22). (Obs.: um endereo IP pode
atender sites de vrios domnios). medida que o nmero de hosts diminui (mesmo com
os malwares permanecendo estveis), o valor e a reputao desses hosts se tornam mais
importantes, j que bons hosts ajudam os criminosos a cumprirem seus objetivos.
FIGURA 22
Hosts e endereos IP exclusivos de malware, 2013

60.000
nico
host
50.000
nico
IP
40.000
30.000
20.000
10.000
0
Jan.
Fev.
Mar.
Abr.
Mai.
Jun.
Ms
Jul.
Ago.
Set.
Out.
Nov.
41
Nenhum osis de "watering

holes" para empresas
atacadas
Uma maneira de os agentes malintencionados distribuirem malware
para empresas em verticais de
setor especficos atravs do
uso de ataques do tipo "watering
hole". Como um grande predador
observando sua presa, os criminosos
cibernticos que buscam atacar
um grupo especfico (por exemplo,
pessoas que trabalham no setor de
aviao) monitoram quais sites esse
grupo frequenta, infectam um ou mais
sites com malware e depois esperam
que pelo menos um usurio no
grupo-alvo acesse esse site e fique
comprometido.
Um ataque do tipo "watering hole"
essencialmente uma explorao de
confiana, pois sites legtimos so
utilizados. Ele tambm uma forma
de phishing. No entanto, enquanto o
phishing direcionado a indivduos
selecionados, os "watering holes"
so projetados para comprometer
grupos de pessoas com interesses
em comum. Os ataques do tipo
"watering hole" no discernem seus
alvos: qualquer um que visite um site
infectado corre risco.
No final de abril, um ataque do tipo
"watering hole" foi iniciado a partir de
pginas especficas que hospedam
contedo relacionado a energia
nuclear no site do Departamento
de Trabalho dos EUA.16 Depois, a
partir do incio de maio de 2013,
pesquisadores da Cisco TRAC/SIO
observaram outro ataque do tipo
Alvos primrios:
verticais do setor
Empresas em verticais de alta
lucratividade, como o setor de farmcia
e qumica e de fabricao de eletrnicos,
tm as maiores taxas de encontros
de malware na web, de acordo com a
pesquisa da Cisco TRAC/SIC.
A taxa aumenta ou diminui medida que o valor dos bens e
servios de um vertical especfico aumenta ou diminui.
Os pesquisadores da Cisco TRAC/SIO observaram um
aumento notvel no encontro com malwares no setor
de agricultura e minerao, antes um setor relativamente
de baixo risco. Eles atribuem o aumento em encontros
com malware desse setor a criminosos cibernticos que
aproveitam tendncias como a reduo de recursos
de metais preciosos e interrupes no fornecimento de
alimentos relacionadas ao clima.
Tambm continuam a aumentar os encontros com malware
no setor de eletrnicos. Os especialistas em segurana da
Cisco relatam que malwares direcionados a esse vertical
geralmente so projetados para ajudar os agentes a obter
acesso propriedade intelectual, que eles por sua vez usam
para obter vantagem competitiva ou vender para quem
pagar mais.
Para determinar taxas de encontro com malware especficos
do setor, os pesquisadores da Cisco TRAC/SIO comparam
a mdia da taxa de encontros de todas as empresas que se
conectam atravs do proxy do Cisco Cloud Web Security
com a mdia da taxa de encontros de todas as empresas
em um setor especfico que se conectam atravs do proxy
do servio. Uma taxa de encontro do setor acima de 100%
42
"watering hole" originrio de vrios

outros sites focados no setor de
energia e petrleo. Similaridades,
incluindo a criao especfica de
uma explorao usada em ambos os
ataques, deu crdito possibilidade
de que os dois ataques estavam
relacionados. A pesquisa da Cisco
TRAC/SIO tambm indicou que
muitos dos sites usaram o mesmo
web designer e provedor de
hospedagem. Isso poderia implicar
que o comprometimento inicial foi
devido a credenciais roubadas ou que
sofreram phishing desse provedor.17
Proteger os usurios contra esses
ataques envolve manter mquinas
e navegadores da web totalmente
corrigidos para minimizar o nmero
de vulnerabilidades que um agressor
possa explorar. Garantir que o trfego
web filtrado e verificado em relao
a malware antes de ser entregue
ao navegador do usurio tambm
essencial.
reflete um risco maior que o normal para encontros com

malwares na web, o passo que uma taxa menor que 100%
reflete um risco menor. Por exemplo, uma empresa com
taxa de encontro de 170% tem um risco de 70% maior que
a mdia. Da mesma maneira, uma empresa com taxa de
encontro de 70% tem um risco de 30% menor que a mdia.
FIGURA 23
Risco do setor e encontros

de malware na web, 2013
0
Contabilidade
Agricultura e minerao
Automotivo
Aviao
Atividades bancrias e financeiras
Caridades e ONGs
Clubes e organizaes
Educao
Eletrnicos
Energia, petrleo e gs
Engenharia e construo
Entretenimento
Alimentos e bebidas
Governo
Servios de sade
Aquecimento, encanamento e A/C
TI e telecomunicaes
Industrial
Seguro
Jurdico
Fabricao
Mdia e publicidade
Farmcia e qumica
Servios profissionais
Imobiliria e gesto de terras
Varejo e atacado
Transporte e remessa
Viagem e lazer
Servios de utilidade pblica
100%
200%
300%
400%
500%
600%
700%
43
Fraturas em um ecossistema
frgil
Os criminosos cibernticos esto aprendendo que aproveitar o
poder da infraestrutura de Internet produz muito mais benefcios
que o simples ganho de acesso a computadores individuais.
A mudana mais recente nas exploraes mal-intencionadas a obteno de acesso
a servidores de hospedagem na web, nameservers e data centers, com o objetivo de
aproveitar o enorme poder de processamento e largura de banda que eles oferecem. Atravs
dessa abordagem, as exploraes podem atingir muitos mais usurios de computador
desavisados e ter um impacto muito maior nas empresas alvejadas, independentemente do
objetivo ser fazer uma declarao poltica, enfraquecer um adversrio ou gerar receita.
FIGURA 24
Estratgia de infeco de alta eficincia
Website
comprometido
Website
comprometido
Website
comprometido
Website
comprometido
Website
comprometido
Servidor de hospedagem comprometido
44
Em essncia, essa tendncia de ter como alvo a infraestrutura de Internet significa que no se
pode confiar na base da prpria web. Os mtodos usados para obter acesso raiz a servidores
do host so variados e incluem tticas como cavalos de troia em estaes de trabalho de
gerenciamento que roubam credenciais de login de servidor, vulnerabilidades em ferramentas
de gerenciamento de terceiros usadas nos servidores e tentativas de login com fora bruta
(consulte a pgina 53). Vulnerabilidades desconhecidas no prprio software de servidor pode
tambm fornecer vias de acesso.
Um servidor do host comprometido pode infectar milhares de sites e proprietrios de sites
em todo o mundo (Figura 24).
Sites hospedados em servidores comprometidos agem como um redirecionador (o
intermedirio na cadeia de infeco) e como um repositrio de malware. Em vez de muitos
sites comprometidos carregarem malware de apenas alguns domnios mal-intencionados
(uma relao de muitos para poucos), a relao agora se tornou de muitos para muitos,
dificultando os esforos para desativ-los.
Nameservers de domnio so alvos principais nessa nova linhagem de ataque e os mtodos
exatos ainda esto sob investigao. H indicao que, alm de sites individuais e servidores
do host, os nameservers em certos provedores de hospedagem tambm esto sendo
comprometidos. Os pesquisadores de segurana da Cisco dizem que essa tendncia de
ataque infraestrutura de Internet muda o panorama das ameaas, pois fornece aos criminosos
cibernticos o controle sobre uma parte da prpria base da web que no insignificante.
[ "O crime ciberntico se tornou muito lucrativo e uma mercadoria que precisa de uma
infraestrutura poderosa para se manter tona", diz Gavin Reid, diretor de inteligncia de
ameaas da Cisco. "Ao comprometer servidores do host e data centers, os agressores no
s ganham acesso a grandes quantidades de largura de banda, como tambm ao benefcio
de tempo de atividade contnuo desses recursos". ]
"O crime ciberntico se tornou to lucrativo

que precisa de uma infraestrutura potente
para se manter tona".
Gavin Reid, diretor de inteligncia de ameaas da Cisco
45
Ligando os pontos: DarkLeech e Linux/CDorked

A campanha de ataque do DarkLeech relatada pela Cisco em 201318 ressalta como o
comprometimento de servidores do host pode servir como trampolim para uma campanha
maior. Estima-se que os ataques do DarkLeech comprometeram, em um curto perodo
de tempo, pelo menos 20.00019 sites legtimos em todo o mundo que usam o software
de servidor de HTTP Apache. Os sites foram infectados com um backdoor Secure Shell
Daemon (SSHD) que permitiu que os agressores remotos carregassem e configurassem
mdulos mal-intencionados do Apache. O comprometimento permite que os agressores
injetem iframes (elementos de HTML) dinamicamente em tempo real nos sites hospedados,
que fornecem o cdigo explorado e outros contedos mal-intencionados atravs do kit de
explorao Blackhole.
Como as injees de iframe do DarkLeech ocorrem apenas no momento de uma visita no
site, sinais da infeco podem no ser imediatamente aparentes. Alm disso, para evitar a
deteco do comprometimento, os criminosos usam uma variedade sofisticada de critrios
FIGURA 25
Comprometimentos do servidor DarkLeech por pas, 2013

,5%
,5% Dinamarca
10%
1% Holanda
Irlanda
Reino Unido
3% Canad
58% Estados Unidos
1%
2%
Blgica
Frana
9% Alemanha
1%
,5% Chipre
2% Espanha
Japo
,5% Turquia
,5%
Malsia
2% Itlia
1% Sua
,5% Outros
1% Litunia
2%
Tailndia
1%
Austrlia
2% Cingapura
46
condicionais, por exemplo, injetar o iframe apenas se o visitante chegar de uma pgina de
resultados de mecanismo de pesquisa, no injetar o iframe se o endereo IP do visitante
corresponder ao do proprietrio do site ou provedor de hospedagem, e injetar o iframe
apenas uma vez a cada 24 horas para visitantes individuais.
A investigao da Cisco TRAC/SIO revelou que os comprometimentos do DarkLeech se
estenderam por tudo o mundo; pases com o maior nmero de provedores de hospedagem
naturalmente enfrentaram a maior taxa de infeco.
Os pesquisadores da Cisco SIO/TRAC consultaram milhares de servidores comprometidos
para determinar a distribuio das verses de software de servidor afetadas.
Em abril de 2013, foi detectado outro backdoor mal-intencionado que infectou centenas de
servidores que executam software de servidor HTTP Apache. O Linux/CDorked20 substituiu o
binrio HTTPD em verses do Apache instaladas no cPanel. Backdoors similares direcionados
a Nginx e Lighttpd foram tambm descobertos. To seletivo quanto o DarkLeech em seus
FIGURA 26
Resposta de servidores comprometidos pelo DarkLeech

0.5% Apache/CentOS
2% Apache/2.2.8
7% Apache/2.2.22
8% Apache/2.2.3 RedHat
39% Apache-unspecified
43% Apache/2.2.3 CentOS
47
mtodos de ataque, o CDorked tambm usa critrios condicionais para injetar dinamicamente
iframes em sites hospedados no servidor afetado. Qualquer visitante navegando em um site
afetado recebe ento contedo mal-intencionado de outro site mal-intencionado, onde um kit
de ferramentas de crimeware tenta comprometer ainda mais o PC do usurio.21
Um recurso exclusivo do Linux/CDorked que ele se desloca pelos domnios do site em
24 horas, em mdia. Poucos sites comprometidos so usados por tanto tempo. Assim,
mesmo se um domnio de malware for relatado, os agressores no estaro mais l. Tambm,
com o Linux/CDorked, os provedores de hospedagem so alterados frequentemente (a cada
duas semanas), deslocando-se pelos hosts comprometidos para evitar
deteco. Nameservers comprometidos nos mesmos provedores
de hospedagem permitem que agentes mal-intencionados
passem de host para host sem perder controle de domnios
CDorked
durante a transio. Assim que estiverem em um novo host,
e o DarkLeech parecem
os agressores comeam a percorrer ciclicamente os novos
domnios, usando frequentemente nomes de domnios com
fazer parte de uma
22
erros de digitao em uma tentativa de parecer legtimo a
estratgia muito maior
observadores casuais.
e mais complexa.
A anlise de padres de trfego com CDorked da Cisco

TRAC/SIO sugere uma conexo com o DarkLeech. O URL de
referncia especialmente codificado empregado pelo CDorked
denota especificamente trfego do DarkLeech. Mas essa no a
peculiaridade mais interessante sobre o malware: tanto o CDorked quanto o DarkLeech
parecem fazer parte de uma estratgia muito maior e mais complexa.
"A sofisticao desses comprometimentos sugere que criminosos cibernticos obtiveram

controle significativo sobre milhares de sites e vrios servidores do host, incluindo
nameservers empregados por esses hosts", diz Gavin Reid, diretor de inteligncia de
ameaas da Cisco. "Combinado com a recente enxurrada de ataques de login forado
contra sites individuais, parece que estamos testemunhando uma mudana de mar, onde a
infraestrutura da web est sendo usada de uma forma que pode ser descrita apenas como
um botnet muito grande e poderoso. Esse berbot pode ser usado para enviar spam, distribuir
malware e iniciar ataques DDoS em uma escala jamais vista".
48
Trfego mal-intencionado,
frequentemente um sinal
de ataques direcionados,
detectados em todas as redes
corporativas
De acordo com a anlise da Cisco das tendncias de inteligncia
de ameaas, o trfego mal-intencionado visvel em 100%
das redes corporativas. Isso significa que h evidncia de que
criminosos sofisticados ou outros agentes penetraram nessas
redes e podem estar operando sem serem detectados por
grandes perodos de tempo.
Todas as empresas devem supor que foram hackeadas, ou pelo menos concordar que no
uma questo de "se elas sero alvo de um ataque" e sim "quando" e "por quanto tempo".
[ Em um projeto recente que examina as consultas de DNS (Domain Name Service) originadas
de dentro de redes corporativas, os especialistas em inteligncia de ameaas da Cisco

descobriram que em todos os casos, as empresas mostraram evidncias de que suas redes
foram abusadas ou comprometidas (Figura 27). Por exemplo, 100% das redes empresariais
analisadas pela Cisco tiveram trfego para sites que hospedam malware, enquanto 92%
mostraram trfego para pginas web sem contedo, que geralmente hospedam atividade malintencionada. 96% das redes examinadas mostraram trfego para servidores sequestrados. ]
A Cisco detectou tambm trfego para sites militares ou pblicos dentro de empresas que
geralmente no fazem negcios com esses setores, alm de trfego para sites de reas
geogrficas de alto risco, como pases sob embargo comercial dos Estados Unidos. A
Cisco observou que tais sites podem ser usados devido alta reputao geral desfrutada
por empresas pblicas ou governamentais. O trfego a esses sites pode no ser um sinal
definitivo de um comprometimento, mas para empresas que no negociam normalmente com
o governo ou militares, tal trfego pode indicar que as redes foram comprometidas. Como
consequncia, os criminosos podem utiliz-las para violar sites e redes desses setores.
49
Apesar de seus melhores esforos para manter suas redes livres de ameaas malintencionadas, todas as empresas que a Cisco examinou durante 2013 mostraram evidncia
de trfego suspeito. O trfego identificado atravs de consultas de DNS pode fornecer
forte IoCs e vale a pena ser investigado por empresas que desejem impedir esses agentes
de ameaas, que so difceis de serem identificados, em suas redes. um mtodo para
aumentar a visibilidade da movimentao de criminosos que so geralmente muito difceis de
serem localizados.
FIGURA 27
A penetrao do trfego mal-intencionado

Malware de alto risco
Conexes a domnios que so sites conhecidos

de ameaas de malware ou vetores de ameaas.
100%
Governo e Foras Armadas
Trfego suspeito e excessivo para lugares que

no so geralmente contatados pelo pblico.
100%
Infraestrutura sequestrada
Conexes a infraestruturas sequestradas

conhecidas ou sites comprometidos.
96%
Sites sem contedo
Conexes a sites vazios que podem ter

cdigos para injetar malware em sistemas.
92%
FTP suspeito
Conexes inesperadas em sites de FTP irregulares.
88%
VPN suspeita
Conexes de dentro de uma organizao a

sites de VPN suspeitos.
79%
Educao atravs
de ameaas
Conexes a universidades em locais suspeitos, servindo

como pontos de piv para outros tipos de malware.
71%
Pornografia
Volume muito alto de tentativas de se conectar

a sites pornogrficos conhecidos.
50%
50
RECURSO ESPECIAL DA PESQUISA DE SEGURANA DA CISCO:
Novas peculiaridades do bitsquatting e novas maneiras de impedir ataques

Cybersquatting, a prtica de registrar nomes de domnios que so idnticos ou muito semelhantes a uma marca
distinta, tem sido h muito tempo uma ferramenta de criminosos online. Recentemente, o "bitsquatting," o registro
de nomes de domnio que so diferentes do domnio original por apenas um dgito binrio, se tornou outra maneira
de redirecionar trfego de Internet a sites que hospedam malware ou fraudes.
O bitsquatting uma forma de cybersquatting que tem como alvo erros de bit na memria do computador. Um
erro de memria ocorre sempre que um ou mais bits que so lidos da memria mudam do estado em que foram
previamente escritos. Esses erros na memria podem ocorrer devido a muitos fatores, incluindo raios csmicos
(partculas de alta energia que atingem a Terra com uma frequncia de 10.000 por metro quadrado por segundo), um
dispositivo utilizado fora de seus parmetros ambientais recomendados, defeitos de fabricao e mesmo exploses
nucleares de baixa potncia.
Ao alterar um nico bit, um domnio como "twitter.com" pode se tornar um domnio de bitsquat "twitte2.com". Um
agressor pode simplesmente registrar um domnio de bitsquat, aguardar que um erro de memria ocorra e depois
interceptar trfego de Internet.
Pesquisadores de segurana acreditam que ataques de bitsquatting so mais provveis de ocorrer em nomes de
domnios resolvidos com frequncia, j que esses domnios tm mais probabilidade de aparecerem na memria
quando erros de bit ocorrerem. No entanto, uma recente pesquisa da Cisco previu que domnios anteriormente
no considerados "populares" o bastante para ataques produziro, na realidade, quantidades teis de trfego de
bitsquat. Isso porque a quantidade de memria por dispositivo e o nmero de dispositivos conectados Internet
esto aumentando; de acordo com as estimativas da Cisco, sero 37 bilhes de "coisas inteligentes" conectadas
Internet at 2020.23
Vetores de ataque de bitsquatting
A Cisco TRAC/SIO identificou novos vetores de ataque de bitsquatting, incluindo:
Bitsquatting delimitador de subdomnio: de acordo com a sintaxe aceita para rtulos de nomes de domnio, os
nicos caracteres vlidos em um nome de domnio so A-Z, a-z, 0-9 e o hfen. No entanto, ao verificar domnios
de bitsquat, limitar a busca a esses caracteres negligencia um importante caractere que tambm vlido dentro
de nomes de domnio: o ponto. Uma nova tcnica de bitsquatting conta com erros de bit que resultam em uma
letra "n" (binrio 01101110) se transformando em um ponto "." (binrio 00101110) e vice-versa.
Delimitadores de subdomnio, onde o "n" se transforma em ".": em uma variao da tcnica acima, se um nome de
domnio de segundo nvel contiver a letra "n" e houver dois ou mais caracteres aps a letra "n", ento este ser um
possvel bitsquat. Por exemplo, "windowsupdate.com" se transformaria em "dowsupdate.com."
Bitsquats delimitadores de URL: um contexto popular para nomes de domnio est dentro de um URL. Dentro de
um URL comum, caracteres de barra, como "/" agem como delimitadores, separando o esquema do nome do host
do caminho do URL. O caractere de barra (binrio 00101111) pode, atravs da mudana de um bit, se tornar a letra
"o" (binrio 01101111) e vice-versa.
51
Preveno de ataques de bitsquatting: criao de um RPZ de bitsquat

As duas tcnicas de atenuao que so comumente usadas para evitar bitsquatting tm seu lugar no arsenal de
segurana, mas nenhum dos mtodos ideal:
Usar memria de correo de erros (ECC): toda a base de dispositivos instalados deveria
ser atualizada em todo o mundo, simultaneamente, para tornar essa soluo eficaz.
Registrar os domnios de bitsquat para que nenhum terceiro possa registr-lo: isso nem
sempre possvel, pois muitos domnios de bitsquat populares j foram registrados.
Dependendo do tamanho do nome de domnio, isso tambm pode ser caro.
A boa notcia que essas tcnicas de atenuao no so as nicas que um profissional de segurana pode implantar
para proteger os usurios de direcionar acidentalmente de maneira errada o trfego de Internet. Com adoo
suficiente, as novas atenuaes poderiam eliminar o problema de bitsquatting quase completamente.
Por exemplo, zonas de poltica de resposta (RPZs) so uma opo de configurao desde o BIND verso 9.8.1
e existe uma correo para verses anteriores do BIND. (O BIND um software de DNS de Internet amplamente
utilizado). Os RPZs so arquivos de zona local que permitem que o resolvedor DNS responda a solicitaes
especficas de DNS dizendo que o nome de domnio no existe (NXDOMAIN), redirecionando o usurio a um "jardim
murado" (uma plataforma fechada), ou outras possibilidades.
Para atenuar os efeitos de erros de um bit dos usurios de um resolvedor DNS, o administrador do resolvedor pode
criar um RPZ que protege contra bitsquats de nomes de domnio frequentemente resolvidos ou apenas para uso
interno. Por exemplo, o RPZ pode ser configurado de forma que quaisquer solicitaes feitas ao resolvedor DNS para
variantes de bitsquat desses domnios recebero uma resposta NXDOMAIN, "corrigindo" silenciosamente erros de
bit sem nenhum trabalho por parte do cliente que enfrentou o erro de bit.24
52
Setor
Investigadores da Cisco SIO elevam a discusso em torno das
tendncias do setor que se estendem alm da telemetria da Cisco.
53
Setor
Tentativas de login forado,

uma das tticas favoritas para
comprometer sites
Embora tentativas de login forado no sejam de maneira alguma
uma nova ttica dos criminosos cibernticos, sua utilizao
triplicou na primeira metade de 2013.
No curso da investigao, pesquisadores com Cisco TRAC/SIO descobriram um hub de
dados usado para alimentar tais aes. Ele inclua 8,9 milhes combinaes de nomes
de usurios e possveis senhas, incluindo senhas fortes no apenas a variedade
"password123", que fcil de ser quebrada. Credenciais de usurios roubadas ajudam a
manter essa lista e outras como ela, bem estocadas.
FIGURA 28
Como as tentativas de login forado funcionam
O PC entra em contato com um

"controle e comando" e baixa
um cavalo de Troia.
O PC busca nomes de site

alvo a partir do "controle e
comando".
O PC ataca o site usando vrias

exploraes CMS/tentativas de
login com fora bruta
Quando bem-sucedido, o PC
carrega o bot PHP e outros
scripts para o website
recm-comprometido.
Os websites afetados ento se

tornam transmissores de spam.
As futuras vtimas recebem

o downloader e o ciclo se repete.
54
Setor
[ Os alvos principais de tentativas de login forado so plataformas de sistemas de
gerenciamento de contedo (CMS) amplamente utilizadas, como WordPress e Joomla.

Tentativas bem-sucedidas de obter acesso autorizado atravs de um CMS do aos
agressores a capacidade de carregar backdoors PHP (pr-processador de hipertexto)
e outros scripts mal-intencionados em sites comprometidos. Em alguns casos, o
comprometimento pode permitir que agressores encontrem um caminho a um servidor do
host, que pode ser ento comandado ] (Figura 28).
Considerando a existncia de mais de 67 milhes de sites WordPress em todo o mundo
e que os publicadores esto usando a plataforma para criar blogs, sites de notcias, sites
de empresas, revistas, redes sociais, sites de esportes, etc., no
nenhuma surpresa que muitos criminosos online tm como objetivo
obter acesso atravs desse CMS.25 A Drupal, uma plataforma de
CMS em rpido crescimento, tambm foi alvo nesse ano; por
exemplo, em maio, os usurios foram avisados a trocarem
Muitos criminosos
suas senhas, pois "acesso no autorizado [ Drupal] foi
online tm como
efetuado atravs de software de terceiros na infraestrutura
objetivo ganhar acesso
do servidor Drupal.org".26
atravs de CMS.
Mas no apenas a popularidade desses sistemas que

os tornam alvos desejveis. Muitos desses sites (embora
ativos) tm sido em grande nmero abandonados por seus
proprietrios. H provavelmente milhes de blogs abandonados
e domnios comprados inativos, e muitos deles agora pertencem a
criminosos cibernticos. Os especialistas de segurana da Cisco preveem que o problema s
ir piorar medida que mais e mais pessoas em mercados emergentes de Internet em todo o
mundo criam blogs ou sites, apenas para deix-los definhar mais tarde.
A ampla utilizao de plugins, que so projetados para ampliar as funes de um CMS
e potencializar vdeos, animaes e jogos, tambm est provando ser uma ddiva para
malfeitores que procuram obter acesso no autorizado plataformas como WordPress e
Joomla. Muitos comprometimentos de CMS observados pelos pesquisadores da Cisco em
2013 podem ser rastreados a plugins escritos na linguagem de script web PHP que foi mal
projetada, sem nenhuma preocupao com a segurana.
55
AMPLIFICAO DE DNS:
Tcnicas de atenuao
[Ataques lanados atravs da
amplificao de DNS continuaro

sendo uma preocupao em 2014,
de acordo com especialistas de
segurana da Cisco. A Open Resolver
Project (openresolverproject.org)
relata que em outubro de 2013, 28
milhes de "open resolvers" na
Internet representavam uma "ameaa
significativa". (Considere que o
ataque DDoS do Spamhaus de 300
Gbps usou apenas 30.000 open
resolvers).
Se um resolvedor estiver aberto, isso

significa que ele no est filtrando
para onde est enviando respostas.
O DNS usa protocolo UDP, que no
tem estado, o que significa que uma
solicitao pode ser feita em nome de
outra parte. Essa parte ento recebe
uma quantidade maior de trfego. Por
isso, identificar "open resolvers" (e
efetuar aes para fech-los) algo
com que o setor ter que lidar por
algum tempo no futuro.
As empresas podem reduzir a
chance de um ataque lanado por
amplificao de DNS de vrias
maneiras, incluindo implementar a
melhor prtica em vigor (BPC) de
fora-tarefa de engenharia 38 para
evitar ser a fonte de ataques. Essa
BPC recomenda que os provedores
upstream de conectividade IP filtrem
pacotes que entram em suas redes
de clientes downstream e descartem
quaisquer pacotes que tiverem um
endereo de origem no alocado a
Setor
Ataques DDoS: o
que era velho voltou
a ser novidade
Ataques DDoS (Distributed Denial of
Service), que podem interromper o trfego
de entrada e sada dos sites atacados e
paralisar ISPs (provedores de servios de
Internet), tm aumentado em volume e
gravidade.
Como os ataques DDoS tm sido considerados "notcias
antigas" em termos de tcnicas de crime ciberntico,
muitas empresas estavam confiantes de que as medidas
de segurana implantadas poderiam fornecer proteo
adequada. Mas essa confiana foi abalada por ataques
DDoS de grande escala em 2012 e 2013, incluindo a
Operao Ababil, que teve como alvo vrias instituies
financeiras, com provvel motivao poltica.27
"Ataques DDoS devem ser uma das principais preocupaes
de segurana para as empresas no setor pblico e privado
em 2014", diz John N. Stewart, vice-presidente snior e
chefe de segurana da Cisco. "Espera-se que as campanhas
futuras sejam ainda mais extensas e que durem por perodos
mais longos. Empresas, especialmente aquelas que operam
ou tm interesse em setores que j so alvos principais, como
servios financeiros e de energia, precisam se perguntar:
"podemos ser resilientes contra um ataque DDoS?"
Uma nova peculiaridade: alguns ataques DDoS esto
sendo provavelmente usados para ocultar outras atividades
nefastas, como fraudes eletrnicas, antes, durante ou aps
uma campanha. (Consulte "DarkSeoul," pgina 57).
Esses ataques podem sobrecarregar as equipes do
56
Setor
esse cliente.30 A BPC foi criada em

coautoria pela Cisco, que oferece
diretrizes sobre implantao de uRPF
e sua execuo.31
Outra tcnica de atenuao
configurar todos os servidores DNS
autorizados para usar limitao de
taxa. O nameserver autorizado, que
serve o domnio de uma empresa,
geralmente aberto a todas as
solicitaes. A limitao de taxa
de resposta DNS (DNS RRL) um
recurso que pode ser ajustado para
evitar que um servidor DNS responda
mesma pergunta da mesma
entidade muitas vezes, protegendo
assim a empresa de ser usada
como um intermedirio em ataques
DDoS. O DNS RRL habilitado em
servidores DNS e uma maneira
de um administrador de servidor
limitar a eficcia da utilizao de um
servidor por agressores em ataques
de amplificao. A limitao de taxa
de resposta DNS um recurso mais
recente e no comportado por
todos os servidores DNS; no entanto,
ela comportada pelo ISC BIND, um
servidor DNS popular.
Alm disso, todos os servidores DNS
recursivos precisam ser considerados
com uma lista de controle de
acesso (ACL), para que eles possam
responder apenas a consultas de
hosts em sua prpria rede. Um
ACL mal gerenciado pode ser um
fator primrio em ataques DNS,
especialmente em grandes servidores
com grandes quantidades de largura
de banda disponvel. Essa tcnica
banco, impedir notificaes de transferncias a clientes

e que eles denunciem fraudes. E, no momento que uma
instituio se recuperar de tal evento, ela no poder
recuperar suas perdas financeiras. Um desses ataques,
que ocorreu em 24 de dezembro de 2012, teve como alvo
uma instituio financeira regional da Califrnia e "ajudou a
distrair os funcionrios do banco da tomada de uma conta
online de um de seus clientes, dando aos ladres mais de
US$900.000".28
O conhecimento para comprometer servidores do host, que
se aprofunda cada vez mais rapidamente, apenas tornar
mais fcil para que criminosos cibernticos lancem ataques
DDoS e roubem das empresas atacadas (consulte "Fraturas
em um ecossistema frgil", pgina 43). Ao comandar
uma parte da infraestrutura da Internet, os agentes malintencionados podem tirar vantagem de grandes quantidades
de largura de banda, que oferecem a eles uma posio para
lanar qualquer nmero de campanhas importantes. Isso
j est acontecendo: em agosto 2013, o governo chins
informou que o maior ataque DDoS j enfrentado desligou a
Internet chinesa por cerca de quatro horas.29
At mesmo spammers esto usando ataques DDoS
para contra-atacar empresas que eles creem que esto
atrapalhando sua gerao de receita. Em maro de 2013,
a organizao sem fins lucrativos Spamhaus (que rastreia
spammers e criou a lista de bloqueio Spamhaus, um
diretrio de endereos IP suspeitos) foi alvo de um ataque
DDoS que desligou temporariamente seu site e reduziu o
trfego de Internet em todo o mundo. Alegou-se que os
agressores eram afiliados ao CyberBunker, um provedor
de hospedagem com sede na Holanda com termos de uso
permissivos, e o STOPhaus, que expressou publicamente
sua antipatia pelas atividades do Spamhaus. O ataque DDoS
ocorreu aps o amplamente utilizado servio Spamhaus
ter includo o CyberBunker em sua lista negra. Em uma
aparente retaliao, spammers suspeitos tentaram colocar o
Spamhaus off-line atravs de um ataque DDoS.
57
Setor
tambm ajuda a reduzir as chances

de se tornar um intermedirio em um
ataque DDoS.
"Como h discusso no setor de
segurana em torno de se permitir
que nameservers autorizados
desativem servios a entidades que
se tornam intermedirios em ataques
DDoS, as empresas devem empregar
as tcnicas de atenuao simples
descritas acima", diz Gavin Reid,
diretor de inteligncia de ameaas da
Cisco.
Para obter mais informaes sobre
as melhores prticas de DNS,
consulte "Melhores prticas de DNS,
protees de rede e identificao de
ataques": http://www.cisco.com/web/
about/security/intelligence/dns-bcp.
html.
Esse incidente de DDoS empregou um ataque de

amplificao de DNS, que explora open resolvers de DNS
que respondem at mesmo consultas fora de sua faixa de IP.
Ao enviar a um open resolver uma consulta deliberadamente
formada e muito pequena com um embuste de endereo
de origem do alvo, os agressores conseguem evocar
uma resposta significativamente maior ao alvo planejado.
Depois que as tentativas iniciais de colocar o Spamhaus
off-line falharam, os agressores empregaram um ataque
de amplificao de DNS direcionado Camada 1 e outros
provedores upstream do SpamHaus.
DarkSeoul
Como observado em "Ataques DDoS: o
que era velho voltou a ser novidade", o
novo foco dos criminosos cibernticos e o
crescimento rpido do conhecimento em
comprometer servidores do host esto
apenas facilitando lanar ataques DDoS e
roubar as empresas.
Os pesquisadores de segurana da Cisco alertam que as
campanhas futuras de DDoS tero mais probabilidade de
causar interrupes e danos mais significativos, incluindo
prejuzo financeiro, devido ao roubo.
Os ataques direcionados do DarkSeoul de maro de 2013
envolveram um malware "apagador" destinado a destruir
dados nos discos rgidos de dezenas de milhares de PCs
e servidores. Os ataques foram direcionados a instituies
financeiras e empresas de mdia na Coreia do Sul, com o
payload definido para ser ativado ao mesmo tempo. No
entanto, o malware apagador parece ser apenas uma faceta
do ataque. Ao mesmo tempo em que o malware foi disparado,
o site do provedor de rede coreano LG U+ foi desfigurado
e as redes de outras empresas atacadas comearam a cair,
recursos no reproduzveis no malware apagador.32
58
Setor
Alguns acreditam que os ataques foram resultado de uma guerra ciberntica instituda pela
Coreia do Norte para causar uma interrupo econmica Coreia do Sul ou um ato de
sabotagem por outra nao. Mas existe a possibilidade de que os ataques do DarkSeoul
tiveram como objetivo ocultar ganhos financeiros.33
Os pesquisadores de segurana ainda esto tentando compreender esses ataques e
descobrir quem foi responsvel por eles, porm, as evidncias indicam que os planos do
DarkSeoul podem ter sido colocados em prtica desde 2011. Nesse ano, o FBI (Federal
Bureau of Investigation) dos EUA emitu o primeiro alerta sobre o surgimento de cavalos de
troia bancrios projetados para ocultar a transferncia de fundos fraudulentos das contas
das vtimas.34 Depois, em 2013, a empresa de segurana RSA relatou uma nova linhagem
de criminosos cibernticos construindo uma campanha de cavalo de troia sofisticada que
poderia iniciar um ataque em um dia programado e tentar "sacar o mximo possvel de
contas comprometidas, antes que suas operaes fossem interrompidas por sistemas de
segurana".35 E, na vspera de natal de 2012, ladres online usaram um ataque DDoS como
disfarce enquanto roubavam de uma instituio financeira regional da Califrnia,36
Um binrio de malware identificado nos ataques do DarkSeoul, que teve como alvo empresas
de mdia e instituies financeiras, um cavalo de troia bancrio que teve como alvo
especfico os clientes dos mesmos bancos coreanos, de acordo com os investigadores da
Cisco TRAC/SIO. Esse fato, junto com o cronograma de tendncias de crime ciberntico que
levaram ao DarkSeoul, indica que a campanha pode ter sido roubo disfarado de outra coisa.
Ransomware
[ Ao longo de 2013, os agressores foram se afastando cada
vez mais de infeces conduzidas por botnet tradicionais

em PCs. Parte dessa mudana incluiu o aumento de uso
de ransomware como payload final de malware de sites
comprometidos, e-mails mal-intencionados e cavalos de troia
de downloaders. Ransomware uma categoria de malware
que evita a operao normal de sistemas infectados at que
uma taxa prescrita seja paga. ]
Ao longo de 2013,
os agressores foram se
afastando cada vez mais
de infeces conduzidas
por botnet tradicionais
em PCs.
O ransomware fornece um fluxo difcil de rastrear, embora

direito, aos agressores sem exigir o uso de servios arrendados
intermedirios, como aqueles fornecidos pelos botnets tradicionais. Os
agressores mimetizam economias locais legtimas que assistiram a um aumento significativo
em direito de propriedade exclusivo, como resultado de perdas de emprego e revezes
59
Setor
econmicos, mas a motivao dos criminosos cibernticos a perda da disponibilidade de

botnet e kits de explorao acessveis devido a derrubadas.
No outono de 2013, um novo tipo de ransomware, apelidado de CryptoLocker, comeou a
criptografar arquivos das vtimas com uma combinao de pares de chave de 2048-bit RSA e
AES-256, considerados impossveis de serem quebrados. Alm disso, o CryptoLocker move
arquivos alm da mquina local para incluir tipos de arquivo correspondentes em qualquer
unidade mapeada que possa ser gravada. Mediante a concluso da rotina de criptografia,
as vtimas veem uma srie de caixas de dilogo que fornecem instrues detalhadas
para pagamento do resgate (Figura 29). Apresenta-se tambm uma contagem regressiva
instruindo a vtima a pagar dentro de um tempo especfico (variando de 30 a 100 horas). O
dilogo alerta tambm que se o resgate no for pago no tempo alocado, a chave privada ser
excluda do servidor de controle e comando, o que far com que a chance de descriptografar
os arquivos seja perdida.
O CryptoLocker surgiu em meados de outubro, possivelmente em resposta perda dos kits
de explorao Blackhole e Cool, aps a priso do autor alegado dessas estruturas.
FIGURA 29
Instrues de resgate do CryptoLocker
60
Setor
A falta de talentos de segurana

e lacunas das solues
[ A sofisticao da tecnologia e das tticas usadas por criminosos
online (e suas tentativas contnuas de violar a segurana da rede
e roubar dados) superaram a capacidade dos profissionais de TI e
segurana de enfrentarem as ameaas. A maioria das empresas
no tem as pessoas ou sistemas para monitorar suas redes
constantemente e para determinar como elas so infiltradas. ]
A falta de talentos de segurana piora o problema: mesmo com
oramentos generosos, os CISOs lutam para contratar pessoas
com habilidades de segurana atualizadas. Estima-se que
at 2014, ainda faltaro mais de um milho de profissionais
de segurana em todo o mundo ao setor. Os profissionais
de segurana com conhecimentos em cincias de dados
tambm so escassos; compreender e analisar dados de
segurana pode ajudar a melhorar o alinhamento com os
objetivos comerciais. (Consulte o apndice na pgina 68,
"As empresas de segurana precisam de cientistas de dados:
ferramentas introdutrias de anlise dados para profissionais de
segurana")
OS CISOs lutam para

contratar pessoas com
habilidades de segurana
atualizadas.
61
Setor
A nuvem como um novo

permetro
Como os CISOs contam aos especialistas de segurana da Cisco
(consulte a pgina 18), mover quantidades cada vez maiores de
dados empresariais importantes nuvem uma preocupao de
segurana crescente.
A revoluo da nuvem diz Michael Fuhrman, vice-presidente de engenharia da Cisco,
comparvel ao aumento de solues na web no final dos anos 1990.
"Foi uma mudana radical no uso empresarial da nova tecnologia
e, ao mesmo tempo, assistimos a um aumento nos ataques
online dos criminosos", diz Fuhrman. "Hoje, a mudana radical
O crescimento da
vem da nuvem. No s as empresas hospedam muitos
computao em nuvem
de seus aplicativos essenciais na nuvem, como tambm
inegvel e no pode ser
elas usam a nuvem para consumir e analisar informaes
empresariais essenciais".
freada.
O crescimento da computao em nuvem inegvel e no
pode ser freada. A Cisco projetou que o trfego de rede em
nuvem aumentar mais de trs vezes at 2017.37
[ De 2014 em diante, os profissionais de segurana podem esperar ver
permetros corporativos inteiros mudando para a nuvem. Essas bordas de rede passaram pelo
processo de se tornarem muito menos bem definidas nos anos recentes. Mas, com tantos
aplicativos e tantos dados na nuvem, as empresas esto perdendo rapidamente a capacidade
de ver quem e o que est entrando e saindo das fronteiras corporativas, e que tipo de aes
esto efetuando. ]
A transio para a nuvem muda o jogo, pois ela redefine onde os dados so armazenados,
movido e acessados, criando oportunidades maiores para os agressores.
Colaborando ainda mais com o medo de ceder o controle de dados nuvem, temos a falta de
informaes sobre como os fornecedores de nuvem defendem seus produtos contra violaes
de segurana. Frequentemente, as empresas no perguntam o suficiente sobre o que est
contido nos nveis de acordo de servios de seus fornecedores, ou com qual frequncia os
fornecedores atualizam seu software de segurana ou corrigem suas vulnerabilidades.
62
Setor
As empresas precisam de garantias que um fornecedor de nuvem esteja usando as

ferramentas e estratgias mais sofisticadas disponveis para frustrar ataques, ou para detectlos e impedi-los quando estiverem em andamento. Para as equipes de segurana, a deciso
de avanar frequentemente se resume a uma pergunta: "que controles devo procurar em um
provedor para confiar a ele o gerenciamento e a proteo dos meus dados?"
No outro lado do muro, os provedores de nuvem lutam para identificar e implantar
um conjunto gerencivel de controles mapeados a um nmero cada vez maior de
regulamentos internacionais, que so necessrios para lidar com um ambiente de
ameaas cada vez mais hostil.
"Ao escolher fornecedores de segurana e infraestrutura essencial, compramos
frequentemente com base em qualificaes e reputao tcnicas", diz John N. Stewart,
vice-presidente snior e chefe de segurana da Cisco. "Ultimamente, o processo e a
abordagem de segurana em evoluo do fornecedor tambm se tornaram fatores cada vez
mais importantes".
Coincidentemente, as poucas coisas que tornam a nuvem uma ameaa (como o local fora
do permetro da rede e o aumento do uso da nuvem para dados essenciais da empresa)
podem permitir que as empresas tomem decises de segurana mais precisas e quase
em tempo real. Com mais trfego passando pela nuvem, as solues de segurana que
tambm dependem da nuvem podem analisar esse trfego de maneira rpida e fcil, e obter
essa informao complementar. Alm disso, para empresas menores ou com restries
oramentrias, um servio de nuvem bem protegido e gerenciado pode oferecer mais
protees de segurana do que os prprios servidores e firewalls da empresa.
"Ao escolher fornecedores de segurana e

infraestrutura essencial, compramos frequentemente
nos baseando em qualificaes e reputao
tcnicas. Ultimamente, o processo e a abordagem de
segurana em evoluo do fornecedor tambm se
tornaram fatores cada vez mais importantes".
John N. Stewart, vice-presidente snior e chefe de segurana da Cisco
63
Recomendaes
Mais empresas esto lutando para solidificar uma viso de segurana
apoiada por uma estratgia eficaz que usa novas tecnologias, simplifica
sua arquitetura e operaes e fortalece suas equipes de segurana.
64
Recomendaes
Objetivos para 2014:

verificao de confiabilidade e
melhoria de visibilidade
Hoje, em um ambiente onde o nvel de confiana associado
uma rede ou dispositivo deve ser avaliado dinamicamente, as
empresas enfrentam modelos de segurana fragmentados que
oferecem aplicaes de poltica inconsistentes, inteligncia de
ameaas isolada e uma proliferao de fornecedores e produtos a
serem gerenciados.
As conexes entre empresas, os dados e os ataques avanados lanados por agentes malintencionados so simplesmente complexos demais para um nico dispositivo enfrentar.
E a maioria das empresas no tem o pessoal de segurana com o conhecimento e a
experincia necessrios para ajud-los a adaptar seus modelos de segurana aos desafios (e
oportunidades) apresentados pela computao em nuvem, mobilidade e outras maneiras de
fazer negcios, impulsionadas por avanos tecnolgicos.
No ano passado, empresas de todos os tipos lutaram para compreender como poderiam
adotar a inovao sem criar novas brechas de segurana ou aprofundar as que j existiam.
O ano de 2013 tambm colocou o problema da confiana em primeiro plano. Agora, h
uma maior probabilidade de que usurios de todos os tipos questionem a confiabilidade da
tecnologia com que eles contam todos os dias, seja no trabalho ou em sua vida pessoal.
Dessa maneira, muito importante que os fornecedores de tecnologia ajudem a garantir
aos clientes a segurana como prioridade em seus processos de fabricao e estejam
preparados para apoiar essas garantias.
["Estamos em uma transio de mercado onde a confiana importante e o processo e a
tecnologia devem ser caractersticas integrais do design do produto de um fornecedor para

atender s necessidades das ameaas atuais", diz o chefe de segurana da Cisco John N.
Stewart. "A promessa de uma empresa insuficiente. As empresas precisam de verificao
atravs de produtos certificados, processos de desenvolvimento integrados, tecnologia
inovadora e posio de respeito no setor. As empresas tambm precisam tornar uma
prioridade contnua, a verificao da confiabilidade dos produtos tecnolgicos que utilizam e
dos fornecedores que os fornecem". ]
65
Recomendaes
Melhorar o alinhamento entre as operaes de segurana e os objetivos empresariais

tambm uma medida importante para o fortalecimento da segurana empresarial. Em um
clima de recursos limitados e oramentos baixos, esse alinhamento pode ajudar os CISOs e
outros executivos de segurana na empresa a identificarem os principais riscos e as corretas
abordagens de atenuao. Parte desse processo aceitar o fato de que nem todos os
recursos corporativos podem ser totalmente protegidos, o tempo todo. "Cheguem a um
acordo sobre o que mais importante do ponto de vista da segurana ciberntica", diz Gavin
Reid, diretor da inteligncia de ameaas da Cisco. " uma abordagem mais produtiva do que
esperar encontrar uma poo mgica que possa curar tudo".
Para enfrentar os desafios de segurana de frente, as empresas precisam examinar seu
modelo de segurana como um todo e ter visibilidade em todo o contnuo do ataque:
Antes de um ataque: para defender sua rede, as empresas precisam saber o que ela
contm: dispositivos, sistemas operacionais, servios, aplicativos, usurios, etc. Alm disso,
eles precisam implantar controles de acesso, aplicar polticas de segurana e bloquear
aplicativos e acesso geral a ativos cruciais. No entanto, as polticas e controles so apenas
uma pequena pea de um panorama maior. Essas medidas podem ajudar a reduzir a rea
de superfcie de ataque, mas haver sempre lacunas que os agressores encontraro e
exploraro para atingir seus objetivos.
Durante um ataque:as empresas precisam lidar com uma ampla variedade de vetores de
ataque com solues que operam em todos os lugares em que uma ameaa possa se
manifestar na rede, em endpoints, de dispositivos mveis e em ambientes virtuais. Com
solues eficazes implantadas, os profissionais de segurana estaro melhor posicionados
para bloquear ameaas e ajudar a defender o ambiente.
Aps um ataque: invariavelmente, muitos ataques sero bem sucedidos. Isso significa que
as empresas precisam ter um plano formal implantado que as permitir determinar o escopo
do dano, conter o evento, remediar e trazer as operaes para dentro da normalidade o
mais rpido possvel.
[ "Os agressores e suas ferramentas avanaram para escapar das defesas tradicionais. A
realidade que no se trata mais de saber se os agressores sero bem-sucedidos e
sim, quando", diz Marty Roesch, arquiteto-chefe de segurana do Grupo de segurana da
Cisco. "Uma abordagem segurana focada em ameaas e concentrada na visibilidade
necessria para proteger os usurios durante todo o processo de ataqueantes, durante e
depois de um ataque". ]
66
Recomendaes
Como os servios ajudam a atender aos desafios de segurana

Com uma superfcie maior de ataque, a maior proliferao e sofisticao de modelos de ataque e o crescimento da
complexidade dentro da rede, mais empresas esto lutando para solidificar uma viso de segurana que utiliza novas
tecnologias, simplifica sua arquitetura e operaes, e fortalece sua equipe.
A falta de talentos de segurana, discutida na pgina 60, complica esses problemas. Alm disso, o setor de
segurana est inovando muito rpido e as empresas no conseguem seguir esse ritmo para adotar e operacionalizar
essas novas ferramentas.
Encontrar o talento certo para lidar da forma correta com o panorama de segurana em evoluo pode ser um
desafio. Trazer recursos externos complementares pode no s reduzir custos, como tambm permitir que a
empresa libere recursos para focar em outras prioridades mais importantes.
Fortalecimento da cadeia onde ela se enfraquece

Evitar ameaas de suma importncia para manter a segurana ciberntica. Por isso, com mais criminosos online
mudando seu foco para o comprometimento da infraestrutura de Internet, em vez de computadores individuais, os
especialistas em segurana da Cisco recomendam que ISPs e empresas de hospedagem assumam um papel mais
ativo em ajudar a proteger a integridade da Internet.
Identificar ameaas de difcil deteco, como o DarkLeech e Linux/CDorked (consulte a pgina 45) exige muito mais
"capacidade de resposta humana" por parte dos provedores de hospedagem. Tal capacidade de resposta inclui a
investigao completa de relatrios dos usurios e lev-los a srio. Os provedores tambm precisam estabelecer
melhores controles para se certificarem de que podem verificar a integridade das instalaes de sistema operacional
de seus servidores. Os investigadores da Cisco dizem que com malwares furtivos, como o CDorked, as equipes de
segurana no tem como saber se o binrio foi substitudo, se um controle no tiver j sido implantado para verificar
a integridade da instalao.
Sistemas de usurios individuais so suscetveis a serem comprometidos, mas o enfraquecimento na cadeia
geralmente comea muito antes de uma ameaa atingi-la. Agora, com mais frequncia, o ataque acontece no meio
da cadeia, que o motivo pelo qual os provedores precisam estar mais conscientizados sobre possveis ameaas
que atacam a infraestrutura da Internet.
67
Apndice
68
Apndice
As empresas de segurana
precisam de cientistas de
dados
Ferramentas introdutrias de anlise dados para profissionais de
segurana
As equipes do chefe de segurana (CSO) esto coletando uma quantidade sem precedentes
de dados e a inteligncia capturada nesses dados valiosa demais para ficar sem ser
utilizada. A anlise dos dados pertinentes segurana proporciona dicas sobre as atividades
dos agressores e d uma percepo acionvel sobre como frustrar ataques.
A anlise de dados no novidade ao profissional de segurana. H tambm uma expectativa
entre os profissionais de segurana de que os registros sero gerados e rotulados. Testadores
de penetrao criam um registro da investigao aps uma avaliao. Projetistas de sistemas
operacionais implantam subsistemas de auditoria. Desenvolvedores de
aplicativos projetam aplicativos que gerenciam logs.
Independentemente de como os registros so chamados, uma
coisa certa: os profissionais de segurana tm uma grande
quantidade de dados e analisar esses dados pode levar a
descobertas importantes.
Embora a anlise dados, por si s, no seja novidade, a
evoluo do panorama da segurana teve um impacto no
processo da anlise de dados.
Os profissionais
de segurana tm
uma grande quantidade
de dados e analisar esses
dados pode levar
a descobertas
importantes.
O grande volume de dados gerados impressionante.

A frequncia com a qual a anlise de dados de ad hoc necessria
est aumentando.
Relatrios padronizados, embora teis, so insuficientes.
69
Apndice
Felizmente, a barreira de entrada dos profissionais de segurana anlise de dados, mesmo

nesse ambiente mais complexo, pequenae o ecossistema de ferramentas de anlises de
dados muito rico. A seguir, encontra-se um resumo de algumas ferramentas disponveis
gratuitamente que os profissionais podem utilizar para iniciar a anlise de dados.
Anlise de trfego com Wireshark e Scapy

Duas ferramentas que se sobressaem na realizao de anlise de trfego so Wireshark
e Scapy. O Wireshark dispensa apresentaes. O Scapy uma ferramenta baseada no
Python que pode ser usada como um mdulo do Python ou interativamente para elaborar ou
inspecionar trfego.
O farto conjunto de ferramentas de linha de comando e dissecadores de protocolos do
Wireshark o tornam indispensvel. Por exemplo, com o uso do campo de filtro de exibio tcp.
stream do Wireshark, um arquivo pcap que contm vrios streams TCP pode ser quebrado
em arquivos menores, cada um deles contendo todos os pacotes que pertencem a um nico
stream TCP.
A Figura A1 mostra esse comando que imprime o ndice de stream TCP dos cinco primeiros
pacotes TCP em traffic_sample.pcap.
FIGURA A1
O comando tshark para extrair o ndice tcp.stream
tshark -r traffic_sample.pcap -T fields -e tcp.stream tcp | head -n 5
tshark uma das

ferramentas da linha de
comando do Wireshark.
tcp.stream refere-se ao campo

de ndice de stream dos filtros de
exibio TCP.
70
Apndice
Com esse conhecimento, uma pessoa pode escrever um script que dividir traffic_sample.
pcap em arquivos pcap individuais:
$ cat ~/bin/uniq_stream.sh
#!/bin/bash
function getfile_name() {
orig_name=$1
stream=$2

file_name="$(echo $orig_name | cut -d. -f1)"
file_name+="-${stream}.pcap"

echo "${file_name}"
return 0
}
streams=$(tshark -r ${1} -T fields -e tcp.stream | sort -un | tr \n )
for x in ${streams}
do

file_name=$(getfile_name ${1} ${x})
echo "Creating ${file_name}..."
tshark -r ${1} -w $file_name tcp.stream eq ${x}
done
$
O script cria um nico arquivo pcap para cada um dos 147 streams TCP em traffic_sample.
pcap. Agora mais fcil fazer anlises mais detalhadas em cada stream TCP. Observe
que pacotes que no so TCP de traffic_sample.pcap no estaro em nenhum dos novos
arquivos pcap:
$ /bin/uniq_stream.sh traffic_sample.pcap
Creating traffic_sample-1.pcap...
71
Apndice
O Scapy tem seus prprios pontos fortes. Desde o seu desenvolvimento em Python, todos
os recursos da linguagem Python e outras ferramentas Python podem ser usadas. O snippet
a seguir demonstra como o Scapy faz uso da sobrecarga do operador de forma que a
elaborao de trfego pode ser feita de maneira rpida e intuitiva.
# scapy
>>> dns_query = IP()/UDP()/DNS()
>>> from socket import gethostbyname,gethostname
>>> dns_query[IP].src = gethostbyname(gethostname())
>>> dns_query[IP].dst = "8,8.8,8"
>>> import random
>>> random.seed()
>>> dns_query[UDP].sport = random.randint(0, 2**16)
>>> dns_query[DNS].id = random.randint(0, 2**16)
>>> dns_query[DNS].qdcount = 1
>>> dns_query[DNS].qd = DNSQR(qname="www.cisco.com")
>>> scapy.sendrecv.sr1(dns_query)
>>> response = scapy.sendrecv.sr1(dns_query)
Begin emission:
............Finished to send 1 packets.
.*
Received 14 packets, got 1 answers, remaining 0 packets
>>> response[DNS].ar[DNSRR].rdata
64.102.255.44
>>>
Este exemplo mostra como os pacotes podem ser construdos e como o trfego ao vivo
pode ser analisado. No entanto, o Scapy pode ser usado para analisar arquivos pcap com a
mesma facilidade.
72
Apndice
Anlise de dados CSV

Valores separados por vrgula (CSV) um formato popular para troca de dados. Muitas
ferramentas (incluindo o tshark) permitem que o usurio exporte dados em formato CSV.
Normalmente, os profissionais de segurana usam programas de planilhas, como o Excel,
para analisar dados CSV. Tambm frequentemente possvel usar ferramentas de linha de
comando como grep, cut, sed, awk, uniq e sort.
Considere a utilizao de csvkit como alternativa. O Csvkit fornece vrios utilitrios que
facilitam o processamento de dados CSV a partir da linha de comando. Examine o arquivo
CSV a seguir e observe como fcil encontrar todas as linhas que tm o host tty.example.org
na coluna src:
$ head -n 3 tcp_data.csv
src,srcport,dst,dstport
"tty.example.org","51816","vex.example.org","443"
"vex.example.org","443","tty.example.org","51816"
$ csvgrep -n tcp_data.csv

1: src
2: srcport
3: dst
4: dstport
$ csvgrep -c 1 -r tty\.example\.org tcp_data.csv | head -n 5

src,srcport,dst,dstport
tty.example.org,51816,vex.example.org,443
tty.example.org,51816,vex.example.org,443
tty.example.org,51427,paz.example.org,5222
tty.example.org,51767,bid.example.org,80
73
Apndice
O Csvkit inclui uma srie de utilitrios. O Csvstat especialmente til, pois ele computa
automaticamente vrias estatsticas. Por exemplo, fcil calcular a frequncia dos cinco
principais hosts src:
$ csvstat -c 1 tcp_data.csv
1. src
<type unicode>
Nulls: False
Unique values: 55
5 most frequent values:

tty.example.org: 2866
lad.example.org: 1242
bin.example.org: 531
trw.example.org: 443
met.example.org: 363
Max length: 15
Row count: 6896
Matplotlib, Pandas, IPython e outros

Um amplo conjunto de ferramentas de anlise e visualizao de dados em Python est
disponvel. Um local excelente para descobrir essas ferramentas o site SciPy (http://www.
scipy.org). Os pacotes Matplotlib, pandas e IPython so especificamente interessantes:
O Matplotlib possibilita visualizao fcil e simples.

Pandas oferecem ferramentas para manipular e examinar dados brutos.
O IPython traz recursos ao interpretador Python que facilitam a anlise interativa de dados.
74
Apndice
O exemplo a seguir demonstra como os profissionais de segurana podem usar essas trs
ferramentas para representar graficamente os principais hosts src em tcp_data.csv:
In [3]: df = read_csv("/Users/shiva/tmp/data_analysis/tcp_data.csv")
In [4]: df
Out[4]:
<class pandas.core.frame.DataFrame>
Int64Index: 6896 entries, 0 to 6895
Data columns (total 4 columns):
src 6896 non-null values
srcport 6896 non-null values
dst 6896 non-null values
dstport 6896 non-null values
dtypes: int64(2), object(2)
In [5]: df[src].value_counts()[0:10]
Out[5]:
tty.example.org 2866
lad.example.org 1242
bin.example.org 531
trw.example.org 443
met.example.org 363
gee.example.org 240
gag.example.org 126
and.example.org 107
cup.example.org 95
chi.example.org 93
dtype: int64
In [6]: df[src].value_counts()[0:10].plot(kind="bar")
Out[6]: <matplotlib.axes.AxesSubplot at 0x8479c30>
75
Apndice
FIGURA A2
Grfico gerado usando Plot ()

3000
2500
2000
1500
1000
500
chi.example.org
cup.example.org
and.example.org
gag.example.org
gee.example.org
met.example.org
trw.example.org
bin.example.org
lad.example.org
tty.example.org
A beleza dos pandas a maneira que eles permitem a explorao dos dados pelos usurios.
Por exemplo, pouco esforo necessrio para encontrar o nmero de srcports nicos que
ty.example.org conecta de cada combinao dst e dstport exclusiva, com que ele se comunica:

In [229]: tty_df = df[df.src == "tty.example.org"]
In [230]: num_ports = lambda x: len(set(x))
In [231]: pivot_table(tty_df, rows=[dst,dstport], values=srcport, aggfunc=num_ports)
Out[231]:

dst dstport
add.example.org 80 2
ala.example.org 80 3
and.example.org 80 1
auk.example.org 80 2
bid.example.org 80 1
76
Apndice
Iniciar a anlise de dados

Os exemplos nas pginas anteriores mal so s para ter uma ideia da atual situao e no
fazem justia s ferramentas referenciadas. No entanto, eles so suficientes para que os
profissionais de segurana comecem a executar anlises de dados significativas.
Os CSOs precisam fazer com que seus profissionais de segurana ajam como cientistas.
A anlise dos dados disponveis produzir percepes que no seriam possveis de
outra maneira. Ao longo do tempo, a intuio sobre quais partes dos dados explorar ser
desenvolvida. Algumas empresas podem at mesmo descobrir que elas podem se beneficiar
de ter cientistas de dados dedicados em suas equipes.
77
Sobre o Cisco SIO
78
Sobre o Cisco SIO
Cisco SIO
Gerenciar e proteger as redes distribudas e geis de hoje
tornou-se um desafio cada vez mais difcil.
Os criminosos online continuam a explorar a confiana dos usurios em aplicaes e
dispositivos de consumo, aumentando o risco para as empresas e funcionrios. A segurana
tradicional, baseada em camadas de produtos e no uso de vrios filtros, no suficiente para
a defesa contra a mais recente gerao de malwares, que se espalha rapidamente, tem alvos
mundiais e usa vrios vetores para se propagar.
A Cisco se mantm frente das mais novas ameaas, usando a inteligncia de ameaas
em tempo real do Cisco Security Intelligence Operations (SIO). O Cisco SIO o maior
ecossistema mundial de segurana em nuvem, usando mais de 75 terabits de feeds de
dados ao vivo recolhidos das solues de e-mail, web, firewall e do sistema de preveno a
invases (IPS) da Cisco.
O Cisco SIO avalia e processa os dados, categoriza automaticamente
ameaas e cria regras usando mais de 200 parmetros. Os
pesquisadores de segurana tambm coletam e fornecem
A segurana
informaes sobre eventos de segurana que tm potencial de
tradicional no
impacto generalizado sobre redes, aplicativos e dispositivos.
As regras so transferidas de forma dinmica aos dispositivos
suficiente para se
de segurana da Cisco de cada trs a cinco minutos.
defender contra a
A equipe da Cisco SIO tambm publica as melhores prticas
gerao mais recente
de segurana, alm de orientaes tticas para bloquear
de malwares.
ameaas. A Cisco est empenhada em oferecer solues
completas de segurana que sejam integradas, adequadas,
abrangentes e eficazes, que permitam uma segurana holstica
para empresas em todo o mundo. Com a Cisco, as empresas podem
economizar tempo com pesquisas sobre ameaas e vulnerabilidades, concentrando-se mais
em uma abordagem proativa da segurana.
Para saber mais sobre inteligncia de alerta precoce, anlise de ameaas e vulnerabilidades e
sobre as comprovadas solues de atenuao da Cisco, acesse: www.cisco.com/go/sio.
79
Notas finais
1 Para obter mais informaes sobre a evoluo abrangente, consulte "The Nexus of Devices, Clouds, and Applications" no
Relatrio de Segurana Anual da Cisco de 2013: https://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf.
2 Ibid.
3
No More Chewy Centers: Introducing The Zero Trust Model Of Information Security, por John Kindervag, Forrester,
Nov. 12, 2012.
4 "Timeline of Edward Snowdens Revelations," Al Jazeera America: http://america.aljazeera.com/articles/multimedia/timelineedward-snowden-revelations.html.
5 "NSA collecting phone records of millions of Verizon customers daily", por Glenn Greenwald, The Guardian, Jun. 5, 2013:
http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order.
6
GCHQ: Government Communications Headquarters, uma agncia de inteligncia britnica.
7 "O NSA se infiltra em links para os data centers do Yahoo e Google em todo o mundo, diz os documentos de Snowden",
por Barton Gellman e Ashkan Soltani, 30 de outubro de 2013, The Washington Post: http://www.washingtonpost.com/world/
national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/
e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html.
8 Para obter mais informaes, consulte "Cisco Secure Development Life cycle (CSDL)": http://www.cisco.com/web/about/
security/cspo/csdl/index.html.
9 Ibid.

10
11
12
13
14
15
16
17
18
19
20
21
22
23
A Cisco define a Internet de Todas as Coisas como "a prxima onda de crescimento drstico da Internet que vir atravs da
confluncia de pessoas, processos, dados e coisas".
"Massive Spam and Malware Campaign Following the Boston Tragedy", Cisco Security Blog, 17 de abril de 2013:
http://blogs.cisco.com/security/massive-spam-and-malware-campaign-following-the-boston-tragedy/.
Ibid.
Ibid.
Pgina "sobre" do site do Java: http://www.java.com/pt_BR/about/.

Saiba mais sobre a "evoluo abrangente", consulte o Relatrio de Segurana Anual da Cisco de 2013: http://www.cisco.
com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf.
"Department of Labor Watering Hole Attack Confirmed to be 0-Day with Possible Advanced Reconnaissance Capabilities",
por Craig Williams, Cisco Security Blog, 4 de maio de 2013: http://blogs.cisco.com/security/department-of-labor-wateringhole-attack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/.
"Watering-Hole Attacks Target Energy Sector", por Emmanuel Tacheau, Cisco Security Blog, 18 de setembro de 2013:
http://blogs.cisco.com/security/watering-hole-attacks-target-energy-sector/.
"Apache DarkLeech Compromises", por Mary Landesman, Cisco Security Blog, 2 de abirl de 2013: http://blogs.cisco.com/
security/apache-DarkLeech-compromises/.
"Ongoing malware attack targeting Apache hijacks 20,000 sites", por Dan Goodin, Ars Technica, 2 de abril de 2013:
http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/.
"Linux/CDorked FAQS", por Mary Landesman, Cisco Security Blog, 1 de maio de 2013: http://blogs.cisco.com/security/
linuxcdorked-faqs/.
"DarkLeech Apache Attacks Intensify", por Matthew J. Schwartz, InformationWeek, 30 de abril de 2013:
http://www.informationweek.com/security/attacks/DarkLeech-apache-attacks-intensify/240153922.
Typosquatting a prtica de registrar nomes de domnio que tem apenas um caractere diferente de um nome de domnio
popular.
"Thanks to IoE, the next decade looks positively nutty", por Dave Evans, Cisco Platform Blog, 12 de fevereiro de 2013:
http://blogs.cisco.com/news/thanks-to-ioe-the-next-decade-looks-positively-nutty/.
80
24
Para obter mais informaes sobre estratgias de atenuao de bitsquatting, leia o white paper da Cisco, Examining the
Bitsquatting Attack Surface, 2013: http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_
Surface-whitepaper.pdf.
25
26
27
28
29
30
31
32
33
34
35
36
37
"WordPress Sites in the World" e "A Look at Activity Across WordPress.com", WordPress.com:
http://en.wordpress.com/stats/.
"Important Security Update: Reset Your Drupal.org Password", Drupal.org, 29 de maio de 2013:
https://drupal.org/news/130529SecurityUpdate.
Um relatrio detalhado dos padres e payloads da campanha Operation Ababil pode ser encontrado em "Cisco Event
Response: Distributed Denial of Service Attacks on Financial Institutions": http://www.cisco.com/web/about/security/
intelligence/
ERP-financial-DDoS.html.
"DDoS Attack on Bank Hid $900,000 Cyberheist", por Brian Krebs, blog KrebsonSecurity , 19 de fevereiro de 2013:
http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.
"Chinese Internet Hit by Attack Over Weekend", por Paul Mozer, China Real Time Report, WSJ.com, 26 de agosto de 2013:
http://blogs.wsj.com/chinarealtime/2013/08/26/chinese-internet-hit-by-attack-over-weekend/.
Fonte: Wikipedia: "Ingress Filtering": http://en.wikipedia.org/wiki/Ingress_filtering.
"Understanding Unicast Reverse Path Forwarding", website da Cisco: http://www.cisco.com/web/about/security/intelligence/

unicast-rpf.html.
"Your Hard Drive Will Self-Destruct at 2 p.m.: Inside the South Korean Cyberattack", por Sean Gallagher, Ars Technica, 20 de
maro de 2013: http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-koreancyber-attack/.
"Thoughts on DarkSeoul: Data Sharing and Targeted Attackers", por Seth Hanford, Cisco Security Blog, 27 de maro de
2013:
http://blogs.cisco.com/tag/darkseoul/.
Ibid.
"Cyber Gang Seeks Botmasters to Wage Massive Wave of Trojan Attacks Against U.S. Banks", por Mor Ahuvia, RSA, 4 de
outubro de 2012: https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-us-banks/.
"DDoS Attack on Bank Hid $900,000 Cyberheist", por Brian Krebs, blog KrebsonSecurity , 19 de fevereiro de 2013:
http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.
"Cisco projects data center-cloud traffic to triple by 2017", ZDNet, 15 de outubro de 2013: http://www.zdnet.com/ciscoprojects-data-center-cloud-traffic-to-triple-by-2017-7000021985/.
Sede - Amrica
Cisco Systems, Inc.
San Jose, CA
Sede - sia e Pacfico

Cisco Systems (USA) Pte. Ltd.
Cingapura
Sede - Europa
Cisco Systems International
BV Amsterdam,
Holanda
A Cisco possui mais de 200 escritrios no mundo todo. Os endereos, nmeros de telefones e fax esto disponveis no site da
Cisco: www.cisco.com/go/offices.
Todo contedo Copyright 20112014 Cisco Systems, Inc. Todos os direitos reservados. Este documento contm informaes
pblicas da Cisco. Cisco e o logotipo Cisco so marcas comerciais da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados
Unidos e em outros pases. Uma lista das marcas registradas da Cisco pode ser encontrada em www.cisco.com/go/trademarks.
As marcas de terceiros citadas pertencem a seus respectivos proprietrios. O uso do termo "parceiro" no implica uma relao de
sociedade entre a Cisco e qualquer outra empresa. (012114 v1)

Cisco PDF

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Cisco PDF

Hochgeladen von

Copyright:

Verfügbare Formate

Relatrio de Segurana

Anual da Cisco de 2014

Relatrio de Segurana Anual da Cisco de 2014

Neste relatrio, a Cisco oferece dados e percepes

Relatrio de Segurana Anual da Cisco de 2014

Ataques contra a infraestrutura tm como alvo recursos significativos em toda a Internet.

As investigaes de empresas multinacionais mostram evidncias de comprometimento interno. O trfego suspeito

Relatrio de Segurana Anual da Cisco de 2014

Maior rea de superfcie de ataque

Ataques contra a infraestrutura tm como alvo recursos

Agentes mal-intencionados esto usando aplicativos confiveis

Indicadores de comprometimento sugerem que as

penetraes em rede podem ficar sem serem detectadas

Relatrio de Segurana Anual da Cisco de 2014

Relatrio de Segurana Anual da Cisco de 2014

Como a Cisco avalia o panorama das ameaas

16 bilhes de solicitaes web so inspecionadas todos os dias atravs do Cisco Cloud

93 bilhes de e-mails so inspecionados todos os dias atravs da soluo de e-mail

200.000 endereos IP so avaliados diariamente

4,5 bilhes de e-mails so bloqueados todos os dias

Relatrio de Segurana Anual da Cisco de 2014

Sobre o Cisco SIO.. ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Sobre este documento

Este documento contm material que pode ser pesquisado e distribudo.

Adobe Acrobat verso 7.0 e superiores

[ ] Procure por esses cones para compartilhar o contedo.

Relatrio de Segurana Anual da Cisco de 2014

Relatrio de Segurana Anual da Cisco de 2014

Novas maneiras de fazer

[ Embora tendncias como a computao em nuvem e a mobilidade

estejam reduzindo a visibilidade e aumentando a complexidade da

Relatrio de Segurana Anual da Cisco de 2014

sustentadores de infraestrutura (os "intermedirios"). No topo esto os inovadores tcnicos,

coletar informaes sobre um ambiente, incluindo a tecnologia de segurana implantada, para

A hierarquia do crime ciberntico

Oportunistas no tcnicos / usurios de crimeware como servio

Relatrio de Segurana Anual da Cisco de 2014

Relatrio de Segurana Anual da Cisco de 2014

As revelaes de Snowden imprensa at o momento incluem detalhes sobre o programa

Relatrio de Segurana Anual da Cisco de 2014

1 |Maior rea de superfcie de ataque

A anatomia de uma ameaa moderna

O ponto de entrada da infeco

Ameaas cibernticas avanadas

A ameaa se espalha e tenta

Relatrio de Segurana Anual da Cisco de 2014

Em funo da expanso da rea de superfcie de ataque e

2 |Proliferao e sofisticao do modelo de ataque

"Onde residem nossos dados importantes?" e "como

Relatrio de Segurana Anual da Cisco de 2014

3 | Complexidade das ameaas e solues

necessrio um recurso contnuo que fornea a melhor

Monitorar e analisar continuamente arquivos e identificar comportamento

Ajudar as empresas a expandir a aplicao de polticas, aumentando a

Acelerar o tempo de deteco j que assim possvel visualizar mais trfego.

Relatrio de Segurana Anual da Cisco de 2014

para acessar recursos

Abordagens avanadas, como a contnua disponibilidade de

Relatrio de Segurana Anual da Cisco de 2014

Relatrio de Segurana Anual da Cisco de 2014

As tecnologias no permanecem imutveis, nem os

Relatrio de Segurana Anual da Cisco de 2014

Continuao da pgina anterior