Symantec WSTR Pt2 PTBR

Relatrio de Ameaas Segurana de Sites I 2015
PARTE 2
CONTEDO
Ataques direcionados
Violaes de dados
20
Recomendaes e melhores prticas
30
Sobre a Symantec
34
I Symantec Website Security Solutions
Ataques direcionados
Symantec Website Security Solutions I
VISO GERAL
Em 2014, mais casos de espionagem ciberntica apoiada por governos foram revelados.
Os invasores utilizam malware cada vez mais aprimorado, o que

demonstra profissionalismo e engenharia de software sofisticada.
Campanhas como Dragonfly, Waterbug e Turla infiltraram sistemas

industriais, embaixadas e outros alvos confidenciais.
O nmero de campanhas de spear phishing aumentou em 8 por cento

em 2014, enquanto o nmero de ataques dirios diminuiu conforme
os invasores se tornaram mais pacientes, aguardando e elaborando
ataques mais sutis, aprimorados pelo reconhecimento de longo prazo.
INTRODUO
Em 2014, a Symantec analisou vrios ataques de espionagem ciberntica e coletou
dados sobre as tticas usadas para infiltrar milhares de organizaes crticas e
protegidas em todo o mundo. Essa pesquisa mostra um aumento preocupante na
sofisticao.
Imagine que voc o diretor de segurana da informao
(CISO) de um corpo diplomtico do Leste Europeu. Em
2014, voc desconfiou que os computadores de suas
embaixadas em toda a Europa haviam sido infectados por
um Cavalo de Troia de porta dos fundos. Voc contratou
uma empresa de segurana para investigar o problema, e
suas piores suspeitas foram confirmadas. A investigao
descobriu que uma campanha de spear phishing cuidadosamente direcionada enviou e-mails a membros da equipe,
com uma carga de Cavalo de Troia dissimulada que infectou
os computadores. O uso de exploraes de dia zero, de
emails elaborados com ateno e de astutos ataques de
tipo watering hole contra sites mostraram que essas atividades despistaram a deteco por tempo suficiente para
comprometerem mais de 4.500 computadores, em mais de
100 pases1.
Devido crescente sofisticao desses ataques, a boa segu

rana da TI essencial, e prticas amplas de segurana ci
berntica precisam ser a norma. Os participantes com apoio
financeiro de governos no so a nica ameaa. Hackers
patriticos, hacktivistas, extorsionrios, ladres de dados
e outros invasores usam tcnicas semelhantes, mas com
menos recursos e talvez menos sofisticao.
Ataques por meio de e-mail continuam a ocorrer tanto
quanto antes. Ataques baseados na Web esto cada vez
mais sofisticados. Ataques de espionagem usam mais kits,
reunindo exploraes em vez de usar ataques individuais.
Kits de explorao so usados em crimes eletrnicos h
anos, mas agora muitos espies cibernticos os utilizam
tambm.
O cenrio preocupante, mas no hipottico. Esta uma

descrio do ataque Waterbug.
Ele semelhante a outros ataques direcionados, como o
Turla e o Regin, e devido aos alvos escolhidos e sofisticao dos mtodos de ataque, a Symantec acredita que o
grupo por trs do Waterbug tenha apoio governamental2.
1
2
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/waterbug-attack-group.pdf
Ibid.
ESPIONAGEM CIBERNTICA
Em 2014, especialistas em segurana da Symantec passaram quase oito meses
dissecando um dos malwares de espionagem ciberntica mais sofisticados jamais
visto. Conhecido como Regin, ele d aos usurios ferramentas poderosas usadas
para espionar governos, operadoras de infraestrutura, empresas, pesquisadores e
indivduos. Os ataques contra empresas de telecomunicaes parecem ser desenvolvidos para obter acesso a chamadas roteadas em sua infraestrutura3.
O Regin complexo, com cinco estgios de instalao furtivos. Ele tambm apresenta um design modular que permite
que diferentes recursos sejam adicionados e removidos
do malware. Tanto o carregamento em estgios quanto
a modularidade j foram vistos antes, mas o Regin exibe
alto nvel de capacidade de engenharia e desenvolvimento
profissional. Por exemplo, ele possui dezenas de mdulos
com funes como acesso remoto, captura de tela, roubo de
senha, monitoramento de trfego de rede e recuperao de
arquivos excludos4.
Seu desenvolvimento exigiu meses, seno anos, o que
indica um investimento significativo de recursos. bastante
adequado a operaes de espionagem persistentes e de
longo prazo, e seu nvel de sofisticao mostra que um
estado-nao o criou.
Mais recentemente, um grupo de ataque muito habilidoso

chamado Equation Group ficou conhecido7, revelando que
ataques de espionagem de outros anos, incluindo 2014,
provavelmente haviam empregado ataques extremamente
especializados. Alm disso, conforme os grupos de ataques
de espionagem continuam a melhorar as suas tcnicas, eles
tambm podem aproveitar o mercado negro em exploraes,
ataques de dia zero e cdigo personalizado. O desmascaramento do Equation Group enfatiza mais ainda o profissio
nalismo por trs do desenvolvimento desses ataques especializados, com os grupos de ataques de espionagem se
beneficiando das mesmas prticas de desenvolvimento de
software tradicionais adotadas por empresas de software
legtimas.
A Symantec viu um nvel semelhante de compromisso em

outra campanha de espionagem ciberntica, conhecida
como Turla5. Os invasores usaram ataques de tipo spear
phishing e watering hole (veja abaixo) contra governos e
embaixadas de pases do antigo bloco oriental. Aps a sua
instalao, ele dava aos invasores acesso remoto a computadores infectados, permitindo copiar e excluir arquivos
e se conectar a servidores, entre outras aes. Devido aos
alvos escolhidos e sofisticao do malware, a Symantec
acredita que o grupo por trs dos ataques tambm tinha o
apoio de algum governo6.
http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance
http://www.symantec.com/en/uk/outbreak/?id=regin
5,6
http://www.symantec.com/connect/blogs/turla-spying-tool-targets-governments-and-diplomats
7
http://www.symantec.com/connect/blogs/equation-advanced-cyberespionage-group-has-all-tricks-book-and-more
3
4
SEGURANA CIBERNTICA INDUSTRIAL

medida que mais dispositivos so conectados Internet, novas vias de ataque
e, potencialmente, sabotagem, so abertas. Isso especialmente verdadeiro para
dispositivos industriais conhecidos como sistemas de controle industrial (ICS), nor
malmente usados em reas de produo industrial e servios de concessionrias
em todo o mundo. Muitos desses dispositivos esto habilitados para Internet, facilitando que sejam monitorados e controlados.
Vulnerabilidades divulgadas em sistemas ICS, incluindo SCADA, 2012 2014
90
80
70
75
13
60
50
39
40
35
7
30
14
Vulnerabilidades
12
Fornecedores
individuais
10
8
6
10
2012
2013
2014
A Symantec percebeu mais ataques contra sistemas de

controle industrial em 2014. Por exemplo, a campanha de
espionagem ciberntica Dragonfly atacou diversos alvos,
incluindo operadoras de malha de energia, geradoras de
eletricidade, operadoras de oleodutos de petrleo e fabricantes de equipamentos industriais8. A maioria das vtimas
estava localizada nos Estados Unidos e na Espanha, Frana,
Itlia, Alemanha, Turquia e Polnia.
Embora seja semelhante ao Stuxnet (cujo alvo era o programa nuclear iraniano) por atacar sistemas de controle
industrial, o Dragonfly parece ter metas menos destrutivas.
Inicialmente, ele parecia estar focado em espionagem e
acesso persistente, e no em sabotagem. No entanto, ele
fornece ao habilidoso grupo que o criou informaes de
importantes sistemas industriais e hipoteticamente
acapacidade de realizar um ataque mais destrutivo, se
necessrio.
Usando malware personalizado e malware comprado
pronto em fruns russos, ele foi disseminado por meio de
uma combinao de ataques de spear phishing (baseado
em e-mail) e watering hole (baseado na Web) que visavam
as vtimas principais usando empresas menores e menos
protegidas da cadeia de suprimento.
Fonte: Symantec I Deepsight
20
O grfico mostra o nmero de vulnerabilidades divulgadas que foram

associadas a sistemas ICS e SCADA,
incluindo o nmero de fornecedores
envolvidos a cada ano.
http://www.symantec.com/connect/blogs/dragonfly-western-energycompanies-under-sabotage-threat
http://en.wikipedia.org/wiki/OLE_for_Process_Control
Pode ser difcil proteger sistemas antigos quando as empresas no podem aceitar qualquer tempo de inatividade para
a instalao de patches ou quando usam tecnologias paten
teadas ou protegidas de forma inadequada. Por exemplo,
o protocolo OLE for Process Control9 (OPC) amplamente
usado em sistemas de automao industrial. Ele um padro aberto bem documentado, mas existe pouco planejamento para criptografia, autenticao ou outras medidas de
segurana, o que o deixa vulnervel a softwares falsificados. Um dos objetivos do Dragonfly era coletar informaes
sobre sistemas OPC nas empresas-alvo.
Ao explorarem especificamente os servidores de atualizao de software dos fornecedores de ICS, os ataques do
Dragonfly introduziram uma nova dimenso ao mtodo de
ataque watering hole. Esse tipo de ataque explora vulnerabilidades em sites de terceiros que sero visitados pelo
alvo real do ataque, e dessa forma o invasor poder injetar
malware na organizao visada. Com o Dragonfly, os invasores comprometeram a cadeia de suprimento, explorando os
servidores de atualizao do software ICS utilizado pelas
vtimas, definindo um novo marco em ataques de estilo
watering hole.
ATAQUES DE RECONHECIMENTO
Alm dos ataques que usam campanhas de spear phishing e watering hole que
precisam do elemento humano da engenharia social para ter sucesso os invasores continuam a atacar as organizaes visadas a partir de outros ngulos, a fim de
conquistar uma posio firme em sua rede. Para fazer isso, eles atacam o permetro
da rede, buscando brechas nas defesas e explorando-as.
Agora, mais do que nunca, o reconhecimento desempenha
um papel importante no processo de obteno de acesso
pelo invasor rede de uma organizao-alvo. Normalmente,
este o primeiro passo no processo de invaso: obter informaes sobre os sistemas e buscar fragilidades que possam
ser exploradas.
A popularidade do reconhecimento fica evidente quando
examinamos as principais exploraes de dia zero de 2014.
De longe, a mais usada foi a CVE-2013-7331. Essa no
uma explorao comum do tipo que d acesso a um sistema
vulnervel. Tudo o que ela permite que o invasor rena
informaes sobre a rede-alvo. No entanto, ela bastante
til para planejar outros ataques. Armado com informaes
da rede-alvo, como nomes de host internos, endereos IP e
vrios nomes de caminho internos, um invasor pode elaborar seu prximo plano de ataque com facilidade.
Essa explorao de dia zero ficou sem patches por um
perodo considervel. No s a CVE dessa vulnerabilidade
foi alocada em 2013, sendo divulgada somente em fevereiro
de 2014, mas seu patch foi lanado apenas em setembro
de 2014. Isso ofereceu aos invasores uma imensa lacuna
de 204 dias entre a divulgao pblica e o lanamento do
patch.
A melhor explicao para esse longo perodo de exposio

talvez seja a gravidade percebida da ameaa. Como essa
explorao especfica no permitia que um invasor controlasse um computador vulnervel diretamente, ela pode
no ter sido considerada to importante quanto outras
vulnerabilidades. Os invasores perceberam isso claramente
e puderam aproveitar a vulnerabilidade e as informaes
que ela lhes fornecia a respeito das rede-alvo, ajudando-os
indiretamente em suas metas mal-intencionadas.
Esse um aspecto do panorama de ameaas que pode
merecer mais ateno em todo o setor de segurana. Embora uma vulnerabilidade que apenas repasse informaes
sobre redes, computadores ou dispositivos possa no ser
considerada to grave quanto uma que permita elevao de
privilgios, ela pode, ainda assim, ser muito perigosa caso
indique aos invasores sistemas vulnerveis que no seriam
descobertos sem ela.
ATAQUES DE WATERING HOLE E

A IMPORTNCIA DO DIA ZERO
O grupo de hackers profissionais conhecido como Hidden Lynx, descoberto em se
tembro de 2013, prosseguiu com suas operaes em 2014. Esse grupo aproveitou
uma vulnerabilidade de dia zero importante (CVE-2014-0332)10 por meio de um
ataque de estilo watering hole. O ataque conseguia abrir uma porta dos fundos
em qualquer computador que visitasse o site comprometido enquanto o watering
hole estivesse ativo, por meio do qual ataques e exfiltrao posteriores poderiam
ocorrer.
Outra vulnerabilidade de dia zero (CVE-2014-1776) tambm foi descoberta em ataques de watering hole contra
organizaes envolvidas no setor aeroespacial francs e
diversos sites japoneses. No entanto, acreditamos que esses ataques tenham sido independentes do grupo Hidden
Lynx e que outros participantes estavam envolvidos em seu
uso11.
Outro ataque de watering hole significativo aproveitou uma
vulnerabilidade de dia zero do Adobe Flash (CVE-20140515) e a acoplou a um software especfico produzido por
um fornecedor legtimo. Esse ataque, em especial, parece
ter sido extremamente direcionado, j que a organizao
visada precisava ter os dois softwares instalados para que
ele tivesse xito.
Em outro caso, uma vulnerabilidade at ento desconhecida
do Microsoft Windows permitiu que o grupo de espionagem
ciberntica Sandworm instalasse malware em organizaes
visadas12, incluindo a OTAN, vrias organizaes governamentais da Ucrnia e da Europa Ocidental e empresas de
energia e telecomunicaes.
A plataforma Elderwood foi identificada em 2012, mas continua a existir. No incio de 2014, por exemplo, ela explorou
trs novas vulnerabilidades de dia zero para atacar suas
vtimas13.
Vinte e quatro vulnerabilidades de dia zero foram descober
tas em 2014, um nmero consistente com o pico de 2013,
indicando um novo padro no volume das vulnerabilidades
desse tipo que so descobertas e exploradas. Pode haver
muito mais vulnerabilidades, ainda no reveladas, que os
invasores mantm em segredo por enquanto.
http://www.symantec.com/connect/blogs/emerging-threat-ms-ie-10-zeroday-cve-2014-0322-use-after-free-remote-code-execution-vulnerabi
http://www.symantec.com/connect/blogs/zero-day-internet-vulnerabilitylet-loose-wild
12
http://www.symantec.com/connect/blogs/sandworm-windows-zero-dayvulnerability-being-actively-exploited-targeted-attacks
13
http://www.symantec.com/connect/blogs/how-elderwood-platform-fueling2014-s-zero-day-attacks
10
Existem duas formas de medir o valor e a importncia da

explorao de uma vulnerabilidade de dia zero para um
invasor. Primeiro, qualquer vulnerabilidade no publicada
tem imenso valor se puder ser explorada a fim de proporcionar acesso remoto ou reconhecimento ao invasor. Em
segundo lugar, uma explorao pode trazer muitos benefcios se o invasor aproveitar o tempo entre a descoberta da
vulnerabilidade e o lanamento do patch respectivo pelo
fornecedor. Pode levar vrios dias, semanas ou at mesmo
meses para o lanamento do patch, ou ainda mais tempo
antes que ele seja implantado de forma ampla.
Para as cinco vulnerabilidades de dia zero mais exploradas
publicadas em 2014, o nmero total de dias entre a data de
publicao pelo fornecedor e a data de correo aumentou
para 295 dias (a partir de 19 dias em 2013). O tempo
mdio entre publicao e correo tambm aumentou para
59dias (a partir de 4 em 2013). A vulnerabilidade de dia
zero mais explorada em 2014, a CVE-2013-7331, foi identificada pela primeira vez em 2013 (da a sua classificao);
porm, sua existncia foi divulgada ao pblico apenas no
ano seguinte. Ainda foram necessrios mais 204 dias para
que o fornecedor conseguisse publicar um patch. As explo
raes de dia zero que ocuparam a segunda e a terceira
posies tambm tiveram perodos de correo longos,
respectivamente 22 e 53 dias. Ambos os perodos foram
maiores do que a mdia em 2013.
Essa fragilidade o perodo de vulnerabilidade crucial
para o sucesso dos grupos de ataques de espionagem. Por
exemplo, um site j comprometido que hospede uma explorao de watering hole pode deixar de usar uma explorao
de dia zero depois que o fornecedor do software publicar
informaes sobre a existncia da vulnerabilidade, mesmo
que um patch ainda no esteja disponvel. Os invasores po
dem ento migrar para outra explorao ainda no desco
berta, o que mais um exemplo dos variados recursos sua
disposio.
11
Vulnerabilidades de dia zero
24
+4%
2014
23
+64%
14
2012
2013
Fonte: Symantec I Deepsight, SDAP, Wiki
Cinco principais vulnerabilidades de dia zero, patch e assinatura
19 dias
4 dias
Tempo total de exposio 2013
Mdia de dias at o patch 2013
+276 dias
+51 dias
295 dias
55 dias
Tempo total de exposio 2014
Mdia de dias at o patch 2014
Em 2014, 57% de todos os ataques para as cinco principais vulnerabilidades ocorreram aps a incluso de
uma assinatura (at 90 dias) e antes do lanamento de um patch pelo fornecedor.
57%
2014
Classificao
CVE
Porcentagem geral em 2014
Microsoft ActiveX Control CVE-2013-7331
81%
Microsoft Internet Explorer CVE-2014-0322
9,5%
Adobe Flash Player CVE-2014-0515
7,3%
Adobe Flash Player CVE-2014-0497
2,0%
Microsoft Windows CVE-2014-4114 OLE
<1%
O nmero total de dias entre a data de publicao do fornecedor e a data de correo posterior, para as cinco vulnerabilidades de dia
zero mais exploradas, aumentou de 19 dias em 2013 para 295 dias em 2014. Cinquenta e sete por cento dos ataques que exploravam
essas cinco vulnerabilidades foram bloqueados pela tecnologia Symantec Endpoint nos primeiros 90 dias, muitas vezes antes do
lanamento de um patch.
10 I Symantec Website Security Solutions
Vulnerabilidades de dia zero, total anual, 2006 2014

25
24
23
20
15
13
15
14
14
12
10
9
5
2006
2007
2008
2009
2010
2011
2012
2013
2014
Fonte: Symantec | SDAP
5 principais vulnerabilidades de dia zero

Tempo mdio de correo pelo fornecedor
Tempo total de exposio dos 5 principais dias zero
4 19
2013
59
2014
295
NMERO DE ATAQUES DETECTADOS EM MILHARES
25
81% Microsoft ActiveX Control
CVE-2013-7331
20
81%
10% Microsoft Internet Explorer

CVE-2014-0322
15
10
7%
Adobe Flash Player

CVE-2014-0515
2%
Adobe Flash Player

CVE-2014-0497
Microsoft
ActiveX
Control
<1% Microsoft Windows

CVE-2014-4114 OLE
25
50
75
100
125
150
175
200
225
250
275
300
NMERO DE DIAS APS A PUBLICAO DA VULNERABILIDADE
O perodo de vulnerabilidade (a durao entre a data de publicao e a data da correo) da maioria das vulnerabilidades de dia zero
mais exploradas aumentou em 2014. A CVE-2014-0322, a CVE-2014-0515 e a CVE-2014-4114 foram exploradas em 2014 em vrios
ataques direcionados, incluindo ataques relacionados ao Hidden Lynx e ao Sandworm.
Symantec Website Security Solutions I 11
INTELIGNCIA DE AMEAAS
Hoje, a inteligncia de ameaas um componente vital de qualquer organizao
que deseje entender as ameaas potenciais contra as suas redes.
Investir em tecnologia sofisticada resolve apenas parte do
problema; uma combinao de inteligncia de ameaas,
gerenciamento de riscos e as melhores solues tcnicas
ajudaro a revelar quem so os alvos e tambm como e por
qu. Compreender as ameaas essencial, porque agora as
empresas precisam antecipar o ataque a dvida no se,
e sim quando.
Invasores habilidosos usam toolkits de explorao no s

para vulnerabilidades mais antigas mas tambm para novas
vulnerabilidades de dia zero, e ter uma boa defesa significa
estar bem protegido contra violaes. A inteligncia de
ameaas pode fornecer uma lista de incidentes suspeitos,
ordenados por prioridade, correlacionando todas as infor
maes disponveis em toda a empresa. Uma avaliao
contnua das pessoas e suas habilidades, alm dos processos, garantir que a melhor resposta seja seguida e que os
processos sejam sempre atualizados e as habilidades sejam
mantidas. Se ficar mais difcil violar a segurana das empresas, os invasores precisaro se esforar mais. No seja o elo
mais fraco da cadeia de suprimento.
TCNICAS USADAS EM ATAQUES

DIRECIONADOS
Distribuio de ataques de spear phishing por porte
da organizao, 2011 2014
Fonte: Symantec | .cloud
Grandes empresas
Mais de 2.500
funcionrios
Mdias empresas
251 a 2.500
funcionrios
Pequenas empresas
1 a 250
funcionrios
100%
50%
39%
41%
31%
25%
31%
30%
34%
2012
2013
2014
50%
19%
Em 2014, quarenta e um por cento

dos e-mails de spear phishing foram
direcionados a grandes empresas. Como
ocorreu em 2013, os ataques de spear
phishing em empresas de pequeno e
mdio porte mostram que ser pequena
e relativamente annima no garante
a proteo. Na verdade, os ataques de
2014 confirmam que determinados
invasores visam a cadeia de suprimento
de uma empresa-alvo como forma de
despistar sua segurana.
32%
18%
2011
Taxa de risco dos ataques de spear phishing por porte da organizao
Fonte: Symantec I .cloud, SRL
Taxa de risco
em2014
Taxa de risco em
2014 como %
Taxa de risco
em 2013
Taxa de risco em
2013 como %
Grandes empresas
2.500+ funcionrios
1 em 1,2
83%
1 em 2,3
43%
Mdias empresas
2512.500
funcionrios
1 em 1,6
63%
1 em 3,5
33%
Pequenas empresas
1250 funcionrios
1 em 2,2
45%
1 em 5,2
19%
Em 2014, 83 por cento das grandes empresas foram alvos de campanhas de spear phishing, em comparao a 43 por cento em 2013.
Dez principais setores visados em ataques de spear phishing, 2013 2014

Manufatura
Servios no tradicionais
18
13
11
Servios profissionais
Atacado
15
10
Transporte, comunicaes,
eletricidade, gs e esgoto
De forma geral em 2014, o setor

de manufatura foi alvo do maior
volume de ataques de spear
phishing, com 1 em 5 (20 por
cento) dos ataques direcionados
a organizaes de manufatura.
20
14
Finanas, seguros e imveis
7
6
5
Administrao pblica
Varejo
20
13
Minerao
1
1
Construo
1
1
16
2013
10
15
2014
20
25%
Fonte: Symantec | .cloud
Taxa de risco dos ataques de spear phishing por setor

Setor em 2014
Taxa de risco
em 2014
Minerao
1 em 2,3
Atacado
Taxa de risco
em 2014
como %
Setor em 2013
Taxa de risco
em 2013
Taxa de risco
em 2013
como %
43%
Minerao
1 em 2,7
37%
1 em 2,9
34%
Administrao pblica
(governo)
1 em 3,1
32%
Manufatura
1 em 3,0
33%
Manufatura
1 em 3,2
31%
Servios de transporte,
comunicaes, eletricidade,
gs e esgoto
1 em 3,4
29%
Atacado
1 em 3,4
29%
Administrao pblica
1 em 3,4
29%
Servios de transporte,
comunicaes, eletricidade,
gs e esgoto
1 em 3,9
26%
Finanas, seguros
e imveis
1 em 4,8
21%
Finanas, seguros
e imveis
1 em 4,8
21%
Varejo
1 em 4,8
21%
1 em 6,6
15%
1 em 6,5
15%
Construo
1 em 11,3
8%
Servios profissionais
1 em 6,9
15%
Agricultura, silvicultura
e pesca
1 em 12,0
8%
Fonte: Symantec | .cloud, SRL
O setor de minerao foi o mais visado em 2014, com 43 por cento (1 em 2,3) das organizaes de minerao visadas pelo menos uma
vez durante o ano. A classificao de Minerao inclui organizaes de extrao de energia, alm de metais e minrios.
E-mails de spear phishing por dia
73
83
-12%
2014
-28%
116
2012
2013
Fonte: STAR Malware Ops
O nmero de e-mails de spear phishing detectados pela Symantec caiu ligeiramente, mas no h indcios de que a intensidade dos
ataques direcionados tenha sido reduzida tambm. O nmero de campanhas de e-mail em geral aumentou, e os e-mails de spear
phishing tornaram-se mais sutis, usando malware personalizado e mensagens de engenharia social cuidadosamente planejadas para
enganar a segurana.
Campanhas de e-mail de spear phishing

2014
Variao
2013
Variao
2012
Campanhas
841
+8%
779
+91%
408
Destinatrios por
campanha
18
-20%
23
-81%
111
Ataques por
campanha
25
-14%
29
-76%
122
Tempo mdio da
campanha
9 dias
+13%
8 dias
+173%
3 dias
Em 2014, houve um aumento de 8 por cento em ataques direcionados usando campanhas de spear phishing, apesar de um declnio
geral de 12 por cento no nmero de e-mails de spear phishing enviados todos os dias. Os ataques de spear phishing em 2014 tinham
menos caractersticas de spam, com menos destinatrios de altos volumes. Os invasores dedicaram mais tempo ao planejamento e
coordenao dos ataques antes de inici-los, prestando especial ateno ao reconhecimento. A Symantec tambm observou que vrios
ataques direcionados distribudos foram coordenados entre grupos de invasores que aparentemente trabalhavam em conjunto. Esses ataques foram planejados e distribudos de maneira que mesmo se o volume fosse relativamente alto eles no seriam qualificados
como spam.
Nuvem de palavras de e-mails de spear phishing
Palavras usadas com mais frequncia em ataques de spear phishing

Taxa de risco dos ataques de spear phishing por cargo

2014
Taxa de risco em 2014
Taxa em 2014 como %
Vendas/Marketing
1 em 2,9
35
Operaes
1 em 3,8
27
Finanas
1 em 3,3
30
P&D
1 em 4,4
23
TI
1 em 5,4
19
Engenharia
1 em 6,4
16
RH e Recrutamento
1 em 7,2
14
Outro
1 em 9,3
11
Indivduos em cargos de Vendas e Marketing foram mais visados em 2014, com 1 em 2,9 sendo alvo pelo menos uma vez; isso equivale
a 35% do pessoal de Vendas e Marketing.
Taxa de risco dos ataques de spear phishing por nvel do cargo

2014
Taxa de risco em 2014
Taxa de risco em %
Gerente
1 em 3,8
26
Colaborador individual
1 em 3,7
27
Estagirio
1 em 3,9
26
Diretor
1 em 5,4
19
Suporte
1 em 7,6
13
Outro
1 em 9,3
11
O nvel da gerncia foi o principal alvo em 2014, com 1 em 3,8 dos indivduos sendo alvo pelo menos uma vez; isso equivalente a
26% dos indivduos em nvel gerencial.
Nmero mdio de ataques de spear phishing por dia, 2012-2014

250
225
200
175
150
125
100
75
50
25
0
J
2012
Fonte: Symantec I .cloud
2013
2014
Anlise de e-mails de spear phishing usados em ataques direcionados, 2013 2014

Classificao
Tipo de executvel
Porcentagem geral
em 2014
Tipo de executvel
Porcentagem geral
em 2013
.doc
41,2%
.exe
31,3%
.exe
24,0%
.scr
18,4%
.scr
9,7%
.doc
7,9%
.au3
8,7%
.pdf
5,3%
.jpg
4,9%
.class
4,7%
.class
3,6%
.jpg
3,8%
.pdf
3,3%
.dmp
2,7%
.bin
2,0%
.dll
1,8%
.txt
1,5%
.au3
1,7%
10
.dmp
1,1%
.xls
1,2%
Anexos de arquivo de documentos do Office superaram arquivos executveis como a ttica usada com mais frequncia em
anexos de ataques de spear phishing, tendo sido usados em 41 por cento dos ataques de 2014. Pelo menos 35 por cento
dos ataques de spear phishing poderiam ser evitados caso as empresas bloqueassem anexos de tipo executvel e protetores
de tela no gateway de e-mail. Anexos de documento mal-intencionados tambm podem se tornar seguros antes de chegarem ao gateway de e-mail por meio de filtragem forte baseada em nuvem, a fim de identificar e eliminar ataques de spear
phishing antes que cheguem rede corporativa.
Fonte: Symantec I .cloud
PROTEO DE SISTEMAS DE CONTROLE

INDUSTRIAL
Por Preeti Agarwal
Os ataques direcionados evoluram de tentativas de invaso principiantes para se

tornarem uma arma essencial da espionagem ciberntica. Sistemas de controle
industrial (ICS) so alvos cruciais desses invasores, que tm motivos para executar
ataques em nvel de segurana nacional. Essas tendncias tm levado os pases a
reforarem seus investimentos e a criarem estratgias para melhorar a segurana
dos sistemas ICS.
O termo sistema de controle industrial refere-se a dispositivos que controlam, monitoram e gerenciam a infraestrutura crtica de setores industriais, servios de eletricidade,
gua e esgoto, leo e gs natural, transporte, etc. Diversos
tipos de ICS incluem sistemas de superviso e aquisio de
dados (SCADA), controladores lgicos programveis (CLPs)
e sistemas de controle distribudo (DCS), para citar apenas
alguns.
Ataques contra sistemas ICS tornaram-se uma ocorrncia comum e podem vir a ter graves impactos sociais e
econmicos. No entanto, esses ataques costumam no ser
divulgados, limitando as repercusses para a reputao da
vtima e subestimando o alcance do problema.
Vrios ataques ocorreram, com intenes que vo da
espionagem ciberntica a danos nos servios pblicos que
utilizam sistemas ICS. Em 2010, foi descoberta a ameaa
Stuxnet , criada para atacar sistemas SCADA especficos e
danificar as instalaes fsicas do sistema nuclear iraniano.
Desde ento, uma enorme quantidade de armas de malware
foi percebida no panorama de ameaas, e 2014 no foi uma
exceo. Os invasores por trs do Dragonfly, uma campanha
de espionagem ciberntica com alvos diversificados (em
especial organizaes do setor de energia), conseguiram
comprometer vrios sistemas ICS estrategicamente importantes dentro dessas organizaes, e poderiam ter causado
danos e interrupes no fornecimento de energia dos pases
afetados caso tivessem aproveitado as capacidades de
sabotagem disponveis para eles.
Mais recentemente, o Sandworm iniciou uma campanha
de malware direcionada e sofisticada que comprometeu a
interface homem-mquina (IHM) de vrios fornecedores
de ICS conhecidos. Os invasores usavam as interfaces
IHM conectadas Internet para explorar vulnerabilidades
do software ICS. Essas invases podem ter servido como
reconhecimento para outro ataque.
A incluso mais recente surgida em 2014 foi um incidente

em que um alto-forno de uma siderrgica alem sofreu
imensos danos aps um ataque ciberntico rede da
usina14.
Os ataques contra sistemas ICS amadureceram e tornaram-se
mais frequentes, tornando a segurana desses sistemas um
tpico essencial e urgente.
Muitos sistemas ICS esto instalados e operam h vrios
anos. Com frequncia, isso significa a adoo de polticas
de segurana baseadas em uma abordagem de obscuridade
que utiliza isolamento fsico, protocolos patenteados e
hardware especializado na esperana de garantir a proteo. Muitos desses sistemas foram desenvolvidos antes
que tecnologias baseadas em Internet fossem usadas nas
empresas, tendo sido projetados com foco em aspectos
de confiabilidade, capacidade de manuteno e disponibilidade, com pouca ou nenhuma nfase na segurana. No
entanto, necessidades urgentes de acessibilidade remota e
conectividade corporativa mudaram a superfcie de ataque
drasticamente, expondo a ataques as novas vulnerabilidades desses sistemas.
O principal ponto de entrada desses ataques, hoje, so os
dispositivos de infraestrutura crtica com acesso Internet
e mal protegidos. Para fornecer acessibilidade remota,
elementos de sistemas SCADA, usados para monitorar e
controlar fbricas e equipamentos, so conectados Internet por redes corporativas. Esses elementos SCADA expem
a rede de controle e representam um risco de ataques como
varredura, sondagem, tentativas de fora bruta e acesso
no autorizado por esses dispositivos.
Uma forma de utilizar esses dispositivos em um ataque
por meio da IHM, que normalmente pode ser acessada pela
rede corporativa. Um invasor pode comprometer os hosts
corporativos explorando qualquer vulnerabilidade de dia
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile
14
zero existente, descobrir os hosts com acesso rede de

controle e tentar usar essas informaes para ingressar nos
sistemas ICS.
Outra forma de utilizar os sistemas ICS por uma IHM
conectada diretamente Internet. Os dispositivos conec
tados Internet podem ser descobertos com facilidade
usando-se mecanismos de pesquisa comuns da Internet.
Aps um dispositivo de controle ser identificado, ele pode
ser comprometido por meio de vulnerabilidades ou configurao inadequada. O nvel de conhecimento necessrio para
iniciar esses ataques razoavelmente baixo.
Alm desses pontos de entrada, sistemas ICS e seus softwares apresentam inmeras vulnerabilidades intrnsecas, o
que abre portas para os adversrios. Muitos dos aplicativos
Web patenteados disponveis possuem vulnerabilidades
de segurana que possibilitam estouros de buffer, injeo
de SQL ou ataques de cross-site scripting (XSS). Tcnicas
inadequadas de autenticao e autorizao podem levar o
invasor a obter acesso a funcionalidades crticas do sistema
ICS. A autenticao fraca em protocolos ICS possibilita
ataques man-in-the-middle, como falsificao e repetio
de pacotes. Um invasor pode conseguir enviar comandos
falsos a CLPs ou falsificar o status para interfaces IHM.
A lgica Ladder usada para programar os CLPs um recurso
crtico em ambientes ICS. O comprometimento de uma estao de trabalho de engenharia usada no desenvolvimento
e carregamento dessa lgica de CLP pode abrir espao para
a engenharia reversa, que por sua vez pode ser usada para
elaborar ataques.
A proteo de ambientes ICS requer um plano de segurana
abrangente que ajude uma organizao a definir suas
metas de segurana em termos de padres, conformidade
regulatria, fatores de risco potenciais, impactos comerciais
e etapas de mitigao necessrias. Criar um ambiente ICS
seguro exige integrar a segurana a cada fase do processo
industrial, desde o planejamento at as operaes de
rotina.
A segregao entre a rede de controle e a rede corporativa precisa ser um requisito absoluto, porque isso reduz
enormemente a chance de ataques originrios das redes
corporativas. Entretanto, consideraes prticas exigem a
conectividade do ICS a partir da rede corporativa. Nesses
casos, os pontos de acesso devem ser limitados, ficar
protegidos por um firewall e usar canais de comunicao
confiveis, como uma VPN.
Os ambientes ICS esto evoluindo, com os fornecedores

ampliando o suporte para software de segurana nos
dispositivos de controle de estaes de trabalho de enge
nharia e servidores SCADA de propsito geral. No entanto,
sistemas como CLPs e DCSs ainda usam sistemas operacionais personalizados, especficos dos fornecedores. Esses
sistemas de controle, aps instalados, tm tolerncia zero
para inatividade, recursos limitados e cdigo dependente
de hora. Isso limita as oportunidades de implantar solues
de segurana empresarial tradicionais projetadas para
sistemas de computador de TI. Devido a esses desafios, no
existe uma soluo mgica para a segurana de sistemas
ICS. A segurana precisa ser implementada globalmente
em cada camada, incluindo o permetro da rede, pontos de
acesso da rede corporativa e da rede externa e em nvel de
rede, aplicativos e hosts.
Alm disso, os prprios dispositivos de controle precisam
ser protegidos de forma intencional. Os fabricantes so
responsveis por garantir que a segurana seja incorporada
aos dispositivos de controle antes da remessa.
No futuro, provavelmente veremos uma tendncia de crescimento no uso de tecnologia mvel para permitir opes
de controle e acesso a IHM remotos. Embora a soluo seja
muito atraente da perspectiva da eficincia administrativa,
ela abrir uma nova superfcie de ataque associada ao
modelo de uso mvel.
Provavelmente tambm veremos o desenvolvimento de
tcnicas generalizadas para atacar sistemas ICS. Como
resultado, os kits de explorao de ICS gratuitos disponveis
podero se multiplicar. Sem dvida, essa tendncia aumentaria o nmero de ataques a sistemas ICS.
Como vimos com o Stuxnet, que reapareceu em diversas
variantes, as ameaas focadas em ICS posteriores mostravam semelhanas em artefatos e vetores de ataque, usando
protocolos ICS comuns e Cavalos de Troia de propsito
geral. extremamente provvel que existam ameaas
passivas contra sistemas ICS por a, instaladas de maneira
furtiva e ainda no detectadas. A qualquer momento, os
invasores podem encontrar um motivo para ativar essas
ameaas passivas. bastante possvel que ocorram novas
utilizaes de vulnerabilidades de infraestruturas mais
crticas, com finalidades perigosas.
Violaes de dados
VISO GERAL
1
Em 2014 ocorreram menos violaes de grande porte (com a divulgao de mais de 10 milhes de identidades) do que em 2013.
O nmero geral de violaes de dados aumentou.
Em 49 por cento, invasores foram responsveis pela maioria das

violaes.
Os ataques contra sistemas de ponto de venda aumentaram em

escala e sofisticao.
De acordo com uma pesquisa realizada pela Symantec, 57 por cento

dos entrevistados se preocupam com a segurana de seus dados.
INTRODUO
Em 2014, os criminosos cibernticos continuaram a roubar informaes privadas
em escala gigantesca, por ataques diretos a instituies, como bancos, e a sistemas
de ponto de venda do varejo.
foram obtidas por meio de ataques direcionados extremamente personalizados contra contas individuais, e no
usando fragilidades gerais na segurana da empresa19.
Em 2014, o JPMorgan Chase, um banco americano, confirmou que dados associados a 83 milhes de contas 76
milhes de residncias e 7 milhes de pequenas empresas haviam sido comprometidos, em uma das maiores
violaes de dados da histria15.
Em setembro de 2014, a Home Depot sofreu uma violao
de dados de 56 milhes de nmeros de carto de crdito. Os
criminosos continuaram a visar sistemas de ponto de venda
do varejo e, em um nico ataque, a Staples sofreu o roubo
de um milho de registros de cartes de pagamento16. No
entanto, muitas violaes talvez a maioria deixam de ser
informadas ou detectadas17,18.
A divulgao de quase 200 fotos de celebridades no site
4chan, em agosto de 2014, recebeu ampla cobertura da
mdia e aumentou a ansiedade dos consumidores a respeito
de sua privacidade. De acordo com a Apple, as imagens
Em 2014 ocorreram menos violaes de grande porte do

que em 2013, embora o nmero total de violaes tenha
aumentado em 23 por cento. O valor de informaes pessoais e financeiras continua bastante alto no mercado
negro, e isso significa que os criminosos cibernticos
continuaro a visar grandes instituies em busca de
recompensas volumosas e pequenas empresas em busca
de resultados fceis. Muitas violaes podem ser evitadas
com as medidas de segurana certas, incluindo elementos
como preveno de perda de dados, criptografia e sistemas
de deteco de invaso, alm de treinamento e polticas de
segurana eficazes.
Total de violaes
312
Fonte: Symantec I CCI
+23%
2014
253
+62%
156
2012
2013
Violaes com mais de 10 milhes de identidades expostas
4
2014
-50%
+700%
1
2012
2013
Embora em 2014 tenham ocorrido menos violaes de grande porte (maiores do que 10 milhes de identidades expostas por violao), o nmero total de violaes permaneceu no mesmo nvel alto estabelecido em 2103, sugerindo que entramos em uma nova era
de atividade de violaes.
http://www.reuters.com/article/2014/10/03/us-jpmorgan-cybersecurity-idUSKCN0HR23T20141003
http://staples.newshq.businesswire.com/press-release/corporate/staples-provides-update-data-security-incident
http://www.insurancejournal.com/news/west/2014/03/07/322748.htm
18
http://www.ponemon.org/news-2/7
19
https://www.apple.com/uk/pr/library/2014/09/02Apple-Media-Advisory.html
15
16
17
Principais causas de violaes de dados, 2013 2014

80
2014
70
2013
Porcentagem
60
50
49
40
30
34
29
20
27
22
21
10
8
0
Hackers
Tornadas pblicas
por acidente
Roubo ou perda
de computador
ou unidade
Fonte: Symantec | CCI
Roubo por
profissional interno
Em 49 por cento, a maioria das violaes foi causada por invasores, em comparao a 34 por cento em 2013. Entretanto, 22 por cento
das violaes foram classificadas como Tornadas pblicas por acidente, e 21 por cento ocorreram por Roubo ou perda de computador
ou unidade. Esse ltimo tipo de exposio de dados pode ser evitado se os dados forem criptografados, eliminando o impacto do roubo
dos dados. A boa notcia que esse nmero diminuiu dos 56 por cento em 2013.
Cronologia de violaes de dados, 2013 2014

40
180
159
35
147
140
130
120
30
113
25
100
20
78
80
60
15
59
53
INCIDENTES
IDENTIDADES EXPOSTAS (MILHES)
160
43
10
40
32
23
20
12
3
0
j
F
2013
0,3 0,8
A
10
J
F
2014
1
A
6,5
N
0,4
Em 2014, ocorreu uma queda significativa no nmero de identidades expostas devido a violaes de dados. Em 2013, informamos a
exposio de 552 milhes de identidades. Em 2014, esse nmero parece ter sido consideravelmente reduzido, para 348 milhes de
identidades.
Total de identidades expostas
384
-37%
milhes
552
93
+493%
milhes
milhes
2013
2012
2014
Mdia de identidades expostas/violaes
1.116.767
2.181.891
604.826
2014
2013
2012
-49%
+261%
Mediana de identidades expostas/violaes
7.000
+3%
6.777
2014
2013
-19%
8.350
2012
primeira vista, parece que muito menos identidades

foram expostas. O fato de terem sido relatadas menos
violaes contendo mais de 10 milhes de identidades
afeta essa queda, mesmo que pelo volume absoluto de
identidades. Tambm possvel que organizaes de
grande porte tenham observado as grandes violaes que
ocorreram no fim de 2013, implementando polticas de
segurana que reduziram o risco de violaes de dados,
como a soluo de preveno de perda de dados (DLP) que
impede que a maioria dos dados seja exfiltrada, mesmo se
os invasores conseguirem acessar uma rede com sucesso.
Embora esses aspectos certamente tenham sido importan
tes, nossos nmeros indicam outra possibilidade: o nmero
de organizaes que deixa de divulgar o nmero de identi
dades expostas est aumentando. Em 2013, registramos
34 em 253 violaes (ou 13 por cento) em que o nmero de
identidades expostas no foi divulgado. Em comparao,
61em 312 violaes (ou 20 por cento) divulgadas em 2014
no incluam essa informao. Isso equivale a 1 em 5 violaes no relatadas sobre o alcance dos dados expostos em
uma violao.
difcil explicar com certeza por que essas informaes

no so compartilhadas publicamente. Em alguns casos,
possvel que as organizaes acreditem que determinar o
nmero de identidades expostas seja muito difcil. Em ou
tros casos, essas informaes provavelmente permanecem
secretas para ajudar a preservar a reputao das organizaes contra os efeitos negativos da violao.
O mais preocupante, porm, que essa tendncia pode
indicar uma situao em que um grande nmero de
violaes no divulgado ao pblico. Embora em alguns
setores, como sade e governo, uma violao precise ser
divulgada por fora da lei, na maioria dos setores isso no
ocorre. Assim, muitas organizaes podem decidir ocultar
informaes sobre uma violao para proteger a reputao
da empresa e no enfrentar sanes por isso. Nos prximos
anos isso pode mudar, j que diversas agncias governamentais de todo o mundo esto avaliando regulamentaes
relacionadas divulgao adequada de violaes de dados.
Dez principais setores violados por nmero de incidentes
Classi
ficao
Setor
Sade
116
37,2
Varejo
34
10,9
Educao
31
9,9
Governo e setor pblico
26
8,3
Financeiro
19
6,1
Software de computador
13
4,2
Hotelaria
12
3,8
Seguros
11
3,5
Transporte
2,9
10
Artes e mdia
1,9
Nmero de incidentes
% de incidentes
Dez principais tipos de informaes expostas
Classi
ficao
Tipo em 2014
Nomes verdadeiros
68,9
Nomes verdadeiros
71,5
Nmeros de IDs governamentais (previdncia social)
44,9
Datas de nascimento
43,1
Endereo residencial
42,9
Nmeros de IDs governamentais (previdncia social)
39,5
Informaes financeiras
35,5
Endereo residencial
37,5
Datas de nascimento
34,9
Pronturios mdicos
33,6
Pronturios mdicos
33,7
Nmeros de telefone
19,0
Nmeros de telefone
21,2
Informaes financeiras
17,8
Endereos de e-mail
19,6
Endereos de e-mail
15,4
Nomes de usurio e senhas
12,8
Nomes de usurio e senhas
11,9
10
Seguros
11,2
Seguros
5,9
2014 %
Tipo em 2013
2013 %
Nomes verdadeiros, Nmeros de previdncia social e Endereo residencial ficaram entre os trs principais tipos de informao violados
em 2014. A exposio de informaes financeiras cresceu de 17,8 por cento para 35,5 por cento em 2014, o maior aumento na lista de
dez principais tipos de informao expostos.
ATAQUES CONTRA O VAREJO

Est claro que os invasores tm o varejo na mira, se nos guiarmos pelo aumento das
violaes de dados financeiros. Mais uma vez, o setor de varejo detm a duvidosa
honra de apresentar o maior nmero de identidades expostas, englobando quase
60 por cento de todas as identidades relatadas expostas, em comparao a 30 por
cento em 2013. Informaes financeiras passaram para o quarto lugar em tipos
mais comuns de informaes expostas em violaes. Em 2013, 17,8 por cento das
violaes continham informaes financeiras, mas em 2014 esse nmero saltou
para 35,5 por cento.
Dez principais setores violados por nmero de identidades expostas
Classi
ficao
Setor
Nmero de identidades expostas
Varejo
205.446.276
59,0
Financeiro
79.465.597
22,8
Software de computador
35.068.405
10,1
Sade
7.230.517
2,1
Governo e setor pblico
7.127.263
2,0
Redes sociais
4.600.000
1,3
Telecomunicaes
2.124.021
0,6
Hotelaria
1.818.600
0,5
Educao
1.359.190
0,4
10
Artes e mdia
1.082.690
0,3
Essas informaes financeiras podem variar de detalhes

de contas bancrias a documentos fiscais, mas na maioria
dos casos so detalhes de cartes de dbito ou crdito.
Os varejistas online desempenham um papel significativo,
mas o mais frequente nas violaes de dados relatadas so
ataques contra sistemas de ponto de venda: as mquinas
de passagem de carto de crdito tornaram-se onipresentes
em nossa experincia de varejo.
Embora os primeiros ataques contra sistemas de ponto de
venda tenham ocorrido em 2005, a Symantec observou
um aumento nos ataques em 2014. Agora, esses ataques
so uma das maiores fontes de roubo de dados de carto
de pagamento20 e esto por trs de algumas das maiores
violaes de dados de 2013 e 2014.
20
21
http://securityresponse.symantec.com/content/en/us/enterprise/media/
security_response/whitepapers/attacks_on_point_of_sale_systems.pdf
http://www.symantec.com/connect/blogs/demystifying-point-sale-malwareand-attacks
% de identidades expostas
Os sistemas de ponto de venda ficam vulnerveis devido

epidmica ausncia de segurana, incluindo criptografia de
dados inadequada ou inexistente, vulnerabilidades de software, uso de softwares desatualizados como o Microsoft
Windows XP (cujo suporte foi encerrado em 2014) e a lenta
adoo da tecnologia de chip e senha fora da Europa. Com
novas formas de pagamento, como o Apple Pay e os cartes
com chip e senha que chegam aos EUA, os dados de pontos
de venda provavelmente se tornaro mais seguros nos
prximos anos.
A curto prazo, eles provavelmente continuaro a ser um
alvo importante de ataques. As empresas de carto de
crdito, e tambm os proprietrios de carto atentos,
descobrem rapidamente padres de gastos anormais. Isso
significa que os criminosos precisam de um suprimento
constante de nmeros de carto de crdito novos, e a
economia online proporciona um mercado receptivo de
compradores e vendedores21.
PRIVACIDADE E A IMPORTNCIA
DA SEGURANA DE DADOS
A prevalncia das violaes de dados nos ltimos anos certamente afetou a opinio
dos consumidores a respeito de suas informaes privadas. A Symantec realizou
uma pesquisa sobre privacidade na Unio Europeia, publicando concluses inte
ressantes no documento State of Privacy Report 2015 (Relatrio sobre o estado da
privacidade de 2015).22
Por exemplo, 59 por cento dos entrevistados j tinham
enfrentado problemas com a proteo de dados. Alm de
violaes de dados de empresas usadas por eles, outros
problemas incluram invaso de contas de e-mail e mdia
social, roubo de detalhes bancrios e identidades online,
vrus de computador ou e-mails falsos ou de fraudes online.
No geral, 57 por cento dos entrevistados preocupam-se que
seus dados no estejam seguros. Esse no um problema
pequeno, j que a segurana dos dados muito importante
para os consumidores, considerando que 88 por cento
afirmam que esse um fator importante na escolha da
empresa com a qual fazem negcios mais importante do
que a qualidade do produto (86 por cento) ou a experincia
com o atendimento ao cliente (82 por cento).
Alm disso, somente 14 por cento dos entrevistados no
se importavam em compartilhar seus dados com terceiros,
com 47 por cento insatisfeitos em compartilhar quaisquer
dados e 35 por cento exigindo alguma forma de controle
sobre quais dados so compartilhados.
Os entrevistados tambm indicaram que estavam adotando
uma abordagem de automoderao em relao a seus
dados pessoais e que se encarregariam eles prprios de
sua proteo. De acordo com a pesquisa da Symantec, mais
da metade dos pesquisados (57 por cento) agora evitam
publicar detalhes pessoais online. Outra abordagem comum
automoderao tambm pode ter repercusses assustadoras para os negcios, porque um em trs consumidores
admite ter fornecido informaes falsas a fim de proteger a
sua privacidade.
22
Alm disso, os invasores esto mais pacientes, aguardando

aps terem violado as defesas de uma organizao e acu
mulando conhecimentos sobre os padres de comportamento a partir da atividade na rede: descobrir quem faz
o que e como. Dessa forma, eles ficam mais preparados
no s para vigiar os alvos mas tambm para se passarem
por eles e explor-los. A arma escolhida por eles o uso
de credenciais legtimas roubadas e o nvel de pacincia
exigido para a realizao desses ataques, em vez de iniciar
um ataque imediatamente aps uma violao. Com o monitoramento cuidadoso desses ciclos de comportamento por
longos perodos, esses ataques podem ter a aparncia de
padres normais de comportamento.
O permetro tradicional de uma organizao no mais to
demarcado. As fronteiras se desfazem, e os dispositivos
mveis tornam o gerenciamento especialmente difcil. Cada
vez mais, os dados so armazenados no s em dispositivos
mveis mas tambm na nuvem. Os dispositivos mveis se
tornaram essenciais para fornecer acesso a esses dados,
porque mais provvel que as senhas fiquem armazenadas no cache dos dispositivos mveis, que alm disso tm
menos chance de estarem criptografados do que um laptop
roubado.
http://www.symantec.com/content/en/us/about/presskits/b-state-of-privacy-report-2015.pdf
VIOLAES DE DADOS NO SETOR DE

SADE
Por Axel Wirth
Estimulados por foras do mercado e pelo desejo de melhorar o fornecimento dos

servios, reduzir custos e atender a regulamentaes governamentais, os fornecedores de sade tm adotado pronturios eletrnicos e sistemas clnicos digitais em
nmeros recorde. Alm disso, o envelhecimento da populao requer gerenciar
doenas crnicas, novas metodologias de diagnstico fornecem resultados de melhor qualidade e o nmero maior de pacientes atendidos faz o volume de dados
crescer rapidamente.
Tudo isso leva a uma infraestrutura de TI mais complexa,
aumentando a necessidade de integrao e troca de
informaes, o surgimento de novos modelos de entrega de
servios e reembolso e o acmulo de dados. Essas tendncias combinadas tornam o setor de sade mais atraente e
aumentam o risco de violaes de dados dos fornecedores,
de forma intencional ou no.
Em 2014, houve um aumento de 23 por cento no nmero
de violaes de dados de sade. Ao contrrio do que ocorre
com as violaes de forma geral, o erro humano e o roubo
de dispositivos (relacionados ou no aos dados presentes
neles) ainda compem a maior parte desses incidentes.
Dispositivos perdidos ou roubados so responsveis pela
maior parte das violaes do setor de sade. De acordo
com o Norton Cybercrime Index, 45 por cento das violaes
em sade ocorreram devido a dispositivos perdidos ou
roubados, um aumento de 10 por cento em relao ao ano
anterior. Identidades expostas publicamente por acidente,
devido a erros, tambm aumentaram em cerca de 11 por
cento em 2104.
No entanto, visar informaes mdicas de pacientes para
fins de roubo de identidades mdicas, fraude financeira ou
fraude de seguros de sade um problema cada vez maior.
Interessados especificamente em informaes pessoais
identificveis (PII) ou informaes de sade protegidas
(PHI), os ladres parecem ter mais incentivos para invadir
organizaes de sade ou tentar contratar pessoas das
organizaes a fim de obter cpias eletrnicas ou impressas
dos pronturios dos pacientes. Na verdade, o nmero de
violaes de dados no setor de sade causadas por aes
internas mais do que dobrou em 2014. As violaes resultantes de invases aumentaram 82 por cento em 2014.
23
Ataques mais avanados podem visar volumes maiores

de registros eletrnicos para roubo de identidades, como
no setor de varejo. Tambm ocorrem outras atividades
criminosas, incluindo extorso, chantagem ou bisbilhotagem de celebridades. No entanto, um nmero indito de
casos foi relatado em todo o mundo e para todos os tipos de
organizaes de servios de sade, desde centros mdicos
acadmicos a pequenos hospitais comunitrios, quando
comparado a qualquer outro setor. Nem local nem tamanho
fornecem qualquer proteo, como mostra o caso de um
hospital comunitrio rural de 22 leitos do sul do estado de
Illinois, que recebeu um e-mail com dados roubados que
exigia o pagamento de resgate para que as informaes dos
pacientes no fossem divulgadas23.
Vrios hospitais possuem programas de segurana
ciberntica amadurecidos, mas muitos ainda se esforam
para atingir metas bsicas, como a implementao de
criptografia para proteger os dados de dispositivos mveis,
laptops ou carregadores de dados perdidos ou roubados.
Um nmero grande demais de organizaes de servios de
sade ainda investe pouco em segurana ciberntica, o que
as transforma em alvos fceis para os ataques cada vez
mais direcionados e sofisticados dos criminosos cibernticos.
Infelizmente, em sua maior parte o setor de sade no est
preparado para enfrentar os riscos da segurana ciberntica, seja no caso de hospitais, empresas farmacuticas ou
biotcnicas, seguradoras de sade, fabricantes de equipamentos mdicos, agncias nacionais de sade ou empregadores.
Illinois hospital reports data blackmail; PC World, 15 de dezembro de 2014;

http://www.pcworld.com/article/2859952/illinois-hospital-reports-data-blackmail.html
Muitas organizaes, como o SANS Institute, o Departamento de Segurana Interna dos EUA, o FBI e o FDA, divulgaram
advertncias alarmantes a respeito dos riscos de segurana
ciberntica para o setor de sade. As violaes no so um
problema restrito aos EUA, tendo sido relatadas em vrios
outros pases. Existe um mercado clandestino prspero
para informaes mdicas, e os criminosos esto lucrando
de vrias maneiras e por vrios motivos.
Em primeiro lugar, os conjuntos de dados mdicos tendem a
ser mais completos em comparao aos que podem ser obtidos em outros locais. Eles incluem informaes demogrficas, identificaes governamentais, contas bancrias e de
carto de crdito, credenciais de planos de seguro, status
de doenas e descritores fsicos. Esses dados podem ser
usados para roubo de identidades, fraude financeira, fraude
de prescries, obteno de servios mdicos ou revenda
de dados no mercado negro. As caractersticas fsicas dos
pacientes podem ser utilizadas na obteno de passaportes,
vistos ou outras formas de documentos de identidade24. Em
resumo, esses dados atraem agentes mal-intencionados
devido ao seu alcance e profundidade.
O roubo de identidades mdicas custa mais s vtimas do
que apenas seu dinheiro. Dados incorretos em pronturios
mdicos podem levar a diagnsticos ou tratamentos incorretos ou atrasados, afetar possibilidades de emprego e,
normalmente, so difceis de corrigir. Ao contrrio das

fraudes financeiras, nas quais os consumidores tm responsabilidade limitada, existe pouca proteo contra fraudes
de sade e suas consequncias de longo prazo25.
Enquanto cartes de crdito podem valer de US$ 0,50 a
US$ 1 na economia clandestina, informaes bsicas de
seguros e identidades podem valer US$ 1026 e chegar at
US$ 5027, de acordo com seu grau de integridade, podendo
incluir at mesmo cartes de associado prontamente disponveis, carteiras de motorista e cartes de crdito.
Os nmeros de violaes em sade so altos, e a tendncia
de crescimento. Tradicionalmente, a perda e o roubo de
dispositivos so o principal desafio para as organizaes
de servios de sade, mas agora vemos um aumento em
ataques direcionados, o que resulta em violaes com
impacto significativo em fornecedores de servios e pacientes. Causas no intencionais gerais, como a perda de
dispositivos ou a exposio acidental de dados, ainda so os
motivos mais comuns, mas violaes causadas por pessoas
mal-intencionadas, como invases ou roubo interno, esto
crescendo rapidamente. Essa tendncia destaca a necessidade de as organizaes garantirem a implementao
de processos para tratar perda ou roubo, mas tambm de
polticas de proteo contra agentes externos que tentem
obter acesso a dados lucrativos.
Medical identity theft proves lucrative in myriad ways; Fierce Health IT, 21 de outubro de 2014; http://www.fiercehealthit.com/story/medical-identify-theftproves-lucrative-myriad-ways/2014-10-21?utm_medium=nl&utm_source=internal
The Growing Threat of Medical Identity Fraud: A Call to Action; Medical Identity Fraud Alliance (MIFA), julho de 2013; http://medidfraud.org/wp-content/
uploads/2013/07/MIFA-Growing-Threat-07232013.pdf
26
Your medical record is worth more to hackers than your credit card; Reuters, 24 de setembro de 2014; http://www.reuters.com/article/2014/09/24/uscybersecurity-hospitals-idUSKCN0HJ21I20140924
27
Stolen EHR Charts Sell for $50 Each on Black Market; MedScape, 18 de abril de 2014; http://www.medscape.com/viewarticle/824192
24
25
RECOMENDAES E
MELHORES PRTICAS
Apesar das vulnerabilidades deste ano, quando se trata de proteger os visitantes

do seu site e as informaes que eles compartilham com voc, o SSL e o TLS
continuaro a ser o padro-ouro. Na verdade, devido publicidade recebida pelo
Heartbleed, um nmero indito de empresas comeou a contratar desenvolvedores
de SSL para lidar com correes e cdigo. Com isso, h mais gente trabalhando em
bibliotecas SSL e em boas prticas de implementao.
Em 2014, os algoritmos de certificados SSL ficaram mais fortes do que nunca. A Symantec, alm de
vrias outras autoridades de certificao, adotou o SHA-2 como padro e est reduzindo o suporte
para razes de 1024 bitsi.
Obtenha
SSL mais
forte
A Microsoft e o Google anunciaram planos de descontinuar o SHA-1 que podem afetar sites com
certificados SHA-1 cuja expirao comea em 1 de janeiro de 2016ii. Em outras palavras, caso
voc ainda no tenha migrado para o SHA-2, os visitantes que usam o Chrome para acessar seu site
provavelmente vero um aviso de segurana e, a partir de 1 de janeiro de 2017, seus certificados
no funcionaro para visitantes que usem o IE.
A Symantec tambm est expandindo o uso do algoritmo ECC, uma alternativa muito mais forte ao
RSA. Todos os grandes navegadores, mesmo as verses mveis, tm suporte para certificados ECC
em todas as plataformas mais recentes. Existem trs benefcios principais no uso de ECC:
1. Segurana aprimorada. Comparadas com as chaves RSA 2048, o padro do setor, as chaves ECC256 so 10.000 vezes mais difceis de violariii. Ou seja, preciso ter muito mais capacidade de
computao e dispor de muito mais tempo para executar ataques de fora bruta que violem esse
algoritmo.
2. Melhor desempenho. Os proprietrios de sites costumavam se preocupar que a implementao
de certificados SSL deixaria seus sites mais lentos. Por isso, muitos sites adotaram SSL
apenas parcialmente, o que cria vulnerabilidades graves. O ECC requer menos capacidade de
processamento no site do que o RSA e pode lidar com mais usurios e conexes ao mesmo tempo.
Isso torna a implementao do Always-On SSL no s sensata mas tambm vivel.
3. Perfect Forward Secrecy (PFS). Embora a PFS seja uma opo com certificados RSA e ECC, o
desempenho muito melhor com certificados ECC. Por que isso faz diferena? Bem, sem a PFS,
um invasor que obtenha as suas chaves privadas poder descriptografar dados de forma retro
ativa. Considerando que a vulnerabilidade Heartbleed tornou essa possibilidade bastante real
para tantos sites, esse um problema. Com a PFS, porm, um invasor que viole ou obtenha sua
chave privada de certificado SSL s poder descriptografar informaes protegidas com as chaves
a partir desse momento. Ele no poder descriptografar dados histricos.
Como vimos em 2014, os benefcios do SSL dependem da sua implementao e manuteno. Por
isso, certifique-se de:
Implementar o Always-On SSL. Use certificados SSL para proteger todas as pginas do seu site, de
forma que todas as interaes dos visitantes com o site sejam autenticadas e criptografadas.
Use o SSL
da forma
certa
Manter os servidores atualizados. Isso no se aplica apenas s bibliotecas SSL do servidor:

qualquer patch ou atualizao precisa ser instalado assim que possvel. Existe um motivo por que
so lanados: para reduzir ou eliminar uma vulnerabilidade.

Exibir marcas de confiana reconhecidas (como o Selo Norton Secured) em locais de grande
visibilidade do site para mostrar seu compromisso com a segurana dos clientes.

Executar verificaes regulares. Fique atento aos servidores Web e procure vulnerabilidades ou
malware.

Manter a configurao dos servidores atualizada. Verifique se verses antigas e inseguras do
protocolo SSL (SSL2 e SSL3) esto desabilitadas e se verses mais recentes do protocolo TLS
(TLS1.1 e TLS1.2) esto habilitadas e priorizadas. Use ferramentas como o SSL Toolbox da Symantec
para verificar a configurao correta dos servidoresiv.
http://www.symantec.com/page.jsp?id=1024-bit-certificate-support
http://www.symantec.com/pt/br/page.jsp?id=sha2-transition
http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsa
iv
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
i
ii
iii
Bom senso bsico e alguns bons hbitos de segurana podem fazer muito pela segurana de sites
e servidores este ano:
Garanta que os funcionrios no abram anexos de remetentes que no conhecem.
Instrua os
funcionrios
Eduque os funcionrios a respeito da sua conduta em mdia social: ofertas que paream boas
demais para ser verdade no so; assuntos quentes so uma grande isca para fraudes; nem
todos os links levam a pginas de login verdadeiras.
Estimule-os a adotarem a autenticao de duas etapas em qualquer site ou aplicativo que a
oferea.
Garanta que tenham senhas diferentes para cada conta de e-mail, aplicativo e login,
especialmente no caso de sites e servios relacionados ao trabalho.
Lembre-os de cultivar o bom senso. Ter um software antivrus no significa que permitido
visitar sites mal-intencionados ou questionveis.
Os invasores esto mais agressivos, mais sofisticados e mais impiedosos do que nunca em
suas tentativas de explorar a Internet para seus objetivos perniciosos. No entanto, indivduos e
organizaes podem fazer muito para limitar o seu impacto.
Garanta a
segurana
ou passe
vergonha
O SSL e a segurana de sites agora fazem parte da conscincia pblica, e se voc no fizer a sua
parte poder passar vergonha no HTTP Shaming, um site criado pelo engenheiro de software Tony
Websterv.
Quando se trata de empresas e seus sites, implementaes e processos de segurana adequados
so tudo o que impede a runa total, tanto financeira quanto de sua reputao. Por isso, garanta
asua segurana em 2015 com a Symantec.
http://arstechnica.com/security/2014/08/new-website-aims-to-shame-apps-with-lax-security/
VEM A
PARTE 3:
MDIA SOCIAL E FRAUDES
Conhea as informaes mais

recentes sobre mdia social e fraudes
e saiba mais sobre o futuro do
panorama de ameaas a curto prazo.
SOBRE A SYMANTEC
A Symantec Corporation (NASDAQ: SYMC) uma especialista em proteo de informaes
que ajuda pessoas, empresas e governos que buscam a liberdade de aproveitar as oportu
nidades trazidas pela tecnologia a qualquer momento, em qualquer lugar. Fundada em
abril de 1982, a Symantec, uma empresa Fortune 500 que opera uma das maiores redes
globais de inteligncia de dados, fornece solues lderes do setor para segurana, backup
e disponibilidade de locais onde informaes vitais so armazenadas, acessadas e compartilhadas. Os mais de 20.000 funcionrios da empresa esto espalhados por mais de
50pases. Noventa e cinco por cento das empresas Fortune 500 so clientes da Symantec.
No ano fiscal de 2013, ela registrou receitas de US$ 6,9 bilhes.
Para saber mais, visite www.symantec.com/pt/br
ou conecte-se Symantec em: www.symantec.com/pt/br/social.
Mais informaes
Symantec no mundo: http://www.symantec.com/
Recursos de inteligncia da Symantec e ISTR: http://www.symantec.com/pt/br/threatreport/
Resposta de segurana da Symantec: http://www.symantec.com/pt/br/security_response/
Norton Threat Explorer: http://br.norton.com/security_response/threatexplorer/
Norton Cybercrime Index: http://br.norton.com/cybercrimeindex/
Para obter informaes de escritrios locais especficos e nmeros de

contato, visite nosso site.
Para obter informaes de produtos
ligue para: +1 650 426 5112
Symantec Brazil
Av. Dr. Chucri Zaidan, 920 - 12 andar
Market Place Tower
So Paulo, SP
Brasil
www.symantec.com/pt/br/ssl
2015 Symantec Corporation. Todos os direitos reservados. Symantec, o logotipo da Symantec, o logotipo circular com a marca de
verificao e o logotipo do Norton Secured so marcas comerciais ou registradas da Symantec Corporation ou de suas afiliadas nos
Estados Unidos e em outros pases. Outros nomes podem ser marcas comerciais dos respectivos proprietrios.

Symantec WSTR Pt2 PTBR

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Symantec WSTR Pt2 PTBR

Hochgeladen von

Copyright:

Verfügbare Formate

Relatrio de Ameaas Segurana de Sites I 2015

Recomendaes e melhores prticas

I Symantec Website Security Solutions

Symantec Website Security Solutions I

Os invasores utilizam malware cada vez mais aprimorado, o que

Campanhas como Dragonfly, Waterbug e Turla infiltraram sistemas

O nmero de campanhas de spear phishing aumentou em 8 por cento

I Symantec Website Security Solutions

Devido crescente sofisticao desses ataques, a boa segu

O cenrio preocupante, mas no hipottico. Esta uma

Symantec Website Security Solutions I

Mais recentemente, um grupo de ataque muito habilidoso

A Symantec viu um nvel semelhante de compromisso em

I Symantec Website Security Solutions

SEGURANA CIBERNTICA INDUSTRIAL

A Symantec percebeu mais ataques contra sistemas de

Fonte: Symantec I Deepsight

O grfico mostra o nmero de vulnerabilidades divulgadas que foram

Symantec Website Security Solutions I

I Symantec Website Security Solutions

A melhor explicao para esse longo perodo de exposio

ATAQUES DE WATERING HOLE E

Existem duas formas de medir o valor e a importncia da

Symantec Website Security Solutions I

Vulnerabilidades de dia zero

Fonte: Symantec I Deepsight, SDAP, Wiki

Cinco principais vulnerabilidades de dia zero, patch e assinatura

Tempo total de exposio 2013

Mdia de dias at o patch 2013

Tempo total de exposio 2014

Mdia de dias at o patch 2014

Fonte: Symantec I Deepsight, SDAP, Wiki

Fonte: Symantec I Deepsight, SDAP, Wiki

Porcentagem geral em 2014

Microsoft ActiveX Control CVE-2013-7331

Microsoft Internet Explorer CVE-2014-0322

Adobe Flash Player CVE-2014-0515

Adobe Flash Player CVE-2014-0497

Microsoft Windows CVE-2014-4114 OLE

10 I Symantec Website Security Solutions

Vulnerabilidades de dia zero, total anual, 2006 2014

Fonte: Symantec | SDAP

5 principais vulnerabilidades de dia zero

NMERO DE ATAQUES DETECTADOS EM MILHARES

10% Microsoft Internet Explorer

Adobe Flash Player

Adobe Flash Player

<1% Microsoft Windows

NMERO DE DIAS APS A PUBLICAO DA VULNERABILIDADE

Symantec Website Security Solutions I 11

12 I Symantec Website Security Solutions

Invasores habilidosos usam toolkits de explorao no s

TCNICAS USADAS EM ATAQUES

Em 2014, quarenta e um por cento

Taxa de risco dos ataques de spear phishing por porte da organizao

Fonte: Symantec I .cloud, SRL

Symantec Website Security Solutions I 13

Dez principais setores visados em ataques de spear phishing, 2013 2014

De forma geral em 2014, o setor

Finanas, seguros e imveis

Fonte: Symantec | .cloud

Taxa de risco dos ataques de spear phishing por setor

Fonte: Symantec | .cloud, SRL