Abaixo está replicado o material de divulgação da HPE com links para diversas outras fontes de informação, bem como um resumo das principais conclusões. Recomendo fortemente a leitura uma vez que todos são alvo de ataques de algum tipo. Eu mesmo fui vítima no final de 2015 de fraude de cartão de crédito, história esta que ainda está em progresso e por isso quando tiver um final feliz (ou não) eu vou compartilhar com os leitores.
Flavio Xandó
Relatório anual de segurança constata dificuldades das companhias para enfrentar principais vulnerabilidades e mostra que 2016 será ano do dano colateral
PALO ALTO,
Califórnia, 23 de fevereiro de 2016 — Vulnerabilidades de aplicativos, patches
e monetização de malware são os novos desafios de segurança que as empresas
irão enfrentar ao longo de 2016, de acordo com relatório HPE
Cyber Risk Report 2016,
da Hewlett Packard Enterprise. Realizado anualmente, o estudo mapeia as
principais ameaças de segurança que atingiram as companhias durante os últimos
12 meses e projeta tendências para o ano.
O relatório
sobre riscos cibernéticos revela ainda o aumento da sofisticação dos ataques e
as dificuldades que as organizações enfrentam para acompanhar o ritmo da
diversificação de plataformas e da dissolução dos perímetros entre
dispositivos.
Levando em
conta o contexto de ruptura da TI tradicional, em que o profissional de
segurança tem o desafio de proteger aplicativos, dados e usuários sem frear a
inovação ou atrasar prazos e processos das empresas, a HPE
descobriu que 2016 será
o ano do “dano colateral” de violações de dados
avançadas realizadas em 2015 e que somente agora mostrarão seus efeitos.
No Cyber Risk
Report também são destacadas questões como novas normas de pesquisas de segurança, a troca de
agendas políticas e o debate frequente sobre privacidade e proteção.
“Em 2015,
vimos hackers infiltrarem-se em redes a uma taxa alarmante, levando a algumas
das maiores violações de dados até o momento. Agora é a hora de desacelerar e
colocar a empresa em estado de emergência”, diz Sue Barsamian (@suebarsamian), vice-presidente sênior e gerente
geral de produtos de segurança da Hewlett Packard Enterprise. “Devemos
aprender com esses incidentes, compreender e monitorar o ambiente de riscos e
criar segurança na estrutura da organização para reduzir as ameaças, o que irá
permitir que as empresas inovem e acelerem o crescimento sem preocupações.”
Aplicativos
são os novos alvos
Embora os
aplicativos da web representem uma necessidade de negócios, os aplicativos
móveis apresentam perigos crescentes e distintos. O estudo aponta que:
·
Aplicativos
móveis que pedem informações de identificação pessoal e que apresentam
vulnerabilidades significativas no armazenamento e transmissão de informações
privadas e confidenciais, são utilizados frequentemente.1
·
Aproximadamente
75% dos aplicativos móveis verificados exibiram pelo menos uma vulnerabilidade de segurança crítica ou de alta gravidade. Para
efeito de comparação “apenas” 35% de aplicativos não-móveis apresentam
vulnerabilidades críticas ou de alta gravidade.1
·
Vulnerabilidades
devido ao abuso de APIs são muito mais comuns em aplicativos móveis do que em
aplicativos da web, enquanto o tratamento de erros – antecipação, detecção e
resolução de erros – é encontrado com mais frequência em aplicativos da web.1
Aplicações
desatualizadas são mais suscetíveis a ataques
A exploração de
vulnerabilidades de software continua a ser um dos principais vetores para ataques,
com técnicas de exploração móveis ganhando impulso.
·
Assim
como em 2014, as 10 principais vulnerabilidades exploradas em 2015 eram
conhecidas há mais de um ano, com 68% tendo sido reportadas há três anos ou
mais.3
·
Em
2015 o Microsoft Windows representou a plataforma de software mais visada, com
42% dos 20 principais ataques de exploração descobertos direcionados a
plataformas e aplicativos Microsoft.3
·
29%
de todos exploits bem-sucedidos em 2015 continuaram a usar um vetor de infecção
Stuxnet 2010, que tinha sido corrigido duas vezes.3
Monetização
de malware
O malware
passou de diversão para uma atividade geradora de receita para hackers. Embora
o número geral de amostras de malware recentemente descobertos tenha caído 3,6%
em relação ao ano anterior, os alvos de ataques mudaram de forma notável,
alinhados com as tendências em evolução das empresas, e focaram fortemente em
monetização.
·
Conforme
o número de dispositivos móveis conectados se expande, o malware está se
diversificando para atingir as plataformas operacionais móveis mais populares.
O número de ameaças a Android, malware e aplicativos potencialmente
indesejados cresceu para mais de 10 mil novas ameaças descobertas todos os
dias, alcançando um aumento total de 153% em relação ao ano anterior. O Apple
iOS representou a maior taxa de crescimento, com um aumento das amostras de
malware de mais de 230%.2
·
Os
ataques de malware a caixas eletrônicos usam hardware, software carregado no
caixa eletrônico ou uma combinação dos dois para furtar informações sobre
cartões de crédito. Em alguns casos, os ataques no nível de software passam por
cima da autenticação dos cartões para fornecer dinheiro diretamente.2
·
Cavalos
de Tróia voltados a bancos, como variáveis do Zbot Trojan, continuam a ser
problemáticos apesar dos esforços de proteção. Mais de 100 mil deles foram detectados
em 2015.2
·
Ransomware
é um modelo de ataque cada vez mais bem-sucedido, com vários grupos causando
devastação em 2015 ao criptografarem arquivos de consumidores e usuários
corporativos. Alguns exemplos: Cryptolocker, Cryptowall, CoinVault, BitCryptor,
TorrentLocker, TeslaCrypt, entre outros.2
Inteligência prática e recomendações
·
Aplicativos
são os novos alvos: O
perímetro de rede está desaparecendo; os hackers mudaram o foco para visar os
aplicativos diretamente. Profissionais de segurança devem ajustar suas
abordagens adequadamente, defendendo não apenas o perímetro, mas também as
interações entre os usuários, aplicativos e dados, independentemente do local
ou do dispositivo.
·
Aplicações
desatualizadas são mais suscetíveis a ataques: O ano de 2015 foi recorde para o número de vulnerabilidades de segurança relatadas e patches emitidos, mas os
patches adiantam muito pouco se os usuários finais não os instalarem por receio
das consequências indesejadas.4 Equipes de segurança devem estar
mais atentas à aplicação de patches no nível corporativo e do usuário
individual. Os fornecedores de software devem ser mais transparentes sobre as
implicações de correções para que os usuários finais não tenham medo de
implantá-los.
·
Monetização
de malware: Os ataques
de ransomware visando empresas e indivíduos estão aumentando, exigindo mais
conscientização e preparação da parte dos profissionais de segurança para evitar
a perda de dados confidenciais. A melhor proteção contra ransomware é uma
política de backup segura para todos os arquivos importantes no sistema.
·
Prepare-se
para a troca de políticas:
Acordos internacionais representam desafios para as empresas com dificuldades
para manter seus sistemas seguros e em conformidade. As organizações devem
seguir de perto a atividade legislativa em mudança e manter uma abordagem de
segurança flexível.
Vídeos relacionados, infográfico e seminário pela web
·
Vídeos do Cyber Risk Report 2016: Vice-presidente sênior e gerente geral de produtos de
segurança HPE, Sue Barsamian fornece uma visão geral dos cenários de ameaça e
uma discussão nos bastidores com três dos
pesquisadores de segurança que
dedicam suas carreiras a ajudar a comunidade de segurança a compreender melhor
as ameaças que suas organizações enfrentam.
·
Infográfico: O Cyber
Risk Report deste ano
detalha a natureza em evolução do cibercrime, além da legislação em
desenvolvimento para restringi-la. O infográfico apresenta a visão geral das
principais descobertas e recomendações dessa pesquisa inovadora.
·
Webcast:
Inscreva-se para o webcast sob demanda, em 14 de março às 11h (horário do
Pacífico), para ouvir como o HPE Security Research fala sobre os principais temas e as
recomendações que você pode aplicar.
1 Descobertas sobre o HPE Security Fortify on Demand incluídas no HPE
Cyber Risk Report 2016, HPE Security Research, fevereiro de 2016, seção de
análises de software, páginas 54-63
2 HPE Cyber
Risk Report 2016, HPE Security Research, fevereiro de 2016, seção de malware,
páginas 34-51
3 HPE Cyber
Risk Report 2016, HPE Security Research, fevereiro de 2016, seção de ataques de
exploração, páginas 30-33
4 HP
Security Briefing, Episode 22, junho de 2015