Ciberataques: É preciso limitar o campo de atuação dos atacantes

Esta é uma das conclusões do Relatório Semestral de Cibersegurança 2016 da Cisco, que destaca também a incapacidade das organizações para fazer frente a futuras espécies de ransomware mais sofisticadas, o maior enfoque dos ataques à infraestrutura de servidores, a contínua evolução dos métodos de ataque e a crescente utilização de cifras para mascarar a sua atividade.

Esta incapacidade deve-se principalmente à grande margem de atuação dos atacantes, fruto de uma frágil infraestrutura, redes infetadas e um lento rácio de deteção. Neste sentido, a parca visibilidade ao longo da rede e dos terminais é um problema grave. Em média, as empresas tardam até 200 dias a identificar novas ameaças.

Uma deteção mais rápida das ameaças é algo essencial para limitar o campo de ação dos atacantes e minimizar o dano provocado pelas intrusões. Nos primeiros meses de 2016, a Cisco conseguiu reduzir o tempo médio de deteção de ameaças desconhecidas até perto de 13 horas (contra as 17,5 horas referenciadas em outubro de 2015), superando assim, largamente, a média da indústria dos 200 dias.

À medida que os atacantes reforçam a sua capacidade de inovação, as organizações continuam a ter problemas para manter a segurança dos seus dispositivos e sistemas. Os sistemas descontinuados e que não são atualizados são um foco de oportunidades adicional para os atacantes, funcionando mesmo com um acesso mais fácil, com uma maior capacidade de ocultação e com a possibilidade de maximizar os prejuízos e lucros – uma situação que se repete à escala global.

O malware mais rentável

O ransomware é, até à data, o tipo de malware mais rentável da história. A Cisco estima que a tendência de crescimento se mantenha e que o ransomware se torne ainda mais destrutivo, capaz de se estender, por si próprio, e sequestrar redes inteiros e, por consequência, organizações.

Novas espécies de ransomware modular podem alterar as suas táticas rapidamente para maximizar a sua eficácia. Por exemplo, os futuros ataques de ransomware vão conseguir evitar a deteção limitando o uso de CPU e evitando ações ‘command-and-control’. Estas novas espécies de ransomware vão conseguir espalhar-se de forma muito mais célere multiplicando-se automaticamente nas organizações antes que seja possível contê-las.

Ainda que as empresas de setores críticos como as que operam na área da saúde tenham sofrido um aumento significativo de ataques nos últimos meses, o Relatório sublinha que todos os setores verticais e mercados a nível mundial são alvo de malware. Organizações de caráter social, ONG e plataformas de comércio eletrónico enfrentaram um crescente número de ataques na primeira metade de 2016.

Da mesma forma, as questões geopolíticas, incluindo a especificidade regulamentar e as políticas contraditórias de cibersegurança dos países tornam ainda mais complexa esta situação. A necessiade de controlar os dados pode limitar e colocar em risco o comércio internacional que enfrenta um cenário de ameaças cada vez mais sofisticado.

Os atacantes operam sem restrições

Para os atacantes, um período de tempo mais alargado sem ser detetado representa receitas ainda melhores e nos primeiros seis meses de 2016 estes ataques aumentaram exponencialmente devido a fatores como:

Maior foco. Os atacantes estão a alargar o seu foco passando de explorar vulnerabilidade dirigidas a clientes para ataques dirigidos a servidores, evitando a sua deteção e maximizando potenciais prejuízos e lucros.

• As vulnerabilidades do Adobe Flash continuam a ser um dos principais objetivos de malvertising e dos kits de exploração. No conhecido kit de exploração Nuclear, 80% dos ataques ao Flash foram bem-sucedidos.
• A Cisco também detetou uma nova tendência nos ataques de ransomware que exploram vulnerabilidades no servidor, especialmente nos servidores JBoss: 10% dos servidos JBoss conectados à internet a nível mundial estavam infetados. Muitas das vulnerabilidades do JBoss utilizadas para comprometer estes sistemas foram identificadas há 5 anos, o que significa que um patching básico e atualizações de fornecedores poderiam ter prevenido estes ataques com facilidade.

Evolução dos métodos de ataque. Durante a primeira metade de 2016, os atacantes conseguiram fazer evoluir os seus métodos de ataque tirando partido da falta de visibilidade das organizações.

• A exploração de vulnerabilidade Windows Binary tornou-se o principal método de ataque na web nos últimos 6 meses. Este método permite ao malware apropriar-se das infraestruturas de rede e conseguir que os ataques sejam mais difíceis de identificar e eliminar.
• No período considerado no Relatório, os esquemas de engenharia social realizados através do Facebook caíram da primeira (onde estavam em 2015) para a segunda posição.

Maior capacidade para ocultar o rastro. Para complicar ainda mais os problemas de visibilidade das organizações, os atacantes estão a tornar mais frequente a utilização de cifras como método de ocultar vários componentes das suas operações.

• A Cisco registou um aumento no uso de bit coins, do protocolo TLS e da rede Tor, que permitem a comunicação anónima a través da web.
• O malware cifrado HTTPS utilizado em campanhas de malvertising cresceu 300% entre dezembro 2015 e março de 2016. O malware cifrado facilita ainda mais a capacidade dos atacantes em ocultar a sua atividade web e ampliar o tempo de operação.

Dificuldade para reduzir vulnerabilidades e oportunidades

Neste cenário de ataques sofisticados, recursos limitados e infraestrutura obsoleta, as organizações têm problemas para combater os adversários, sendo um dos principais problemas a “limpeza da rede” – como o patching – especialmente grave em sistemas críticos para o negócio. Por exemplo:

• Se considerarmos os diferentes browsers, 75% a 80% dos utilizadores de Google Chrome (que efetua atualizações automáticas) utilizam a última versão do browser ou a versão anterior a essa.
• No entando, analisando questões de software, um terço de todos os sistemas Java examinados correm a versão Java SE 6, que já foi descontinuada pela Oracle (a versão atual é a SE 10)
• No Microsoft Office 2013, versão 15x, apenas 10% ou menos dos utilizadores estão a utilizar o último service pack.

Este problema é sistémico em todos os fornecedores e terminais. A Cisco detetou que uma parte considerável da sua infraestrutura também já está desatualizada o que tem vulnerabilidades conhecidas. Nos 103.121 dispositivos da Cisco ligados à internet que foram analisados, verificou-se que:

• Cada dispositivo tinha em média 28 vulnerabilidades conhecidas.
• Os dispositivos têm estado a funcionar ativamente com vulnerabilidades conhecidas, em média, há 6,64 anos.
• Mais de 9% das vulnerabilidades conhecidas têm mais de 10 anos.

A Cisco também analisou a infraestrutura de software de outros fornecedores em mais de 3 milhões de instalações. A maioria eram Apache e OpenSSH, com uma média de 16 vulnerabilidades conhecidas a correr, em média, há 5,05 anos.

As atualizações dos browsers são as mais simples de realizar para os terminais, ao contrário das atualizações empresariais e da infraestrutura do servidor que podem por isso causar problemas de continuidade de negócio. No fundo, quanto mais crítica é a aplicação para a atividade do negócio, menor é a probabilidade de ser atualizada com frequência, gerando maiores oportunidade para os atacantes.

Recomendações simples para proteger os negócios

Os investigadores da Cisco Talos verificaram que as organziações que seguem simples mas importantes passos podem melhorar enormemente a segurança das suas operações, nomeadamente:

• Maior ‘limpeza da rede’, através de montitorizaçao da rede; da implementação de patching e de atualizações atempadas; a segmentação da rede; a implementação de defesas no extremo da rede, incluindo segurança web e do email, Next Generation Firewalls e sistemas de IPS de Próxima Geração.
• Defesas integradas, mediante uma aproximação a uma “arquitetura” de segurança face ao lançamento de soluções de nicho e dispersas.
• Medir o tempo de deteção, procurando reduzi-lo para detetar ameaças e mitigá-las com maior rapidez, integrando essas métricas nas futuras políticas de segurança da organização.
• Proteger os utilizadores onde eles estão e independentemente do local onde trabalham, por oposição a proteger simplesmente o sistema através daqueles que nele interagem e enquanto estão ligados à rede da própria empresa.
• Realizar cópias de segurança dos dados críticos, fazendo prova, com frequência, da sua eficácia e confirmando que os back-ups não são suscetíveis de serem atacados.