Prevalência de ciberameaças impulsionará ataques de DeOS

O Relatório Semestral de Cibersegurança 2017 da Cisco, 2017 alerta para necessidade de serem tomadas novas medidas perante convergência das tecnologias operacionais e de informação. Destaca ainda como a imparável evolução da Internet of Things (IoT) está a aumentar o espaço de manobra dos ciberataques, a sua escalabilidade e potencial impacto em múltiplos setores.  

Incidentes recentes como o WannaCry e o denominado pela Cisco de Nyetya mostraram a rápida capacidade de expansão e grande impacto dos ciberataques que se assemelham a ransomware mas que, na verdade, são mais destrutivos.

“Os nossos adversários são cada vez mais criativos na hora de conceber ataques, como demonstram os incidentes recentes como WannaCry e Nyetya. Embora a maioria das organizações esteja a tomar medidas para melhorar a sua segurança após um incidente, trata-se de uma luta constante para vencer os atacantes. Uma segurança verdadeiramente efetiva começa por mitigar vulnerabilidades básicas e por converter a cibersegurança numa prioridade de negócio”, refere Steve Martino, vice-presidente e CISO na Cisco.

Esta evolução leva a Cisco a prever que a grande tendência entre ciberataques estará alocado ao intitulado de ataques de "Destruição de Serviços", DeOS, que poderão resultar em danos maiores do que os ataques tradicionais, ao deixar os negócios sem possibilidade de recuperação.   

A IoT alarga as oportunidades para os atacantes e as vulnerabilidades de segurança, prontas a serem exploradas, terão um papel fundamental na hora de facilitar estas campanhas de grande impacto. A recente atividade de botnets IoT nas redes sugere que alguns “ciberdelinquentes” poderão estar a criar já as bases para um ataque de grandes dimensões e alto impacto que terá, inclusivamente, o poder de parar a Internet.  

Medir a efetividade das práticas de segurança é essencial. Um menor Tempo de Deteção (TTD, Time to Detection) – o tempo que vai desde que se analisa um arquivo até que se deteta a ameaça – é crítico para limitar o espaço operativo dos atacantes e minimizar o impacto das instruções. A Cisco acaba de anunciar um TTD médio de 3,5 horas entre novembro de 2016 e maio de 2017, um avanço considerável face às 39 horas registadas em novembro de 2015. Este valor é obtido através de telemetria interna de dados procedentes de dispositivos de segurança da Cisco implementados à escala global.

Durante a primeira metade de 2017, os investigadores de segurança da Cisco detetaram mudanças nas técnicas que os adversários utilizam para distribuir, ocultar e evitar a deteção do malware. Concretamente, os ciberatacantes recorrem cada vez mais à interação com as vítimas para ativar ameaças, como por exemplo através de incentivo aos cliques em links ou abertura de anexos. Também criam malware dito “sem arquivo”, que consiste em memória e é mais difícil de detetar ou investigar dado que se elimina com o reinício dos dispositivos. Outra técnica passa pela utilização de infraestrutura anónima e descentralizada – como serviços Tor Proxy – para ocultar as atividades command and control.

Ataques tradicionais a emergir

Embora o decréscimo da utilização de exploit kits seja significativo, estão agora a surgir outros tipos de ataques mais tradicionais. Entre eles encontra-se o spam, que tem verificado um aumento exponencial. Os adversários apoiam-se em métodos clássicos mas efetivos de distribuição de malware e geração de benefícios próprios, como o e-mail. A Cisco prevê que o volume de spam com anexos maliciosos continuará a aumentar, ao passo que a atividade dos exploit kits continua com flutuações.

O spyware e o adware, estão também a registar uma prevalência elevada. Frequentemente considerados pelos profissionais de segurança como os mais danosos, são tipos de malware que persistem e geram riscos para as organizações. Após avaliação de uma amostra de 300 empresas durante um período de quatro meses, os investigadores da Cisco descobriram três famílias predominantes de spyware que infetaram 20% da amostra. Nos ambientes corporativos, o spyware pode roubar informação dos utilizadores e da empresa, debilitando a segurança dos terminais e aumentando as infeções por malware.     

Outra das ameaças emergentes mais preocupantes identificada pela Cisco é o RaaS, Ransomware-as-a-Service. Estima-se que o ransomware tenha gerado um benefício para os cibercriminosos de mil milhões de dólares em 2016 e, através deste tipo de “serviço”, que facilita a propagação de ransomware ao alcance de qualquer cibercriminoso, sem que o atacante não tenha a necessidade de possuir competências técnicas, é provável que os ataques de ransomware continuem a proliferar em grande número.

Business Email Compromise (BEC), um ataque baseado em técnicas de engenharia social que utiliza e-mails corporativos falsos com resgate associado, está a converter-se também num método cada vez mais lucrativo. De acordo com a Cisco, entre outubro de 2013 e dezembro de 2016 foram roubados 5 300 milhões de dólares através de ataques BEC, de acordo com o Internet Crime Compliant Center.
 
Enquanto os cibercriminosos continuam a aumentar a sofisticação e intensidade dos ataques, as organizações de diversos setores continuam a ter problemas em cumprir os requisitos de defesa contra os ciberataques básicos. A convergência das TI (tecnologias de informação) e das TO (tecnologias operativas) na era da IoT gera problemas de visibilidade e de complexidade para as organizações. De acordo com o último “Security Capabilities Benchmark Study”, realizado pela Cisco no qual participaram cerca de três mil responsáveis de segurança de 13 países – as equipas de segurança estão cada vez mais saturadas pelo crescente volume de ataques, o que se traduz numa proteção mais reativa e menos proativa.  

Neste sentido, o estudo apurou que apenas dois terços das organizações investigam os alertas de segurança, sendo que, em setores como saúde e transportes, este número desce para metade (50%). Além disso, incluindo em setores mais proativos (como o financeiro), as organizações estão a mitigar menos de metade das ameaças identificadas como legítimas ou não maliciosas.

Com uma postura mais reativa e menos preventiva, as vulnerabilidades ou falhas de segurança de segurança foram identificadas como as que gerem mais atenção. Na maioria dos setores, pelo menos 9 em cada 10 organizações adotam melhorias de segurança básicas para evitar estas falhas, ainda que alguns como o dos transportes (8 em cada 10 organizações) avancem menos neste sentido.

Principais conclusões destacadas por setor:

• Administração Pública: 32% das ameaças investigadas são legítimas, mas apenas 47% delas são mitigadas;
   
• Retalho: 32% dos entrevistados afirmam ter perdido lucro em consequência dos ataques em 2016, sendo que 1 em cada 4 retalhistas perderam clientes ou oportunidades de negócio;
   
• Fabril: 4 em cada 10 profissionais de segurança no setor fabril admitem não ter uma estratégia formal de segurança nem cumprir as normas estandardizadas como ISO 27001 ou NIST 800-53;
   
• Utilities: Os ataques dirigidos (para 42% dos profissionais de segurança) e das APT’s ou ameaças persistentes avançadas (segundo 40% dos consultados) constituem os principais riscos de segurança para as organizações de utilities em 2016;
   
• Saúde: Cerca de 37% das organizações de saúde consideram os ataques como ameaças de alto risco.

Para mitigar as consequências dos ciberataques, que são cada vez mais destrutivos, a Cisco aconselha as organizações a manterem a infraestrutura e as aplicações atualizadas, de modo a que os ciberatacantes não consigam explorar quaisquer vulnerabilidades. Reduzir a complexidade através de uma defesa integrada é também imperativo, limitando assim a utilização de silos.

Tal como tem vindo a ser referido em diversas pesquisas, os colaboradores continuam a ser a maior porta de entrada do cibercrime nas organizações. Deste modo, a Cisco adverte para a importância de fomentar a educação dos colaboradores, especialmente a formação por cargo em detrimento de uma abordagem one-size-fits-all.

“A complexidade continua a entorpecer muitos dos esforços de reforço de segurança. As múltiplas soluções pontuais e não integradas acumuladas ao longo dos anos criam enormes oportunidades para os atacantes, que podem facilmente identificar vulnerabilidades ignoradas ou falhas de segurança. Para reduzir o TTD com efetividades e limitar o impacto dos ataques, os fornecedores de soluções devem apostar numa arquitetura mais integrada, que melhore a visibilidade e simplifique a gestão, facilitando a eliminação de falhas de segurança”, sublinha David Ulevitch, vice-presidente e diretor-geral da divisão de Segurança na Cisco.