Cisco prevê mais ataques de “Destruição de Serviço”

2017-07-20 A rápida evolução das ameaças e a sua maior escala poderá resultar em ataques de “Destruição de Serviço” (DeOS, Destruction of Service) capazes de eliminar as redes seguras e de backup utilizadas pelas organizações para restaurar os seus sistemas e os seus dados após um incidente de cibersegurança. Acresce que a imparável evolução da IoT está a aumentar o espaço de manobra dos ciberataques, a sua escalabilidade e potencial impacto em múltiplos setores.  Esta é a principal conclusão do Relatório Semestral de Cibersegurança 2017 da Cisco.

Os incidentes recentes, como o WannaCry e o Nyetya, mostraram a rápida capacidade de expansão e grande impacto dos ciberataques que se assemelham a ransomware mas que, na verdade, são mais destrutivos. Esta evolução leva a Cisco a prever o que se denomina de “ataques de Destruição de Serviço”s, que poderão resultar em danos maiores que os ataques tradicionais, ao deixar os negócios sem possibilidade de recuperação.  

A IoT alarga as oportunidades para os atacantes e as vulnerabilidades de segurança, prontas a serem exploradas, e terá um papel fundamental na hora de facilitar estas campanhas de grande impacto. A recente atividade de botnets IoT nas redes sugere que alguns ciberdelinquentes poderão estar a criar já as bases para um ataque de grandes dimensões e alto impacto que terá, inclusivamente, o poder de parar a Internet. 

Medir a efetividade das práticas de segurança é essencial. Um menor Tempo de Deteção (TTD ou Time to Detection) – o tempo que vai desde que se analisa um arquivo até que se deteta a ameaça – é crítico para limitar o espaço de operação dos atacantes e minimizar o impacto das instruções. A Cisco anunciou um TTD médio de 3,5 horas entre novembro de 2016 e maio de 2017, o que representa um avanço considerável face às 39 horas registadas em novembro de 2015. Este valor é obtido através de telemetria interna de dados, procedentes de dispositivos de segurança da Cisco implementados à escala global.   

Durante a primeira metade de 2017, os investigadores de segurança da Cisco detetaram mudanças nas técnicas que os adversários utilizam para distribuir, ocultar e evitar a deteção do malware. Concretamente, os ciberatacantes recorrem cada vez mais à interação com as vítimas para ativar ameaças, como por exemplo através de incentivo aos cliques em links ou abertura de anexos. Também criam malware dito “sem arquivo”, que consiste em memória e é mais difícil de detetar ou investigar dado que se elimina com o reinício dos dispositivos. Outra técnica passa pela utilização de infraestrutura anónima e descentralizada – como serviços Tor Proxy – para ocultar as atividades command and control.

Acresce que se mantêm os ataques mais tradicionais. O volume de spam cresce significativamente, prevendo-se que o volume de spam com anexos maliciosos continue a aumentar. O spyware e o adware, frequentemente considerados por profissionais de segurança como os mais danosos, são tipos de malware que persistem e geram riscos para as organizações. Nos ambientes corporativos, o spyware pode roubar informação dos utilizadores e da empresa, debilitando a segurança dos terminais e aumentando as infeções por malware. 

Regista-se ainda o aumento do Ransomware-Como-Serviço (RaaS - Ransomware-as-a-Service), facilitando a evolução do ransomware, uma vez que não requer conhecimentos técnicos avançados. Estima-se que o ransomware tenha gerado um benefício para os cibercriminosos de mil milhões de dólares em 2016 e que pouco falta para uma ameaça de maiores dimensões, frequentemente desvalorizada.

E o Business Email Compromise (BEC), um ataque baseado em técnicas de engenharia social que utiliza emails corporativos falsos com resgate associado, está a converter-se num método cada vez mais lucrativo. Entre outubro de 2013 e dezembro de 2016 foram roubados 5,3 mil milhões de dólares através de ataques BEC, de acordo com o Internet Crime Compliant Center. 

Enquanto os ciberdelinquentes continuam a aumentar a sofisticação e intensidade dos ataques, as organizações de diversos setores continuam a ter problemas para cumprir os requisitos de defesa contra os ciberataques básicos. A convergência das TI (tecnologias de informação) e das TO (tecnologias operativas) na era da IoT gera problemas de visibilidade e de complexidade para as organizações.

De acordo com o último Security Capabilities Benchmark Study – um estudo realizado pela Cisco no qual participaram cerca de três mil responsáveis de segurança de 13 países – as equipas de segurança estão cada vez mais saturadas pelo crescente volume de ataques, o que se traduz numa proteção mais reativa e menos proactiva. 

Este estudo mostra que apenas dois terços das organizações investigam os alertas de segurança. Em certos setores (como saúde e transportes), este número desce para cerca de 50%. Incluindo em setores mais proactivos (como o financeiro), as organizações estão a mitigar menos de metade das ameaças identificadas como legítimas ou não maliciosas. As vulnerabilidades ou falhas de segurança geram mais atenção, uma vez que na maior parte dos setores, pelo menos 9 em cada 10 organizações adotam melhorias de segurança básicas para evitar estas falhas, ainda que alguns como transporte (8 em cada 10 organizações) avançam menos neste sentido.

Perante esta realidade, o estudo da Cisco recomenda que para enfrentar os crescentes e cada vez mais sofisticados ciberataques, as organizações terão que adotar uma proteção proactiva. Nomeadamente, manter a infraestrutura e as aplicações atualizadas, para os atacantes não explorarem vulnerabilidades conhecidas; reduzir a complexidade, através de uma defesa integrada e limitando a utilização de silos; envolver a liderança o mais cedo possível, para assegurar um correto entendimento dos riscos de segurança e das limitações de orçamento; fomentar a educação dos colaboradores, especialmente a formação por cargo em detrimento de uma abordagem one-size-fits-all; e reforçar as defesas com os controlos de processo ativos em vez de passivos.

Neste relatório, participou um diverso grupo de 10 parceiros tecnológicos de segurança, que partilharam dados e trabalharam conjuntamente em conclusões: Anomali, Flashpoint, Lumeta, Qualys, Radware, Rapid7, RSA, SAINT Corporation, ThreatConnect e TrapX. O ecossistema de parceiros tecnológicos de segurança constitui uma componente essencial na visão da Cisco, que passa por proporcionar às organizações uma segurança simples, integrada, aberta e automatizada.
 

2017-10-17 | Atualidade Nacional

Núcleo de acionistas controladores chega a acordo


2017-10-17 | Atualidade Nacional

Líder do grupo fez encontro de quadros em Lisboa


Relatório anual ‘5G Readiness' da Ericsson


2017-10-17 | Breves do Sector

Para data centers e clouds privadas