RP Verizon DBIR 2014 PT BR XG

Relatrio de Investigaes
de Violaes de Dados
(Relatrio DBIR) de 2014
USO INDEVIDO
POR PESSOAS
DE DENTRO DA
EMPRESA
ERROS DIVERSOS
ATAQUES DE DoS
FURTO E PERDA FSICA

ESPIONAGEM CIBERNTICA
CRIMEWARE EXTRATORES DE
CARTO DE
PAGAMENTO
ATAQUES A
APLICATIVOS NA WEB
92 %
O UNIVERSO DAS AMEAAS PODE PARECER
ILIMITADO, MAS 92% DOS 100.000 INCIDENTES QUE
INVASES A PONTOS DE VENDAS
ANALISAMOS NOS LTIMOS DEZ ANOS PODEM SER

DESCRITOS POR APENAS NOVE PADRES BSICOS.
Conduzidas pela Verizon com contribuies de

50 organizaes de diferentes partes do mundo.
Colaboradores do Relatrio DBIR 2014
(consulte o Apndice C para obter uma lista detalhada)
SE
E S
NS
E
DEFE
E
N
E
D E
S
ES F
Malware Analysis & Threat Intelligence
V C
D B
ii Verizon Enterprise Solutions

Sumrio
INTRODUO.................................................................................................................................................................... 2
ANLISE DO ANO DE 2013.......................................................................................................................................... 3
DADOS DEMOGRFICOS DAS VTIMAS.................................................................................................................. 5
UMA DCADA DE DADOS DO RELATRIO DBIR.................................................................................................. 7
RESULTADOS E ANLISE...........................................................................................................................................13
Invases a pontos de vendas............................................................................................................ 16
ATAQUES a aplicativos na Web........................................................................................................... 20
Uso indevido de privilgios ou por pessoas de dentro da empresa................... 23
Furto e perda fsica................................................................................................................................. 27
Erros diversos........................................................................................................................................... 29
Crimeware...................................................................................................................................................... 32
Extratores de cartes de pagamento....................................................................................... 35
Negao de servio.................................................................................................................................. 38
Espionagem eletrnica........................................................................................................................ 43
Tudo o mais.................................................................................................................................................... 46
Perguntas?
CONCLUSES E RESUMO DAS RECOMENDAES.........................................................................................48 Comentrios?
Ideias brilhantes?
APNDICE A: METODOLOGIA...................................................................................................................................51
Queremos ouvi-los.
APNDICE B: VIOLAES DE DADOS E FURTO DE IDENTIDADE: UMA QUESTO INTRICADA.......53
Envie-nos um email
APNDICE C: LISTA DE COLABORADORES.........................................................................................................55 para
NOTASFINAIS..................................................................................................................................................................56
dbir@verizon.com,
encontre-nos no
LinkedIn ou poste no
tweeter @VZdbir
com a marca
#dbir.
Relatrio de Investigaes de Violaes de Dados (Relatrio DBIR) de 2014 da VERIZON 1

Introduo
50
Bem-vindo ao Relatrio de Investigaes de Violaes de Dados (Relatrio DBIR) de 2014.1 Seja voc um
leitor veterano que vem nos acompanhando desde nossa publicao inicial em 2008 ou um recm-chegado
nossa festa anual de dados, estamos sinceramente felizes por t-lo conosco. Esperamos que a apresentao
organizaes deste ano aumente a conscientizao e melhore a prtica no campo de segurana da informao e embase
decises e operaes crticas desde as trincheiras at a sala da diretoria.
globais
colaboradoras Para os veteranos do Relatrio DBIR, uma olhada geral no sumrio ir revelar algumas mudanas
significativas estrutura do relatrio com que voc est acostumado dos anos anteriores. Em vez de nossa
abordagem caracterstica, organizada em torno de agentes, aes, ativos, linhas do tempo, etc., criamos
1.367
VIOLAES
sees baseadas em padres comuns de incidentes, derivados diretamente dos dados propriamente ditos
(mais sobre isso depois). Em cada um desses padres, abrangemos os agentes que os causam, as aes
que usam, os ativos visados, as linhas do tempo em que tudo isso ocorreu e oferecemos recomendaes
especficas para prevenir-se contra eles. A motivao para a mudana tripla: primeiro, percebemos
de dados que a vasta maioria dos incidentes podia ser enquadrada em um entre nove padres; segundo, podemos
confirmadas traar uma correlao entre esses padres de incidentes e os setores (o que de fato fizemos) e, terceiro,
queramos nos desafiar a olhar os dados de uma perspectiva original. A meta final fornecer informaes
prticas apresentadas de maneira a permitir uma discusso detalhada das descobertas e recomendaes
63.437
INCIDENTES de
mais relevantes sua organizao.
Todos sabemos que dados no crescem em rvores, e devemos expressar nossa gratido s 50 organizaes
que contriburam com este relatrio, representando entidades pblicas e privadas de diferentes partes do
globo. Estamos orgulhosos de trabalhar com essas organizaes e sentimos que o que voc est lendo agora
segurana
prova dos benefcios do compartilhamento coordenado de dados sobre incidentes. Para consultar a lista
completa de colaboradores do Relatrio DBIR 2014, confira o Apndice C.
95
PASES
O conjunto de dados que serve de base para o Relatrio DBIR consiste em mais de 63.000 incidentes de
segurana confirmados isso mesmo, mais de Sessenta e Trs Mil. Esse nmero bastante assustador um
subproduto de outra mudana na filosofia com o relatrio deste ano: no estamos mais restringindo nossa
anlise s violaes de dados confirmadas. Essa evoluo do Relatrio DBIR reflete a experincia de muitos
REPRESENTADOS profissionais e executivos da segurana, que sabem que um incidente no precisa resultar na exfiltrao de
dados para ter um impacto significativo na empresa qual foi direcionado.
Por isso, preparar-se para digerir o que esperamos que sejam dados muito deliciosos preparados para voc
este ano. A seo sobre Metodologia, encontrada normalmente prximo ao incio do relatrio, agora est
no Apndice A. Em vez disso, comearemos com uma anlise de 2013 do ponto de vista das manchetes,
passando ento para algumas amostras demogrficas para orient-lo com relao ao conjunto de dados.
A seo a seguir um resumo dos nossos 10 anos de dados sobre incidentes pode muito bem ser a nossa
favorita. (Mas, por favor, no conte isso s outras sees.) Em seguida, forneceremos uma anlise dos
padres de classificao de incidentes mencionados acima, terminando com algumas concluses e um
exerccio de mapeamento dos controles de segurana baseado nos padres. Vamos comear!
2 Verizon Enterprise Solutions

Anlise do ano de
2013
O ano de 2013 pode ficar marcado como o ano da violao do varejista, mas uma avaliao mais abrangente
do ambiente de risco da Segurana da Informao mostra que foi um ano de transio de ataques geopolticos Essa seo uma
para ataques de larga escala a sistemas de cartes de pagamento. compilao dos
pargrafos liderados
pela INTSUM publicados
2013 pode ser lembrado como o ano da violao do varejista, mas uma semanalmente em
avaliao abrangente sugere que foi um ano de transio de ataques nosso blog, sendo 100%
geopolticos para ataques de larga escala a sistemas de cartes de pagamento. baseada em inteligncia
de fontes abertas
Janeiro (OSINT). Mantemos uma
Janeiro testemunhou uma srie de relatos de ataques direcionados perpetrados pelo que eram, provavelmente, poltica muito rigorosa
agentes patrocinados pelo estado. A campanha de espionagem eletrnica Red October (Outubro vermelho) contra a identificao
foi exposta como responsvel por visar rgos governamentais e instituies de pesquisa em todo o globo, de clientes de Resposta
mas em pases de fala russa em especial. A inteligncia quanto a uma srie diferente de ataques que comeou investigativa, e menes
com um ataque watering hole (poo d'gua, em ingls) ao site do Conselho de Relaes Exteriores na Web a organizaes nesta
(cfr.org) com incio no primeiro dia til aps o Natal (Boxing Day) de 2012 foi vinculada a agentes que usaram seo no implica em
a Estrutura Elderwood. Enquanto isso, o Izz ad-Din al-Qassam Cyber Fighters (QCF) j estava havia quase um absoluto que conduzimos
ms na Fase II dos Ataques Distribudos por Negao de Servio (DDoS) da Operao Ababil em empresas de uma investigao que as
servios financeiros nos Estados Unidos. envolvesse ou que elas
estejam entre as vtimas
Fevereiro em nosso conjunto de
A transio para fevereiro foi por conta do The New York Times e do Wall Street Journal, com novos relatrios dados.
de espionagem eletrnica direcionada. E a Sophos relatou um novo Cavalo de Troia baseado no Citadel criado
para atacar sistemas de Ponto de vendas (PDV) usando um processador canadense de cartes de pagamento.
Logo saberamos que www.iphonedevsdk.com havia se tornado um watering hole, usando um ataque surpresa
ao Java mais para o final do ms. A maior parte dos profissionais de Segurana da Informao se lembra bem
de fevereiro como o ms em que a Mandiant (atual FireEye) lanou seu esplndido relatrio APT1. Fevereiro
tambm marcou o incio dos relatrios de violaes de dados de grandes empresas, cortesia do supracitado
iPhoneDevSDK: Facebook, Twitter, Apple e Microsoft foram todas vtimas. digno de nota que violaes de
dados de PDV de varejistas foram relatadas pela Bashas e pela Sprouts, duas cadeias de supermercados
independentes no sudoeste dos Estados Unidos. A Bit9 relatou uma violao de dados que teve incio em julho
de 2012 com o ataque de sua infraestrutura de assinatura de cdigo.
Maro
Cinquenta milhes de usurios do Evernote se lembram de que maro foi o ms em que foram forados a
alterar suas senhas. No dia 20 de maro, a Repblica da Coreia sofreu um ataque ciberntico em larga escala
que incluiu a corrupo de discos. Continuamos cticos com relao ao ataque de negao de servio (DoS)
Cyberbunker-CloudFlare-Spamhaus quase ter tirado a Internet do ar no final de maro. O Group-IB relatou o
Dump Memory Grabber (tambm conhecido como BlackPOS), um novo Cavalo de Troia para PDV que chegaria
s manchetes quando foi dada a notcia da violao das lojas Target em dezembro.

Abril
Em abrir, outro varejista de supermercados nos Estados Unidos, a Schnucks, relatou uma violao de dados
de PDV. O Exrcito Eletrnico Srio (Syrian Electronic Army, SEA) causou danos ao sequestrar a conta da
Associated Press no Twitter, enviando um tweet que relatava uma exploso na Casa Branca e causando
uma convulso em Wall Street. A Operao Ababil continuou, mas o OSINT no pde apoiar a atribuio de
ataques de DoS a vrios bancos europeus ao QCF.
Maio
A espionagem eletrnica continuou em maio, com relatrios da QinetiQ e do Corpo de Engenheiros do
Exrcito dos Estados Unidos (U.S. Army Corps of Engineers). O SEA sequestrou as contas tanto do The
Guardian quanto do The Financial Times no Tweeter. Um ataque de watering hole foi direcionado a
pesquisadores de armas nucleares nos Estados Unidos com fins de espionagem eletrnica, provavelmente
da China. Mais campanhas de espionagem eletrnica relatadas em maio incluem a Operao Hangover,
direcionada ao Paquisto; Safe, com a Monglia como alvo; e operaes de agentes do Sunshop contra
ativistas tibetanos. O Ministrio da Justia dos Estados Unidos fechou o Liberty Reserve, o banco mais
frequentemente usado pelos criminosos cibernticos.
Junho
No incio de junho, a Raleys, outro supermercado estadunidense com lojas na Califrnia e em Nevada,
informou que seus sistemas de cartes de pagamento haviam sido violados. A NetTraveller, uma campanha
global de espionagem eletrnica direcionada a diplomatas em pases com interesses no alinhados com
os da China, teve lugar. No dia seguinte, o The Guardian publicou o primeiro vazamento de inteligncia
por Edward Snowden e ento a inteligncia de Segurana da Informao se transformou em um canal
totalmente voltado para o Snowden, todo o tempo.
Julho
A maior violao de dados de varejistas de julho foi relatada pela Harbor Freight, uma fornecedora de
ferramentas dos Estados Unidos com 445 lojas quase 200 milhes de clientes e um nmero ainda
desconhecido de registros foram comprometidos. O QCF iniciou a Fase IV da Operao Ababil. O SEA foi
responsvel por violaes Viber, Tango e Daily Dot. O Ministrio da Justia dos EUA indiciou quatro russos
e um ucraniano por violaes de dados ostensivas, que incluram a Heartland e a Global Payments.
Agosto
Em agosto, o SEA sequestrou as contas do Twitter da CNN, The Washington Post, Time Magazine, SocialFlow
e tanto do The New York Times quanto do New York Post. Os participantes do G8 Summit em St. Petersburg,
Rssia, foram alvo de espionagem eletrnica pelos agentes do Calc Team.
Setembro
Em setembro, a Vodafone notificou dois milhes de clientes que seus dados pessoais e financeiros haviam
sido violados. A espionagem relatada em setembro envolveu o Cavalo de Troia EvilGrab e, separadamente,
os agentes Hidden Lynx, que parecem se dedicar tanto espionagem quanto ao crime ciberntico. Nova
inteligncia vinculou o ataque Bit9 de fevereiro Operao Deputy Dog, ao Hidden Lynx e a ataques de
watering hole a instituies financeiras japonesas. No final do ms, Brian Krebs deu incio a seus relatrios
sobre inteligncia extrados de ssndob[dot]ms. O site abrigava dados furtados de alguns dos maiores bancos
de dados (data brokers) dos Estados Unidos: Lexis-Nexis, Kroll e Dun & Bradstreet. A Cryptolocker fez sua
primeira apario em setembro, extorquindo dinheiro de vtimas dispostas a pagar para descriptografar
Perguntas? seus arquivos essenciais.
Comentrios?
Outubro
Ideias brilhantes? Em 3 de outubro, a Adobe anunciou que seus sistemas tinham sido violados. Por fim, 38 milhes de contas
Queremos ouvi-los. foram identificadas como tendo sido afetadas. A inteligncia conectou isso aos agentes do ssndob[dot]ms.
Envie-nos um email A Nordstrom, loja de departamentos de luxo nos EUA, descobriu extratores de cartes de pagamento em
para algumas de suas caixas registradoras. Duas das grandes vitrias de 2013 tambm ocorreram em outubro:
dbir@verizon.com, Dmitry Paunch Fedotov, protagonista do kit de explorao Blackhole, foi detido na Rssia, e a Silk Road, um
encontre-nos no bazar de fraudes online, foi desativado.
LinkedIn ou poste no Novembro
tweeter @VZdbir Novembro foi razoavelmente quieto, a proverbial calmaria antes da tempestade. O malware contra bancos
com a marca evoluiu, com relatos de Neverquest e outra verso do IceIX. O BIPS, um grande processador europeu de
#dbir. pagamentos de bitcoins, foi vtima de um dos maiores roubos de bitcoins registrados at aquele momento.
Dezembro
A ltima entrada significativa enquadrada como espionagem eletrnica em 2013 foram os ataques
direcionados aos ministrios do exterior de pases europeus pela Operao Ke3chang. O The Washington
Post relatou sua segunda violao do ano. E a inteligncia de Segurana da Informao se transformou no
canal todo alvo, todo o tempo. Embora o porte da violao deste grande varejista estadunidense fosse
ligeiramente maior que a metade da Heartland e trs quartos o tamanho da TJX, ela est concorrendo como
evento pelo qual 2013 sempre ser lembrado..

Dados demogrficos
das vtimas
Com frequncia, os leitores do Relatrio DBIR nos abordam com mais Equipes nacionais de Resposta a Incidentes de Segurana
duas perguntas importantes. Quo representativas em geral so de Computador (CSIRTs) do que nunca. Nossa capacidade de
as descobertas deste relatrio? Essas descobertas so relevantes comparar tendncias globais nunca foi to alta.
para a minha organizao? Para ajud-lo a orientar-se com relao
Mas a coisa no to simples assim. A carta de direitos, o foco,
ao relatrio deste ano, vejamos o que os dados nos mostram.
os mtodos e os dados diferem tanto entre as CSIRTs que fica
O Relatrio DBIR 2013 apresentou violaes que afetaram difcil atribuir as diferenas a verdadeiras variaes no ambiente
organizaes em 27 pases. O relatrio deste ano eleva esse de ameaas.2 No entanto, os pontos cegos regionais esto
cmputo em 350%, para 95 pases distintos (Figura 1). Todas as diminuindo, graas nossa lista crescente de colaboradores
principais regies do mundo esto representadas e agora temos (consulte o Apndice C), e estamos muito felizes com isso.
Figura 1.
Pases representados no conjunto de casos combinado
Pases representados no conjunto de casos combinado (em ordem alfabtica): Afeganisto, frica do Sul, Albnia, Alemanha, Arbia Saudita, Arglia, Argentina,
Armnia, Austrlia, ustria, Azerbaijo, Bahrain, Belarus, Blgica, Bsnia e Herzegovina, Botsuana, Brasil, Brunei Darussalam, Bulgria, Camboja, Canad, Catar,
Cazaquisto, Chile, China, Chipre, Cingapura, Colmbia, Congo, Coreia (Repblica da), Crocia, Dinamarca, Egito, Emirados rabes Unidos, Eslovquia, Eslovnia,
Espanha, Estados Unidos, Etipia, Federao Russa, Filipinas, Finlndia, Frana, Gergia, Grcia, Holanda, Hong Kong, Hungria, Ilhas Virgens, ndia, Indonsia, Ir
(Repblica Islmica do), Iraque, Irlanda, Israel, Itlia, Japo, Jordnia, Kuwait, Letnia, Lbano, Litunia, Luxemburgo, Macednia (Antiga Repblica Iugoslava da),
Mali, Marrocos, Mauritnia, Mxico, Moambique, Moldvia (Repblica da), Montenegro, Nepal, Nova Zelndia, Om, Paquisto, Palestina (Territrio Ocupado da),
Peru, Polnia, Portugal, Qunia, Quirguisto, Reino Unido, Repblica Tcheca, Romnia, Sua, Tailndia, Taiwan (Provncia da China), Tanznia (Repblica Unida da),
Turcomenisto, Turquia, Ucrnia, Uganda, Uzbequisto, Vietn.

Figura 2. Figura 3.
Nmero de incidentes de segurana por setor da vtima e porte da Nmero de incidentes de segurana com perda de dados confirmada
organizao, conjunto de dados de 2013 por setor da vtima e porte da organizao, conjunto de dados de 2013
Setor Total Pequeno Grande Desconhecido Setor Total Pequeno Grande Desconhecido
Hotelaria [72] 212 115 34 63 Hotelaria [72] 137 113 21 3

Administrativo [56] 16 8 7 1 Administrativo [56] 7 3 3 1
Agricultura [11] 4 0 3 1 Construo [23] 2 1 0 1
Construo [23] 4 2 0 2 Educao [61] 15 1 9 5
Educao [61] 33 2 10 21 Entretenimento [71] 4 3 1 0
Entretenimento [71] 20 8 1 11 Finanas [52] 465 24 36 405
Finanas [52] 856 43 189 624 Sade [62] 7 4 0 3
Sade [62] 26 6 1 19 Informao [51] 31 7 6 18
Informao [51] 1.132 16 27 1.089 Gesto [55] 1 1 0 0
Gesto [55] 10 1 3 6 Manufatura [31,32,33] 59 6 12 41
Manufatura [31,32,33] 251 7 33 211 Minerao [21] 10 0 7 3
Minerao [21] 11 0 8 3 Profissionais liberais [54] 75 13 5 57
Profissionais liberais [54] 360 26 10 324 Pblico [92] 175 16 26 133
Pblico [92] 47.479 26 47.074 379 Imveis [53] 4 2 0 2
Imveis [53] 8 4 0 4 Varejo [44,45] 148 35 11 102
Varejo [44,45] 467 36 11 420 Comrcio [42] 3 2 0 1
Comrcio [42] 4 3 0 1 Transporte [48,49] 10 2 4 4
Transporte [48,49] 27 3 7 17 Servios pblicos [22] 80 2 0 78
Servios pblicos [22] 166 2 3 161 Outros [81] 8 6 0 2
Outros [81] 27 13 0 14 Desconhecido 126 2 3 121
Desconhecido 12.324 5.498 4 6.822 Total 1.367 243 144 980
Total 63.437 5.819 47.425 10.193
Pequeno = organizaes com menos de 1.000 funcionrios,
Grande = organizaes com 1.000 ou mais funcionrios
Para obter mais informaes sobre os cdigos NAICS [mostrados a seguir], visite:
https://www.census.gov/cgi-bin/sssd/naics/naicsrch?chart=2012
Testemunhamos alguns aumentos nos pontos em que

Em seguida, vamos analisar os diferentes setores e portes das acrescentamos novos colaboradores de setores especficos,
organizaes vtimas no conjunto de dados deste ano (Figura de forma que as peas do quebra-cabea esto se encaixando.
2). Os nmeros astronmicos do Setor pblico so resultado, Determinados setores sempre iro apresentar nveis mais altos
principalmente, das exigncias de relatrio aos rgos do na contagem de vtimas, dada sua atratividade para agentes
governos dos Estados Unidos, que abastecem alguns de nossos financeiramente motivados ou seja, aqueles que armazenam
colaboradores com uma vasta quantidade de incidentes de dados de cartes de pagamento ou outros dados financeiros.
pequeno porte (mais sobre isso mais tarde), em vez de ser um Mas, mesmo descontando esse fato, no vemos nenhum setor
sinal de um direcionamento mais intenso ou de defesas fracas. A passando completamente despercebido. E essa a real concluso
Figura 3 descarta as mincias, restringindo o conjunto de dados aqui todos so vulnerveis a algum tipo de evento. Mesmo que
somente queles incidentes que envolveram comprometimento voc acredite que sua organizao corre pouco risco de ataques
confirmado dos dados. Deixando de lado a discrepncia do Setor externos, persiste a possibilidade de uso indevido e erros por
pblico, ambas as Figuras 2 e 3 mostram dados demogrficos parte de pessoas de dentro da empresa que podem prejudicar
relativamente semelhantes aos anos anteriores. sistemas e expor dados.
Assim, no podemos afirmar que temos uma cobertura isenta de

cada tipo e porte de organizao no planeta (mas ficamos com
os dedos cruzados quanto ao prximo ano!). Contudo, ousamos
afirmar que a maior parte dos leitores poder se identificar ou
ver algo que se assemelhe o suficiente com sua situao nesta
amostra.

Uma dcada de
dados do Relatrio DBIR
Os leitores de longa data deste relatrio sabero que ns no somos Isso posto, medir variaes tem valor e sabemos que os leitores apreciam
muito bons em manter o status quo. As fontes de dados crescem e se algum nvel de continuidade entre os relatrios. Assim, esta seo tenta
diversificam a cada ano. O foco da nossa anlise se desloca. A maneira criar um conjunto de descobertas to comparvel quanto possvel com
como visualizamos os dados e organizamos os resultados evolui com o os Relatrios DBIR anteriores. Ela inclui somente violaes entre 2004
tempo. E com o Relatrio DBIR 2014, vamos dar uma sacudida geral. e 2012, alm dos 1.367 incidentes com comprometimento de dados
confirmado em 2013. digno de nota que isso representa o ponto alto
em dez anos de violaes de dados, alm de ser a primeira vez em que
Esta seo tenta criar um conjunto de
ultrapassamos a marca dos 1.000. (Uma salva de palmas a todos os
descobertas to comparvel quanto possvel colaboradores que continuam colocando lenha na fogueira.)
com os Relatrios DBIR anteriores. Ela inclui
somente violaes entre 2004 e 2012, alm Comeamos escrevendo muitos comentrios
dos 1.367 incidentes com comprometimento de para esta seo, mas ento mudamos de ideia.
dados confirmado em 2013. Em vez disso, vamos apresentar algum colrio
para os seus olhos que voc poder ruminar
Embora isso dificulte de fato uma comparao significativa de
pelo tempo que quiser, com apenas algumas
tendncias ao longo do tempo, tem o efeito positivo de elucidar novas
reas sombrias a cada ano. A verdade que estamos mais interessados observaes gerais de nossa parte.
em explorar e aprender do que em produzir grandes quantidades do
mesmo material antigo toda vez, apenas para medir as variaes. Comeamos escrevendo muitos comentrios para esta seo, mas
mudamos de ideia. Em vez disso, vamos apresentar algum colrio para
os seus olhos que voc poder ruminar pelo tempo que quiser, com
apenas algumas observaes gerais de nossa parte.
INFORMAES BREVES SOBRE O VERIS e o VCDB

O Vocabulrio para relato de eventos e compartilhamento de Lanado em 2013, o projeto Banco de dados da comunidade VERIS
incidentes (VERIS, Vocabulary for Event Recording and Incident (VCDB, VERIS Community Database) conta com a cooperao
Sharing) foi projetado para proporcionar uma linguagem comum de voluntrios na comunidade de segurana em uma tentativa de
para descrever incidentes de segurana de maneira estruturada e registrar todos os incidentes de segurana divulgados publicamente
repetvel. Ele converte a narrativa quem fez o qu para o qu ou em um conjunto de dados gratuito e aberto.
para quem com que resultado no tipo de dados presente neste
Ns alavancamos o VCDB em algumas sees deste relatrio, que
relatrio. Com a esperana de facilitar o acompanhamento e o
esto claramente marcadas. Saiba mais sobre o VCDB visitando o
compartilhamento de incidentes de segurana, divulgamos o VERIS
site a seguir.
para uso gratuito pelo pblico. Obtenha informaes adicionais no
vcdb.org
site da comunidade do VERIS; o esquema completo est disponvel
no GitHub. Ambos so boas referncias concomitantes a este
relatrio para compreenso da terminologia e do contexto.
www.veriscommunity.com | github.com/vz-risk/veris

Figura 4.
Nmero de violaes por categoria de agente de ameaa ao longo do tempo
1000
Externo
750
500
250
Interno
Parceiro
2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
Figura 5.
Porcentagem de violaes por categoria de agente de ameaa ao longo do tempo
100%
75%
50%
External
Internal
25% Collusion
Partner
2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
A Figura 4 representa a contagem bruta de violaes atribudas a Visto que estamos deixando as visualizaes falarem por si prprias
agentes externos, internos e parceiros nos dez anos de histria de aqui, faremos apenas algumas observaes e deixaremos o resto de
nossos dados de violaes. A Figura 5 mostra esses dados como uma lio de casa.
proporo de todas as violaes e reorganiza as categorias de modo Um perodo de dez anos oferece algumas boas estimativas de
a destacar as exclusividades e sobreposies entre elas. Ela usa uma mnimo/mximo/mais provvel para vocs que gostam de criar
linha de tendncia polinomial de terceiro grau para torn-los agradveis modelos. Com exceo de 2006-2008, as propores gerais so
e suaves, o que nos permite ver o comportamento bsico com o passar relativamente estveis, especialmente quando se consideram as
do tempo. Juntas, elas ajudam a responder s principais perguntas de mudanas drsticas nos totais de violaes e nas fontes que
nosso interesse quais agentes so responsveis pelo maior nmero de compem o escopo a cada ano.
violaes e qual a mudana relativa ao longo do tempo? 2007 o nico ano que mostra uma maioria de pessoas de dentro da
empresa na Figura 4. Isso resulta, principalmente, de um conjunto de
casos de violaes confirmadas excepcionalmente pequeno da
Violaes ou Incidentes? Verizon e de um influxo de dados do Servio Secreto dos Estados
Este relatrio usa as seguintes definies: Unidos do perodo de 2006-2008. Em essncia, fundimos duas
Incidente: um evento de segurana que compromete a amostras de tamanhos iguais mas muito diferentes.
integridade, confidencialidade ou disponibilidade de um ativo Essa queda gigantesca no nmero de agentes externos em 2012
de informao. visvel na Figura 4 coincide com uma queda geral no nmero de
Violao: um incidente que resulta na divulgao ou potencial violaes naquele ano, principalmente devido a poucos e grandes
rompantes de invases a pontos de vendas (PDVs) com vrias vtimas
exposio dos dados.
direcionados a pequenas e mdias empresas no conjunto de dados.
Divulgao de dados: uma violao para a qual tenha sido
Graas a vrios novos parceiros cujo foco se concentra em crimes
confirmada a divulgao de dados para uma parte no perpetrados por pessoas de dentro da empresa, a linha de tendncia
autorizada (no apenas a exposio). proporcional de agentes internos volta a subir nos ltimos anos
enquanto a de agentes externos se volta para baixo. Entretanto, se
removssemos a curva polinomial, veramos uma regresso positiva
dos agentes externos e uma regresso ligeiramente negativa dos
agentes internos.

Figura 6. Figura 7.
Porcentagem de violaes por motivao do agente de ameaa ao longo do tempo Nmero de violaes por motivao do agente de ameaa ao longo do tempo
100% 1000
Ideologia/Diverso
Financeira
75% 750
Espionagem
50% 500
25% 250 Financeira
Espionagem
Ideologia/Diverso
2009 2010 2011 2012 2013 2009 2010 2011 2012 2013
Duas exibies diferentes que indicam como as motivaes A Figura 8 tem a tarefa desafiadora de exibir dez anos de aes
dos agentes de ameaas mudaram nos ltimos cinco anos so de ameaas que levaram a violaes de dados. Experimentamos
apresentadas nas Figuras 6 e 7. O grfico de linha (Figura 6) d a maneiras alternativas de visualizar estes dados, mas achamos que a
porcentagem relativa das trs principais motivaes em nosso simplicidade deste grfico funcionava melhor. Tenha em mente que as
conjunto de dados, enquanto a Figura 7 usa uma plotagem de rea das aes no so mutuamente exclusivas; vrias podem contribuir para
contagens totais de incidentes. um incidente (o mesmo se d com agentes e ativos).
Sabamos que a espionagem vinha aumentando nos ltimos anos, Este grfico faz um excelente trabalho de enfatizar o valor do
mas o grfico de linha de tendncia nos surpreendeu pelo grau de compartilhamento de dados. Pode-se ver o nmero de violaes e a
convergncia com as motivaes financeiras. Isso ir continuar? diversidade das ameaas aumentarem medida que o Relatrio
Essa descoberta meramente o resultado do acrscimo ao DBIR passa, de uma nica amostra, a ser um metaestudo.
Relatrio DBIR de novos colaboradores especializados em Mas nem tudo se deve s mudanas no conjunto de amostras.
espionagem, ou o dinheiro est mesmo diminuindo como principal Observe como as categorias de ao de hackers e malware passam
determinante do crime na Internet? Parece mais fcil imaginar a por uma exploso de crescimento em 2009 e as tticas sociais do
primeira opo do que a segunda, mas isso certamente nos faz incio sua ascenso em 2010. Elas tm histrias paralelas no
querer continuar ampliando nossa coleo de dados de violao no mundo real (por exemplo, melhores ferramentas de ataque
futuro. automatizadas e kits de malware faa voc mesmo) e fascinante
A plotagem de rea nos lembra que violaes motivadas pelo v-las refletidas nos dados.
dinheiro ainda excedem as outras em nmero com uma boa margem.
Para emprestar a frase do Pink Floyd, a maior parte dos agentes
ainda quer agarrar essa grana com as duas mos e estocar.
Figura 8.
Nmero de violaes por categoria de ao de ameaa ao longo do tempo
800
Ao de hackers
600
Malware
400
Social
200
Fsico
Uso indevido
Erro
2004 2005 2006 2007 2008 2009 2010 2011 2012 2013

Figura 9.
Vinte principais variedades de aes de ameaa ao longo do tempo
2009 2010 2011 2012 2013
Fora bruta [hac] 107 Adulterao [fis] 300 Fora bruta [hac] 581 Spyware/Keylogger [mal] 215 Uso de credenciais furtadas [hac] 422
Backdoor [mal] 104 Spyware/Keylogger [mal] 255 Spyware/Keylogger [mal] 480 Backdoor [mal] 209 Dados exportados [mal] 327
Dados exportados [mal] 103 Dados exportados [mal] 233 Uso de credenciais furtadas [hac] 327 Uso de credenciais furtadas [hac] 203 Phishing [soc] 245
Uso de backdoor ou C2 [hac] 94 Fora bruta [hac] 221 Dados exportados [mal] 309 Captura de dados armazenados [mal] 196 RAM scraper [mal] 223
RAM scraper [mal] 90 Backdoor [mal] 214 Backdoor [mal] 267 Uso de backdoor ou C2 [hac] 192 Backdoor [mal] 165
Adminware [mal] 81 Uso de backdoor ou C2 [hac] 202 Uso de backdoor ou C2 [hac] 237 Fora bruta [hac] 188 Uso de backdoor ou C2 [hac] 152
Uso de credenciais furtadas [hac] 28 Desativao de controles [mal] 188 Desativao de controles [mal] 169 Dados exportados [mal] 183 Spyware/Keylogger [mal] 149
Spyware/Keylogger [mal] 28 Footprinting [hac] 185 Adulterao [fis] 146 C2 [mal] 183 Downloader [mal] 144
Adulterao [fis] 22 Uso de credenciais furtadas [hac] 84 Phishing [soc] 62 Phishing [soc] 181 Captura de dados armazenados [mal] 133
Abuso de privilgios [uso] 18 Abuso de privilgios [uso] 59 C2 [mal] 61 Downloader [mal] 181 C2 [mal] 119
SQLi [hac] 13 SQLi [hac] 53 Downloader [mal] 59 Varredura de rede [mal] 101 SQLi [hac] 109
Downloader [mal] 13 Adminware [mal] 47 Captura de dados armazenados [mal] 58 Password dumper [mal] 70 Fora bruta [hac] 108
Captura de dados armazenados [mal] 11 Varredura de rede [mal] 38 SQLi [hac] 53 Rootkit [mal] 61 Rootkit [mal] 106
Phishing [soc] 10 RAM scraper [mal] 17 Password dumper [mal] 51 Abuso de privilgios [uso] 59 Adulterao [fis] 102
Footprinting [hac] 6 Downloader [mal] 15 Abuso de privilgios [uso] 33 Adulterao [fis] 56 Desativao de controles [mal] 102
C2 [mal] 4 C2 [mal] 15 Rootkit [mal] 31 Adminware [mal] 33 Password dumper [mal] 75
Desativao de controles [mal] 2 Phishing [soc] 11 Adminware [mal] 28 RAM scraper [mal] 27 Abuso de privilgios [uso] 65
Varredura de rede [mal] 1 Captura de dados armazenados [mal] 8 RAM scraper [mal] 21 SQLi [hac] 25 Varredura de rede [mal] 62
Rootkit [mal] 0 Rootkit [mal] 0 Varredura de rede [mal] 2 Desativao de controles [mal] 7 Adminware [mal] 39
Password dumper [mal] 0 Password dumper [mal] 0 Footprinting [hac] 2 Footprinting [hac] 4 Footprinting [hac] 8
A Figura 9 faz uma anlise mais aprofundada das variedades especficas das aes de ameaa observadas nos ltimos cinco anos. As vinte mais importantes no intervalo de cinco anos esto relacionadas em colunas sucessivas, e as linhas que conectam as
colunas destacam o modo como cada ao muda com ao longo do tempo. Para ser honesto, seria impossvel fazer um comentrio conciso sobre esta visualizao. Sim, ela incrivelmente intricada, mas tambm incrivelmente densa em termos de informaes.
Deixe que seus olhos se ajustem e ento explore aquilo que atrair sua ateno. Por exemplo, siga os RAM scrapers ao longo dos anos. Eles comeam em quinto lugar em 2009, sofrem uma grande queda nos anos seguintes e ento sobem subitamente para o
quarto lugar em 2013. Falamos sobre esse ressurgimento na seo sobre invases a pontos de vendas (PDVs) deste relatrio. Literalmente, cada item na Figura 9 tem uma histria, se voc der a devida ateno. Aproveite.
Figura 10. Figura 12.
Porcentagem de violaes por categoria de ativo ao longo do tempo Contagem de violaes por variedade de dados ao longo do tempo
Banco Pessoal
600 600
50% 500 500
Servidor 400 400
40%
300 300
200 200
30%
Dispositivos
de usurio
100 100
Quiosque
20%
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
Indivduo
10% Rede
Pagamento Interno
Mdia 600 600
2009 2010 2011 2012 2013 500 500
400 400
300 300
Figura 11.
200 200
Nmero de violaes por categoria de ativo ao longo do tempo
100 100
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
Servidor
600
Credenciais Segredos
600 600
Dispositivos 500 500
400
de usurio 400 400
300 300
Quiosque
200 Indivduo 200 200
Rede 100 100

Mdia
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2009 2010 2011 2012 2013
As Figuras 10 e 11 mostra como o mix de ativos comprometidos Seria difcil tratar da maneira devida uma dcada de furtos de
mudou com o passar do tempo. Isso til por revelar a zona de dados sem abranger as variedades de dados furtados nesse perodo
projeo dos invasores medida que se deslocam pelo ambiente de tempo. Felizmente, a Figura 12 soluciona o problema nesse
da vtima em busca de dados. Enquanto defensores, isso nos d uma departamento.
noo do que requer uma ateno ou proteo extra. Se voc comparar essas tendncias com as das motivaes dos
Tipicamente, os servidores vm encabeando a lista, agentes das Figuras 6 e 7, poder traar alguns paralelos.
provavelmente porque os invasores sabem que l que os dados Criminosos com motivaes financeiras buscam, naturalmente,
esto armazenados. dados que sejam facilmente convertidos em dinheiro, como
Dispositivos de usurio vm crescendo com o tempo, informaes bancrias e cartes de pagamento, enquanto grupos
provavelmente porque oferecem uma brecha fcil de entrada. voltados espionagem tm como alvo dados corporativos internos
Mdia a nica categoria de ativo com tendncia reduo, e segredos comerciais.
provavelmente devido a uma concentrao excepcionalmente alta A tendncia do furto de cartes de pagamento bastante
de casos (parcialmente relacionados) em 2009 que envolveram fascinante: ela sobre rapidamente at atingir um pico em 2010 e,
numerosos furtos de documentos e mdia digital. em seguida, prossegue para uma curva negativa. Um aumento
Muitos perguntam por que a categoria Rede tem um valor to ocorre em 2013, mas ainda assim esse foi o primeiro ano na
baixo, visto que a maior parte dessas violaes acontece pela rede. histria deste relatrio em que a maior parte das violaes de
O foco aqui so dispositivos de rede especficos, como roteadores, dados no envolveu cartes de pagamento.
switches, etc. O trfego mal-intencionado definitivamente passa Credenciais de autenticao so teis tanto no submundo do crime
por eles, que, no entanto, no so normalmente comprometidos quanto no mundo sombrio dos clandestinos, e essa demanda se
durante uma violao. reflete aqui.

Porcentagem das violaes em que a relao entre tempo at o Mtodos de descoberta de violaes ao longo do tempo
comprometimento (vermelho) e tempo at a descoberta (azul) foi de
dias ou ainda menos
100% 80%
Tempo at o comprometimento
60%
Deteco
75%
de fraudes
40%
50% Segurana
pblica
Interno
Tempo at a descoberta 20%
Terceiros
25%
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
Respire profundamente para acalmar-se antes de mergulhar neste Tendo lidado com esse ltimo golpe relacionado s linhas de tempo,
ltimo item, j que ele pode resultar em danos mentais e at corporais. os leitores familiarizados com o fluxo tradicional do Relatrio DBIR
Na Figura 13, contrastamos o tempo que demora at que o invasor podem ouvir, cheios de esperana, o grito de guerra do Mortal Kombat
comprometa um ativo com o tempo que o defensor leva para descobrir Finish him! (Acabe com ele!) em suas mentes medida que avanamos
esse fato. Optamos por fixar a medida em dias para manter as para a discusso dos mtodos de descoberta das violaes. Mas
coisas simples e rematadas (poder-se-ia acrescentar tristes a essa no haver um anncio triunfante de Fatality! (Fatalidade!) aqui. Em
aliterao). vez disso, vamos ser misericordiosos e terminar com um astral mais
Ignore o comportamento das linhas por um instante e concentre seu positivo.
foco na ampla lacuna entre as porcentagens das duas fases. Ela Ficamos empolgados ao ver que o nmero de descobertas internas
torna bvio o fato de que os bandidos raramente precisam de dias superou o de deteces externas de fraudes pela primeira vez na
para dar conta do recado, enquanto os mocinhos raramente histria do Relatrio DBIR!
conseguem terminar seu trabalho antes do dia de So Nunca. timo que a segurana pblica esteja constantemente ficando
As linhas de tendncias fazem com que esse baque inicial seja cada vez melhor na deteco de violaes e notificao de vtimas!
seguido de um golpe na cabea. Elas mostram claramente que os Terceiros sem vnculos, como CSIRTs e pesquisadores de ameaas,
invasores esto ficando melhores/mais rpidos no que fazem a uma esto aumentando rapidamente como uma maneira importante e
taxa mais alta do que os defensores esto aprimorando sua arte. Os proeminente de as vtimas especialmente as vtimas de
pratos da balana no esto se equilibrando, pessoal. espionagem ficarem sabendo sobre as violaes. Mantenham o
Pensamos em fazer a superposio de gasto total com bom trabalho, pessoal. J estamos fazendo alguma diferena!
monitoramento de rede, nmero de produtos de segurana no
Esperamos que voc tenha gostado tanto quando ns desta pequena
mercado e nmero de profissionais com a certificao CISSPS
viagem de dez anos de rememorao do passado. Este pequeno
(Certified Information Systems Security Professionals) no local de
grupo de geeks grato Verizon por nos permitir passar tanto tempo
trabalho, mas tememos que pudesse resultar em muito dano
em nosso playground de informaes sobre violaes. Tambm
autoinfligido na comunidade de segurana. E preferimos que vocs,
somos gratos s muitas organizaes que participaram, tornando
rapazes e moas, fiquem por aqui nos ajudando a corrigir o problema.
isto possvel. Sem suas contribuies, os dados teriam se tornado
obsoletos anos atrs. E finalmente, obrigado a todos vocs, leitores
que baixam este documento e consideram estas tendncias ao lutarem
pela boa causa de proteger informaes e clientes. Que os prximos
dez anos possam nos encontrar a todos do lado vencedor da batalha.
Perguntas? Comentrios? Ideias brilhantes?

Queremos ouvi-los. Envie-nos um email para
dbir@verizon.com, encontre-nos no LinkedIn ou
poste no tweeter @VZdbir com a marca #dbir.

Resultados
e anlise
As sementes da nossa abordagem ao Relatrio DBIR 2014 comearam como se ocorressem de forma isolada. Uma lista as 20 aes mais
a germinar durante a fase final do esboo do relatrio de 2013. Ao importantes til, mas ainda mais til uma contabilizao dos agentes
tentarmos apresentar estatsticas relacionadas s aes de ameaa de que as executam, outras aes usadas em combinao com elas e os
forma simples e significativa, nos demos conta de certas combinaes ativos que tendem a visar. Para fisgar esse prmio, vamos precisar de um
de agentes, aes e ativos que ocorriam juntos com frequncia em barco maior. Potncia mxima, Sr. Hooper!
um cenrio de incidente. Demos nomes a trs delas e inclumos alguns
E isso nos traz de volta s combinaes recorrentes de agentes, aes,
clculos em papel de rascunho que mostram que, coletivamente, elas
ativos e atributos ou, mais formalmente, aos padres de classificao de
descrevem 68% de todo o conjunto de dados (Figura 15). Os prazos de
incidentes. A fim de expor esses padres latentes nos dados, aplicamos
produo impediram a explorao mais a fundo desse fenmeno e, por
uma tcnica de agrupamento estatstico (o barco maior), criando uma
isso, deixamos os leitores com este pensamento: Talvez possamos
matriz que agregasse os incidentes em cada uma das enumeraes
reduzir a maior parte dos ataques concentrando nosso foco em um
comuns do VERIS e calculando a distncia numrica entre elas. Isso
punhado de padres de ataque. Mas assim que fechamos a edio do
nos permitiu encontrar agrupamentos, ou padres, de enumeraes do
Relatrio DBIR 2013, retornamos noo de padres de incidentes
VERIS fortemente relacionadas no conjunto de dados de incidentes.
e comeamos a estudar nosso conjunto de dados a partir de uma
Aqui, fortemente relacionadas significa, em essncia, que ocorrem
frequentemente juntas nos mesmos incidentes, sendo distintas, de
Figura 15.
alguma forma, de outras combinaes.
Clculos em papel de rascunho do Relatrio DBIR 2013 de
padres de incidentes comumente observados Em um primeiro momento, lanamos todos os dados e observamos
o agrupamento (do tipo hierrquico, se essa for a sua praia) das
enumeraes do VERIS. Alguns agrupamentos eram bvios, como a
ao social phishing com o vetor social email. No entanto, estvamos em
111 Arrebatamento fora de PDV
busca de agrupamentos que descrevessem classificaes abrangentes
190 Caixa eletrnico fsico de incidentes, em vez de apenas emparelhamentos frequentes. Por
exemplo, incidentes que envolveram caixas eletrnicos perpetrados
+ 120 Tcnica de penetrao garantida por grupos criminosos organizados para furtar cartes de pagamento
se destacaram como um Wookie entre Ewoks. Portanto, denominamos
421 esse padro extratores, removemos os incidentes correspondentes
621 Total de violaes e voltamos a executar a anlise de agrupamentos com os dados
remanescentes em busca do prximo padro.
68% No final, identificamos nove padres que, juntos, descrevem 94% das
violaes de dados confirmadas coletadas em 2013.
perspectiva muito nova, com um novo conjunto de tcnicas.

Agora, faamos um avano rpido para o Relatrio DBIR 2014.
Nove entre dez de todas as violaes podem ser
Temos mais incidentes, mais fontes e mais variao do que nunca e descritas por nove padres bsicos.
tentar abordar dezenas de milhares de incidentes usando as mesmas
tcnicas no vai ser suficiente. No s as caractersticas dos incidentes Mas (usando nossa melhor voz de infocomercial) isso no tudo! Quando
dominantes iriam abafar as sutilezas das variedades menos frequentes, aplicamos o mesmo mtodo aos ltimos trs anos de violaes, 95%
mas tambm no poderamos continuar estudando essas caractersticas podem ser descritos por esses mesmos nove padres.

Mas espere tem mais! Ligue j e incluiremos todos os incidentes Analisamos a fundo cada padro de incidente nas sees a seguir,
de segurana no apenas as violaes de todos os parceiros mas pode-se ver na Figura 16 que invases a pontos de vendas
e do Banco de dados da comunidade VERIS (VCDB) dos ltimos (PDV), ataques a aplicativos na Web, espionagem eletrnica e
dez anos grtis! Sim, tudo pelo mesmo preo de nove padres extratores de cartes esto entre as maiores preocupaes
e voc poder descrever 92% dos mais de 100 mil incidentes de quando o foco est na divulgao de dados. No entanto, no basta
segurana! identificar e contar os padres como um todo.
Voc se lembra da promessa do ano passado Talvez possamos

reduzir a maior parte dos ataques concentrando nosso foco em
um punhado de padres de ataque? Considere-a cumprida. Para
ns, essa abordagem parece extremamente promissora como
uma forma de simplificar drasticamente a matriz aparentemente
infindvel de ameaas com que devemos lidar para proteger
nossos ativos de informaes.
Figura 16.
Frequncia dos padres de classificao de incidentes
Violaes de 2013, n=1.367 Incidentes de 2013, n=63.437 Violaes de 2011-2013, n=2.861
Invases a PDV 14% <1% 31%

Ataques a aplicativos da Web 35% 6% 21%
Uso indevido por pessoas
de dentro da empresa 8% 18% 8%
Furto/perda fsica <1% 14% 1%
Erros diversos 2% 25% 1%
Crimeware 4% 20% 4%
Extratores de cartes 9% <1% 14%
Ataques de DoS 0% 3% 0%
Espionagem eletrnica 22% 1% 15%
Tudo o mais 6% 12% 5%

Nmero de padres de classificao de incidentes Porcentagem de padres de classificao de incidentes
selecionados ao longo do tempo selecionados ao longo do tempo
1,000
Uso indevido 100%
por pessoas
de dentro
da empresa 75%
750
Invases Ataques a
a PDV aplicativos Invases a PDV
50% Ataques a
500 da Web Extratores de cartes aplicativos
da Web
25% Uso indevido

250 por pessoas de
Espionagem dentro da empresa
Extratores
de cartes eletrnica Espionagem eletrnica
2009 2010 2011 2012 2013 2009 2010 2011 2012 2013

Obviamente, nem toda organizao precisa concentrar seu foco Antes de prosseguir para a discusso detalhada de cada padro (que
em ataques a vendas. Para que a anlise tivesse um carter prtico, aparecem na ordem, de acordo com a Figura 18), pode ser uma boa
partimos de todos os incidentes em cada setor e aplicamos os padres ideia estudar a Figura 19. Consulte o setor (ou setores) que importam
para criar a obra de arte que a Figura 19. Ela mostra a proporo dos para voc, identifique quais padres so os mais relevantes e preste
incidentes em cada setor representada pelos nove padres nos ltimos uma ateno especial a essas sees no relatrio (logicamente, ainda
trs anos. ser necessrio ler o relatrio todo). Para aqueles que estiverem
curiosos sobre a tendncia desses padres de incidentes ao longo
Para usar a Figura 19, identifique o seu setor na coluna da esquerda.
do tempo, ns os retroagimos de forma a abarcar dados anteriores a
Consulte o site do NAICS se no tiver certeza quanto a onde sua
2013 para produzir as Figuras 17 e 18.
organizao se enquadra. As porcentagens so relativas a cada setor.
Por exemplo, 10% de todos os incidentes no Varejo se enquadram em Ns ouvimos a crtica (construtiva) de alguns de vocs observando
ataque a aplicativos na Web. As cores devem ajud-lo a identificar que difcil especificar exatamente quais descobertas do Relatrio
rapidamente os pontos sensveis do seu setor e/ou a discernir DBIR se aplicam sua organizao e passamos muito tempo tentando
diferentes perfis de ameaa entre os vrios setores. equacionar como solucionar a questo. Esperamos que concordem que
este um passo na direo certa, no apenas para este relatrio, mas
tambm para a anlise de ameaas e o suporte s decises em geral.
Figura 19.
Frequncia dos padres de classificao de incidentes por setor da vtima
Uso
indevido
Ataques EXTRATORES
por Negao
Invaso a Furto/ ERROS CRIME- de ESPIONAGEM Tudo o
Setor PESSOAS de
a PDV aplicativos perda DIVERSOS WARE cartes de eletrnica mais
DE DENTRO servio
da WEB pagamento
DA
EMPRESA
Hotelaria [72] 75% 1% 8% 1% 1% 1% <1% 10% 4%
Administrativo [56] 8% 27% 12% 43% 1% 1% 1% 7%
Construo [23] 7% 13% 13% 7% 33% 13% 13%
Educao [61] <1% 19% 8% 15% 20% 6% <1% 6% 2% 22%
Entretenimento [71] 7% 22% 10% 7% 12% 2% 2% 32% 5%
Finanas [52] <1% 27% 7% 3% 5% 4% 22% 26% <1% 6%
Sade [62] 9% 3% 15% 46% 12% 3% <1% 2% <1% 10%
Informao [51] <1% 41% 1% 1% 1% 31% <1% 9% 1% 16%
Gesto [55] 11% 6% 6% 6% 11% 44% 11% 6%
Manufatura [31,32,33] 14% 8% 4% 2% 9% 24% 30% 9%
Minerao [21] 25% 10% 5% 5% 5% 5% 40% 5%
Profissionais liberais [54] <1% 9% 6% 4% 3% 3% 37% 29% 8%
Pblico [92] <1% 24% 19% 34% 21% <1% <1% 2%
Imveis [53] 10% 37% 13% 20% 7% 3% 10%
Varejo [44,45] 31% 10% 4% 2% 2% 2% 6% 33% <1% 10%
Comrcio [42] 6% 30% 6% 6% 9% 9% 3% 3% 27%
Transporte [48,49] 15% 16% 7% 6% 15% 5% 3% 24% 8%
Servios pblicos [22] 38% 3% 1% 2% 31% 14% 7% 3%
Outros [81] 1% 29% 13% 13% 10% 3% 9% 6% 17%
Para obter mais informaes sobre os cdigos NAICS [mostrados a seguir], visite: https://www.census.gov/cgi-bin/sssd/naics/naicsrch?chart=2012

Invases a pontos de vendas (PDV)
Invases a pontos
de vendas
De um relance
Descrio Ataques remotos a ambientes em que transaes de varejo so conduzidas, especificamente onde
compras so feitas com apresentao de carto. Crimes que envolvem a adulterao ou substituio
aplicativos na
de dispositivos so abordados no padro Extrao de informaes.

ATAQUES a
Web
Principais Servios de hotelaria e alimentcios, Varejo

setores
Frequncia 198 incidentes no total
PESSOAS DE DENTRO
198 com divulgao de dados confirmada

PRIVILGIOS OU POR
USO INDEVIDO DE
DA EMPRESA
Principais Dadas as recentes manchetes, alguns de vocs podem se surpreender ao constatar que as invases
descobertas a PDVs esto apresentando uma tendncia reduo nos ltimos anos. Isso se deve principalmente
a termos testemunhado comparativamente menos rompantes de ataques envolvendo numerosas
pequenas franquias. Ataques de fora bruta a conexes para acesso remoto a PDVs ainda
lideram como principal vetor de invaso. O ressurgimento do malware RAM scraper representa o
desenvolvimento ttico mais proeminente de 2013.
Furto e perda
fsica
Figura 20.
Sabemos que muitos de vocs vm para esta seo Comparao dos padres de classificao de incidentes Invaso
esperando encontrar todos os detalhes srdidos de uma a pontos de vendas e Ataques a aplicativos na Web, 2011-2013
determinada violao envolvendo um grande varejista dos
Erros diversos
Estados Unidos no final de 2013. Preparar-se para uma

decepo. No citamos nomes de vtimas neste relatrio 60%
nem divulgamos informaes especficas a clientes relativas

a quaisquer violaes com que qualquer dos colaboradores
do Relatrio DBIR tenha lidado. Se quiser notcias Invases a PDV
atualizadas sobre violaes especficas, melhor procurar 40%
em outro lugar. Como prmio de consolao, no entanto,
Crimeware
esperamos que aceite nossa anlise geral de duzentas

invases a PDV ocorridas em 2013, juntamente com
recomendaes sobre como voc pode evitar de aumentar 20%
esse nmero em 2014. Ataques a aplicativos da Web
No de se surpreender que os setores mais comumente

de cartes de
Extratores
pagamento
afetados pelas invases de PDV sejam: restaurantes, hotis, 2009 2010 2011 2012 2013
supermercados e outros varejistas com lojas fsicas, todos alvos
potenciais. Recentes violaes altamente divulgadas de vrios do que o nmero registrado em 2010 e 2011 (apesar destes anos
varejistas de grande porte trouxeram os comprometimentos terem contado com dez vezes mais colaboradores). A Figura
de PDV ao primeiro plano. Mas, correndo o risco de bancar o 20 nos lembra que nossa compreenso do risco deve sempre
sabe-tudo da segurana j vnhamos falando disso h anos. se remeter aos dados, e no ao que gera boas manchetes ou
Espionagem
eletrnica
Na verdade, essa a principal causa da grande queda de 2012 argumentos de marketing.

vista em muitos grficos ao longo do tempo neste relatrio. J Do ponto de vista dos padres de ataque, a narrativa mais
vnhamos escrevendo sobre RAM scrapers antes de se ouvir falar simples a seguinte: comprometer o dispositivo de PDV, instalar
sobre eles e, para ser bastante franco, no estamos mais dando malware para coletar os dados da tarja magntica no processo,
muita ateno para eles porque seu estoque se esgotou e j se recuperar os dados e lucrar. Todos esses ataques tm em comum
tornaram ferramentas convencionais. o ganho financeiro como motivao e a maior parte deles pode
ser atribuda de forma conclusiva a grupos criminosos que
Piadas parte, embora as aes de hackers em pontos de vendas
ATAQUES
operam a partir da Europa Oriental (assim como todo o resto

DE DoS
estejam chamando mais ateno da mdia recentemente, elas j

deles, muito provavelmente).3 Esses grupos so muito eficientes
vinham acontecendo h anos e ns falamos bastante sobre elas
no que fazem. Eles comem PDVs como os seus no caf da
nos Relatrios DBIR anteriores. O furor da mdia causa sensao,
manh acompanhados de uma dose de vodca. Embora a maioria
mas do ponto de vista da frequncia, este continua sendo, em
desses casos sejam muito parecidos, os passos seguidos para
grande medida, um problema das empresas de pequeno e mdio
comprometer o ambiente de ponto de venda oferecem algumas
porte. Concentrar demais o foco em valores singulares e nas
variaes interessantes.
manchetes pode refletir um vis cognitivo. Por exemplo, algumas
O MAIS
TUDO
pessoas podem se surpreender com o fato de o nmero de

ataques a PDV em 2012 e 2013 ser substancialmente mais baixo

Comecemos com o cenrio mais frequente, que afeta empresas a todos eles foi que a mesma senha era usada por todas as
Invases a pontos
de pequeno porte que podem ou no se dar conta do alvo organizaes gerenciadas pelo fornecedor. Depois de furtada,
de vendas
lucrativo que representam. Essa cadeia de eventos comea com o ela essencialmente se tornou uma senha padro e os invasores
comprometimento do dispositivo de PDV, com pouco ou nenhum tambm se inteiraram da base de clientes. Armados com essas
trabalho de campo. Os dispositivos esto abertos para toda a informaes, o modus operandi familiar de instalar cdigo mal-
Internet e, para piorar as coisas, protegidos com senhas fracas ou intencionado que capturasse e transmitisse os dados desejados
padro (s vezes at sem senha). teve incio.
aplicativos na
ATAQUES a
Web
Dez principais variedades de ao de ameaa entre as Variedade de ao de hackers entre as Invases a pontos de vendas
Invases a pontos de vendas (n=196) (n=187)
RAM scraper [mal] 85% Fora bruta 53%
PESSOAS DE DENTRO
38%
PRIVILGIOS OU POR
Dados exportados [mal] 79% Uso de credenciais furtadas
USO INDEVIDO DE
DA EMPRESA
Fora bruta [hac] 50% Quebra de senha offline 9%
Uso de credenciais furtadas [hac] 37% Desconhecido 9%
Quebra de senha offline [hac] 8% Uso de backdoor ou C2 2%

Uso de backdoor SQLi <1%
ou C2 [hac] 2%
Furto e perda
Spyware/Keylogger[mal] 2%
fsica
Backdoor [mal] 1% Figura 23.
Configurao incorreta [err] <1% Vetor de ao de hackers entre as Invases a pontos de vendas
(n=187)
Phishing [soc] <1%
Desktop 55%
de terceiros
Erros diversos
As trs principais aes de ameaa contam bem essa histria Compartilhamento
de rea de trabalho 35%
(Figura 21). Os criminosos fazem a varredura da Internet
em busca de portas de acesso remoto abertas e, se o script Acesso fsico 9%
identificar um dispositivo como ponto de vendas, emite
Backdoor ou C2 1%
credenciais provveis (Fora bruta) para acessar o dispositivo.
Em seguida, instalam malware (RAM scraper) para coletar e Shell de comandos 1%
exfiltrar (Exportar dados) informaes de cartes de pagamento.
VPN <1%
Crimeware
Uma descoberta que nos intrigou foi o renascimento do malware
RAM scraper como principal ferramenta usada para capturar Aplicativo da Web <1%
dados. Os RAM scrapers permitem que os dados de cartes
de pagamento sejam arrebatados enquanto esto sendo
Embora no sejam to comuns quanto as invases mais
processados na memria (onde no esto criptografados) em vez
simples aos PDVs, nosso conjunto de dados inclui vrios
de isso se dar enquanto armazenados em disco ou em trnsito
incidentes do primeiro trimestre de 2013 que apresentaram um
pela rede (onde ficam (ostensivamente) criptografados).
de cartes de
comprometimento em uma localidade corporativa, o que levou
Extratores
pagamento
interessante, mas no necessariamente surpreendente, que os ao comprometimento disseminado de localidades individuais e
RAM scrapers ultrapassaram os keyloggers como funcionalidade instalao de cdigo mal-intencionado em um grande nmero de
de malware mais comum associada a comprometimentos de PDV. lojas. Alguns casos comearam com o comprometimento de uma
Uma teoria possvel seria a de que os keyloggers (a maioria dos loja que levou penetrao da rede corporativa, mas a arquitetura
quais eram de variedades comuns, como Perfect Keylogger e hub-and-spoke permitiu a travessia eficiente da rede e o impacto
Artemis) podem ser detectados mais facilmente do que o cdigo do comprometimento foi ampliado, independentemente da
Espionagem
eletrnica
para extrair informaes da memria que testemunhamos neste localizao do dispositivo 0.

conjunto de dados. Ou talvez os RAM scrapers, que se fixam a
processos especficos do software de PDV, simplesmente sejam
melhores e mais eficientes de servio.
Em anos anteriores, analisamos rompantes de ataques que

abrangeram vrias vtimas que no tinham nenhuma associao
umas com as outras, a no ser o uso de senhas realmente
ATAQUES
horrorosas. Este relatrio apresenta quase 200 incidentes, mas

DE DoS
nos anos anteriores testemunhamos mais de 200 vtimas de

um grupo de criminosos. Os dois maiores rompantes em nosso
conjunto de dados de 2013, um envolvendo vrios franqueados
da mesma empresa e o outro afetando vrias companhias, so
um pouco diferentes e nos remetem ao nosso segundo cenrio
comum: o uso de credenciais de fornecedor furtadas. Em um dos
casos, as credenciais furtadas pertenciam a um fornecedor de
O MAIS
TUDO
pontos de venda e foram comprometidas pelo malware Zeus, que

infecta sistemas de fornecedores. O grande problema comum

Figura 24. As linhas do tempo na Figura 25 reforam tanto os vetores de
Invases a pontos
Cinco principais mtodos de descoberta de invases a PDV comprometimento quanto os mtodos de descoberta. A entrada
de vendas
(n=197) costuma ser extremamente rpida, como seria de se esperar

na explorao de senhas fracas ou furtadas. Na maior parte
Todos os externos 99%
dos casos, demora semanas at a descoberta, e isso com base
Todos os internos 1% inteiramente em quando os criminosos decidem comear a lucrar
Ext - segurana com o produto do crime.
75%
pblica
aplicativos na
Ext - deteco de fraude 14%

ATAQUES a
Figura 25.
Web
Ext - cliente 11% Lapso de tempo dos eventos em Invases a PDV
Int - NIDS <1%
Comprometimento n=169
Int - relatado pelo usurio <1%
51%
PESSOAS DE DENTRO
PRIVILGIOS OU POR
36%
USO INDEVIDO DE
Seja qual for o porte da organizao vitimada ou os mtodos

DA EMPRESA
usados para furtar informaes de cartes de pagamento, existe 11%

mais um fator em comum compartilhado em 99% dos casos: um 1% 1% 1% 0% 0%
terceiro informou a vtima de que ela havia sofrido uma violao.
88%
Isso no mudou com relao aos anos anteriores, e continuamos
Exfiltrao n=169
a ver notificaes pela segurana pblica ou por detectores
de fraude como os mtodos mais comuns de descoberta. Em
Furto e perda
muitos casos, investigaes de violaes acabam revelando

fsica
outras vtimas, o que explica por que a segurana pblica o 11%

1% 1% 1% 0% 0% 0%
principal mtodo de descoberta e o maior colaborador de casos
de invases a PDV em nosso conjunto de dados. Para encurtar
85%
a histria, ainda estamos descobrindo violaes de cartes de
Descoberta n=178
pagamento somente depois que os criminosos comeam a usar

Erros diversos
o que adquiriram de forma ilcita em fraudes e outras finalidades

ilegais.
13%
0% 0% 0% 1% 1% 0%
Mitigao de botnets: um problema de incentivo
Minutos
Nunca
Anos
Meses
Horas
Dias
Semanas
Segundos
De acordo com a NHTCU, o impacto dos botnets o canivete

suo dos criminosos cibernticos continuou alto em
2013. Alm disso, eles observam um aparente problema
Crimeware
de incentivo no que tange mitigao dessas habilidosas

ameaas. Visto que o impacto de um botnet com frequncia
se espalha por todo o globo, as autoridades federais nem
sempre so capazes de reunir recursos para combat-lo no
nvel nacional. Ainda que o dano total de tal botnet possa
ser grande, pases especficos lidam somente com uma
de cartes de
Extratores
pagamento
pequena parte desses danos. Os custos iniciais do combate

de um botnet no parecem sobrepujar os benefcios de seu
extermnio.
No obstante, a NHTCU continua a combater botnets. Em
fevereiro de 2013, a emissora pblica NOS apresentou
descobertas sobre parte de uma zona de lanamento
Espionagem
do botnet conhecido como Pobelka. Depois que uma

eletrnica
ferramenta de verificao online foi disponibilizada,

500.000 pessoas verificaram se suas mquinas haviam
sido infectadas (em algum momento); desse grupo, 23.000
identificaram-se a si mesmos como vtimas.
At ento, a zona de lanamento havia sido examinada

quanto a correlaes com um surto de malware em
ATAQUES
DE DoS
2012 que induziu a uma investigao criminal. Dezesseis

organizaes dentro da infraestrutura vital foram
informadas de que haviam sido infectadas, e endereos IP
relevantes infectados foram comunicados aos respectivos
prestadores de servios de Internet (ISPs).
O MAIS
TUDO

Controles recomendados
Invases a pontos
Reflexes aps o primeiro ano de operaes
de vendas
para todas as EMPRESAS do EC3
O vetor compartilhado pelos principais cenrios o software de No ano passado, o Relatrio DBIR apresentou um apndice
acesso remoto terceirizado (por exemplo, pcAnywhere, LogMeIn). de Troels Oerting, Diretor Assistente do European
A segurana desses produtos no a questo aqui. O que Cybercrime Centre (EC3, Centro Europeu contra o Crime
acontece que com frequncia os encontramos implementados Ciberntico), onde ele discutiu os planos e prioridades
de maneira muito perigosa. da diviso recm-estabelecida da Europol. Os rgos de
aplicativos na
segurana pblica desempenham um papel crtico neste
ATAQUES a
Restringir o acesso remoto relatrio, e no sempre que podemos acompanh-los
Web
desde os estgios de sua formao. Assim, pensamos que
Limite qualquer acesso remoto aos sistemas de PDV por seu seria interessante incluir algumas reflexes sobre o primeiro
fornecedor de gerenciamento terceirizado e tenha srias ano de operaes do EC3.
discusses de negcios com relao a como e quando eles iro
PESSOAS DE DENTRO
PRIVILGIOS OU POR
A tarefa do EC3 no nada pequena: ele atende a 28
USO INDEVIDO DE
realizar suas obrigaes.
estados membros da Unio Europeia (UE) e dezenas de
DA EMPRESA
pases e coordena a proteo de 500 milhes de cidados,
Fazer cumprir as polticas de senhas quase trs quartos dos quais tm acesso Internet.
Em termos de operaes, o EC3 prioriza quatro reas:
Tenha absoluta certeza de que todas as senhas usadas para
inteligncia ciberntica, invaso, fraude online e abuso
acesso remoto aos sistemas de PDV no sejam os padres de
sexual de menores. Como acontece com qualquer novo
fbrica, o nome do fornecedor de PDV, palavras encontradas
Furto e perda
empreendimento, muito do primeiro ano se concentrou na
no dicionrio nem outras senhas fracas. Se um terceiro for
construo da infraestrutura e de capacidades para atender
fsica
responsvel por essa informao, exija que isso seja feito e que
a essas prioridades. Conexes seguras via rede a parceiros,
eles no usem a mesma senha para outros clientes (e verifique).
localizados na UE ou no, foram implementadas, assim como
ambientes e ferramentas centralizadas de anlise forense.
O ponto de venda, no de
encontros sociais O EC3 treinou mais de 100 especialistas em segurana
Erros diversos
pblica em toda a UE em investigao ciberntica,
No navegue pela Web, envie emails, use mdias sociais, jogue ferramentas e na obteno de evidncias forenses. Criou
jogos nem faa qualquer outra coisa que no sejam as atividades um novo laboratrio forense central para ajudar os colegas
relacionadas ao ponto de vendas nos sistemas de PDV. nos estados membros a obterem evidncias. Distribuiu
alertas, notificaes de inteligncia e avaliaes de ameaas
Implementar software antivrus para diferentes grupos de interesse. Memorandos de
entendimento (MoUs) foram assinados com os principais
Crimeware
Instale e mantenha um software antivrus nos sistemas de PDV. grupos de interesse privados, e um novo Grupo Consultivo,
composto por especialistas de fora da comunidade de
Concluso: dificulte para os viles fazer login em um dispositivo
segurana pblica, foi estabelecido (a Verizon est feliz em
que aceita a informao mais visada pelos criminosos com
estar entre eles).
motivao financeira.
As tendncias observadas pelo EC3 entre os estados
PARA EMPRESAS DE GRANDE PORTE/COM VRIAS LOJAS membros em 2013 incluem aumentos considerveis no
de cartes de
Extratores
pagamento
Empresas maiores, com vrias lojas e franquias devem considerar nmero de invases, malware, phishing, grooming, DDoS,
mais algumas recomendaes adicionais para limitar o impacto espionagem e atividade de botnet. Ele tambm relata um
de uma violao a uma localidade especfica e prevenir um grande avano da infraestrutura criminosa na darknet, o
comprometimento em massa. crescimento de malware que afeta dispositivos mveis e
uma distribuio mais ampla de malware a partir de servios
Desmascarar a teoria da rede plana na nuvem. No combate a essas tendncias, o EC3 priorizou a
Espionagem
eletrnica
identificao de operaes e casos de redes criminosas com

Avalie a interconectividade entre as lojas e as localidades potencial de grande impacto duradouro.
centrais e trate-a como conexes semiconfiveis. Segmente o
ambiente de PDV separando-o da rede corporativa.
Procurar atividades suspeitas na rede

ATAQUES
DE DoS
Monitore o trfego da rede que vem do PDV e vai para ele. Deve
haver um padro de trfego normalizado e, embora seja fcil falar,
qualquer trfego anmalo deve ser identificado e investigado.
Usar autenticao por dois fatores

Senhas de mais alta segurana eliminariam um grande quinho
O MAIS
TUDO
do problema, mas as organizaes de maior porte tambm

devem considerar vrios fatores para autenticar terceiros e
usurios internos.

Ataques a aplicativos na Web
Invases a pontos
de vendas
De um relance
Descrio Qualquer incidente em que um aplicativo na Web tenha sido o vetor de ataque. Isso inclui exploraes
de vulnerabilidades no nvel do cdigo do aplicativo, bem como a burla de mecanismos de
aplicativos na
ATAQUES a
autenticao.
Web
Principais Informao, Servios pblicos, Manufatura, Varejo

setores
Frequncia 3.937 incidentes no total
PESSOAS DE DENTRO
PRIVILGIOS OU POR

USO INDEVIDO DE
DA EMPRESA
Principais Os aplicativos na Web continuam sendo o proverbial saco de pancadas da Internet. Eles so golpeados
descobertas de uma entre duas maneiras: pela explorao de um ponto fraco no aplicativo (normalmente a
validao inadequada dos dados inseridos) ou pelo uso de credenciais furtadas para personificao
de um usurio vlido. Muitos dos ataques em nosso conjunto de dados de 2013 visaram sistemas
de gerenciamento de contedo prontos para uso (por exemplo, Joomla!, Wordpress ou Drupal) para
Furto e perda
ganhar o controle de servidores para uso em campanhas de DDoS.

fsica
No h nenhuma dvida de que a variedade e a combinao Ataques com motivaes financeiras

das tcnicas disponveis aos invasores tornam a proteo dos Invasores com motivaes financeiras tem o foco
Erros diversos
aplicativos na Web uma tarefa complexa. Lamentavelmente, ultraconcentrado em obter acesso ao dinheiro e, portanto, seus
nossa discusso sobre tal complexidade fica prejudicada pelo dois principais setores-alvo so os setores financeiro e de varejo
nvel de detalhes fornecido sobre esses incidentes. A menos que (onde dados que podem ser facilmente convertidos em dinheiro
uma investigao forense tenha sido conduzida (um pequeno so abundantes e, com demasiada frequncia, acessveis). No
subconjunto do banco de dados como um todo), as tcnicas setor financeiro, seu foco se concentra mais em obter acesso
especficas utilizadas deixaram em grande medida de ser interface de usurio de aplicativos (bancrios) na Web do que em
informadas ou foram registradas em amplas categorizaes. explorar o aplicativo da Web propriamente dito, por o aplicativo
Embora tenhamos material suficiente para discutir as violaes
Crimeware
conceder acesso lgico ao dinheiro. Isso significa que eles visam

de dados de aplicativos na Web em um alto nvel, nossa credenciais de usurio e simplesmente usam os aplicativos na
capacidade de tirar concluses reduzida medida que nos Web protegidos por um nico fator (senha) como fio condutor
aprofundamos nos detalhes (que nem sempre esto disponveis). at sua meta. Estes dados poderiam ter sido includos na seo
A ganncia tem uma importncia secundria em relao sobre crimeware (e alguns de fato escaparam pelas brechas
ideologia quando se trata de ataques a aplicativos na Web no do algoritmo e acabaram parando l), mas o uso de aplicativos
de cartes de
na Web como vetor de ataque faz com que apaream aqui. As

Extratores
conjunto de dados de 2013. Um pouco menos de dois a cada

pagamento
trs ataques a aplicativos na Web foram atribuveis a grupos tticas usadas pelos invasores so os suspeitos de sempre:
ativistas impulsionados por ideologia e lulz; um pouco menos a) tcnicas de phishing para induzir ardilosamente o usurio a
de um a cada trs veio de agentes com motivaes financeiras; fornecer credenciais ou instalar malware no sistema cliente, b) a
sendo o pequeno nmero restante vinculado espionagem. velha prerrogativa de adivinhar a senha por fora bruta e c) casos
Aps destrinchar os dados, descobrimos alguns subpadres mais raros de visar o aplicativo por meio da injeo de SQL ou de
muito diferenciados que compunham essa motivao. Os outros ataques no nvel do aplicativo como meio de recuperar
Espionagem
eletrnica
ataques financeiros e ideolgicos merecem uma discusso credenciais, burlar a autenticao ou visar de alguma outra forma
especfica, visto que o tratamento reservado a cada um pode o sistema de gerenciamento de usurios. Quando a atribuio
ser ligeiramente diferente. Embora os ataques perpetrados possvel, a maioria dos invasores externos que usam credenciais
por indivduos motivados pela espionagem certamente sejam furtadas em algum ponto da cadeia de ataque procede da Europa
relevantes, sua discusso ser abordada na seo Espionagem. Oriental.
No setor de varejo, testemunhamos um foco ligeiramente

Figura 26.
diferente. O objetivo principal so as informaes de cartes
ATAQUES
DE DoS
Motivaes de agentes externos entre os Ataques a aplicativos na Web

de pagamento (visadas em 95% dos incidentes), que com
(n=1.126)
frequncia ficam acessveis simplesmente pela explorao
Ideologia/Diverso 65% do aplicativo na Web. Aes sociais (como phishing) so
Financeira 33% praticamente inexistentes, mais provavelmente porque explorar
vulnerabilidades inerentes a aplicativos na Web funciona bem
Espionagem 2%
o suficiente. A injeo de SQL foi alavancada em 27 dos 34
O MAIS
ataques (80%) a aplicativos na Web no setor de varejo, seguida

TUDO
de tcnicas de instalar e usar shells da Web (incluso remota de

arquivos, etc.) em cinco dos 34.

Ataques com motivaes ideolgicas Figura 27.
Invases a pontos
A ideologia representa a poro maior das motivaes Dez principais mtodos de descoberta de incidentes com motivaes
de vendas
identificadas para os ataques a aplicativos na Web, e os agentes financeiras entre os Ataques a aplicativos na Web (n=122)
tambm tendem a ser os mais diversificados em termos
de localizao geogrfica. 74% concentram seu foco em Totaldeexternos 88%
exploraes consagradas que visam, acima de tudo, entradas no
validadas no cdigo executado. Em nenhum lugar isso explorado Totaldeinternos 12%
em mais larga escala do que nos Sistemas de Gerenciamento de
Contedo (CMS), como Joomla!, Drupal e WordPress e, mesmo ali, Ext - cliente 74%
aplicativos na
isso acontece mais nos plug-ins adicionados do que no cdigo de
ATAQUES a
ncleo do CMS propriamente dito.
Web
Int - auditoria de TI 4%
Os agentes ideolgicos (sejam suas motivaes sociais, polticas
ou mera diverso) esto menos preocupados com chegar s Ext - parte no relacionada 3%
joias da coroa do que com conseguir uma plataforma (em todas
Ext - segurana pblica 2%
as acepes da palavra) em que se posicionar. Com isso em
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
mente, no de se surpreender que ns vejamos dois tipos de Int - deteco de fraude 2%
DA EMPRESA
resultados dos invasores ideolgicos caa de um servidor
Web: desfigurao para enviar uma mensagem ou sequestro do Int - relatado pelo usurio 2%
servidor para atacar outras vtimas (inclusive por DDoS). Ext - divulgao pelo agente 2%
Esse foco em se apoderar oportunisticamente apenas do servidor Ext - auditoria 1%
Web fica claro quando se olha para os ativos comprometidos no
ataque. O servidor Web foi o nico ativo registrado em quase Ext - servio de monitoramento 1%
Furto e perda
todos os incidentes atribuveis a motivaes ideolgicas. Os
agentes no pareciam estar interessados em se aprofundar ou se O mtodo de descoberta parece um pouco mais sombrio para
fsica
alastrar mais pela rede. Isso pode ser resultado simplesmente de os ativistas. 99% das notificaes vieram de fontes externas
no se relatarem esses componentes secundrios do incidente (principalmente CSIRTs) que entraram em contato com as vtimas
portanto, no tome isso como recomendao de se concentrar para inform-las de que seus hosts estavam envolvidos em
somente no servidor Web mas lgico e um ponto de contraste outros ataques. Isso grandemente influenciado por invasores
com outros tipos de ataque em nosso conjunto de dados. ideolgicos que usam a plataforma silenciosamente para atacar
Erros diversos
outras vtimas, em vez de, por exemplo, valer-se de simples
Mtodos e linha do tempo das descobertas desfiguraes (que so raras no conjunto de dados).
Quando o agente tem motivao financeira e o mtodo de Embora os dados da linha do tempo sejam um pouco esparsos,
descoberta registrado, testemunhamos um mtodo de o quadro que delineiam de uma entrada rpida, com 60% dos
notificao lder que no vemos em mais nenhum lugar: os clientes. comprometimentos iniciais ocorrendo em questo de minutos
Talvez os clientes notem a atividade fraudulenta antes de qualquer ou menos. Isso reflete as exploraes altamente repetidas de
outro, mas algo definitivamente lhes serve de advertncia CMS neste padro; se funcionar, funciona rpido. Pouco mais de
antes de qualquer mecanismo interno. Com todos os mtodos 85% dos incidentes so descobertos em questo de dias ou mais,
Crimeware
de descoberta interna combinados, somente 9% das vtimas com cerca de 50% demorando meses ou mais tempo para serem
descobriram as violaes de dados por sua prpria conta. descobertos. Contudo, depois de descobertos, vemos um tempo
de reao bastante bom, com cerca de metade das organizaes
levando dias ou menos tempo para responder e conter o incidente.
Isso muito melhor que a norma, tipicamente de semanas ou mais
tempo.
de cartes de
Extratores
pagamento
Comparao de ataques a cronogramas de patches
No seria maravilhoso saber que a aplicao (rpida) de patches O que encontramos no foi nada conclusivo e a nica concluso
contra vulnerabilidades em aplicativos na Web ajuda? Este ano, vlida a ser tirada que mais trabalho necessrio para se
ns formamos uma parceria com a WhiteHat Security a fim de entender a relao entre as vulnerabilidades nos aplicativos
combinar e comparar os dados de incidentes que coletamos na Web e os incidentes de segurana. Com isso, s podemos
com os dados de avaliao de vulnerabilidades que eles coletam especular o motivo por que estamos testemunhando esses
Espionagem
eletrnica
de dezenas de milhares de sites da Web de centenas das resultados. Talvez isso esteja nos dizendo que nenhum setor
organizaes mais conhecidas. Depois de algumas idas e vindas, est fazendo o suficiente. Sabemos que trs a cada quatro
decidimos por primeiro dividir os dados por setores (porque comprometimentos baseados na Web ocorrem em questo de
horas ou menos a contar do primeiro contato e, talvez, corrigir
os padres emergem entre os setores) e, em seguida, optamos
as vulnerabilidades em 10 dias e no em 70 dias no ajude tanto.
por comparar dois pontos de dados sobre vulnerabilidades na
Alm disso, o invasor explora apenas uma vulnerabilidade (talvez
Web com os dados de incidentes: a mdia de vulnerabilidades
duas). Mas uma explicao diferente pode ser que o foco da
por site e a mediana dos dias at a aplicao do patch. Partimos
nossa lente estava muito amplo, e talvez pudssemos aprender
ATAQUES
do pressuposto de que os setores com o menor nmero de

DE DoS
mais fazendo a correspondncia dos dados de alta qualidade

vulnerabilidades e a aplicao mais rpida de patches estariam da WhiteHat com dados de incidentes especficos na mesma
menos representados nos dados de violaes (ou seja, teriam amostra. Sejam quais forem as causas, sabemos com certeza
menos incidentes) e, assim, aplicamos algumas estatsticas que os ataques a aplicativos na Web ocorrem com frequncia
moda antiga. Reconhecemos que ficamos decepcionados suficiente para repetirmos o que foi dito no WhiteHat Website
quando no encontramos a relao4 que espervamos. Security Statistics Report,5 O que precisamos de software
mais seguro e NO de mais software de segurana.
O MAIS
TUDO

Figura 28. Controles recomendados
Invases a pontos
Cinco principais mtodos de descoberta de incidentes com

de vendas
motivaes ideolgicas entre os Ataques a aplicativos na Web (n=775)

Falha de senha nica
Totaldeexternos 98%
Totaldeinternos 2% Podem-se antever os acontecimentos fatais da autenticao
por um nico fator baseada em senha em qualquer coisa que
Ext - parte no relacionada 93% esteja voltada para a Internet. Embora isso possa tir-lo de
aplicativos na
sua zona de conforto conhecida, se voc estiver protegendo

ATAQUES a
um aplicativo na Web, busque alternativas a esse mtodo de

Web
Ext - segurana pblica 1% verificao de identidade. Se voc for um fornecedor no espao

de aplicativos na Web, considere tambm a exigncia de mtodos
Int - relatado pelo usurio <1%
de autenticao alternativos de seus clientes.
Ext - divulgao pelo agente <1%
PESSOAS DE DENTRO
Repensar o CMS
PRIVILGIOS OU POR
Ext - cliente <1%

USO INDEVIDO DE
DA EMPRESA
Int - desconhecido
Figura 29. <1%
E nos referimos a repensar de todas as maneiras. Se voc
Lapso de tempo dos eventos entre os Ataques a aplicativos na Web
Int - antivrus <1% estiver comprometido com uma plataforma ativa (Joomla!,
Drupal, WordPress, etc.), configure um processo de aplicao
Int - deteco42%
de fraude <1%
Comprometimento n=43
automatizada de patches. Se um processo de aplicao

Outro <1% automatizada de patches no for vivel, desenvolva um processo
23% manual e se comprometa com ele. Isso especialmente
Furto e perda
19%
12% verdadeiro para plug-ins de terceiros. Outra maneira de repensar
fsica
5% o CMS considerar uma estrutura de CMS esttica. Em vez de

0% 0% 0% executar o cdigo a cada solicitao e gerar o contedo, o CMS
esttico ir gerar previamente essas mesmas pginas, eliminando
a necessidade de executar cdigo no servidor a cada solicitao.
Exfiltrao n=33
Erros diversos
27%
21% 21% Validar as entradas
18%
9% Embora estejamos enfrentando esse desafio h anos, a
3%
0% 0% recomendao ainda vlida. A melhor maneira de ter certeza
de que seu aplicativo no ser explorado ir atrs e lidar com
as vulnerabilidades antes que os invasores o faam (e pode ter
41%
certeza de que eles iro faz-lo). Se no tiver acesso ao cdigo-
Descoberta n=70
fonte e/ou aos desenvolvedores, certifique-se de contar com algo

Crimeware
(por exemplo, um contrato) para corrigir os problemas assim que

17% 16%
11% 11% encontrados.
3%
0% 0%
Fazer cumprir as polticas de bloqueio
42%
Os ataques de fora bruta no so o principal mtodo nesta
de cartes de
Conteno n=41
Extratores
pagamento
29% seo, mas ainda so dignos de nota. Quando se instituem

22% contramedidas, como a desacelerao da velocidade de
tentativas repetidas ou o bloqueio temporrio de contas com
5% vrias tentativa malsucedidas, a taxa de tentativas por fora
0% 2% 0% 0% bruta bem-sucedidas mais do que provavelmente ir se dissipar
e desaparecer (embora talvez voc ainda tenha que lidar com um
Nunca
Anos
Meses
Semanas
Minutos
Dias
Horas
Segundos
bot incmodo bisbilhotando suas contas de tempos em tempos).

Espionagem
eletrnica
Monitorar as conexes de sada

Embora muitos ataques baseados na Web dependam muito do
protocolo de desvio de firewall (HTTP) existente, muitos outros
transformam o servidor Web da vtima em um cliente. Os pontos
crticos na cadeia de ataque so incluir malware adicional para
ATAQUES
DE DoS
continuar o ataque, exfiltrar os dados comprometidos ou atacar

outras vtimas vontade. Assim, a menos que seu servidor tenha
um motivo legtimo para enviar seus dados para a Europa Oriental
ou que ataques de negao de servio (DoS) faam parte de seu
plano de negcios, tente bloquear a habilidade de seu servidor
Web de executar essas atividades.
O MAIS
TUDO

Uso indevido de privilgios ou por
Invases a pontos
de vendas
pessoas de dentro da empresa
De um relance
aplicativos na
Todos os incidentes na categoria de ao Uso indevido qualquer uso no aprovado ou mal-
ATAQUES a
Descrio
intencionado de recursos organizacionais se enquadram neste padro. Trata-se principalmente de
Web
uso indevido por pessoas de dentro da empresa, mas pessoas de fora (por conluio) e parceiros (porque
a eles tambm so concedidos privilgios) tambm do as caras.
Principais Pblico, Imobilirio, Administrativo, Transporte, Manufatura, Minerao
PESSOAS DE DENTRO
setores
PRIVILGIOS OU POR
USO INDEVIDO DE
DA EMPRESA
Principais A maior parte dos crimes cometidos por pessoas de confiana so perpetrados para fins de ganho
descobertas financeiro ou pessoal. Entretanto, as mudanas mais notveis no conjunto de dados de 2013 foram
um aumento na espionagem por pessoas de dentro da empresa direcionada a dados internos e
Furto e perda
segredos comerciais e uma variedade mais ampla de tticas. Dizemos conjunto de dados de 2013
fsica
porque no acreditamos que a taxa real desses crimes tenha aumentado significativamente. O que
estamos vendo o benefcio do aumento da visibilidade decorrente de nossos parceiros cujo foco se
concentra em pessoas de dentro da organizao.
Erros diversos
A propriedade intelectual de uma organizao est entre A Figura 30 relaciona as principais aes de ameaa observadas
seus ativos mais valiosos, determinando com frequncia sua entre os incidentes que se enquadram no padro de uso indevido.
capacidade de competir no mercado. Em muitos casos, as Observe que nem todos constam da categoria de uso indevido
organizaes tambm tm a custdia de grandes quantidades [mis]; fique ligado para saber mais sobre isso mais tarde. No
de dados sobre os clientes que atendem, os funcionrios que nada inesperado que o abuso de privilgios tirar vantagem dos
os atendem e os relacionamentos de que dependem para fazer privilgios de acesso ao sistema concedidos por um empregador
Crimeware
negcios. Esses dados tm valor para a organizao, mas tambm e us-los para cometer atos nefandos encabece a lista.
para aqueles que poderiam busc-los para seu prprio benefcio Entendemos que isso abrange uma variedade muito ampla de
pessoal ou por inmeros outros motivos. Para o padro de uso atividades, mas o tema geral e a lio diferem um pouco: a maior
indevido, nosso foco se concentra naqueles que j tm um lugar parte dos usos indevidos por pessoas de dentro da empresa
de confiana dentro da organizao. Pode-se argumentar que o ocorre dentro dos limites da confiana necessria para realizao
caso mais proeminente de uso indevido por algum de dentro da de tarefas normais. Isso que os torna to difceis de prevenir.
de cartes de
Extratores
pagamento
organizao nas manchetes neste ltimo ano foi o do contratado
Lembre-se de que as variedades de aes no VERIS no so
do governo dos Estados Unidos, Edward Snowden. Embora esse
mutuamente exclusivas e comum ver mais de uma em um nico
seja um exemplo extremo do dano que determinadas pessoas de
incidente. Hardware no aprovado e uso indevido de email/
dentro da organizao podem infligir, ele ilustra o risco presente
tratamento indevido de dados (um empate) representam as
quando uma organizao precisa depositar sua confiana em
trs principais aes na categoria de uso indevido, mas so mais
indivduos.
uma funo de como os dados so exfiltrados do que como so
Espionagem
eletrnica
adquiridos. Hardware no aprovado refere-se a funcionrios que

Figura 30.
usam dispositivos como unidades USB que sejam proibidas por
Dez principais variedades de ao de ameaa entre os Usos
completo ou permitidas, mas sujeitas a vrias restries. Um
indevidos por pessoas de dentro da empresa (n=153)
funcionrio que envie propriedade intelectual para fora, para
Abuso de privilgios [uso] 88% seu endereo pessoal, um exemplo de uso indevido de email.
Hardware Tambm analisamos casos em que administradores de sistemas
no aprovado [uso] 18%
abusaram do sistema de email, fazendo-se passar por outro
Suborno [soc] 16%
ATAQUES
DE DoS
Uso indevido de usurio e enviando mensagens com aquela identidade, com a

email [uso] 11%
inteno de fazer com que a pessoa fosse demitida. O tratamento
Tratamento indevido de
dados [uso] 11% indevido de dados acontece quando algum usa dados de
Uso de credenciais 7% maneira contrria s polticas da organizao. Por exemplo, um
furtadas [hac]
Soluo alternativa funcionrio de call center que anota os nmeros dos cartes de
5%
no aprovada [uso] crdito dos clientes em um papel ou um engenheiro que burle a
Furto [fis] 4% poltica levando documentos restritos para casa para examin-
O MAIS
TUDO
Software los em um computador pessoal.

no aprovado [uso] 4%
Estelionato [uso] 4%

Com mais incidentes do que nunca envolvendo pessoas de Vamos dar uma olhada nas pessoas que esto cometendo esses
Invases a pontos
confiana, podemos ver mais facilmente como eles fazem para crimes. Embora o pessoal da cadeia de pagamento e usurios
de vendas
adquirir dados quando seu prprio acesso insuficiente. Alm finais ainda se sobressassem, gerentes (inclusive executivos)
de abusar dos privilgios e recursos que lhe so confiados, tambm se destacaram mais do que nos anos anteriores. Vocs
observamos tcnicas de ao de hackers para elevar privilgios conhecem o tipo: sem rodeios e com toda a pinta de alta gerncia.
Com frequncia eles tm acesso a segredos comerciais e a outros
e contornar controles (com frequncia pelo furto das credenciais
dados de interesse da concorrncia e, tragicamente, tambm tm
de outras pessoas), vrias formas de engenharia social e o uso
maior probabilidade de estarem isentos das polticas de segurana
de malware como keyloggers e backdoors. Essas patifes se devido a seu status privilegiado na empresa.6 Uma dessas prises
aplicativos na
valeram at de furto fsico, pegando documentos como planos e

ATAQUES a
resorts para colarinhos brancos ainda pouco para sua laia.

outras propriedades intelectuais, com frequncia negando sua Conforme mencionado no incio desta seo, pessoas de dentro
Web
disponibilidade organizao original por levarem a nica cpia.

Figura 33.
Figura 31. Variedade de agentes externos entre os Usos indevidos por
Vetor de aes de ameaa entre os Usos indevidos por pessoas de dentro da empresa (n=25)
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
pessoas de dentro da empresa (n=123)

DA EMPRESA
Crime organizado 36%

Acesso LAN 71% Ex-funcionrio 24%
Acesso fsico 28% No afiliado 24%
Acesso remoto 21% Concorrente 16%
Outros 2% Conhecido 8%
Furto e perda
No corporativo 1%
fsica
da empresa no so os nicos a usar indevidamente privilgios e

recursos que lhe so confiados. A Figura 33 apresenta os agentes
Tambm digno de nota que a LAN corporativa foi o vetor em externos e parceiros que participaram direta ou indiretamente
71% desses incidentes e que 28% se aproveitaram do acesso de incidentes de uso indevido. Criminosos organizados subornam
fsico dentro das instalaes corporativas. Isso significa que pessoas de dentro da empresa para furtarem dados para
Erros diversos
a maioria dos funcionrios perpetraram suas aes enquanto esquemas de fraude. Ex-funcionrios exploram contas ainda ativas
estavam no escritrio, bem debaixo do nariz de seus colegas, em ou outros furos que somente eles conhecem. Concorrentes aliciam
vez de saltar de proxy em proxy na segurana relativa de seus propriedade intelectual para obter vantagens de negcios. Para
lares. Se algum quiser usar essas estatsticas para afrouxar as montar uma defesa apropriada, as organizaes devem levar em
polticas de trabalho em casa e demolir os cubculos em prol de conta que o fato de que esses jogadores esto em campo.
plantas mais abertas esse algum tem a nossa bno. Quase todos os incidentes de uso indevido anteriores a 2013
estavam centrados na obteno de informaes para uso com a
Figura 32. finalidade de fraude. Como mostra a Figura 34, encontramos mais
Crimeware
Dez principais variedades de agentes internos entre os Usos espionagem que nunca por pessoas de dentro da empresa que
indevidos por pessoas de dentro da empresa (n=99) visavam dados organizacionais internos e segredos comerciais.
Operador de caixa 23%

Figura 34.
Usurio final 17% Motivaes dos agentes entre os Usos indevidos por
de cartes de
Finanas 13% pessoas de dentro da empresa (n=125)

Extratores
pagamento
Gerente 13% Financeira 72%
Call center 9% Espionagem 18%
Executivo 7% Ressentimento 10%
Outros 7% Convenincia 4%
Espionagem
eletrnica
Desenvolvedor 6% Diverso 3%
Administrador de sistema 6% N/A 2%
Auditor 1%
De acordo com o The Recover Report,7 publicado por um de nossos
colaboradores no Relatrio DBIR, a Mishcon de Reya, os dois
cenrios mais comuns envolvem a tomada de dados por criminosos
para:
ATAQUES
DE DoS
Iniciar sua prpria empresa concorrente (30%).

Ajudar a garantir o emprego em um rival (65%).
Esse tipo de coisa certamente no novidade deve-se em grande

medida adio de mais colaboradores que nunca com uma viso
desse tipo de atividade. Assim, sejam dados prontos para fraudes
vendidos rapidamente a criminosos ou segredos internos vendidos
O MAIS
a um concorrente, o crime cometido por pessoas de dentro da

TUDO
organizao ainda tem tudo a ver com a grana.

Os mtodos de descoberta da maioria das violaes tm sido
Invases a pontos
Figura 35.
dominados, tradicionalmente, por sinais externos. No caso do
Variedade dos dados em risco entre os Usos indevidos por
de vendas
uso indevido por pessoas de dentro da empresa, no entanto,
pessoas de dentro da empresa (n=108)
mtodos internos (55%) so responsveis pela deteco de
Pessoais 34% mais incidentes do que mtodos internos (45%). A maneira mais
Pagamento 29% comum pela qual as organizaes detectam crimes cometidos
por pessoas de dentro quando os funcionrios os denunciam.
Internos 27%
Descobertas decorrentes de auditorias financeiras e de TI
aplicativos na
Segredos 18% tambm foram muito comuns. A reviso dos livros na manh
ATAQUES a
de segunda-feira um exemplo das primeiras, e um exemplo
Web
Bancrios 14%
promissor destas ltimas um processo regular de exame do
Credenciais 9% acesso por funcionrios desligados da empresa.
Mdicos 3% O CERT Insider Threat Center (outro de nossos parceiros)
PESSOAS DE DENTRO
PRIVILGIOS OU POR
Outros 3% concentra o foco de sua pesquisa em violaes por pessoas
USO INDEVIDO DE
de dentro da organizao e concluiu que em mais de 70% dos
DA EMPRESA
Desconhecido 2%
casos de furto de IP, pessoas de dentro da empresa furtaram a
Sigilosos 1% informao em at 30 dias de anunciarem sua demisso.8 Em
um nmero razovel de ocasies, um exame da atividade de
Desktops so o ativo comprometido com maior frequncia neste funcionrios com acesso a informaes sigilosas que deixaram a
padro, o que faz sentido, porque os computadores desktop so empresa permitiu s organizaes afetadas detectar o incidente
Furto e perda
uma das principais interfaces do funcionrio com o resto da rede e agir rapidamente para recuperar as informaes (com sorte
(Figura 36). Normalmente, ali que os dados so armazenados, antes de danos irreparveis terem ocorrido).
fsica
carregados, enviados por email para fora da organizao ou
copiados para uma mdia removvel. Bancos de dados e servidores Figura 37.
de arquivos, ambos repositrios de tantas informaes valiosas, Dez principais mtodos de descoberta entre os Usos
tambm so alvos regulares. Cartes de pagamento no se indevidos por pessoas de dentro da empresa (n=122)
Erros diversos
referem variedade de dados, mas aos cartes propriamente
Totaldeexternos 45%
ditos, que so processados por dispositivos de mo para extrao
de dados (ou copiados de alguma outra forma) no clssico cenrio Totaldeinternos 55%
do garom demonaco. No que tange propriedade dos ativos,
vemos pessoas de dentro da empresa abusando de ativos de Ext - cliente 16%
propriedade corporativa, e no de propriedade do funcionrio Int - relatado pelo usurio 13%
e autorizado para uso corporativo (BYOD, ou traga seu prprio
dispositivo). No entanto, vemos evidncias de que eles com Int - desconhecido 11%
Crimeware
frequncia se aproveitam de dispositivos pessoais no aprovados Int - auditoria financeira 10%
para ajud-los a remover os dados da organizao (que aparecem
Int - auditoria de TI 9%
como uso de hardware no aprovado).
Figura 36.
Ext - desconhecido 6%
de cartes de
Dez principais ativos afetados entre os Usos indevidos por
Extratores
pagamento
pessoas de dentro da empresa (n=142) Ext - segurana pblica 6%
Desktop 26% Int - deteco de fraude 6%

(dispositivo de usurio)
Banco de dados 25% Ext - auditoria 3%

(servidor)
Outros 22%
(servidor)
Carto de pagamento 12%

Espionagem
eletrnica
(mdia)
Operador de caixa 10%

(pessoas)
Arquivo 9%
(servidor)
Outros 8%
(pessoas)
Aplicativo na Web 8%
(servidor)
Desconhecido 6%
ATAQUES
DE DoS
Laptop 5%
O MAIS
TUDO

Observe a linha do tempo das descobertas de uso indevido Controles recomendados
Invases a pontos
na Figura 38 ela tem um aspecto muito diferente da linha

A causa-raiz do furto de dados e de outros atos ilcitos
de vendas
do tempo geral que vemos em outros tipos de incidentes.

por parceiros de confiana , bastante obviamente, um
A maior parte dos incidentes de uso indevido foi detectada
funcionrio passando para o lado dos bandidos. No, no
em questo de dias (o que excelente), mas tambm h um
como o Walter White da srie Breaking Bad. Mais no sentido
nmero nada insignificante de incidentes (70, para ser exato)
de um crime de colarinho branco (embora o Walter tenha
que levou anos para ser descoberto (o que no nada bom).
***ALERTA DE ESTRAGA SURPRESA*** assassinado seu
aplicativos na
chefe e assumido o controle da empresa fora, o que vem a

Figura 38.
ATAQUES a
calhar). Embora seja impossvel deter todos os funcionrios

Linha do tempo da descoberta entre os Usos indevidos por
Web
desonestos, h algumas medidas que podem reduzir a

pessoas de dentro da empresa (n=1.017)
probabilidade de ocorrncia de um incidente, ou pelo menos
aumentar suas chances de detect-lo rapidamente.
Segundos 11%
Minutos 2%
PESSOAS DE DENTRO
PRIVILGIOS OU POR
Conhecer seus dados e quem tem

USO INDEVIDO DE
DA EMPRESA
Horas 18% acesso a eles

Dias 34%
O primeiro passo da proteo de seus dados saber onde
Semanas 22% eles esto e quem tem acesso a eles. A partir disso, crie
11% controles para proteg-los e detectar seu mal uso. Isso no
Meses
ir impedir pessoas de dentro da empresa que estejam muito
Furto e perda
Anos 2% determinadas (porque elas j tm acesso aos dados), mas h

muitos outros benefcios que justificam fazer isso.
fsica
Examinar as contas de usurios

Tendo identificado os cargos com acesso a dados sigilosos,
Erros diversos
implemente um processo para examinar a atividade de

suas contas quando esses funcionrios pedirem demisso
ou forem dispensados. Desative a conta de usurio de um
funcionrio assim que ele deixar a empresa (e, se achar
prudente, antes disso). Essa medida comprovadamente
bem-sucedida para impedir a sada dos dados da organizao
ou para recuper-los rapidamente e refrear um incidente.
Crimeware
Ficar alerta quanto exfiltrao de

dados
Entre as principais variedades de uso indevido, vemos
aes que facilitam a transferncia de dados para fora da
de cartes de
organizao esses so excelentes pontos para estabelecer

Extratores
pagamento
controles para deteco desse tipo de atividade. Muitos

produtos para preveno de perda de dados abrangem as
aes mais comuns que levam ao furto de informaes
confidenciais e so certamente dignos de ateno.
Publicar os resultados das auditorias

Espionagem
eletrnica
Da perspectiva da conscientizao, publique regularmente os

resultados das auditorias de acesso sem citar nomes. Deixe
os funcionrios saberem que existem consequncias e que
as polticas esto sendo aplicadas. Isso pode atuar como um
poderoso dissuasor de maus comportamentos.
ATAQUES
DE DoS
O MAIS
TUDO

Furto e perda fsica
Invases a pontos
de vendas
De um relance
Descrio Praticamente o que parece ser qualquer incidente em que um ativo de informaes tenha
desaparecido, seja por ter sido extraviado ou por m inteno.
aplicativos na
Principais Sade, Pblico, Minerao
ATAQUES a
setores
Web
Frequncia 9.704 incidentes no total9
Principais Perdas so relatadas com mais frequncia que furtos. Em um achado surpreendente, descobrimos que
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
descobertas ativos so furtados de escritrios corporativos com mais frequncia do que de veculos pessoais ou
DA EMPRESA
residncias. E embora informaes pessoais e mdicas sejam comumente expostas, a maior parte das
perdas/furtos relatada devido a regulamentaes de divulgao obrigatria e no por causa de fraude.
Para ser honesto, ns ponderamos se deveramos ou no incluir de incidente que se aplica uniformemente. At os fazendeiros
Furto e perda
uma seo sobre ativos perdidos ou furtados neste relatrio. tm problemas com pessoas que vm e tentam arrebatar seus
Decidimos, no entanto, que simplesmente no poderamos laptops.
fsica
ignorar o fato flagrante de que tais incidentes por menos sexy
Falando de laptops, eles so a variedade de ativo mais comum
ou cyber que fossem esto entre as causas mais comuns da
entre as denncias deste padro. Com frequncia, os relatos de
perda/exposio de dados denunciada pelas organizaes. Isso
incidentes especialmente para CSIRTs no especificam o ativo
especialmente aparente em setores como o de Sade, onde a
perdido ou furtado. Assim, algum tipo de dispositivo de usurio
Erros diversos
divulgao de todos os incidentes que possam potencialmente
tudo que podemos inferir e explica por que Outros (dispositivo
expor dados sigilosos obrigatria. E se h alguma coisa que
de usurio) to frequente. Alm disso, o que seria de se
sabemos ser verdade com relao natureza humana que
esperar: computadores, documentos e unidades de mdia.
perder coisas e furtar coisas parecem ser predisposies
inerentes. O prximo item a se observar a relao entre perda e furto:
a perda de ativos de informaes acontece com muito maior
O estudo dos achados rendeu algumas observaes
frequncia do que o furto, com uma diferena de 15 para um.
interessantes que podem ajudar a informar a prtica, e a que
E isso importante porque sugere que a vasta maioria dos
Crimeware
concentraremos nossa ateno nesta seo. Ao comearmos,
incidentes neste padro no se deve a aes mal-intencionadas
tenha em mente que estamos falando especificamente sobre
ou intencionais. Assim, o principal desafio a) evitar que os
ativos de informaes10; o que quer que tenha sido perdido ou
funcionrios percam coisas (sem chance) ou b) minimizar o
furtado teria que armazenar, processar ou transmitir informaes
impacto quando eles perdem. O dinheiro bem investido o da
para chamar nossa ateno.
opo b, embora dispositivos de computao bioimplantados
A observao n1 se relaciona aos dados demogrficos: temos podem ser promissores no futuro para a opo a. Isso
de cartes de
Extratores
pagamento
evidncia de que todo tipo e porte de organizao perde coisas praticamente tudo que vamos dizer sobre perda, mas o furto
e/ou tem coisas furtadas. Isso pode no ser um grande choque, ainda nos reserva algumas lies.
mas pelo menos digno de nota que este seja o nico padro

Dez principais variedades de ao de Furto/perda (n=9.678) Dez principais locais de furtos entre os Furtos/perdas
Espionagem
eletrnica
(n=332)
Outros 8.929
rea de trabalho da vtima 43%
Laptop 308
Veculo pessoal 23%
Documentos 140
(mdia)
Residncia pessoal 10%
Desktop 108
rea segura da vtima 5%
Unidade Flash 102
Instalao de parceiro 4%
ATAQUES
(mdia)
DE DoS
Unidade de disco 37
(mdia)
Veculo de parceiro 4%
Fitas 36
(mdia)
Instalao pblica 3%
Outros 27
(servidor)
Dependncias da vtima 2%
Outros 12
(mdia)
Veculo pblico 2%
Banco de dados 11
O MAIS
rea pblica da vtima 2%

TUDO
(servidor)

Achamos bastante surpreendente que a mais alta proporo de Controles recomendados
Invases a pontos
furtos ocorra na rea de trabalho da vtima, o que basicamente

A principal causa-raiz dos incidentes neste padro descuido
de vendas
se refere ao espao no escritrio principal ou cubculo (Figura

40). Isso sugere simplesmente que ter informaes sigilosas a em algum grau. Acidentes acontecem. Pessoas perdem coisas.
portas fechadas no o suficiente, j que existe muita gente por Pessoas furtam coisas. E isso nunca vai mudar. Mas h algumas
trs dessas portas fechadas.11 Observe que os furtos em reas coisas que voc pode fazer para mitigar esse risco.
internas de alta segurana so muito menos comuns, mas ainda
assim superiores aos ocorridos em instalaes pblicas. Esse
ltimo dado no nada intuitivo a ponto de desafiar a lgica. Criptografar os dispositivos
aplicativos na
ATAQUES a
No podemos seno suspeitar que as pessoas cujos laptops so

furtados durante uma ida ao banheiro na cafeteria relatam o fato Considerando-se a alta frequncia com que ativos so perdidos,
Web
como perda simplesmente para livrar a prpria cara. a criptografia a soluo mais bvia para esse padro de
incidentes. claro que o ativo ainda est desaparecido, mas
Residncias pessoais e veculos pessoais/de parceiros/ pelo menos pode poupar muita preocupao, constrangimento
pblicos so palco de quase 40% dos furtos e nos lembram que e processos judiciais potenciais poder simplesmente dizer que
PESSOAS DE DENTRO
PRIVILGIOS OU POR
dispositivos em trnsito so passveis de desaparecer. as informaes nele contidas estavam protegidas. Alm disso,
USO INDEVIDO DE
verificar periodicamente para assegurar-se de que a criptografia

DA EMPRESA
Figura 41.
ainda esteja ativa tambm no fica atrs. Isso vai ser til quando
Vetor de acesso fsico entre os Furtos/perdas (n=158) o auditor ou regulador fizer a temida pergunta: Como voc tem
certeza de que estava criptografado?
Controles desativados 60%
Controles burlados 26%

Ter sempre vista
Furto e perda
Acesso privilegiado 11%

Incentive os funcionrios a manterem dispositivos sigilosos
fsica
Local sem controle 3% em sua posse e sempre vista. Sim, isso se aplica a jantares
luxuosos com clientes e a visitas ao toalete. Tambm no um
mau princpio a se aplicar a dispositivos mveis em um contexto
Embora em geral no seja conhecido/relatado exatamente como corporativo. Pode ser um pouco desajeitado, mas mais seguro
os agentes tiveram acesso fsico a esses locais, mais de 80% do que deix-los no carro ou sem superviso em uma sala cheia
Erros diversos
dos furtos para os quais temos essas informaes envolveram a de pessoas estranhas. Se for absolutamente necessrio deix-los
desativao ou evaso de controles. Os demais j tinham acesso, no carro, tranque-os no porta-malas antes de deixar o escritrio e
seja porque lhes tinham sido concedidos privilgios ou por se no os deixe l durante a noite.
tratar de um local acessvel ao pblico.
Figura 42. Fazer backup

Variedade dos dados em risco entre os Furtos/perdas
Backups regulares (e de preferncia automticos) tm uma
(n=3.824)
Crimeware
finalidade tripla. Recuperam semanas/meses/anos de trabalho

que de outra forma seriam irrecuperveis, o tornam produtivo
Pessoais 3.393
novamente em um novo dispositivo com um tempo de inatividade
Mdicos 508 mnimo e ajudam a estabelecer quais dados estavam no
Pagamento 23 dispositivo para determinar se h necessidade de divulgao.
Internos 21
Trancar
de cartes de
Extratores
pagamento
Bancrios 20
Sigilosos 5 luz da evidncia de que tantos furtos acontecem no escritrio,

Credenciais 5
prender os equipamentos com cabos ou de alguma outra forma a
instalaes fixas deve ser pelo menos levado em considerao. A
Desconhecido 4 grande advertncia, no entanto, que a maioria desses furtos foi
Segredos 3 de documentos tirados de arquivos fsicos e dispositivos mveis
(inclusive laptops). Uma estratgia mais eficaz seria transferir
Espionagem
eletrnica
Outros 1
ativos altamente sigilosos ou valiosos para uma rea segura
separada e certificar-se de que fiquem por l.
O conjunto final de observaes abrange a variedade dos
dados que foram comprometidos ou, com maior frequncia, BNUS - Usar tecnologia que no seja
potencialmente expostos, no caso de perda ou furto de ativos. chamativa
Vale enfatizar que o motivo principal de estes incidentes terem
sido includos o fato de acionarem algum tipo de requisito Sim, uma recomendao bastante heterodoxa, mas pode
ATAQUES
DE DoS
obrigatrio de relato/divulgao. O ativo desapareceu, ficou de fato ser um dissuasor de furtos (embora talvez aumente a
determinado que continha informaes regulamentadas que frequncia das perdas). Um MacBook Air novinho e brilhante no
agora esto expostas a acesso no autorizado potencial e, banco do passageiro pode ser tentador demais para qualquer
portanto, teve que ser relatado. Isso explica a predominncia um resistir, mas somente os viles realmente dedicados iriam
de dados regulamentados, como informaes pessoais ou de correr o risco de ir para a cadeia por um laptop tipo tijolo de 10
identificao e pronturios mdicos, na Figura 42. cm de espessura de meados dos anos 90. Ou, se voc realmente
precisar da tranqueira mais rpida da galxia, talvez exista um
O MAIS
TUDO
mercado ps-vendas lucrativo de tampas deselegantes para

laptops. Ele pode no ficar com a melhor das aparncias, mas dar
conta do recado onde realmente importa.

Erros diversos
Invases a pontos
de vendas
De um relance
Descrio Incidentes em que aes no intencionais comprometem diretamente um atributo de segurana de um
aplicativos na
ativo de informaes. No inclui dispositivos perdidos, que esto, em vez disso, agrupados com furto.
ATAQUES a
Web
Principais Pblico, Administrativo, Sade
setores
Frequncia 16.554 incidentes no total12
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
DA EMPRESA
Principais Depois de escrutinar 16 mil incidentes, fizemos uma descoberta espantosa s vezes as pessoas
descobertas ferram as coisas. (Prmio Nobel, aqui vamos ns!) Os dados parecem sugerir que processos de
negcios altamente repetitivos e mundanos que envolvam informaes sigilosas so especialmente
propensos a erros. Tambm digno de nota que esse padro contm mais incidentes causados por
parceiros de negcios do que qualquer outro.
Furto e perda
fsica
Quase todo incidente envolve algum elemento de erro humano. Entrega indevida (enviar documentos
Por exemplo, deixar de aplicar um patch do WordPress
impressos ou emails para o destinatrio
certamente deixa o aplicativo vulnervel a ataques, mas no
compromete diretamente o sistema. Algum outro agente/ao incorreto) o erro que resulta em divulgao
Erros diversos
de ameaa necessrio para que isso acontea. Sem fazer essa de dados visto com maior frequncia.
distino, esta categoria estaria to inchada com incidentes que
seria difcil extrair informaes teis. H apenas dois problemas difceis na cincia da computao:
digno de nota que este padro no inclui todos os incidentes na invalidao de cache, atribuio de nomes e erros em que um loop
categoria Erro. A perda um tipo de erro, mas ns a agrupamos iterativo executado uma vez a mais ou a menos (off-by-one).
com o furto (em Fsico) em um padro diferente porque eles Entrega indevida (enviar documentos impressos ou emails para
compartilham certas semelhanas (voc deixa de possuir o o destinatrio incorreto) o erro que resulta em divulgao
Crimeware
dispositivo) e porque, com frequncia, fica difcil determinar de dados visto com maior frequncia. Um dos exemplos mais
se ocorreu perda ou furto. Por favor, tenha isso em mente ao comuns uma mala direta em que documentos e envelopes
examinar as principais aes e ativos nesta seo. esto fora de sincronia (off-by-one) e documentos sigilosos
acabam sendo enviados para o destinatrio errado. Uma mancada
corriqueira, claro, mas que com muita frequncia expe dados a
pessoas no autorizadas.
de cartes de
Extratores
pagamento
Figura 43.
Figura 44.
Dez principais variedades de ao de ameaa entre os Erros
Dez principais ativos afetados entre os Erros diversos
diversos (n=558)
(n=546)
Entrega indevida 44% Documentos 49%

(mdia)
Erro de publicao 22% Aplicativo na Web 14%

Espionagem
eletrnica
(servidor)
Erro de descarte 20% Desktop 9%

Configurao incorreta 6% Arquivo 7%

(servidor)
Defeito 3% Banco de dados 5%

(servidor)
Erro de programao 3% Outros 5%

(servidor)
Gafe 1% Email 4%
ATAQUES
(servidor)
DE DoS
Omisso 1% Mdia em disco 3%

(mdia)
Outros 1% Unidade de disco 1%

(mdia)
Erro de manuteno <1% Outros 1%

(mdia)
O MAIS
TUDO

Figura 45.
Invases a pontos
Entrega indevida pelo governo Linha do tempo da descoberta at a conteno entre os

de vendas
De acordo com a nossa amostra, organizaes Erros diversos

governamentais frequentemente entregam informaes Descoberta n=127 Conteno n=55
que no so pblicas ao destinatrio incorreto. Na verdade,
Segundos 3% 6%
isso acontece com tamanha frequncia que tivemos que
remov-las da Figura 43 para que voc pudesse ver as outras Minutos 9% 4%
variedades de erro. Por que esse nmero to grande? O Horas 10% 38%
aplicativos na
governo federal dos Estados Unidos o maior empregador

ATAQUES a
Dias 17% 27%

desse pas e mantm um volume gigantesco de dados, tanto
Web
sobre seus funcionrios quanto seus eleitores, o que faz Semanas 6% 13%
com que se possa esperar um alto nmero de incidentes
Meses 47% 6%
de entrega indevida. Leis relativas a dados pblicos e a
obrigatoriedade de relatar incidentes de segurana tambm Anos 8% 2%
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
se aplicam a rgos governamentais. Visto que temos maior Nunca 0% 6%

DA EMPRESA
visibilidade dos erros do governo, isso cria a impresso de

que os erros do governo acontecem com mais frequncia
As organizaes descobrem os prprios erros somente em cerca
do que os de quaisquer outras entidades, o que pode no
de um tero das vezes. Caso contrrio, uma entidade externa
ser o caso. Isso no muito diferente do fato de vermos
as inteira do incidente e, na maior parte das vezes, trata-se de
nmeros mais altos de violaes em geral nos estados dos
clientes da prpria organizao. Voc pode sempre tentar a ttica
Estados Unidos que tm leis de divulgao implementadas
Furto e perda
do Inconcebvel! quando um cliente liga para dizer que encontrou

h mais tempo. Um exemplo tpico: mesmo com as entregas
seus prprios dados pessoais desprotegidos em seu website
fsica
indevidas pelo governo removidas dos resultados, entrega

mas se voc continuar usando essa palavra, eles vo acabar
indevida ainda domina a lista de erros que resultaram em
descobrindo que ela no significa o que voc pensa que significa.
exposio de dados.
Figura 46.
Erros diversos
Os Dicionrios Oxford declaram que selfie (autorretratos) foi Dez principais mtodos de descoberta dos incidentes de
a palavra do ano de 2013,13 mas voc sabia que postar contedo Erros diversos (n=148)
na Web e depois se arrepender tambm foi uma prtica social no
Totaldeexternos 68%
mundo corporativo? Isso mesmo, a segunda variedade de erro
mais frequente so os erros de publicao, que frequentemente Totaldeinternos 32%
envolvem a postagem acidental de informaes que no so
pblicas em um recurso pblico, como o servidor Web da Ext-cliente 30%
Crimeware
empresa. por isso que os aplicativos na Web assumem o Ext-parte no relacionada 25%
segundo lugar no grfico de ativos afetados (Figura 44). Para
completar os trs mais importantes nesta categoria vem o Int-relatado pelo usurio 18%
erro de descarte, em que o ativo afetado jogado fora sem Outros 12%
ser retalhado ou, no caso de mdia digital, sem que os dados
Int-desconhecido 5%
sigilosos tenham sido devidamente apagados.
3%
de cartes de
Int-auditoria de TI
Extratores
pagamento
Quem est cometendo todos esses erros? Ext-segurana pblica 2%
Bem, so quase totalmente pessoas de Ext-divulgao pelo agente 2%
dentro da empresa, claro. Usurios Ext-auditoria 1%

finais, administradores de sistemas e Int-exame de registros 1%
desenvolvedores lideram o bando quando a
Espionagem
eletrnica
questo bagunar as coisas, embora quase

todos ns tenhamos alguma culpa.
Quem est cometendo todos esses erros? Bem, so quase

totalmente pessoas de dentro da empresa, claro. Usurios
finais, administradores de sistemas e desenvolvedores lideram
ATAQUES
DE DoS
o bando quando a questo bagunar as coisas, embora quase

todos ns tenhamos alguma culpa. Mas o interessante que h
um nmero bastante grande (70) de incidentes causados por
erros de parceiros mais do que em qualquer outro padro.
O MAIS
TUDO

Invases a pontos
Resposta encarcerada: o futuro da
Bob Ross, o pintor favorito de todo mundo, que pinta pequenas
de vendas
resposta a incidentes?
nuvens macias, uma vez disse, Ns no cometemos erros, apenas
Um exemplo do VCDB mostra o ponto em que as coisas
temos acidentes felizes. Ainda assim, as organizaes podem
podem chegar quando tudo d errado com o descarte de
tomar medidas para diminuir a frequncia de todas as formas de
documentos. Uma clnica mdica contratou um fornecedor
acidentes reduzindo sua exposio a padres de erro comuns que
para fazer a coleta de documentos e retalh-los antes
resultam na divulgao de dados.
do descarte. Aparentemente, a coleta foi feita com uma
aplicativos na
caminhonete aberta, porque os arquivos acabaram, em
ATAQUES a
Manter os dados no DLP vez disso, na beira da estrada. Era como se uma nevasca
Web
de papel branco tivesse atingido a rea, segundo uma
Considere a implementao de software de Preveno de perda
testemunha. Tratava-se de antigos pronturios mdicos com
de dados (DLP, da sigla em ingls) para reduzir os casos em
todo tipo de informao protegida. Quando as pessoas os
que documentos sigilosos so enviados por email. O DLP pode
encontraram e chamaram a segurana pblica, uma equipe
PESSOAS DE DENTRO
PRIVILGIOS OU POR
identificar informaes que seguem um formato comum, como
USO INDEVIDO DE
de reclusos que estava fazendo a coleta regular do lixo na
DA EMPRESA
nmeros de carto de crdito, nmeros da previdncia social ou
rea foi enviada para recuperar esses documentos sigilosos.
cdigos de faturamento mdico.
E o som que os prisioneiros acorrentados faziam ao executar
esse trabalho forado era o de caixa registradora cha-ching.
Conferir a publicao
Reduza a frequncia dos erros de publicao tornando mais
Furto e perda
rigorosos os processos de postagem de documentos em sites
internos e externos. Por exemplo, conte com um segundo revisor
fsica
para aprovar qualquer coisa a ser postada nos servidores da
empresa, desenvolva processos para verificar regularmente as
pginas pblicas na Web em busca de dados que no sejam pblicos
e implemente uma proibio geral de armazenar documentos
Erros diversos
no editados em um servidor de arquivos que tambm tenha um
servidor Web em execuo. incrvel a facilidade que uma planilha
tem de migrar para a pasta htmldocs. Certifique-se de que h um
processo para testar os controles de segurana aps qualquer
alterao vimos com frequncia situaes em que deixar de
restabelecer os controles resultou em uma violao por publicao.
Crimeware
Nail the snail mail fail whale
(Detectar falha de grandes malas
postais no correio)
Diga isso trs vezes bem rpido. Ao enviar grandes malas postais
(tambm propensas a erros dada a alta velocidade e a repetio),
de cartes de
Extratores
faa uma conferncia por amostragem para assegurar-se de que a
pagamento
informao no documento coincida com o nome no envelope. Esteja
atento tambm a envelopes com janela s vezes a janela pode ser
grande demais ou seu contedo pode no estar centrado corretamente
e permitir a exposio de informaes sigilosas. Muitos desses
incidentes poderiam ter sido evitados se algum tivesse pego alguns
envelopes da pilha e inspecionado antes de coloc-los no correio.
Espionagem
eletrnica
A TI no produz lixo
A TI o queima. Qualquer descarte ou venda de ativos de
informaes deve ser coordenado pelo departamento de TI.
Eduque os usurios a pensarem em descartar um computador da
mesma maneira como pensariam em descartar algum material
ATAQUES
DE DoS
perigoso. No d para simplesmente jogar no lixo (ou vender no

eBay)! Mande para a TI para que manuseiem da forma adequada.
Teste o processo de descarte fazendo uma amostragem dos
dispositivos para verificar se foram devidamente sanitizados. Se
um terceiro for responsvel pelo processo, assegure-se de que
os contratos estipulem como transferir, armazenar e descartar
os dados, bem como os papis, responsabilidades, verificao e
O MAIS
TUDO
penalidades em caso de no conformidade.

Crimeware
Invases a pontos
de vendas
De um relance
Descrio Qualquer incidente de malware que no tenha se enquadrado em outros padres, como espionagem
ou ataques de ponto de vendas. Rotulamos esse padro como crimeware, j que o apelido descreve
aplicativos na
um tema comum entre os incidentes. Na verdade, o padro abrange uma faixa de incidentes que
ATAQUES a
envolvem malware de variados tipos e propsitos.

Web
Principais Pblico, Informao, Servios pblicos, Manufatura

setores
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE

DA EMPRESA
Principais A meta principal obter o controle de sistemas como plataforma para usos ilcitos, como furtar
descobertas credenciais, ataques de DDoS, spam, etc. Downloads da Web e drive-bys so os vetores de infeco
mais comuns.
Muitos incidentes nesta seo vm de nossos parceiros CSIRTs, A diferena que este tem como principais alvos dispositivos
Furto e perda
o que reflete um agregado de muitas organizaes vtimas. mveis Android e Blackberry com propsitos semelhantes.
fsica
O nvel de detalhes tende a ser menor porque no houve uma Embora o Zeus sirva de exemplo das famlias de crimeware
investigao forense ou anlise aprofundada semelhante (ou o relatadas em todas as partes do mundo, outros tiveram uma
relatrio no foi fornecido ao CSIRT), o que deixa as mtricas do presena mais localizada. O Nitol, por exemplo, foi muito comum
VERIS um pouco esparsas. Mas o alto nmero de incidentes ainda entre os incidentes relatados para o MyCERT da Cybersecurity
oferece algum discernimento quanto s infeces por malware Malaysia, mas no temos ocorrncias em que ele tenha afetado
Erros diversos
no dia a dia, em que os escudos representados pelo antivrus (AV) sistemas fora da sia. O Nitol permite o acesso por backdoor e
e o sistema de preveno de invaso (IPS) da vtima no puderam com frequncia faz com que os sistemas afetados participem de
repelir um poder de fogo de tal magnitude. ataques de DDoS.
Conforme esperado, este padro de incidentes consiste A expanso dos mercados online, em que especialistas oferecem
principalmente em infeces oportunistas vinculadas a cybercrime-como-um-servio, se tornou uma tendncia
criminosos organizados com algum tipo de motivao financeira crescente em 2013. Um bom exemplo na Holanda foi a onda
direta ou indireta (da o ttulo crimeware). Uma vez que o de ataques de DDoS a bancos e instituies especficas
cdigo mal-intencionado tenha adquirido algum nvel de acesso desde maro de 2013. Os assim chamados booter websites
Crimeware
e controle de um dispositivo, inmeras possibilidades de ganhar disponibilizaram esse tipo de ataque a literalmente qualquer um
algum dinheiro se abrem para o invasor. que quisesse atacar uma empresa ou instituio. Naturalmente,
um bando de outras famlias de malware fizeram aparies no ano
A notcia no to chocante que o Zeus continua sendo a maneira
passado, mas essas duas se destacaram para ns como dignas de
favorita de ganhar algum dinheiro com o crimeware em 2013 (veja
uma breve meno.
a barra lateral para obter mais detalhes). O foco do Zeus e de sua
cria, o Citadel, se concentra principalmente no furto de dinheiro
de cartes de
Extratores
pagamento
via tomada de controle de contas bancrias, embora tambm Figura 47.

possam ser usados para outras funes. O Zitmo (Zeus in the Dez principais variedades de ao de ameaa entre os
Mobile, ou Zeus no celular) tambm aparece nos dados.14 Crimewares (n=2.274)
C2 86%
Zeus Desconhecido 24%

Espionagem
eletrnica
O Zeus (tambm chamado Zbot) tipo a barata do Spyware/Keylogger 13%

malware. Ele conseguiu sobreviver e at prosperar apesar de 10%
Downloader
muitas tentativas de erradic-lo. Prises internacionais e a
suposta aposentadoria de seu autor original no reduziram Spam 9%
seu mpeto e, uma vez que o cdigo-fonte por trs dele foi
Ataque do lado do cliente 6%
publicado, outros programadores puderam modificar e
estender o Zeus para seus prprios propsitos, inclusive Backdoor 4%
ATAQUES
burlar o software antivrus. Na verdade, o Citadel comeou

DE DoS
DoS 4%
como uma variante do Zeus, mas evoluiu consideravelmente.
O Zeus pode ser usado para instalar outros malwares, mas Adware 2%
com frequncia arrebatam credenciais de login e bancrias
Exportao de dados 1%
de dentro dos navegadores. Apesar dos esforos de muitos,
ele continuou a desconcertar os mocinhos que esto
tentando acabar com ele.
O MAIS
TUDO

As vtimas nem sempre relatam a funcionalidade do malware, Figura 50.
Invases a pontos
mas, quando o fazem, preferem C2 (segundo os CSIRTs mais Dez principais ativos afetados entre os Crimewares
de vendas
interessantes do mundo, pelo menos). Isso faz total sentido, j (n=1.557)
que a meta obter e manter o controle de um dispositivo para Outros 43%
(servidor)
comand-lo para fazer o seu lance. Independentemente de os
Outros 19%
pequenos servos comprometidos estarem participando de um (dispositivo de usurio)
botnet de spam, furtando credenciais bancrias ou sequestrando Aplicativo na Web 14%

(servidor)
um navegador para aumentar artificialmente a receita dos Email 13%
aplicativos na
(servidor)
anncios, existem numerosas maneiras de aproveitar estaes de
ATAQUES a
Outros 10%
trabalho comprometidas que no implicam em uma penetrao
Web
(pessoas)
mais profunda na rede. Desktop 7%

Figura 48. Desconhecido 3%

Dez principais vetores de aes de malware entre os Laptop <1%
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
Crimewares (n=337) Usurio final <1%
DA EMPRESA
(pessoas)
Drive-by na Web 43% Celular <1%

Download da Web 38%
Propagao pela rede 6% Como ns, sua primeira reao pode ser por que no usar
tecnologias como IDS e antivrus? Isso reflete o papel dos
Anexo de email 5% CSIRTs como principais fornecedores de incidente de crimeware
Furto e perda
Link em email 4% neste conjunto de dados. O mtodo de descoberta no era
fsica
conhecido em 99% dos incidentes. Em geral, no est em sua
Download por malware 2%
alada de visibilidade ou responsabilidade. Pelo que nos consta,
Outros 2% os CSIRTs viram somente o 1% que no foi descoberto por
Injeo remota 1% antivrus ou IDS. A linha de tempo das descobertas na Figura 52
sugere que esse pode, de fato, ser o caso. Observe a diferena
Erros diversos
Desconhecido 1%
em N entre a Figura 51 e a Figura 52 e quantas infeces so
Mdia removvel 1% descoberta em questo de segundos somente mtodos de
deteco automatizados poderiam ser to rpidos.
A maior parte dos incidentes de crimeware comea com alguma
atividade na Web infeces por download ou do tipo drive-by Figura 51.
por kits de explorao e similares em vez de links ou anexos a Comparao entre mtodos de descoberta externos e
email.15 Adware ainda comparece, embora felizmente o Bonzi internos entre os Crimewares (n=183)
Buddy continue extinto. Para malware com um componente de
Crimeware
Descoberta externa 84%
engenharia social, tanto golpes quanto phishing desempenham
papis importantes16. Em geral, os ativos infectados no foram Descoberta interna 16%
identificados, mas interessante que, entre os casos em que
essa informao foi relatada, havia mais servidores do que Figura 52.
dispositivos de usurio. Uau. Tantos vetores. Muita famlia. Linha do tempo da descoberta entre os Crimewares
Muitos incidentes. (n=1.017)
de cartes de
Extratores
pagamento
Segundos 32%
Figura 49.
Variedade dos dados em risco entre os Crimewares (n=73) Minutos 7%
Horas 28%
Credenciais 82%
Dias 22%
Bancrios 71%
Espionagem
Semanas 8%
eletrnica
Pagamento 14%
Meses 4%
Pessoais 4%
Anos <1%
Desconhecido 4%
Internos 3%
Segredos 1%
ATAQUES
DE DoS
Com relao aos incidentes de Crimeware, consta pouco em

termos de linha do tempo e detalhes da descoberta, porque
normalmente a resposta simplesmente apagar os dados no
sistema e voltar ao trabalho (lembre-se de que este padro
engloba muitas infeces isoladas que no se enquadram
em outros padres). Quando esses dados so conhecidos, a
O MAIS
notificao por terceiros no relacionados (no caso, CSIRTs) foi,

TUDO
de longe, a maneira mais comum pela qual as vtimas ficaram

sabendo do incidente.

Invases a pontos
Um ano na vida do CERT polons

Esses resultados nos levaram a desenvolver algumas
de vendas
recomendaes especficas para ajudar a manter o nmero de Por CERT Polska/NASK

incidentes de crimeware reduzido. A pergunta natural a se fazer o
que aconteceu com o antivrus?. Em primeiro lugar, as tecnologias O panorama de ameaas na Internet na Polnia definido,
antivrus desempenham um papel importante na deteco em grande medida, pelos Cavalos de Troia bancrios
de muitos tipos de malware de commodity e na preveno do crimeware que objetiva furtar credenciais bancria online
comprometimento. Portanto, este padro reflete um tipo invertido de usurios. Eles usam uma combinao de engenharia
social e vulnerabilidades de software para obter acesso
aplicativos na
de vis de sobrevivncia, em que olhamos principalmente para

ATAQUES a
os tipos de coisas que o antivrus no faz to bem ou para ao computador de um usurio e, subsequentemente, sua
conta bancria. Sempre que novos malwares ou mtodos
Web
organizaes que no usam o antivrus especialmente bem. O Nitol,

em especial, infectou muitos sistemas na fbrica antes da remessa de ataque financeiros vm tona, os usurios poloneses
e provavelmente antes que os usurios ou administradores esto sempre entre os primeiros a serem afetados. O ano de
tivessem implementado algum tipo de antivrus. A famlia do Zeus e 2013 tambm testemunhou diversos botnets de malware
do Citadel teve a reputao bem merecida de evoluir rapidamente financeiro que usaram propriedades de Internet polonesas
PESSOAS DE DENTRO
PRIVILGIOS OU POR
para fins de C2 (inclusive nomes de domnio ccTLD com a

USO INDEVIDO DE
para burlar a deteco baseada em assinatura do tipo usado por

DA EMPRESA
extenso .pl). Mais de 20 desses botnets foram derrotados

muitos produtos antivrus.
ou desorganizados pelo CERT Polska.
A ferramenta predileta do invasor uma variedade de
Manter os navegadores atualizados malwares injetados na Web (com Zeus/Citadel sendo a
famlia de malware mais popular), que infecta a mquina do
O Zeus frequentemente usa uma tcnica chamada man in
usurio e ento injeta cdigo no navegador sempre que o
the browser (homem no navegador) que envolve o uso de
Furto e perda
usurio visita um site de banco considerado de interesse (um

vulnerabilidades do navegador e das funes complementares.
ataque de Man-in-the-Browser [homem no navegador]).
fsica
Manter os navegadores e plug-ins seguros ser muito til para

Um tema comum o uso de tcnicas de engenharia social
reduzir o impacto desse tipo de incidente. Aplique os patches
para obter credenciais. Por exemplo, so feitas tentativas de
de navegadores assim que os produtores de software os
instalar ladres de senha isolados para interceptar nmeros
disponibilizarem.
de autenticao de transaes mveis (mTANs) usados
pelos bancos para autenticar transaes. Em tais casos,
Erros diversos
Desativar o Java no navegador o usurio solicitado a fornecer seu nmero de celular,

supostamente para instalao de um novo certificado de
Aplicativos legados podem complicar isso, mas, se possvel, segurana projetado pelo banco em seu smartphone
evite usar plug-ins de navegador do Java, dada a dificuldade de mas que, na realidade, malware usado para interceptar
restringir a rea do contedo e seu histrico de vulnerabilidades. e redirecionar mensagens de texto para o invasor.
Mtodos mais brutos tambm so usados para subverter
Usar autenticao por dois fatores a autenticao por dois fatores: mensagens fictcias do
banco so injetadas, notificando o destinatrio quanto a
Crimeware
Nossos resultados vinculam o crimeware a credenciais furtadas uma transferncia bancria errnea e solicitando que o
com mais frequncia do que qualquer outro tipo de dados. Isso dinheiro seja estornado para a conta do invasor. Eventos
aponta para o principal papel do crimeware quando o objetivo do do mundo real so explorados com frequncia: uma recente
ataque obter acesso a contas de usurios. A autenticao por fuso de marcas que envolveu o maior banco online polons
dois fatores no ir impedir o furto de credenciais, mas far muito resultou em ataques que foraram os usurios a redefinir
por prevenir a reutilizao fraudulenta dessas credenciais. listas de transferncias permanentes redirecionando-os
de cartes de
para nmeros de contas do invasor sob os auspcios de

Extratores
pagamento
mudanas resultantes da fuso.

A mudana uma coisa boa... exceto
quando no No entanto, no se trata apenas de malware injetado na
Web em ao: outros truques observados em 2013 incluem
Considere a melhor maneira de implementar o monitoramento malware que mudam nmeros de contas bancrias para
de alteraes da configurao do sistema. Diferentemente do os do invasor durante uma operao de copiar e colar no
p de iocana, muitos dos vetores e mtodos de persistncia Microsoft Windows. Tambm nem sempre uma questo
Espionagem
eletrnica
usados pelo crimeware podem ser facilidade detectados pelo de malware: o final de 2013 testemunhou ataques em
monitoramento dos principais indicadores nos sistemas. Isso grande escala contra roteadores domsticos, que tiveram
remete ao tema geral de melhorar a deteco e a resposta em vez suas configuraes de servidor DNS subsequentemente
de concentrar o foco somente na preveno. reconfiguradas de modo a apontar para servidores DNS
desonestos. Estes foram ento usados em ataques
Man-in-the-Middle (de intermedirio), atravs de uma
Alavancar feeds de ameaa srie de proxies, para subverteram mecanismos de SSL
e autenticao por dois fatores usando mtodos de
ATAQUES
DE DoS
Dada a alta incidncia de comunicaes C2, usar feeds de dados engenharia social semelhantes aos descritos acima.
de ameaa que identificam endereos IP e nomes de domnio
usados para controlar botnets e, ento, fazer a correspondncia
desses dados com os registros de firewall ou proxy pode ajudar
a acelerar a deteco e, assim, a conteno. Normalmente, no
recomendamos usar essas listas para o bloqueio cabal devido
a possveis problemas operacionais. Mas os pesquisadores de
O MAIS
TUDO
malware fazem um bom trabalho ao implementarem sinkholes

e fazerem a engenharia reversa do malware rapidamente para
identificar a infraestrutura usada pelos bandidos.

Extratores de cartes de pagamento
Invases a pontos
de vendas
De um relance
Descrio Todos os incidentes em que um dispositivo de extrao de informaes foi fisicamente implantado
(violao) de um ativo que l dados de tarjas magnticas de cartes de pagamento (por exemplo,
aplicativos na
caixas eletrnicos, bombas de gasolina, terminais de pontos de vendas, etc.).
ATAQUES a
Web
Principais Finanas, Varejo
setores
Frequncia 130 incidentes no total17
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
DA EMPRESA
Principais No existe tanta variao neste padro no nvel do VERIS: grupos criminosos instalam extratores de
descobertas cartes de pagamento em caixas eletrnicos (o mais comum) e em outros dispositivos de leitura de
cartes. Em um nvel mais qualitativo, os extratores de cartes de pagamento esto adquirindo uma
aparncia mais realista e tornando-se mais eficientes na explorao de dados pelo uso de Bluetooth,
transmisso pela rede celular, etc.
Furto e perda
fsica
Figura 54.
Para uma grande variedade de criminosos, desde as quadrilhas Ativos afetados entre os Extratores de cartes de
do crime altamente organizado at a variedade de inteis que pagamento (n=537)
no esto virando boa coisa, como sua mamma avisou mesmo
que seria, a extrao de informaes continua a florescer como Caixaeletrnico 87%
(terminal)
Erros diversos
uma maneira relativamente fcil de enriquecer rapidamente. Terminal de combustvel 9%
Embora a maior parte dos incidentes esteja vinculada a agentes (terminal)
na Europa Oriental, quase todas as vtimas dos extratores Acesso para leitura 2%
(rede)
de cartes de pagamento neste relatrio so organizaes Teclado de dispositivo de

entrada de PIN (PED) 2%
estadunidenses (sendo que o Servio Secreto dos Estados (terminal)
Terminal de PDV 2%
Unidos e as divulgaes pblicas so a principais fontes destes (dispositivo de usurio)
dados). Embora algumas pessoas no achem que devamos incluir Backup 1%

(servidor)
esse tipo de ataque no Relatrio DBIR, no podemos justificar a Banco de dados
Crimeware
(servidor)
1%
excluso de um mtodo consagrado usado por criminosos para
Email 1%
furtar informaes de cartes de pagamento. (servidor)
Mainframe 1%
Figura 53. (servidor)
Origem dos agentes externos entre os Extratores de cartes Proxy 1%

(servidor)
de pagamento (n=40)
Em 2013, a maior parte das extraes de informaes ocorreu
de cartes de
Extratores
pagamento
em caixas eletrnicos (87%) e bombas de gasolina (9%), devido
Bulgria 38%
facilidade relativa com que podem ser abordados e adulterados.
Armnia 18% Com frequncia, os extratores de cartes de pagamento de
bombas de gasolina so instalados por um pequeno grupo de
Romnia 18%
pessoas que agem de comum acordo. Um cenrio envolve um ou
Brasil 8% mais conspiradores entrando no posto para fazer uma compra
e distraindo a ateno do caixa, enquanto um parceiro no crime
Espionagem
Estados Unidos 8%
eletrnica
instala o dispositivo na mquina usando uma chave universal.

Bsnia e
Herzegovina 2%
Extratores de cartes de pagamento em caixas eletrnicos,
Cuba 2% por outro lado, so instalados do lado de fora da mquina.
Ir, Repblica Enquanto alguns dispositivos de extrao de informaes
Islmica de 2%
de caixa eletrnico so engenhocas desajeitadas feitas em
Mxico 2% casa que podem acabar sendo vistas por clientes, o design de
muitos extratores de cartes de pagamento (tanto criados por
Nigria 2%
ATAQUES
DE DoS
criminosos quanto comprados prontos para usar) pode ter uma

aparncia to realista que se tornam praticamente invisveis
aos olhos do usurio final. Na maioria dos casos, podem ser
encaixados no lugar em questo de segundos e podem ser
produzidos em quantidades suficientes para tornar os ataques
escalonveis e altamente organizados. Entretanto, essa vem
sendo a norma j h algum tempo e demanda somente uma
O MAIS
meno superficial neste relatrio. O que mudou com o tempo,

TUDO
contudo, foram os mtodos pelo qual os dados so recuperados

pelos criminosos.

No passado, era necessrio que o criminoso retornasse
Invases a pontos
cena do crime e removesse fisicamente o dispositivo Evoluo da extrao de informaes

de vendas
para coletar os dados furtados. Embora isso ainda exista, Como acontece com qualquer tecnologia, a tendncia
normalmente indicativo dos viles menos organizados e desenvolver-se de volumosa e lenta para agilizada e
de menor nvel tentando descolar uma grana com algum eficiente. Os dispositivos de extrao de informaes no
tiozinho rico. Com frequncia, eles so apreendidos so uma exceo. Muitas pessoas ainda pensam no extrator
enquanto recuperam os dados extrados dos cartes. De de cartes de pagamento como o golpe clssico o pequeno
acordo com o que descobrimos sobre os ataques baseados extrator de mo usado por garons para obter ilicitamente
aplicativos na
em rede, o criminoso bem-sucedido aquele que consegue dados de tarjas magnticas enquanto mantm o carto
ATAQUES a
manter uma distncia segura entre si mesmo e o alvo. Assim, em sua posse, distante do cliente. Porque eram to fceis
Web
os criminosos mais altamente qualificados agora coletam os de usar, eles se tornaram a especialidade da maioria dos
dados via Bluetooth ou chips com cache remoto e alertas de criminosos por um bom tempo.
adulterao. Alguns dispositivos chegam a enviar um alerta
Por outro lado, era relativamente fcil para os mocinhos
por SMS para o criminoso cada vez que o caixa eletrnico
PESSOAS DE DENTRO
PRIVILGIOS OU POR
identificar o culpado depois que a fraude tivesse sido

USO INDEVIDO DE
usado.
descoberta. Algoritmos de Ponto comum de compra
DA EMPRESA
Figura 55. (CPP) podiam ser usados para determinar o restaurante

Mtodos de descoberta entre os Extratores de cartes de responsvel pelas cobranas fraudulentas. Quando a
pagamento (n=42) segurana pblica chegava ao restaurante, podia obter
acesso aos recibos e, com relativa facilidade, determinar
que o mesmo garom ou garonete havia atendido a todas
Totaldeexternos 76%
Furto e perda
as vtimas. O indivduo costumava ser entrevistado e... bem,

Totaldeinternos 24% voc sabe o resto.
fsica
Ext - deteco de fraude 26% Agora um avano rpido at o ano 2000, quando o primeiro
21% extrator de cartes de pagamento de bomba de gasolina foi
Ext - segurana pblica
encontrado em um posto na Califrnia. O extrator de cartes
Ext - cliente 17% de pagamento foi colocado dentro da bomba e (visto que
Erros diversos
Int - relatado pelo usurio 17% capturava somente informaes da tarja) os criminosos
instalaram uma cmera de vdeo sem fio a 375 metros de
Ext - parte no relacionada 12%
distncia em um compartimento a prova d'gua. Nesse
Int - deteco de fraude 7% caso especfico, a cmera foi descoberta e desconectada
por um investigador. Em questo de minutos, os bandidos
Com o subterfgio e a fraude sendo os objetivos por trs da
apareceram no posto para ver o que tinha dado errado e
extrao de informaes, no de se surpreender que esse
foram prontamente levados para a priso.
padro seja mais comumente detectado por um terceiro.
Crimeware
Na maior parte do tempo, esse terceiro uma empresa de O risco de descoberta durante a recuperao acabou
cartes de pagamento ou um cliente que percebeu alguma se tornando grande demais e, por isso, mais criminosos
atividade fraudulenta. Outras vezes, um telefonema de um comearam a fabricar extratores de cartes de pagamento
rgo de segurana pblica depois de prenderem uma gangue e a vend-los online. Essa nova onda de dispositivos era
com um porta-malas cheio de dispositivos de extrao equipada com Bluetooth, o que permitia baixar os dados da
de informaes e cartes plsticos brancos. Na rabeira tarja e do PIN na segurana do estacionamento.
de cartes de
Extratores
pagamento
desse bando de mtodos de descoberta externos esto os

Agora possvel comprar online dispositivos de extrao
usurios internos, que detectam a adulterao e a denunciam
de informaes com chips incorporados que permitem
gerncia. isso a, moada. No entanto, medida que os
a configurao remota e o carregamento remoto de
extratores de cartes de pagamento se tornam mais difceis
dados, alm de contar com alertas de violao que, se
de detectar visualmente, no podemos seno nos perguntar
acionados, fazem o cache dos dados e os enviam para fora
se este ltimo cenrio no ir se tornar cada vez mais raro.
imediatamente, o que reduz o risco em grande medida.
Espionagem
eletrnica
ATAQUES
DE DoS
O MAIS
TUDO

Controles recomendados Para consumidores
Invases a pontos
Embora algumas pessoas possam questionar essa opinio,
de vendas
no encontramos nenhum erro bvio ou omisso por Proteger o PIN
parte das organizaes que permitem que a extrao de
Ao inserir seu PIN, cubra sua mo para impedir pequenas
informaes seja bem-sucedida quando isso normalmente
cmeras que possam estar gravando seus movimentos. Voc
no aconteceria. Mas h algumas coisas que podem ser
no gostaria que seu PIN casse nas mos de um pilantra sem
feitas para dificultar para o criminoso e abreviar a janela de
vergonha, gostaria?
aplicativos na
exposio.
ATAQUES a
Confiar nos seus instintos
Web
Para empresas
Se alguma coisa parecer no estar normal em seu caixa
Projetar (ou comprar) terminais
eletrnico ou bomba de gasolina, pode ser que alguma coisa
resistentes a violao suspeita esteja mesmo acontecendo. Embora os criminosos
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
estejam cada vez mais astuciosos ao projetar extratores
Enquanto comerciante, provavelmente isso algo que voc
DA EMPRESA
de cartes de pagamento difceis de detectar, talvez voc
no pode fazer por sua prpria conta, mas esteja ciente de
ainda consiga notar algo fora do comum, especialmente se o
que certos designs so mais susceptveis a dispositivos
terminal tiver um aspecto diferente dos outros ao seu redor.
de extrao de informaes do que outros. Muitos caixas
Se alguma dessas engenhocas no for igual s outras, no
eletrnicos modernos so projetados com isso em mente;
passe o seu carto!
escolha um desse tipo, se possvel.
Furto e perda
Usar controles evidentes contra No se calar
fsica
violao Se algo lhe parecer fora do normal em um terminal de
Faa coisas que tornam bvio (ou enviam um alerta) quando pagamento, no se cale. No deixe de avisar o comerciante ou
ocorre uma violao. Isso pode ser simples, como lacrar o banco que voc pode ter detectado um extrator de cartes
a porta de uma bomba de gasolina com um adesivo, ou de pagamento. Voc no estar ajudando apenas eles, mas
Erros diversos
tticas mais sofisticadas, como o monitoramento visual de tambm os outros consumidores.
anomalias em caixas eletrnicos.
Tomar cuidado com a violao

Verifique regularmente os terminais quanto a sinais de
violao no autorizada. Alm disso, treine os funcionrios
Crimeware
para detectar extratores de cartes de pagamento e
reconhecer comportamentos suspeitos de indivduos
tentando instal-los. Se um criminoso for capaz de colocar
um extrator de cartes de pagamento de um de seus
dispositivos, essas inspees regulares ajudaro a restringir
os danos.
de cartes de
Extratores
pagamento
Espionagem
eletrnica
ATAQUES
DE DoS
O MAIS
TUDO

Espionagem eletrnica
Invases a pontos
de vendas
De um relance
Descrio Os incidentes neste padro incluem acesso no autorizado rede ou ao sistema vinculado a agentes
aplicativos na
afiliados ao estado e/ou cuja motivao seja a espionagem.

ATAQUES a
Principais
Web
Profissional, Transporte, Manufatura, Minerao, Pblico18

setores
Frequncia 511 incidentes no total

PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
DA EMPRESA
Principais O que mais nos surpreende o crescimento consistente e significativo do nmero de incidentes no
descobertas conjunto de dados. Sabamos que era generalizado, mas um pouco desconcertante quando o valor
triplicado em relao ao nmero j muito maior do ano passado. A espionagem exibe uma variedade
mais ampla de aes de ameaa do que qualquer outro padro. As mudanas mais evidentes com
relao a nosso ltimo relatrio incluem a elevao do nmero de comprometimentos estratgicos na
Web e as regies estratgicas mais amplas representadas tanto pelas vtimas quanto pelos agentes.
Furto e perda
fsica
muito difcil obter informaes abrangentes sobre espionagem Figura 56.

eletrnica ou ciberntica19. Normalmente, as organizaes no Nmero de incidentes por setor e porte da vtima entre as
esto obrigadas a divulgar publicamente quaisquer violaes de Espionagens eletrnicas
Erros diversos
informaes internas e segredos comerciais, como o caso com

dados regulamentados do consumidor. Alm disso, no existe um
Setor Total PequenoGrande Desconhecido
algoritmo de fraude que alerte as vtimas quanto ao uso ilcito
de tais dados, o que impede que muitos casos de espionagem Administrativo [56] 2 1 1 0
sejam detectados. A maior parte do que sabemos publicamente Construo [23] 1 0 0 1
sobre esse gnero de ameaa vem de responsveis pela resposta Educao [61] 2 1 1 0
aos incidentes, analistas de inteligncia e pesquisadores de
Finanas [52] 3 0 2 1
malware que compilam e compartilham seu conhecimento com a
Crimeware
comunidade. Assim, estamos empolgados em contar com alguns Sade [62] 2 1 0 1

colaboradores desses crculos, cujas informaes mais que Informao [51] 11 2 2 7
triplicaram o nmero de incidentes de espionagem no conjunto de Gesto [55] 2 1 1 0
dados deste ano para 511.
Manufatura [31,32,33] 81 5 17 59
Antes que algum conclua que estamos afirmando que houve um Minerao [21] 5 0 2 3
de cartes de
Extratores
grande aumento da espionagem em 2013, estamos seguros de

pagamento
Profissionais liberais [54] 114 11 5 98

que inmeras organizaes foram visadas de forma sistemtica
por vrios anos. Em vez disso, atribumos esse aumento Pblico [92] 133 20 19 94
principalmente ao nosso conjunto em constante expanso de Imveis [53] 1 1 0 0
colaboradores que conduzem pesquisas nessa rea, somado Varejo [44,45] 1 0 1 0
ao compartilhamento de informaes pela comunidade, o que Transporte [48,49] 5 1 3 1
aumenta as capacidades de descoberta. Como um poste de
Espionagem
eletrnica
Servios pblicos [22] 8 0 1 7

iluminao que ilumina os carros estacionados ao longo da rua,
mais colaboradores nos permitem ver mais carros. Infelizmente, Outros [81] 5 5 0 0
tambm podemos ver que esses carros esto com as janelas Desconhecido 135 0 3 132
quebradas e tiveram seu som furtado. Total 511 49 58 404
Para obter mais informaes sobre os cdigos NAICS [mostrados a seguir], visite:
https://www.census.gov/cgi-bin/sssd/naics/naicsrch?chart=2012
ATAQUES
DE DoS
O MAIS
TUDO

Para dar o tom, precisamos entender as vtimas representadas A atribuio tambm de natureza probabilstica. Desconfie
Invases a pontos
nestes dados. Nossos dados no abrangem toda a atividade de de fornecedores de inteligncia de ameaas que alegam ter
de vendas
espionagem em 2013 muito longe disso, na verdade. Como 100% de certeza de que um ataque do grupo X, do pas Y,
fica evidente na Figura 57, a amostra ainda , em grande medida pelo motivo Z; eles esto provavelmente incorretos. Existem
(mais da metade), baseada dos Estados Unidos, mas no com muitos mtodos de se determinar a atribuio algumas vezes
tanta exclusividade como nos anos anteriores. Esperamos que seguindo as migalhas deixadas pelos agentes. Outras vezes
essa tendncia continue, medida que mais organizaes globais excluindo as alternativas por meio de algo parecido com a
vo se juntando causa. No podemos seno nos perguntar por anlise de hipteses concorrentes.20 Nenhum desses mtodos
aplicativos na
que no temos exemplos de vtimas italianas de espionagem em perfeito. importante avaliar cuidadosamente as informaes
ATAQUES a
nosso conjunto de dados. Nossa melhor hiptese que agentes para se certificar de no estar sofrendo de algum tipo de vis
Web
sofisticados devem se lembrar da gafe clssica que opor-se a cognitivo.21 Seria mais til se uma linguagem probabilstica, como
um siciliano quando a morte est em jogo ao escolher seus alvos as Palavras de Probabilidades Estimativas22 de Sherman Kent,
fosse usada na descrio da atribuio a determinados pases,
Figura 57. regies e agentes de ameaa. Com isso em mente, os dados a
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
Pas da vtima entre as Espionagens eletrnicas (n=470) seguir se enquadrariam entre Provvel e Quase certo.
DA EMPRESA
Estados Unidos 54% Figura 58.
Coreia do Sul 6% Variedade de agentes externos entre as Espionagens
eletrnicas (n=437)
Japo 4%
Federao Russa 3% Afiliado ao estado 87%
Furto e perda
Colmbia 2% Crime organizado 11%
fsica
Ucrnia 2% Concorrente 1%
Vietn 1% Ex-funcionrio 1%
Belarus 1% Desconhecido <1%
Erros diversos
Cazaquisto 1%
Conforme esperado, a maioria dos incidentes desta categoria
Filipinas 1% atribuda a agentes afiliados ao estado. Mas os dados tambm
nos lembram de que grupos do crime organizado, concorrentes
e funcionrios23 e ex-funcionrios tambm entram no jogo.
(a gafe mais famosa , logicamente, se envolver em uma guerra
Tambm percebemos que o jogo mais longo da espionagem nem
territorial na sia). Assistiu A Princesa Prometida?
sempre a nica motivao. Com frequncia, tambm aparece
Alm da ampliao geogrfica, vemos uma distribuio ampla um elemento financeiro mais direto de mais curto prazo. Um
Crimeware
tanto por porte quanto por tipo das organizaes vtimas. exemplo seria um furto no estilo mercenrio de cdigo-fonte ou
Infelizmente, o porte das vtimas nem sempre registrado, o certificados digitais contratado por uma organizao rival ou
que nos deixa com muitas incgnitas, aqui. Na medida em que outra parte interessada.
podemos determinar a partir dos dados nossa frente, contudo,
o porte no parece ser um fator significativo na escolha do alvo. Figura 59.
O setor, por outro lado, parece: os setores Pblico, Profissional Regio dos agentes externos entre as Espionagens
de cartes de
Extratores
pagamento
e de Manufatura so mais visados pela espionagem do que o eletrnicas (n=230)
restante do campo (que ainda abrange uma variedade bastante
ampla). No h muita dvida de que os nmeros do setor Pblico, Extremo Oriente 49%
que abrangem embaixadas, programas econmicos, organizaes No atribudo 25%
militares e outras organizaes de apoio, so elevados por nossos
Europa Oriental 21%
colaboradores governamentais. Tambm h pouca dvida de que
Espionagem
eles so um dos principais alvos da espionagem. Normalmente, sia Ocidental 4%

eletrnica
as vtimas da categoria Servios Profissional, Cientficos e

Amrica do Norte <1%
Tcnicos lidam com servios de programao de computadores
personalizados, pesquisa e desenvolvimento, engenharia e Europa <1%
projeto e prticas jurdicas. Muitas dessas organizaes so Sul da sia <1%
visadas devido aos contratos e relacionamentos que tm com
outras organizaes. Para alguns, eles podem atuar tanto como
ATAQUES
um ponto de agregao valioso dos dados da vtima quanto

DE DoS
como um ponto de exfiltrao confivel de vrias organizaes

visadas. Finalmente, e nada inesperado, os setores de Manufatura
tambm so alvo por sua propriedade intelectual, tecnologia e
processos de negcios.
O MAIS
TUDO

Com respeito origem dos agentes, a porcentagem dos O interessante que, embora a gama de ferramentas seja
Invases a pontos
incidentes atribuda ao Extremo Oriente muito menos diversificada, os mtodos bsicos de obter acesso ao ambiente
de vendas
predominante no conjunto de dados deste ano. Dois pases em da vtima no so. O mais prolfico o bom e velho spear phishing.
especial, a Repblica Popular da China e a Repblica Popular Ns (e outros) abordamos isso at a exausto em relatrios
Democrtica da Coreia, representam essa regio. Isso enfatiza anteriores, mas para aqueles dois leitores que talvez tenham
o ponto de vista que defendemos em nosso ltimo relatrio de perdido alguma coisa, aqui vai: Um email bem elaborado e
que, apesar de apenas a China constar de nossos resultados, relevante em termos pessoais ou profissionais enviado para um
a China definitivamente no era o nico pas conduzindo ou mais usurios visados, solicitando a eles que abram o anexo ou
aplicativos na
espionagem. cliquem em um link no corpo da mensagem. Inevitavelmente, eles

ATAQUES a
mordem a isca, ponto em que o malware se instala no sistema,

Web
O conjunto de dados de 2013 mostra muito mais atividade

um backdoor ou canal de comando se abre e o invasor d incio
atribuda a agentes da Europa Oriental, especialmente aqueles
a uma cadeia de aes rumo a seu objetivo. A proporo de
de fala russa. Como antes, no propomos que essas sejam as
incidentes de espionagem que incorpora o phishing mais baixa
nicas regies ou pases ativos envolvidos em espionagem. A
do que em nosso relatrio anterior (era de 95%), mas no devido
PESSOAS DE DENTRO
PRIVILGIOS OU POR
pesquisa mais abrangente dos diferentes grupos de agentes est

USO INDEVIDO DE
a uma queda na frequncia real. Isso se deve, principalmente a um

possibilitando continuamente uma melhor deteco e atribuio,
DA EMPRESA
grande aumento no uso de comprometimentos estratgicos na

e esperamos que futuras verses deste relatrio mostrem os
Web (SWCs) como mtodo de obter o acesso inicial.
frutos desses esforos. Em um alto nvel, no parece haver muita
diferena nos setores visados pelos grupos do Extremo Oriente Figura 61.
e da Europa Oriental. Os agentes chineses parecem visar uma Vetor de aes de malware entre as Espionagens eletrnicas (n=329)
variedade mais ampla de setores, mas isso acontece porque havia
Furto e perda
mais campanhas atribudas a eles. Anexo de email 78%

fsica
Um aspecto deste padro que o diferencia dos demais a grande Drive-by na Web 20%
variedade de aes de ameaa. Muitos dos outros padres Instalao direta 4%
tm histrias mais simples com relativamente menos aes do Download por
malware 3%
VERIS. A espionagem quebra radicalmente esse padro, ainda
que as aes especficas envolvidas no sejam uma surpresa Link em email 2%
Erros diversos
para muitos leitores. Com frequncia, os grupos afiliados ao

Execuo automtica de email <1%
estado empregam uma grande variedade de ferramentas (ou
ferramentas com uma grande variedade de recursos), o que fica Propagao pela rede <1%
evidente na Figura 60. Injeo remota <1%
Figura 60. Desconhecido <1%

Principais variedades de ao de ameaa entre as
Em vez da isca por email, os SWCs colocam uma armadilha em
Crimeware
Espionagens eletrnicas (n=426)

sites (na maioria) legtimos, que provavelmente sero visitados
pelo grupo demogrfico visado. Quando eles visitam a pgina,
Uso de backdoor ou C2 [hac] 70%
a armadilha disparada, o sistema infectado e o resto o
C2 [mal] 68% mesmo descrito acima. Mesmo se detectado rapidamente, os
Phishing [soc] 67% SWCs podem proporcionar uma recompensa muito alta para os
invasores. Alm disso, o setor observou uma certa maturao da
de cartes de
Backdoor [mal]
Extratores
65%
pagamento
tcnica de SWC, que ajuda os agentes a concentrarem o foco em

Downloader [mal] 60%
seus alvos, evitando a deteco (veja a barra lateral na prxima
Captura de dados armazenados [mal] 57% pgina para saber mais sobre SWCs).
Dados exportados [mal] 43%
Spyware/Keylogger [mal] 38%
Pesquisas de campanhas publicadas em 2013
Espionagem
Explorao de vulnerabilidade [mal] 37%

eletrnica
O Relatrio DBIR concentra seu foco nas tendncias gerais

Varredura de rede [mal] 37%
e estatsticas relacionadas a campanhas de espionagem.
Uso de credenciais furtadas [hac] 30% Vrios de nossos colaboradores publicaram pesquisas
Desativao de controles [mal] 28% aprofundadas sobre agentes e campanhas especficos, das
quais relacionamos alguns exemplos:
Rootkit [mal] 24%
Deputy Dog (FireEye), agosto e setembro de 2013
Fora bruta [mal] 24% Ephemeral Hydra (FireEye), novembro de 2013
ATAQUES
DE DoS
Fora bruta [hac] 24% MiniDuke (Kaspersky), fevereiro de 2013

Password dumper [mal] 19% Red October (Kaspersky), maio de 2007 a janeiro de 2013
Sunshop (FireEye), setembro de 2011 a outubro de 2013
Packet sniffer [mal] 16%
(Mas provavelmente em andamento)
Ram scraper [mal] 14% Troy (McAfee, parte da Intel Security), janeiro a maro de
Outros [mal] 14% 2013
Vrias campanhas (U.S. Defense Security Service),
O MAIS
Ataque do lado do cliente [mal] 13%

TUDO
Targeting U.S. Technologies

Invases a pontos
Variedade dos dados em risco entre as Espionagens Linha do tempo da descoberta entre as Espionagens
de vendas
eletrnicas (n=355) eletrnicas (n=101)
Internos 85% Segundos 0%
Segredos 83% Minutos 0%
Sistema 80% Horas 9%
aplicativos na
Credenciais 39% Dias 8%
ATAQUES a
Web
Sigilosos 31% Semanas 16%
Desconhecido 19% Meses 62%
Pessoais 2% Anos 5%
PESSOAS DE DENTRO
PRIVILGIOS OU POR
Pagamento 1%
USO INDEVIDO DE
O mtodo de descoberta mais comum a notificao ad hoc
DA EMPRESA
Direitos autorais <1% de organizaes de inteligncia e pesquisa de ameaa que
observam, por exemplo, a vtima se comunicando com uma
Outros <1%
infraestrutura de C2 de um grupo de ameaa conhecido. Embora
Depois que o email de phishing ou o SWC tiver feito seu trabalho por si s isso no seja uma boa notcia, sugere que as operaes
e um sistema interno estiver infectado, a questo passa a de inteligncia so uma importante ferramenta para o combate
ser mover-se com determinao rumo rede para buscar espionagem.
Furto e perda
o prmio. Isso pode acontecer rapidamente, mas tambm
fsica
pode se prolongar por anos. Mtodos comuns que envolvem o Ferramentas do ofcio: Comprometimento
carregamento de backdoors em sistemas para manter o acesso, estratgico de sites
instalar spyware/keyloggers e password dumpers para furtar Os Comprometimentos estratgicos de sites (SWCs) so,
credenciais de usurio e ento us-las para elevar privilgios e comprovadamente, uma ttica eficaz de ameaas afiliadas
expandir o controle.
Erros diversos
ao estado para se infiltrar nas redes de organizaes-alvo.
Figura 63. Em 2012, os SWCs fizeram sua estreia com o VOHO
Dez principais mtodos de descoberta entre as Espionagens Affair24 e continuaram em 2013 com ataques cujo foco se
eletrnicas (n=302) concentrou nos setores Pblico, de Manufatura, Profissional
e Tcnico.
Totaldeexternos 85%
Os SWCs alavancam websites que sejam de valor crtico
Totaldeinternos 15% ou complementar para a linha de negcios de um setor
Crimeware
para distribuir malware tradicionalmente contido em
Ext - parte no relacionada 67%
emails de spear phishing. Os visitantes se defrontam com
Ext - segurana pblica 16% um download do tipo drive-by que concede aos invasores
Int - antivrus 8% acesso/propriedade de seu sistema. Os SWCs de 2013
afiliados ao estado exibiram trs novas vulnerabilidades de
Int - NIDS 2% dia zero baseadas em navegador (que constituram mais de
de cartes de
Extratores
pagamento
Int - relatado pelo usurio 2% 75% dos SWCs divulgados publicamente), o que elevou a
taxa de comprometimento por evento.
Int - exame de registros 1%
Int - desconhecido 1% Ento, por que aumentou o uso de SWCs nas campanhas
de espionagem? Bem, no h dvidas de que os invasores
Outros 1% escalonaram bem essa ttica e de que ela proporciona
Ext - cliente 1% uma promessa razovel de ambiguidade. Optando por
Espionagem
eletrnica
ficar fora de ataques diretos, como phishing, os invasores

Ext - auditoria <1%
efetivamente removem-se das atribulaes dos erros de
O exame das linhas do tempo e dos mtodos de descoberta dos gramtica, varreduras e usurios astutos. E alavancando
incidentes de espionagem revela que h muito o que melhorar. as exploraes de dia zero, obtm uma taxa mais alta de
Embora com frequncia essas informaes no sejam conhecidas sucesso que no depende mais de aes cuidadosamente
nem fornecidas (por vrios motivos, inclusive a visibilidade e o coagidas.
foco de nossos colaboradores), h o suficiente para podermos Em 2014, gostaramos de prever o enfraquecimento
ATAQUES
DE DoS
discernir o estado geral das coisas. Normalmente demora meses dos SWCs, mas isso parece improvvel. Embora haja
ou at mais tempo at que as vtimas saibam que foram violadas desvantagens para o invasor com relao aos SWCs (alta
e, em geral, isso acontece porque um terceiro as notifica. visibilidade e alto custo de detonar e exaurir um dia zero), os
benefcios de um modo de baixo custo de prestar suporte a
operaes de longo prazo costumam superam os riscos.
O MAIS
TUDO

Invases a pontos
Isolar a causa-raiz de uma violao relacionada espionagem Alm do bsico, h algumas prticas especficas que as
de vendas
um pouco como caar unicrnios. claro que as vtimas cometem organizaes preocupadas com adversrios afiliados ao estado,
erros (sejam pequenos ou no) que so explorados no processo, entre outros rivais determinados, devem levar em considerao.
mas a verdadeira causa-raiz um adversrio determinado, Em linhas gerais, elas seguem pontos crticos no caminho
habilidoso, paciente e bem aparelhado que continuar cutucando do ataque, em que as vtimas tm as melhores chances de
at encontrar (ou fazer) um furo. Com isso em mente, vamos dar reconhecer e responder.
aplicativos na
uma olhada mais de perto nos furos e em outras brechas de que

ATAQUES a
esses adversrios frequentemente se aproveitam.

Quebrar a cadeia de entrega-
Web
Primeiro, vamos comear com algumas noes bsicas de explorao-instalao25

bloqueio e afrontamento que voc deve pr em prtica,
independentemente de estar ou no preocupado com Os usurios recebero a mensagem de phishing e terminaro
espionagem. Se voc no fizer isso, todas aquelas solues de por clicar nela. Temos os dados que comprovam isso. Concentre
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
criptonita APT ciberfantsticas podem se tornar irrelevantes. seu foco na implementao de uma soluo que proteja
DA EMPRESA
mais completamente contra o phishing, como no depender

exclusivamente da deteco de spam ou de listas de bloqueio,
Instalar patches em TODAS AS COISAS! mas tambm fazer a anlise de cabealhos, a correspondncia
de padres com base em amostras detectadas no passado e a
Explorar vulnerabilidades no navegador, sistema operacional e anlise em reas restritas de anexos ou links inclusos.
outros softwares de terceiros (por exemplo, Flash e Java) para
Furto e perda
infectar sistemas de usurios finais uma etapa inicial comum Para organizaes mais maduras, confira a coleo crescente
para os invasores. Manter tudo atualizado ir dificultar um pouco de solues de Preveno de execuo de dados (DEP, Data
fsica
essa etapa para eles. Execution Prevention) e Deteco e resposta de ameaa no

ponto final (ETDR, Endpoint Threat Detection and Response)
No promovemos produtos especficos neste relatrio, mas voc
Usar e atualizar um software antivrus (AV) encontrar boas opes nesse espao comeando sua pesquisa
com alguns de nossos colaboradores.
Erros diversos
Embora muitos proclamem que o antivrus est morto, no t-lo

parecido com viver sem um sistema imunolgico. Ele pode
no proteg-lo do temido dia zero, mas sejamos honestos Detectar o C2 e a exfiltrao de dados
muitas vtimas de espionagem ainda sucumbem a ataques de
dia um-zero-zero (ou mais antigos). Um antivrus atualizado (em Colete e/ou compre feeds de indicadores de ameaas. Por si ss,
linha ou no ponto final) pode contribuir em grande medida para no so propriamente inteligncia, mas certamente so teis s
detectar anomalias em aplicativos e encontrar shells importunos, operaes de inteligncia e monitoramento.
entre outros malwares.
Crimeware
Monitore e filtre o trfego de sada quanto a conexes suspeitas

e potencial exfiltrao de dados para hosts remotos. A fim de
Treinar os usurios reconhecer o anormal, voc precisar estabelecer uma boa linha
de base do que normal. Esses indicadores que voc coleta ou
Alguns podem considerar esta uma causa perdida, mas nosso compra podem vir a calhar.
contra-argumento que, durante os anos em que fizemos
Monitore suas conexes de DNS, entre as melhores fontes de
de cartes de
esta pesquisa, os usurios descobriram mais violaes do

Extratores
pagamento
que qualquer outro processo interno ou tecnologia. Nem tudo dados em sua organizao. Compare-as com sua inteligncia de
tem a ver com preveno. Arme-os com o conhecimento e ameaa e minere esses dados com frequncia.
as habilidades de que precisam para reconhecer e denunciar
incidentes potenciais rapidamente. Parar o movimento lateral dentro da rede
Depois de obter acesso, os invasores comearo a comprometer
Segmentar a rede
Espionagem
sistemas em sua rede. O ETDR, mencionado acima, pode ajud-lo

eletrnica
Uma boa segmentao da rede e das funes pode fazer aqui tambm.
maravilhas para conter um incidente, especialmente quando A autenticao por dois fatores ajudar a conter a disseminao e
os agentes pretendem alavancar o acesso a um desktop como a reutilizao incontestada das contas de usurio.
trampolim para toda a rede.
Mencionamos algumas noes bsica de segmentao da rede,
mas como faz-la bem pode ser um desafio, vamos mencion-la
Manter bons registros
ATAQUES
aqui novamente. No a faa de uma s tacada desde o paciente

DE DoS
zero at uma infestao completa.

Registre as atividades do sistema, da rede e dos aplicativos.
Isso no somente estabelece o alicerce necessrio resposta Observe anomalias no comportamento dos usurios advindas das
a incidentes, mas muitas contramedidas proativas tambm se contas comprometidas.
beneficiaro.
O MAIS
TUDO

Ataques de negao de servio
Invases a pontos
de vendas
De um relance
Descrio Qualquer ataque cujo objetivo seja comprometer a disponibilidade de redes e sistemas. Inclui tanto
ataques no nvel da rede quanto do aplicativo.
aplicativos na
Principais Finanas, Varejo, Profissional, Informao, Pblico
ATAQUES a
setores
Web
A atrao do DDoS em nosso conjunto de dados de 2013 foi a campanha do QCF contra o setor
PESSOAS DE DENTRO
Principais
PRIVILGIOS OU POR
USO INDEVIDO DE
descobertas financeiro, que comprometeu CMSs vulnerveis para criar ataques com alta largura de banda a
DA EMPRESA
partir de centros de hospedagem. Os ataques de reflexo de DNS tambm se tornaram grandes,
mas avistamentos do equivalente do DoS ao Homem das Neves (DDoS que sirvam de distrao para
encobrir outras atividades nefastas) continuam raros.
Furto e perda
Espera um segundo. Ataques de DoS? No relatrio de violaes pais j sabe, aquele que voc est sempre limpando quando
de dados? faz uma visita na poca das festas. Obviamente, esses sistemas,
fsica
reservados em grande medida para usurios domsticos normais
Sabendo que esses ataques so os primeiros que vm mente de
da Internet, tm relativamente pouca largura de banda de DSL ou
muitas organizaes especialmente luz os eventos do final de
modems a cabo. Os invasores podiam ento, valendo-se de seu
2012 e 2013 decidimos expandir o escopo do Relatrio DBIR
botnet de zumbis de DoS, enviar comandos para ataques diretos
de modo a inclu-los. Coletamos um bom tanto de dados sobre
Erros diversos
a um alvo especfico. Faa um avano rpido at setembro de
o tpico de vrias fontes, inclusive das equipes da Akamai e da
2012 e voc ver um cenrio totalmente distinto, bem como um
Verizon que passaram muito tempo nas trincheiras, combatendo
mtodo diferente de criar um botnet melhor. Nessa situao,
ataques de DDoS em 2013. Poderamos ter mudado o nome para
os invasores faziam a varredura em busca de websites e CMSs
Relatrio de Incidentes de Segurana da Verizon (VSIR, da sigla
vulnerveis e os exploravam. Ento colocavam scripts de ataques
em ingls), mas a Microsoft j havia exigido os direitos sobre o
DoS especficos nesses sites. O principal script usado por esses
ttulo SIR26.
invasores uma verso personalizada de um kit russo conhecido
Uma nova tendncia comeou a se desenvolver em setembro como Brobot ou itsoknoproblembro. Ento, qual a diferena?
Crimeware
de 2012. No passado, os ataques de DoS eram gerados Bem, para comear, esses zumbis de botnet no esto confinados
principalmente de computadores domsticos comprometidos ou aos gargalos da Internet dos usurios de banda larga domstica.
por participantes dispostos. Pense no sistema desktop dos seus
Figura 65.
de cartes de
Nveis de largura de banda e contagem de pacotes de ataques de negao de servio 2011-2013
Extratores
pagamento
2011 mdia = 4,7Gbps 2011
.3 bits por segundo pacotes por segundo
Densidade
mdia = 0,4Mpps
.2
.1
Espionagem
eletrnica
2012 mdia = 7,0Gbps 2012

Densidade
mdia = 2,6Mpps
.2
.1
ATAQUES
DE DoS
2013 mdia = 10,0Gbps 2013

Densidade
mdia = 7,8Mpps
.2
.1
O MAIS
TUDO
104 106 108 1010 104 106 108

Esto em data centers hospedados/ na nuvem/ em nuvens Falando de ataques DoS que no requerem um vasto botnet para
Invases a pontos
privadas/ etc. com alta largura de banda. Os servidores tambm serem devastadores, observamos outra tendncia no centro
de vendas
so otimizados para trfego intenso. Junte esses dois e ter os das atenes recentemente: ataques de reflexo de DNS. No
ingredientes para o que os gamers poderiam chamar de um BFG to desajeitados ou aleatrios quanto um botnet, so uma arma
do DoS. Ou, se seu negcio for msica bota o volume no 11. elegante para uma era mais civilizada. Voc se lembra do maior
Ataques com alto nmero de pacotes e alta largura de banda. Em ataque de DoS da histria?27 Se no se lembra, permita-nos
alguns dos ataques por Brobot do ano passado, vemos mais de refrescar sua memria. Em maro de 2013, a organizao
97 Gbps/100 Mpps. Esses foram alguns dos maiores ataques que antisspam Spamhaus foi alvo de um ataque de DoS em massa e
aplicativos na
ns (e provavelmente qualquer um) jamais testemunhamos. sustentado cujo pico alguns fornecedores de segurana alegam
ATAQUES a
ter chegado a quase 300 Gbps de trfego. A palavra-chave aqui

Web
Ento exatamente o que estava por trs dessa nova onda de

pico (e toda nfase possvel no suficiente); a quantidade
ataques de DoS? A resposta simples os Izz ad-Din al-Qassam
mdia de trfego que chegou Spamhaus durante o ataque ficou
Cyber Fighters (ou QCF para abreviar). O grupo surgiu pela
na faixa de 85-120 Gbps, o que ainda representa um bombardeio
primeira vez em setembro de 2012 com o objetivo declarado
considervel. O mtodo por trs da gerao de um ataque dessa
PESSOAS DE DENTRO
PRIVILGIOS OU POR
de usar ataques de DoS para causar estragos nas instituies

USO INDEVIDO DE
magnitude a reflexo de DNS.

financeiras dos Estados Unidos parte de uma campanha que
DA EMPRESA
eles apelidaram de Operao Ababil. E foi exatamente isso que E como funciona? Normalmente, o invasor envia um punhado
fizeram. Por vrias semanas prximo ao fim de 2012 e durante de consultas DNS para abrir os resolvedores DNS. O invasor
boa parte do primeiro semestre de 2013, o QCF lanou onda atrs forja o endereo de origem em suas solicitaes para fazer com
de onda de ataques de DoS contra bancos estadunidenses usando que paream originadas de seu alvo desejado. Os resolvedores
seus poderosos canhes de ons do Brobot (pense em Hoth). abertos ento enviam suas respostas tipicamente maiores para
Furto e perda
o endereo visado, que rapidamente inundado com trfego

A pergunta que fica no ar : Por que o QCF estava to determinado a
aparentemente legtimo. Da a reflexo. De modo bastante
fsica
travar uma campanha contra proeminentes instituies financeiras

semelhante aos ataques lentos e de baixo nvel descritos
dos Estados Unidos? Se voc acreditar na propaganda que o
acima, a reflexo de DNS no requer recursos de computao
grupo postava regularmente no Pastebin durante seus ataques, a
significativos por parte do invasor para produzir um resultado
resposta pergunta do que os motivava simples: ideologia. Como
devastador.
um disco riscado, o QCF afirmava repetidas vezes que atacaria os
Erros diversos
bancos dos EUA at que todas as formas de um vdeo altamente

polmico e depreciativo chamado A Inocncia dos Muulmanos
A matemtica do DoS
fosse removido do YouTube. Eles at criaram uma frmula
matemtica para converter o nmero de curtidas que o vdeo Se h alguma coisa que aprendemos com o ataque
recebeu em por quanto tempo a campanha iria continuar. ao Spamhaus e outros como ele, foi a importncia de
compreender os nmeros por trs dos ataques de DoS.
Embora esse fosse o show que o QCF montou para consumo Vejamos um exemplo. Digamos que tenha havido um ataque
pblico, circulavam teorias na comunidade de segurana de
Crimeware
de 200 Gbps a 25 Mpps: 200 Gbps = 2,14 x 10 bps ou por

11
que a Operao Ababil no era mais do que uma fachada para a. Divida isso por 25.000.000 e vai dar cerca de 8.500 bits
invasores afiliados ao estado baseados no Ir. Essas teorias por pacote ou um pouco mais de 1.000 bytes por pacote, em
criaram um dilema no VERIS quanto a como classificar a mdia. Isso indica que muitos dos pacotes esto prximo
variedade de agente do QCF. Eles so verdadeiros hacktivistas ao tamanho mximo de pacote que a maioria dos ISPs
querendo remover vdeos do YouTube ou so agentes de ameaa roteia. Testemunhamos ataques com uma taxa de pacotes
afiliados ao estado sondando os pontos fracos da infraestrutura
de cartes de
mais alta, mas nunca nada perto disso em largura de banda.

Extratores
pagamento
financeira dos Estados Unidos por ordem do governo iraniano? Tanto os invasores quanto os defensores tendem a criar
Infelizmente, a infraestrutura de comando e controle em vrias sensacionalismo com relao a ataques como este. Ambos
camadas utilizada na criao do botnet torna incrivelmente tm motivos para infl-los. Os invasores querem chamar
difcil determinar com certeza a partir de fontes abertas que o a ateno para seus ataques e os defensores diro, Olha,
Ir de fato o grande mago por trs da cortina verde e, por isso, foi to grande que no havia como mantermos aquele site
acabamos optando pelo propsito publicamente declarado dos funcionando. Ou, se for um fornecedor, Veja quo potente
Espionagem
eletrnica
agentes e o atribumos ao hacktivismo. o nosso servio. Podemos deter todos os ataques!

Embora seja verdade que no se pode ter completa certeza Isso posto, os dados compilados pela nossa equipe de
quando a o que motivou o QCF, as tticas usadas para conduzir os defesa contra DoS mostram um aumento no tamanho mdio
ataques do grupo so bastante conhecidas. O grupo no s usou dos ataques com relao aos ltimos trs anos conforme
ataques mais tradicionais, como inundaes de UDP e SYN para mostrado na Figura 65. Em 2011, o ataque mdio envolveu
obstruir a largura de banda do website visado e congestionar os 4,7 Gbps de largura de banda com uma taxa de pacotes de
recursos do servidor, mas tambm conduziu ataques de DoS no 411 Kpps. Avance at 2012 e essas mdias saltam para
ATAQUES
DE DoS
nvel dos aplicativos. Nesses ataques lentos e de baixo nvel, o 6,7 Gbps a 2,5 Mpps. Voc no dever se surpreender ao
QCF teria enviado vrias solicitaes GET em HTTPS de arquivos saber que em 2013 o ataque mdio de DoS registrou 10,1
em PDF no site visado. Esses tipos de ataques so especialmente Gbps e prximo a 8,1 Mpps. Embora o QCF e seu poderoso
frustrantes: no requerem recursos significativos, pode ser difcil arsenal provavelmente arquem com parte da culpa por esse
se proteger contra eles e podem ser incrivelmente eficazes. O aumento ano a ano, a crescente popularidade dos ataques
uso de HTTPS especialmente problemtico para a atenuao, de reflexo e o poder que geram so os principais culpados.
porque os pacotes so criptografados, o que dificulta para os
O MAIS
TUDO
defensores distinguir o trfego de lixo do trfego legtimo.

Com exceo do aumento do nmero de ataques de reflexo Controles recomendados
Invases a pontos
de DNS e da converso de servidores Web em bots de DoS de
Agora que j falamos detalhadamente sobre o problema, uma
de vendas
alta potncia, pouca coisa mudou nos ltimos anos. claro que
boa hora para discutirmos o que pode ser feito para reduzir ou at
sempre h novos kits de ferramentas de DoS se infiltrando
mesmo prevenir ataques de DoS contra sua organizao.
no submundo e novas ondas de ataques acontecendo, mas os
princpios gerais permanecem os mesmos, assim como os alvos.
Vimos muitos ataques direcionados para os setores financeiro, Comecemos pelo bsico
de varejo, servios profissionais e pblico. Existe melhor maneira
aplicativos na
de infligir dor a um banco ou varejista do que ir atrs de seu Servidores/servios devem ser sempre desligados quando no
ATAQUES a
website algo crtico ao atendimento ao cliente? E embora estiverem em uso, ter os patches aplicados quando estiverem em
Web
realizar um ataque de DoS no seja to difcil quanto parece, os uso e estar disponveis somente para as pessoas que precisam
resultados podem variar. Para o invasor financeiramente limitado, deles, especialmente no caso de ataques de reflexo.
possvel baixar ferramentas de fonte aberta, como o Low Orbit
Ion Cannon (LOIC), mas ele ir precisar que MUITOS amigos Isolar os principais ativos
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
faam o mesmo para que o ataque tenha uma chance de ser bem-
DA EMPRESA
sucedido. Por outro lado, se tiver algum dinheiro para gastar, o Segregue os principais IPs/servidores do espao IP que no
invasor pode alugar um botnet DirtJumper ou Athena e esmurrar essencial. Qualquer espao IP que no esteja sendo ativamente
o alvo de sua preferncia por menos de $10 dlares por hora. Um usado para os principais servidores deve ser anunciado em
indivduo mais empreendedor (e voltado para o desenvolvimento) um circuito separado. Pode at ser uma boa ideia comprar um
pode at chegar a programar seu prprio script de DoS e pequeno circuito de backup e anunciar o espao IP. Dessa forma,
arrebanhar um botnet. E pode confiar que esses trs cenrios se se for atacado, o ataque no ir comprometer suas instalaes e
Furto e perda
desenrolam todos os dias no submundo do crime ciberntico. servidores principais.
fsica
Ouvimos muitos clientes e colegas expressarem uma
Ficar confortvel
preocupao com relao aos invasores usarem ataques de
DoS como uma cortina de fumaa para ocultar transferncias No hesite em usar o servio anti-DDoS de seu provedor. Voc
fraudulentas na cmara de compensao automatizada deve poder test-lo a cada trimestre sem cobrana. Certifique-se
Erros diversos
(ACH), entre outras atividades ilcitas. Embora haja relatrios de que suas principais equipes de operaes iro reagir em tempo
espordicos desse fato, as provas concretas que conseguimos hbil caso ocorra de fato um ataque. Mesmo que seu provedor
coletar no indicam que a incidncia ou o impacto justifiquem o oferea a mitigao automtica, esse no pode ser um servio
nvel de ansiedade. s vezes, na brincadeira, nos referimos a isso do tipo que se possa instalar e esquecer.
como o Homem da Neve do DoS, no porque no acreditemos
que seja real, mas porque estamos intrigados e queremos
Ter um plano estabelecido
captur-lo em filme. A coleta de dados para o Relatrio DBIR
2015 j est em andamento, e convidamos qualquer um que O que voc pretende fazer? A quem voc vai recorrer se seu anti-
Crimeware
tenha filmagens tremidas com viso noturna disso a pr um fim DDoS principal no funcionar? Voc sabe o que fazer se um de
nas nossas dvidas. seus circuitos ou servidores deixar de funcionar. Que diferena h
entre um caso e outro?
Fazer os clculos
de cartes de
Extratores
pagamento
Saiba que a maior parte dos ataques tem a ver com os ndices
de FUD (Medo, incerteza e dvida, da sigla em ingls) citados na
mdia noticiosa. Eles esto acima da capacidade de seu servidor
SSL ou talvez equivalham a algumas vezes a taxa de sua linha de
circuito de ingresso. Mas os invasores tambm no tm recursos
infinitos o maior ataque ser logo acima daquilo com que voc
Espionagem
eletrnica
consegue lidar.
Perguntar sobre a capacidade

Entenda que todo ISP ter que, em algum ponto, proteger
sua rede geral em detrimento do trfego especfico de sua
empresa. Pergunte ao seu provedor de anti-DDoS sobre sua
ATAQUES
capacidade de troca de trfego (peering) upstream. Se eles no

DE DoS
conseguirem receber o trfego (bom e ruim) independentemente

da capacidade de mitigao que tenham, seu trfego bom ser
abandonado na borda externa da rede do ISP e suas filas de
chamadas iro se encher de clientes insatisfeitos.
O MAIS
TUDO

Tudo o mais
Invases a pontos
de vendas
De um relance
aplicativos na
Descrio Este ltimo padro na verdade no um padro. Em vez disso, ele abrange todos os incidentes que
ATAQUES a
no se enquadram nos confins ordenados dos outros padres. Isso posto, seria de se imaginar que voc
Web
jamais encontraria um bando mais desprezvel de escria e vilanagem do que este sortimento aleatrio
de rejeitados. Mas o que de fato encontramos no se parece nem de longe com a canalhada da cantina de
Mos Eisley. O grupo dominado quase inteiramente por duas espcies de incidentes relacionados.
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
DA EMPRESA
Ento, porque no criar mais dois padres?, voc pode Ento, por que vocs dizem que so espcies relacionadas?,
perguntar. Excelente pergunta. Permita-nos explicar. voc pode contra-argumentar. Um pouco de investigao dos
dados revela o fato de que esses incidentes representam, na
Primeiro, vamos descrever o que vemos aqui entre esses 7.269
verdade, ataques em massa denunciados a um CSIRT. Em um
incidentes. Os agentes so 99,9% externos. Ao de hacker
deles, milhares de servidores em instalaes de hospedagem
genrica (variedade desconhecida), phishing e malware de
Furto e perda
foram comprometidos e usados para hospedar sites de phishing.

quebra de navegador lideram as aes de ameaa conhecidas,
Outro envolveu centenas de servidores sequestrados para
fsica
com tudo o mais abaixo da linha do 1%. Trs quartos de todos os

hospedar malware para exploraes do tipo drive-by. Nada mais
incidentes envolveram servidores Web comprometidos; o resto
foi relatado sobre o mtodo de comprometimento nem sobre as
era desconhecido.
campanhas de phishing/malware propriamente ditas.
Erros diversos
Figura 66.
Agrupamento hierrquico de enumeraes do VERIS para divulgaes de dados confirmadas que ficam fora dos principais padres de incidentes
20 10 0
ativo.ativos.variedade.S - Banco de dados (9)
ativo.ativos.variedade.S - Aplicativo na Web (10)
agente.externo.variedade.No afiliado (7)

Crimeware
atributo.confidencialidade.dados.variedade.Pessoal (5)
atributo.confidencialidade.dados.variedade.Segredos (12)
ativo.ativos.variedade.P Finanas (5)
atributo.integridade.variedade.Transao fraudulenta (5)

de cartes de
Extratores
pagamento
atributo.confidencialidade.dados.variedade.Pagamento (11)
agente.externo.motivao.Financeira (22)
agente.externo.variedade.Crime organizado (9)
ao.social.variedade.Inveno de pretexto (12)

Espionagem
eletrnica
atributo.integridade.variedade.Alterao de comportamento (17)
atributo.confidencialidade.dados.variedade.Banco (9)
ao.social.vetor.Telefone (11)
ativo.ativos.variedade.P - Call center (9)

ATAQUES
ativo.ativos.variedade.S - Arquivo (7)

DE DoS
atributo.integridade.variedade.Instalao de software (5)
atributo.integridade.variedade.Apropriao indbita (5)
ao.ao de hacker.variedade.Fora bruta (5)
ao.ao de hacker.variedade.Uso de credenciais furtadas (18)

O MAIS
TUDO
atributo.confidencialidade.dados.variedade.Credenciais (22)

Em suma, no muito informativo e a reside o problema. Logo de nvel mais alto (mais fracos/menos frequentes) na mesma
Invases a pontos
se torna aparente que esses incidentes no so algo totalmente ramificao sugerem que esse emparelhamento s vezes visto
de vendas
diferente, seno simplesmente lhes faltam detalhes suficientes em conjuno com ataques de fora bruta, instalao de software
para que possam ser mais bem classificados. no autorizado (malware) e apropriao indbita (uso ilegtimo/
sequestro) de servidores de arquivo. Isso no exclusivo, veja
Uma viso ligeiramente mais interessante encontrada pela
bem, mas um padro reconhecido pelo algoritmo.
restrio ao subconjunto que envolveu a divulgao confirmada
de dados (81 incidentes).28 Usaremos o dendrograma da Figura Acima dele, vemos um agrupamento fortemente relacionado que
aplicativos na
66 para sair caa de padres. Ns nos damos conta de que vincula engenharia social baseada em telefone por funcionrios
ATAQUES a
dendrogramas no so as visualizaes inerentemente mais de call centers. Incluir os agrupamentos prximos a todo esse
Web
intuitivas29, mas a premissa bsica bastante direta e eles segmento do meio acrescenta mais contexto: criminosos
atendem bem a esse propsito. organizados com motivao financeira usando pretextos para
furtar informaes de pagamento de call centers bancrios e
As palavras no dendrograma so enumeraes do VERIS.
conduzir transaes fraudulentas.
As enumeraes esto organizadas em agrupamentos. Os
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
agrupamentos esto conectados direta ou indiretamente O furto de segredos comerciais meio que se evidencia, como o
DA EMPRESA
por ramificaes de nveis variados. Mltiplas enumeraes dgito extra de um homem com seis dedos (sim, aquele que matou
no mesmo agrupamento ou ramificao de baixo nvel (que se seu pai e deve se preparar para morrer de novo A Princesa
fundem mais direita) significa um relacionamento prximo Prometida); provavelmente porque a fonte sabia o que foi
e diferenciado (ou seja, eles comumente aparecem juntos nos tomado, mas no como foi tomado nem por quem.
incidentes). Enumeraes e agrupamentos separados por
Os clusters mais em cima parecem ser invases genricas a
ramificaes mais altas significam relacionamentos fracos ou
Furto e perda
servidores Web e bancos de dados para furtar informaes pessoais.
pouco frequentes.
fsica
Poderamos nos aprofundar nessa toca de coelho, mas isto
Quando aplicado Figura 66, isso resulta em um agrupamento na
pelo menos nos d uma ideia do que no se qualificou para os
parte inferior, que engloba credenciais furtadas e o uso dessas
outros padres. De qualquer forma, voc j deve estar com o
credenciais para obter acesso no autorizado. Agrupamentos
dendrograma pelas tampas a esta altura.
Erros diversos
Voc e eu saindo para um phishing no escuro Figura 67.
No relatrio do ano passado, examinamos dados do ThreatSim Taxas de sucesso de exerccios de phishing
e chegamos concluso devastadora de que o phishing
uma maneira eficaz de obter acesso a uma organizao. Ok, Drive-by 18%
talvez isso no seja nenhuma novidade, mas a revelao de
Crimeware
Formulrio/Entrada de dados 9%
que uma campanha de phishing com apenas dez mensagens
tem uma chance de mais de 90% de conseguir um clique foi Clique em anexo 9%
surpreendente para muitos de ns.
Este ano, demos uma olhada nos dados do ThreatSim

Figura 68.
novamente e reconfirmamos imediatamente as descobertas
Taxas de sucesso de phishing
de cartes de
do ano passado; que mesmo uma campanha composta por
Extratores
pagamento
um pequeno nmero de mensagens de email tem uma alta
100%
probabilidade de sucesso. No entanto, este ano conclumos
Geral
que a taxa de sucesso geral de uma mensagem de phishing foi 90%
Infeces do
(2013)
ligeiramente mais baixa, de 18%. O motivo pode ser a maior tipo drive-by
conscientizao quanto ao phishing, ou apenas uma variao 80%
50% (2014)
natural nas amostras.

Espionagem
70%
eletrnica
Ao de usurio
Tambm analisamos a taxa de sucesso de diferentes tticas
60% (2014)
de phishing. mais provvel que o usurio visite um link do
que que execute um anexo? mais provvel que ele clique em 50%
um anexo do que que digite suas senhas em um formulrio na
Web? Em geral, parece que cerca de 8% dos usurios clicam 40%
em um anexo e cerca de 8% preenchem um formulrio na Web.

30%
E, embora a maior parte dos usurios seja ctica quanto a
ATAQUES
DE DoS
clicar em um anexo (ainda que no ctica o suficiente), ficam 20%
menos temerosos quanto a visitar um link em um email. 18%

dos usurios visitam o link em um email de phishing. Usurios 10%
no familiarizados com malware do tipo drive-by podem

pensar que simplesmente visitar um link no ir resultar em 0 10 20 30 40
comprometimento.
O MAIS
TUDO

Concluses e resumo das
recomendaes
fascinante estudar o que deu errado. Mas o verdadeiro propsito Assim, por exemplo, na coluna do setor Pblico, vemos que CSC 17
desta pesquisa ajudar a reduzir o risco de que essas coisas ruins se destaca como uma prioridade. claro que algum poderia ter
aconteam com voc. No final das contas, fazemos este trabalho em dito antes, Intuitivamente, a preveno contra perda de dados deve,
suporte gesto de risco baseada em evidncia. Acreditamos que a provavelmente, ser importante para o setor Pblico. Mas agora este
perspectiva de estudar padres de incidentes agrupados possibilita relatrio coloca alguns dados concretos por trs disso. Uso indevido,
estratgias mais adaptadas a reduzir o risco e, no final, fizemos duas furto/perda e erro constituem uma vasta maioria dos padres de
coisas especficas este ano. Primeiro, mapeamos setores e padres ataque enfrentados pelo setor pblico e a preveno da perda de
de ataques para ajudar a responder pergunta, Quais ameaas tenho dados ajuda a lidar com todos eles. Os outros 19 CSCs so timos (e
mais probabilidade de enfrentar em meu setor? Segundo, fizemos certamente no estamos dizendo que ningum deva ignor-los), mas
recomendaes especficas para cada padro, incluindo controles esta perspectiva um argumento slido para assegurar-se de que o
prioritrios entre os Controles de Segurana Crtica (CSCs), com base setor d ao CSC 17 o foco e os recursos que merece, especificamente
em nossa colaborao com o Council on Cybersecurity (Conselho de aos subcontroles que abrangem a criptografia total do disco (17.3) e
Cibersegurana). Isso inclui o mapeamento entre padres e controles. a deteco de informaes indevidamente publicadas (17.6). Encare
isso como evidncia que pode ajudar a responder questo Com base
Para concluir, vamos ligar os pontos de mais uma maneira. Por termos
no ponto em que meu setor se encontra agora (que reflete os controles
usado os dados para mapear setores a padres de incidentes e padres
j estabelecidos e as ameaas que enfrenta com frequncia), onde
a controles, nos demos conta de que tambm temos uma base decente
devemos concentrar nosso foco neste momento?
para mapear os setores diretamente s recomendaes de controles.
A Figura 69 na prxima pgina mostra quais controles consideramos verdade que um elemento disso subjetivo, j que ns e os
essenciais aos padres de ameaa que cada setor tende a enfrentar. especialistas do Conselho decidimos quais controles seriam os
E pondera cada controle de acordo com a frequncia com que vemos melhores para cada padro de ameaa. Mas baseamos essas decises
os padres correspondentes no setor em questo. Essencialmente, em cadeias de eventos observadas em nosso conjunto de dados.
fizemos um punhado de multiplicaes para poupar trabalho a voc. E a ponderao que fizemos se baseia firmemente nos dados de
frequncia que temos sobre os padres e os setores. Assim, embora
pequenas diferenas nesses nmeros provavelmente no sejam muito
Council on CyberSecurity significativas, acreditamos que existe um argumento slido em prol de
O Council on CyberSecurity (Conselho de Cibersegurana) foi dar uma boa olhada nos controles que se destacaram.
estabelecido em 2013 como uma organizao independente
Como sempre, esperamos que voc considere o relatrio deste ano
especializada, sem fins lucrativos e com um escopo global,
valioso e ficamos ansiosos por ouvir seu feedback. Que a fora esteja
comprometida com a segurana de uma Internet aberta. O
com voc e divirta-se atacando o castelo (ainda a Princesa Prometida)!
Conselho est comprometido com o desenvolvimento, suporte
e adoo contnuos dos Controles de Segurana Crtica, com
elevar as competncias da fora de trabalho de cibersegurana
e com desenvolver polticas que levem a melhorias mensurveis Perguntas? Comentrios? Ideias brilhantes?
em nossa capacidade de operar de maneira segura, protegida
Queremos ouvi-los. Envie-nos um email para
e confivel no espao eletrnico. Para obter informaes
dbir@verizon.com, encontre-nos no LinkedIn ou
adicionais, visite o site do Conselho.
www.counciloncybersecurity.org
poste no tweeter @VZdbir com a marca #dbir.

Figura 69.
Controles de segurana crticos mapeados para os padres de incidentes. Com base nas recomendaes fornecidas neste relatrio.
aplicativos da
Extratores de
Furto/perda
Espionagem
Uso indevido
de dentro da
Crimeware
por pessoas
Invases a
eletrnica
Ataques a
diversos
Ataques
cartes
empresa
de DoS
Controles de segurana crticos
Erros
fsica
PDV
Web
(SANS Institute)
Inventrio de software 2,4

3,1
Configuraes padro 3,2
3,8
5,1
Defesas contra malware 5,2
5,6
6,4
Desenvolvimento seguro 6,7
6,11
Backups 8,1
9,3
Pessoal qualificado
9,4
11,2
Acesso restrito 11,5
11,6
12,1
12,2
Administrao limitada 12,3
12,4
12,5
13,1
13,7
Defesa de fronteiras
13,10
13,14
Registros de auditoria 14,5
16,1
Gesto de identidade 16,12
16,13
17,1
Preveno de perda de dados 17,6
17,9
18,1
Resposta a incidentes 18,2
18,3
Segmentao da rede 19,4
Para saber mais sobre os Controles de segurana crticos do SANS Institute, visite: http://www.sans.org/critical-security-controls/

Figura 70.
Priorizao dos controles de segurana crtica por setor. Com base na frequncia dos padres de incidentes em cada setor e nas
recomendaes para cada padro apresentado neste relatrio. O sombreado relativo a cada setor.
Profissionais liberais [54]

Manufatura [31,32,33]
Servios pblicos [22]

Entretenimento [71]
Administrativo [56]
Controles de segurana
Transporte [48,49]
crticos
Construo [23]
Informao [51]
Minerao [21]
Varejo [44,45]
Educao [61]
Comrcio [42]
Hotelaria [72]
(SANS Institute)
Finanas [52]
Imveis [53]
Pblico [92]
Gesto [55]
Outros [81]
Sade [62]
Inventrio de software 2,4
3,1
Configuraes
3,2
padro
3,8
5,1
Defesas contra
5,2
malware
5,6
6,4
Desenvolvimento
6,7
seguro
6,11
Backups 8,1
9,3
Pessoal qualificado
9,4
11,2
Acesso restrito 11,5
11,6
12,1
12,2
Administrao
12,3
limitada
12,4
12,5
13,1
13,7
Defesa de fronteiras
13,10
13,14
Registros de auditoria 14,5
16,1
Gesto de
16,12
identidade
16,13
17,1
Preveno de perda
17,6
de dados
17,9
18,1
Resposta a
18,2
incidentes
18,3
Segmentao da rede 19,4
Para obter mais informaes sobre os cdigos NAICS [mostrados a seguir], visite: https://www.census.gov/cgi-bin/sssd/naics/naicsrch?chart=2012
Para saber mais sobre os Controles de segurana crticos do SANS Institute, visite: http://www.sans.org/critical-security-controls/

Apndice A:
Metodologia
Com base no feedback, uma das coisas que os leitores mais valorizam 1. Metodologia de coleta de dados da Verizon
com relao a este relatrio o nvel de rigor e integridade que A metodologia subjacente que usamos permanece inalterada em
empregamos ao coletarmos, analisarmos e apresentarmos os dados. relao aos anos anteriores. Todos os resultados se baseiam em
Saber que nossos leitores se importam com essas coisas e consomem evidncia de primeira mo coletada durante peritagens jurdicas
essas informaes com um olho clnico ajuda a nos manter honestos. externas pagas e operaes de inteligncia relacionadas que
Detalhar nossos mtodos uma parte importante da honestidade. conduzimos entre 2004 e 2013. O conjunto de casos de 2013 o foco
analtico principal do relatrio, mas h referncias a toda a coletnea
Nossa metodologia geral permanece intacta e em grande medida
de dados em todo o documento. Quando uma investigao concluda,
inalterada em relao aos anos anteriores. Com 50 organizaes
nossos analistas usam evidncia de caso, relatrios e entrevistas para
contribuindo com dados este ano, no houve apenas um meio de coleta
criar um registro no VERIS do incidente ou incidentes. O registro
e registro dos dados. Em vez disso, empregamos diferentes mtodos
ento revisado e validado por outros membros da equipe para garantir
para reunir e agregar os dados produzidos por uma variedade de
que os dados sejam confiveis e consistentes.
abordagens por nossos colaboradores.
2. Metodologia para colaboradores que usam o VERIS
Depois de coletados, todos os incidentes includos neste relatrio
Os colaboradores que se valeram deste mtodo forneceram dados de
foram revisados individualmente e convertidos (se necessrio) para
incidentes nossa equipe no formato do VERIS. Por exemplo, os agentes
a estrutura do VERIS para que se pudesse criar um conjunto de dados
do Servio Secreto dos Estados Unidos (USSS) usaram um aplicativo
agregado annimo em comum. Mas o mtodo de coleta e as tcnicas
interno baseado no VERIS para registrar detalhes pertinentes aos casos.
de converso diferiram entre os colaboradores. Em geral, trs mtodos
Vrias outras organizaes registraram incidentes diretamente em um
bsicos (explicados a seguir) foram usados para tanto:
aplicativo que criamos especificamente para essa finalidade.30 Para
1) registro direto pela Verizon por meio do VERIS alguns colaboradores, capturamos os pontos de dados necessrios por
meio de entrevistas e requisitamos informaes adicionais, conforme
2) registro direto pelos colaboradores por meio do VERIS
necessrio. Seja qual fosse o processo exato de registro dos dados,
3) recodificao com o VERIS do esquema existente de um colaborador esses colaboradores se valeram de observaes investigativas,
relatrios fornecidos pela vtima ou por outras firmas forenses, bem
Todos os colaboradores receberam instrues de omitir quaisquer
como sua prpria experincia, obtida ao lidar com o incidente.
informaes que pudessem identificar as organizaes ou indivduos
envolvidos, visto que tais detalhes no so necessrios criao do 3. Metodologia para colaboradores que no usam o VERIS
Relatrio DBIR. Alguns colaboradores j coletam e armazenam dados de incidentes
usando sua prpria estrutura. Um bom exemplo disso o CERT Insider
Threat Database31 (Banco de dados de ameaas por pessoas de dentro
Compartilhar e publicar informaes da organizao do CERT), compilado pelo CERT Insider Threat Center
sobre incidentes no fcil, e aplaudimos no Software Engineering Institute (Instituto de engenharia de software)
da Carnegie Mellon University. No caso desta e de outras fontes de
a disposio e o trabalho de todos esses
dados semelhantes, criamos uma converso entre o esquema original e
colaboradores para tornar este relatrio o VERIS32 e recodificamos os incidentes em registros vlidos do VERIS
possvel. Valorizamos sinceramente isso. para importao para o conjunto de dados agregados. Trabalhamos com
os colaboradores para solucionar ambiguidades ou outros desafios
qualidade dos dados durante esse processo de converso e validao.

Incidentes de segurana versus divulgao de dados Por fim, em 1959, Jerome Cornfield e vrios outros pesquisadores
Tradicionalmente, o Relatrio DBIR concentrou seu foco recuaram um passo a fim de conduzir uma meta-anlise35, que
exclusivamente em eventos de segurana que resultaram na a anlise feita pela observao da combinao de vrios outros
divulgao confirmada de dados33, em vez de concentrar-se no estudos (uma abordagem que Nate Silver aplicaria s eleies
espectro mais amplo de todos os incidentes de segurana.34 No presidenciais de 2012 dos Estados Unidos com grande sucesso).
Relatrio DBIR 2013, ns nos desviamos ligeiramente dessa Eles mostraram como os resultados agregados de todos os outros
tradio coletando e fazendo referncia a um grande nmero de estudos forneciam uma evidncia incontestvel que vinculava o
incidentes de segurana confirmados. O Relatrio DBIR 2014 fumo ao cncer de pulmo. Ainda que cada estudo tivesse falhas
abandona completamente esse formato para ganhar uma viso de alguma maneira, eram imperfeitos de maneiras diferentes,
mais ampla. Optamos por incluir esses incidentes para capturar e o agregado apresentava consistncia suficiente para refutar
eventos como ataques de negao de servio, comprometimentos qualquer incerteza. Levaria anos at que isso se infundisse na
de sistemas sem perda de dados e uma categoria muito grande cultura, mas a meta-anlise de Cornfield foi o ponto crucial para o
de incidentes nos quais a perda de dados foi simplesmente reconhecimento dos perigos do fumo para a sade.
desconhecida. Embora achemos que essa mudana seja para
Embora acreditemos que muitos dos achados apresentados
melhor (e esperamos que voc concorde conosco), isso no
neste relatrio se prestem generalizao, vieses e falhas
significa que nosso relatrio sobre violaes de dados ir incluir
metodolgicas certamente esto presentes. No entanto, com
mais do que violaes de dados.
50 organizaes colaboradoras este ano, estamos agregando
Uma palavra sobre o vis das amostras os diferentes mtodos de coleta, prioridades e metas de nossos
Por anos, a cincia e os estatsticos debateram a relao entre parceiros. Esperamos que essa agregao ajude a minimizar a
o fumo e o cncer de pulmo. Durante as dcadas de 1940 e influncia de quaisquer deficincias individuais em cada uma das
1950, casos de carcinoma epidermoide do pulmo estavam em amostras e que o todo da pesquisa seja maior do que a soma de
ascenso e os especialistas da rea mdica buscaram entender o suas partes.
motivo. Estudos individuais a partir dos anos 1950 estabeleceram
uma correlao entre o fumo e o cncer de pulmo, mas cada
um deles tinha falhas estatsticas em suas metodologias. Essas
falhas no eram erros ou enganos de maneira alguma; as falhas
estavam presentes porque o mundo real apresentava dados
imperfeitos e os pesquisadores faziam o melhor que podiam para
compensar a imperfeio dos dados. R. A. Fisher (um estatstico
famoso e renomado, que era mostrado com frequncia fumando
seu cachimbo) era um franco opositor a esses estudos e investia
esforos considerveis em dissecar e refutar suas tcnicas e
concluses. Suas crenas pessoais eram expressas por meio de
sua competncia em estatstica a tal ponto que ele chegava a
acusar os pesquisadores de manipular seus dados.

Apndice B:
Violaes de dados e furto de
identidade, uma questo intricada
Pelo Identity Theft Resource Center (ITRC)
Ns concentramos nosso foco principalmente no lado corporativo IIP menos sigilosas importncia e valor
das violaes de dados neste relatrio, mas claramente existe uma Com o tempo, os consumidores foram ficando cada vez mais
sobreposio com o mundo dos consumidores. Porque esse mundo conscientizados quanto a violaes que expem senhas, nomes de usurio
muito primordial para o ITRC, pensamos que seria apropriado solicitar e emails. primeira vista, essas informaes de IIP menos sigilosas
a eles que contribussem com sua perspectiva sobre um importante parecem no ter importncia e/ou valor e, portanto, representam um
aspecto das violaes: o furto de identidade do consumidor. risco relativamente baixo de prejuzo. Os consumidores usam essas
informaes entra dia, sai dia, mais provavelmente sem pensar sobre
Ento voc recebe uma carta de notificao de violao de dados.
seu valor ou sobre as medidas instauradas para mant-las seguras e
Isso significa que agora voc vtima do furto de identidade? No
confidenciais. Para as empresas, a exposio desses dados normalmente
necessariamente (ainda).
nem aciona a necessidade de emitir uma notificao de violao.
A relao entre violaes de dados e furto de identidade mais
Mas, existe o risco de furto de identidade? Isso depende da
complicada do que voc imagina. mais intricada do que essas duas
engenhosidade e do nvel de motivao do ladro de dados. Embora
questes estarem relacionadas ou at mesmo correlacionadas. Existem
seja verdade que os ladres possam usar essas informaes que no
estudos que apregoam a relao entre receber uma notificao de
revelam a identidade do usurio para obter outras informaes suas
violao de dados e tornar-se vtima do furto de identidade, mas o ITRC
por engenharia social, isso requer algum grau de esforo.
acredita que isso simplificar demais a questo.
IIP SIGILOSAS IMPORTNCIA E VALOR
TIPOS DE INFORMAES
A maior parte dos consumidores identifica prontamente informaes
Violaes de dados esto se tornando mais corriqueiras e
de cartes de crdito/dbito e de contas financeiras como sendo
compreendidas pelo pblico em geral, devido, em parte, publicidade
importantes. Quando se trata dessas informaes financeiras, eles
ao redor dos muitos incidentes de alto padro que ocorreram no
entendem a necessidade de proteg-las existem riscos associados
ltimo ano. Como resultado, os consumidores esto enfrentando o
ao seu comprometimento. Uma grande preocupao quem
fato de que suas informaes de identificao pessoal (IIP) esto
responsvel por quaisquer perdas financeiras ou despesas incorridas
sendo deixadas desprotegidas por aqueles a quem foram confiadas.
como resultado dessa ocorrncia. Muitos consumidores temem que a
Senhas, nomes de usurio, emails, informaes de cartes de crdito/
exposio de tais informaes possa resultar em furto de identidade;
dbito e contas financeiras e nmeros de previdncia social esto
sem se dar conta de que informaes adicionais (veja Nmero de
sendo comprometidas a um ritmo vertiginoso, colocando em risco as
Previdncia Social, a seguir) so necessrias para se chegar a esse nvel.
identidades de consumidores em todo o pas.
Normalmente, o uso de informaes financeiras limitado a diversas
A percepo da importncia das IIP abrange um continuum de formas de fraude financeira ou de fraude de contas existentes.
importncia e valor bem como de risco. Essa questo da percepo
O valor das informaes de contas financeiras pode ser alto, mas com
se aplica a todos os envolvidos em um cenrio de violao de dados o
frequncia tem curta durao se o consumidor toma medidas e fecha
consumidor, a entidade comercial e, logicamente, o ladro de dados.
as contas rapidamente. Isso facilitado por empresas que fazem
Hesito em chamar o criminoso de ladro de identidade, porque ainda
notificaes de violao prontamente e alertam o consumidor quanto
desconhecemos sua motivao subjacente para o furto das IIP.
necessidade de tomar medidas proativas.

Nmeros de Previdncia Social o padro ouro de todas as IIP COMO ENTENDER OS TIPOS DE IIP E A NECESSIDADE DE
sigilosas representam a informao extra que destranca inmeras TOMADA DE PROVIDNCIAS
portas. Com esse dado em mos, os ladres agora podem obter Dependendo do tipo de dado pessoal comprometido (sigiloso ou
acesso a novo crdito e a outros benefcios em nome da vtima menos sigiloso) em qualquer incidente de violao de dados especfico,
linhas de crdito, benefcios governamentais, restituio de muitos dos riscos associados para o consumidor dependero de quo
impostos, empregos, servios pblicos, crdito imobilirio e at rapidamente ele responde notificao de violao. Esse o motivo
mesmo recursos mdicos. O ladro de dados o que mais aprecia o pelo qual enviar a notificao em tempo hbil para os consumidores
valor dessa informao. tem uma importncia considervel. Legislao parte, melhor
prevenir do que remediar. Um consumidor/cliente/funcionrio/
As empresas estadunidenses reconhecem a importncia de proteger
aluno ciente pode tomar medidas proativas para minimizar o risco de
essas informaes sigilosas porque sabem que a exposio desses
qualquer dano potencial.
dados acionar leis de notificao de violao em 46 estados do pas.
Existe um valor em absoluto para a empresa em implementar melhores
prticas e protocolos para garantir a segurana dessas informaes, Muitos dos riscos associados para o
j que, caso contrrio, ela enfrentar os custos subsequentes de consumidor dependero de quo rapidamente
mitigao de uma violao.
ele responde notificao de violao.
IMPACTO PARA A VTIMA CUSTO PESSOAL (CUSTOS NO FINANCEIROS)
E embora nem todos os consumidores que recebem uma notificao Tendo dito isso, extremamente importante para os consumidores
de violao de dados iro se tornar vtimas do furto de identidade, entender as providncias que podem tomar para manter suas
muitos tero que enfrentar a necessidade de contatar agncias de informaes to privadas quanto possvel.
relatrios de crdito, instituies financeiras, provedores de seguro
de sade e possivelmente rgos de segurana pblica para denunciar RECOMENDAES PARA CONSUMIDORES
que suas IIP foram comprometidas. Instituir Alertas de fraude ou Acima de tudo, nunca leve seu carto da Previdncia Social com voc.
Congelamentos de crdito, cancelar cartes de crdito e contas Elabore senhas de alta segurana No seja como os milhes de
financeiras, alterar senhas e PINs e fechar ou alterar contas de email outros que usam 12345678 ou password. Mesmo quando o hash
so apenas algumas das medidas possveis que podem ser necessrias aplicado, essas senhas podem ser facilmente decifradas pelos
para minimizar o risco futuro de furto de identidade. Isso posto, pena ladres de dados36.
para aqueles que no recebem uma carta de notificao de violao, j No seja socivel demais na mdia social. Fornecer informaes
que no ficam sabendo que suas informaes foram comprometidas. demais nesses locais to pblicos proporciona aos ladres de dados
informaes suficientes para aplicarem o phishing s suas custas.
Mesmo no sendo a maior celebridade da cidade, voc pode ser mais
Instituir Alertas de fraude ou Congelamentos popular do que qualquer outro na lista do ladro.
de crdito, cancelar cartes de crdito e Retalhe documentos sigilosos o que voc no destruir, tranque em
contas financeiras, alterar senhas e PINs e algum lugar seguro.
Monitore extratos financeiros e fique de olho quanto a quaisquer
fechar ou alterar contas de email so apenas
transaes fraudulentas.
algumas das medidas possveis que podem ser Faa todo o esforo possvel para proteger suas informaes
necessrias para minimizar o risco futuro de mdicas confidenciais. Minimize o nmero de vezes que as fornece a
furto de identidade. consultrios mdicos. Pergunte quem pode acess-las, se sero
criptografadas e se eles tomam providncias para armazen-las
com segurana. Seja voc mesmo o co de guarda de suas
Muitas dessas medidas prejudicam pessoalmente os consumidores
informaes mdicas confidenciais.
que, com frequncia, no tm nenhuma ideia quanto a que providncias
devem tomar mesmo quando isso esclarecido na carta de
notificao de violao ou no site da empresa. Tudo o que eles
sabem que esto muito furiosos, frustrados e confusos. Esto,
com frequncia, em um estado emocional e ansioso. Esto tentando
entender quem o responsvel por quaisquer perdas financeiras.
Quanto tempo vai levar para fazer as chamadas necessrias? Para
quem devem ligar? Qual o nmero? Por que a linha est sempre
ocupada? Voc pode ligar para mim? Solicitar um relatrio de crdito
pode afetar minha pontuao de crdito? Como a empresa pde deixar
uma coisa como essa acontecer?

Apndice C:
LISTA DE colaboradores
CSIRTs Provedores de PRODUTOS E Servios para Segurana da
CERT Insider Threat Center Informao
CERT Polska/NASK Akamai
CERT-EU European Union Centripetal Networks, Inc.
CERT.PT FireEye
Computer Emergency Response team of Ukraine (CERT-UA) Kaspersky Lab
Computer Incident Response Center Luxembourg (CIRCL), Malicious Streams
National CERT, Luxembourg McAfee, parte da Intel Security
CyberSecurity Malaysia, um rgo do Ministrio da Cincia, ThreatGRID, Inc.
Tecnologia e Inovao (MOSTI, da sigla em ingls) ThreatSim
Industrial Control Systems Cyber Emergency Response Team Verizon DoS Defense
(ICS-CERT) WhiteHat Security
Irish Reporting and Information Security Service (IRISS-CERT)
ISACs
OpenCERT Canada
Center for Internet Security (MS-ISAC)
US Computer Emergency Readiness Team (US-CERT)
Electricity Sector Information Sharing and Analysis Center
Cyber Centers (ES-ISAC)
Centre for Cyber Security, Dinamarca Financial Services ISAC (FS-ISAC)
Council on CyberSecurity Public Transit ISAC (PT-ISAC)
Defense Security Service (DSS) Real Estate ISAC (RE-ISAC)
European Cyber Crime Center (EC3) Research & Education ISAC (REN-ISAC)
National Cybersecurity and Integration Center (NCCIC)
rgos de segurana pblica
Netherlands National Cyber Security Centre (NCSC-NL)
Polcia Federal Australiana (AFP)
Provedores de dados forenses Unidade Central contra o Crime Ciberntico da Guarda Civil
Deloitte and Touche LLP (Espanha)
G-C Partners, LLC Polcia Nacional Dinamarquesa, NITES
Guidance Software (Seo nacional de investigao de TI)
S21sec Polcia Holandesa: Unidade Nacional de Crimes de Alta Tecnologia
Verizon RISK Team (NHTCU)
Polica Metropolitana (Argentina)
Polica Nacional de Colombia
Servio Secreto dos Estados Unidos
Outros
Colaborador annimo
Commonwealth of Massachusetts
Identity Theft Resource Center
Mishcon de Reya
VERIS Community Database (VCDB)
Winston & Strawn

Notas finais
1. Sim, continuaremos a cham-lo de Relatrio de Investigaes de Violaes de Dados, mesmo que ele no analise
exclusivamente incidentes que sejam violaes ou derivados de investigaes forenses. Ei! Talvez possamos cham-lo de
Relatrio de Dados, porque essas duas palavras ainda mantm toda a sua preciso.
2. Mas continue ligado. Podemos nos aprofundar neste tpico quando estivermos livres das presses de publicar o relatrio principal.
3. Para ser honesto, os maiores rompantes no conjunto de dados deste ano tiveram origem tanto na Romnia quanto na Alemanha.
4. Para os iniciados, no poderamos rejeitar a hiptese nula com valor de p de 0,21 e R igual a 0,134.
2
5. https://www.whitehatsec.com/resource/stats.html
6. Silowash, G., Cappelli, D., Moore, A., Trzeciak, R., Shimeall, T. e Flynn, L. (2012). Common Sense Guide to Mitigating Insider Threats.
In S.E. Institute (Ed.), (4 ed., pp. 17): Carnegie Mellon University. http://www.sei.cmu.edu/library/abstracts/reports/12tr012.cfm
7. http://www.mishcon.com/assets/managed/docs/downloads/doc_2714/Mishcon_Recover_Report.pdf
8. Silowash, G., Cappelli, D., Moore, A., Trzeciak, R., Shimeall, T. e Flynn, L. (2012). Common Sense Guide to Mitigating Insider Threats.
In S.E. Institute (Ed.), (4 ed., pp. 17): Carnegie Mellon University. http://www.sei.cmu.edu/library/abstracts/reports/12tr012.cfm
9. Suplementamos este padro com dados do VCDB por se tratar de uma fonte valiosa de incidentes relacionados.
10. http://veriscommunity.net/doku.php?id=enumerations#assetvariety
11. Nota para mim mesmo: parar de deixar o laptop na sala de conferncia ao dar um pulo na cantina.
12. Suplementamos este padro com dados do VCDB por se tratar de uma fonte valiosa de incidentes relacionados.
13. http://blog.oxforddictionaries.com/2013/11/word-of-the-year-2013-winner/
14. Um importante investigao da NHTCU de grupos que usam malware em celulares mostrou que, em menos de um ano, cinco
variaes de malware para celular foram detectadas para um banco especfico. Estimativas modestas sugerem que os
criminosos ganharam cerca de 50.000 por semana usando essa forma especfica de malware para celular, colhendo mais de
4.000 credenciais de usurio de 8.500 clientes bancrios infectados em apenas alguns meses. O malware para celular no
move a agulha em nossas estatsticas, visto que nosso foco se concentra em incidentes de segurana organizacionais, e no em
comprometimentos de dispositivos de consumidor.
15. quase certo que os dois vetores por email esto insuficientemente representados, com base no nmero de aes de phishing
neste conjunto de dados. Informaes insuficientes foram fornecidas para que se pudesse discernir se esses incidentes de
phishing usaram anexos de email ou links incorporados e, por isso, eles foram marcados como desconhecido. Portanto, o
nmero real de ambos os vetores por email certamente mais alto do que mostrado aqui, mas ainda pode ser insuficiente para
sobrepujar os vetores na Web.
16. Voc pode obter mais dados sobre isto enviando-nos uma pequena taxa para cobrir os custos de transferncia. Basta nos
fornecer o nmero de sua conta bancria e ns lhe enviaremos as informaes. Bitcoins so bem-vindos.
17. Suplementamos este padro com dados do VCDB por se tratar de uma boa fonte de incidentes relacionados.
18. A espionagem no um dos padres mais comuns no setor Pblico, mas se o foco se voltar exclusivamente s violaes de
dados, ela se torna bastante proeminente.

19. Para ser totalmente honesto, alguns de ns no so muito chegados nessa coisa de ciberntico. Mas seja como for, esse ,
cada vez mais, o adjetivo usado e compreendido coletivamente em relao ao tipo de ataque que discutimos aqui. Quando
dizemos ciberntico, estamos nos referindo a redes, sistemas e dispositivos de computador. Prometemos no ficar nessa de
ciberntico-ciberntico-ciberntico!!! Vamos usar esse termo somente como uma maneira de nos referir a este padro.
20. http://en.wikipedia.org/wiki/Analysis_of_competing_hypotheses
21. https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/books-and-monographs/psychology-of-
intelligence-analysis/
22. https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/books-and-monographs/sherman-kent-
and-the-board-of-national-estimates-collected-essays/6words.html
23. Consulte a seo sobre Uso indevido para conhecer a anlise da espionagem por pessoas de dentro da empresa.
24. http://blogs.rsa.com/wp-content/uploads/VOHO_WP_FINAL_READY-FOR-Publication-09242012_AC.pdf
25. Consulte Hutchins, E. M., Cloppert, M. J., & Amin, R. M. (2010). Intelligence-Driven Computer Network Defense Informed by
Analysis of Adversary Campaigns and Intrusion Kill Chains.
26. http://www.microsoft.com/security/sir/default.aspx
27. ...pelo menos at fevereiro de 2014, quando a reflexo de NTP se tornou a maior da histria mas tarde demais para editarmos
este relatrio alm do ponto de acrescentar uma nota de rodap.
28. engraado se pensarmos que este remanescente dos rejeitados tem um nmero aproximadamente igual ao nmero total de
violaes no Relatrio DBIR 2009.
29. Para obter informaes breves sobre dendrogramas e tcnicas de agrupamento hierrquico (nosso mtodo de identificao de
padres neste relatrio), consulte http://en.wikipedia.org/wiki/Hierarchical_clustering
30. Veja um exemplo aqui: https://incident.veriscommunity.net/s3/example
31. http://www.cert.org/blogs/insider_threat/2011/08/the_cert_insider_threat_database.html
32. Por exemplo, o CERT tem um atributo chamado Motivaes e expectativas, que pode ser mapeado muito satisfatoriamente
para agente.interno.motivao no VERIS.
33. O VERIS define a violao de dados como um evento que resulta no comprometimento (exibio ou acesso no autorizado)
confirmado de qualquer informao que no seja pblica. Divulgaes potenciais e outros eventos de dados em risco NO
atendem a este critrio e, portanto, tradicionalmente no fizeram parte do conjunto de amostra deste relatrio.
34. O VERIS define um incidente como qualquer evento que comprometa um atributo de segurana de um ativo de informao
(confidencialidade, integridade, disponibilidade).
35. Cornfield, Jerome, et al. Smoking and Lung Cancer: Recent Evidence and a Discussion of Some Questions. Journal of the
National Cancer Institute 22.1 (1959): 173-203.
36. No acredita em ns? Basta consultar o Google 286755fad04869ca523320acce0dc6a4

Sobre a capa
O universo de pontos coloridos na capa representa os 4.596
incidentes do conjunto de dados do Relatrio DBIR, o que inclui todas
as violaes de dados confirmadas ocorridas durante os ltimos
trs anos e uma amostra de 400 ataques de Negao de Servio do
ano passado. Calculamos a distncia entre os pontos usando uma
tcnica de escala multidimensional (com o algoritmo de distncia de
Manhattan) com 65 campos do VERIS para cada incidente. Isso exigiu
mais de seis milhes de comparaes, e as distncias resultantes
foram projetadas em um plano bidimensional. Quanto mais prximos
estiverem os pontos, mais semelhantes so os incidentes, o que
significa que compartilham muitas caractersticas do VERIS,
como agentes de ameaa, aes, ativos, etc. As cores representam
os nove padres de classificao de incidentes discutidos neste
relatrio (consulte no Sumrio uma seo que detalha como esses
padres foram derivados). Padres muito prximos (por exemplo,
Uso indevido e Erro) compartilham muitas caractersticas do VERIS,
enquanto padres afastados (como Espionagem e Invases a PDV)
tm pouco em comum. A concentrao ou disperso dos pontos
em um padro mostra a quantidade de incidentes nesse padro. Os
agrupamentos em subpadres (pontos e linhas sobrepostos) foram
criados usando-se dez anos de dados de incidentes (mais de 100.000
incidentes). Geramos um grfico de rede direcionado por fora a
partir da frequncia dos campos do VERIS e da relao entre eles e
cada um dos agrupamentos.
verizonenterprise.com/br
2014 Verizon. Todos os direitos reservados. O nome e o logotipo da Verizon e todos os outros nomes, logotipos e slogans que identificam os produtos e servios da Verizon so marcas comerciais e de servio ou marcas comerciais e de servio
registradas da Verizon Trademark Services LLC ou de suas afiliadas, nos Estados Unidos e/ou em outros pases. Todas as outras marcas comerciais e marcas de servio so de propriedade de seus respectivos detentores. MC15912 PT-BR
04/14

RP Verizon DBIR 2014 PT BR XG

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

RP Verizon DBIR 2014 PT BR XG

Загружено:

Авторское право:

Доступные форматы

Relatrio de Investigaes

FURTO E PERDA FSICA

ANALISAMOS NOS LTIMOS DEZ ANOS PODEM SER

Conduzidas pela Verizon com contribuies de

Malware Analysis & Threat Intelligence

ii Verizon Enterprise Solutions

ANLISE DO ANO DE 2013.......................................................................................................................................... 3

DADOS DEMOGRFICOS DAS VTIMAS.................................................................................................................. 5

UMA DCADA DE DADOS DO RELATRIO DBIR.................................................................................................. 7

Invases a pontos de vendas............................................................................................................ 16

ATAQUES a aplicativos na Web........................................................................................................... 20

Uso indevido de privilgios ou por pessoas de dentro da empresa................... 23

Furto e perda fsica................................................................................................................................. 27

Extratores de cartes de pagamento....................................................................................... 35

Relatrio de Investigaes de Violaes de Dados (Relatrio DBIR) de 2014 da VERIZON 1

2 Verizon Enterprise Solutions

Relatrio de Investigaes de Violaes de Dados (Relatrio DBIR) de 2014 da VERIZON 3

4 Verizon Enterprise Solutions

Relatrio de Investigaes de Violaes de Dados (Relatrio DBIR) de 2014 da VERIZON 5

Hotelaria [72] 212 115 34 63 Hotelaria [72] 137 113 21 3

Testemunhamos alguns aumentos nos pontos em que

Assim, no podemos afirmar que temos uma cobertura isenta de

6 Verizon Enterprise Solutions

INFORMAES BREVES SOBRE O VERIS e o VCDB

Relatrio de Investigaes de Violaes de Dados (Relatrio DBIR) de 2014 da VERIZON 7

8 Verizon Enterprise Solutions

25% 250 Financeira

Relatrio de Investigaes de Violaes de Dados (Relatrio DBIR) de 2014 da VERIZON 9

50% 500 500

Servidor 400 400

2009 2010 2011 2012 2013 500 500

Dispositivos 500 500

Rede 100 100

Relatrio de Investigaes de Violaes de Dados (Relatrio DBIR) de 2014 da VERIZON 11

Perguntas? Comentrios? Ideias brilhantes?

12 Verizon Enterprise Solutions

perspectiva muito nova, com um novo conjunto de tcnicas.

Relatrio de Investigaes de Violaes de Dados (Relatrio DBIR) de 2014 da VERIZON 13

Voc se lembra da promessa do ano passado Talvez possamos

Violaes de 2013, n=1.367 Incidentes de 2013, n=63.437 Violaes de 2011-2013, n=2.861

Invases a PDV 14% <1% 31%

Furto/perda fsica <1% 14% 1%

Erros diversos 2% 25% 1%

Extratores de cartes 9% <1% 14%

Espionagem eletrnica 22% 1% 15%

Tudo o mais 6% 12% 5%

Figura 17. Figura 18.

25% Uso indevido

14 Verizon Enterprise Solutions

Administrativo [56] 8% 27% 12% 43% 1% 1% 1% 7%

Construo [23] 7% 13% 13% 7% 33% 13% 13%

Educao [61] <1% 19% 8% 15% 20% 6% <1% 6% 2% 22%

Entretenimento [71] 7% 22% 10% 7% 12% 2% 2% 32% 5%

Finanas [52] <1% 27% 7% 3% 5% 4% 22% 26% <1% 6%

Sade [62] 9% 3% 15% 46% 12% 3% <1% 2% <1% 10%

Informao [51] <1% 41% 1% 1% 1% 31% <1% 9% 1% 16%

Gesto [55] 11% 6% 6% 6% 11% 44% 11% 6%

Manufatura [31,32,33] 14% 8% 4% 2% 9% 24% 30% 9%

Minerao [21] 25% 10% 5% 5% 5% 5% 40% 5%

Profissionais liberais [54] <1% 9% 6% 4% 3% 3% 37% 29% 8%

Pblico [92] <1% 24% 19% 34% 21% <1% <1% 2%

Imveis [53] 10% 37% 13% 20% 7% 3% 10%

Varejo [44,45] 31% 10% 4% 2% 2% 2% 6% 33% <1% 10%