Академический Документы
Профессиональный Документы
Культура Документы
de Violaes de Dados
(Relatrio DBIR) de 2014
USO INDEVIDO
POR PESSOAS
DE DENTRO DA
EMPRESA
ERROS DIVERSOS
ATAQUES DE DoS
ATAQUES A
APLICATIVOS NA WEB
92 %
O UNIVERSO DAS AMEAAS PODE PARECER
ILIMITADO, MAS 92% DOS 100.000 INCIDENTES QUE
INVASES A PONTOS DE VENDAS
SE
E S
NS
E
DEFE
E
N
E
D E
S
ES F
V C
D B
RESULTADOS E ANLISE...........................................................................................................................................13
Erros diversos........................................................................................................................................... 29
Crimeware...................................................................................................................................................... 32
Negao de servio.................................................................................................................................. 38
Espionagem eletrnica........................................................................................................................ 43
Tudo o mais.................................................................................................................................................... 46
Perguntas?
CONCLUSES E RESUMO DAS RECOMENDAES.........................................................................................48 Comentrios?
Ideias brilhantes?
APNDICE A: METODOLOGIA...................................................................................................................................51
Queremos ouvi-los.
APNDICE B: VIOLAES DE DADOS E FURTO DE IDENTIDADE: UMA QUESTO INTRICADA.......53
Envie-nos um email
APNDICE C: LISTA DE COLABORADORES.........................................................................................................55 para
NOTASFINAIS..................................................................................................................................................................56
dbir@verizon.com,
encontre-nos no
LinkedIn ou poste no
tweeter @VZdbir
com a marca
#dbir.
50
Bem-vindo ao Relatrio de Investigaes de Violaes de Dados (Relatrio DBIR) de 2014.1 Seja voc um
leitor veterano que vem nos acompanhando desde nossa publicao inicial em 2008 ou um recm-chegado
nossa festa anual de dados, estamos sinceramente felizes por t-lo conosco. Esperamos que a apresentao
organizaes deste ano aumente a conscientizao e melhore a prtica no campo de segurana da informao e embase
decises e operaes crticas desde as trincheiras at a sala da diretoria.
globais
colaboradoras Para os veteranos do Relatrio DBIR, uma olhada geral no sumrio ir revelar algumas mudanas
significativas estrutura do relatrio com que voc est acostumado dos anos anteriores. Em vez de nossa
abordagem caracterstica, organizada em torno de agentes, aes, ativos, linhas do tempo, etc., criamos
1.367
VIOLAES
sees baseadas em padres comuns de incidentes, derivados diretamente dos dados propriamente ditos
(mais sobre isso depois). Em cada um desses padres, abrangemos os agentes que os causam, as aes
que usam, os ativos visados, as linhas do tempo em que tudo isso ocorreu e oferecemos recomendaes
especficas para prevenir-se contra eles. A motivao para a mudana tripla: primeiro, percebemos
de dados que a vasta maioria dos incidentes podia ser enquadrada em um entre nove padres; segundo, podemos
confirmadas traar uma correlao entre esses padres de incidentes e os setores (o que de fato fizemos) e, terceiro,
queramos nos desafiar a olhar os dados de uma perspectiva original. A meta final fornecer informaes
prticas apresentadas de maneira a permitir uma discusso detalhada das descobertas e recomendaes
63.437
INCIDENTES de
mais relevantes sua organizao.
Todos sabemos que dados no crescem em rvores, e devemos expressar nossa gratido s 50 organizaes
que contriburam com este relatrio, representando entidades pblicas e privadas de diferentes partes do
globo. Estamos orgulhosos de trabalhar com essas organizaes e sentimos que o que voc est lendo agora
segurana
prova dos benefcios do compartilhamento coordenado de dados sobre incidentes. Para consultar a lista
completa de colaboradores do Relatrio DBIR 2014, confira o Apndice C.
95
PASES
O conjunto de dados que serve de base para o Relatrio DBIR consiste em mais de 63.000 incidentes de
segurana confirmados isso mesmo, mais de Sessenta e Trs Mil. Esse nmero bastante assustador um
subproduto de outra mudana na filosofia com o relatrio deste ano: no estamos mais restringindo nossa
anlise s violaes de dados confirmadas. Essa evoluo do Relatrio DBIR reflete a experincia de muitos
REPRESENTADOS profissionais e executivos da segurana, que sabem que um incidente no precisa resultar na exfiltrao de
dados para ter um impacto significativo na empresa qual foi direcionado.
Por isso, preparar-se para digerir o que esperamos que sejam dados muito deliciosos preparados para voc
este ano. A seo sobre Metodologia, encontrada normalmente prximo ao incio do relatrio, agora est
no Apndice A. Em vez disso, comearemos com uma anlise de 2013 do ponto de vista das manchetes,
passando ento para algumas amostras demogrficas para orient-lo com relao ao conjunto de dados.
A seo a seguir um resumo dos nossos 10 anos de dados sobre incidentes pode muito bem ser a nossa
favorita. (Mas, por favor, no conte isso s outras sees.) Em seguida, forneceremos uma anlise dos
padres de classificao de incidentes mencionados acima, terminando com algumas concluses e um
exerccio de mapeamento dos controles de segurana baseado nos padres. Vamos comear!
Maro
Cinquenta milhes de usurios do Evernote se lembram de que maro foi o ms em que foram forados a
alterar suas senhas. No dia 20 de maro, a Repblica da Coreia sofreu um ataque ciberntico em larga escala
que incluiu a corrupo de discos. Continuamos cticos com relao ao ataque de negao de servio (DoS)
Cyberbunker-CloudFlare-Spamhaus quase ter tirado a Internet do ar no final de maro. O Group-IB relatou o
Dump Memory Grabber (tambm conhecido como BlackPOS), um novo Cavalo de Troia para PDV que chegaria
s manchetes quando foi dada a notcia da violao das lojas Target em dezembro.
Maio
A espionagem eletrnica continuou em maio, com relatrios da QinetiQ e do Corpo de Engenheiros do
Exrcito dos Estados Unidos (U.S. Army Corps of Engineers). O SEA sequestrou as contas tanto do The
Guardian quanto do The Financial Times no Tweeter. Um ataque de watering hole foi direcionado a
pesquisadores de armas nucleares nos Estados Unidos com fins de espionagem eletrnica, provavelmente
da China. Mais campanhas de espionagem eletrnica relatadas em maio incluem a Operao Hangover,
direcionada ao Paquisto; Safe, com a Monglia como alvo; e operaes de agentes do Sunshop contra
ativistas tibetanos. O Ministrio da Justia dos Estados Unidos fechou o Liberty Reserve, o banco mais
frequentemente usado pelos criminosos cibernticos.
Junho
No incio de junho, a Raleys, outro supermercado estadunidense com lojas na Califrnia e em Nevada,
informou que seus sistemas de cartes de pagamento haviam sido violados. A NetTraveller, uma campanha
global de espionagem eletrnica direcionada a diplomatas em pases com interesses no alinhados com
os da China, teve lugar. No dia seguinte, o The Guardian publicou o primeiro vazamento de inteligncia
por Edward Snowden e ento a inteligncia de Segurana da Informao se transformou em um canal
totalmente voltado para o Snowden, todo o tempo.
Julho
A maior violao de dados de varejistas de julho foi relatada pela Harbor Freight, uma fornecedora de
ferramentas dos Estados Unidos com 445 lojas quase 200 milhes de clientes e um nmero ainda
desconhecido de registros foram comprometidos. O QCF iniciou a Fase IV da Operao Ababil. O SEA foi
responsvel por violaes Viber, Tango e Daily Dot. O Ministrio da Justia dos EUA indiciou quatro russos
e um ucraniano por violaes de dados ostensivas, que incluram a Heartland e a Global Payments.
Agosto
Em agosto, o SEA sequestrou as contas do Twitter da CNN, The Washington Post, Time Magazine, SocialFlow
e tanto do The New York Times quanto do New York Post. Os participantes do G8 Summit em St. Petersburg,
Rssia, foram alvo de espionagem eletrnica pelos agentes do Calc Team.
Setembro
Em setembro, a Vodafone notificou dois milhes de clientes que seus dados pessoais e financeiros haviam
sido violados. A espionagem relatada em setembro envolveu o Cavalo de Troia EvilGrab e, separadamente,
os agentes Hidden Lynx, que parecem se dedicar tanto espionagem quanto ao crime ciberntico. Nova
inteligncia vinculou o ataque Bit9 de fevereiro Operao Deputy Dog, ao Hidden Lynx e a ataques de
watering hole a instituies financeiras japonesas. No final do ms, Brian Krebs deu incio a seus relatrios
sobre inteligncia extrados de ssndob[dot]ms. O site abrigava dados furtados de alguns dos maiores bancos
de dados (data brokers) dos Estados Unidos: Lexis-Nexis, Kroll e Dun & Bradstreet. A Cryptolocker fez sua
primeira apario em setembro, extorquindo dinheiro de vtimas dispostas a pagar para descriptografar
Perguntas? seus arquivos essenciais.
Comentrios?
Outubro
Ideias brilhantes? Em 3 de outubro, a Adobe anunciou que seus sistemas tinham sido violados. Por fim, 38 milhes de contas
Queremos ouvi-los. foram identificadas como tendo sido afetadas. A inteligncia conectou isso aos agentes do ssndob[dot]ms.
Envie-nos um email A Nordstrom, loja de departamentos de luxo nos EUA, descobriu extratores de cartes de pagamento em
para algumas de suas caixas registradoras. Duas das grandes vitrias de 2013 tambm ocorreram em outubro:
dbir@verizon.com, Dmitry Paunch Fedotov, protagonista do kit de explorao Blackhole, foi detido na Rssia, e a Silk Road, um
encontre-nos no bazar de fraudes online, foi desativado.
LinkedIn ou poste no Novembro
tweeter @VZdbir Novembro foi razoavelmente quieto, a proverbial calmaria antes da tempestade. O malware contra bancos
com a marca evoluiu, com relatos de Neverquest e outra verso do IceIX. O BIPS, um grande processador europeu de
#dbir. pagamentos de bitcoins, foi vtima de um dos maiores roubos de bitcoins registrados at aquele momento.
Dezembro
A ltima entrada significativa enquadrada como espionagem eletrnica em 2013 foram os ataques
direcionados aos ministrios do exterior de pases europeus pela Operao Ke3chang. O The Washington
Post relatou sua segunda violao do ano. E a inteligncia de Segurana da Informao se transformou no
canal todo alvo, todo o tempo. Embora o porte da violao deste grande varejista estadunidense fosse
ligeiramente maior que a metade da Heartland e trs quartos o tamanho da TJX, ela est concorrendo como
evento pelo qual 2013 sempre ser lembrado..
Figura 1.
Pases representados no conjunto de casos combinado
Pases representados no conjunto de casos combinado (em ordem alfabtica): Afeganisto, frica do Sul, Albnia, Alemanha, Arbia Saudita, Arglia, Argentina,
Armnia, Austrlia, ustria, Azerbaijo, Bahrain, Belarus, Blgica, Bsnia e Herzegovina, Botsuana, Brasil, Brunei Darussalam, Bulgria, Camboja, Canad, Catar,
Cazaquisto, Chile, China, Chipre, Cingapura, Colmbia, Congo, Coreia (Repblica da), Crocia, Dinamarca, Egito, Emirados rabes Unidos, Eslovquia, Eslovnia,
Espanha, Estados Unidos, Etipia, Federao Russa, Filipinas, Finlndia, Frana, Gergia, Grcia, Holanda, Hong Kong, Hungria, Ilhas Virgens, ndia, Indonsia, Ir
(Repblica Islmica do), Iraque, Irlanda, Israel, Itlia, Japo, Jordnia, Kuwait, Letnia, Lbano, Litunia, Luxemburgo, Macednia (Antiga Repblica Iugoslava da),
Mali, Marrocos, Mauritnia, Mxico, Moambique, Moldvia (Repblica da), Montenegro, Nepal, Nova Zelndia, Om, Paquisto, Palestina (Territrio Ocupado da),
Peru, Polnia, Portugal, Qunia, Quirguisto, Reino Unido, Repblica Tcheca, Romnia, Sua, Tailndia, Taiwan (Provncia da China), Tanznia (Repblica Unida da),
Turcomenisto, Turquia, Ucrnia, Uganda, Uzbequisto, Vietn.
Setor Total Pequeno Grande Desconhecido Setor Total Pequeno Grande Desconhecido
1000
Externo
750
500
250
Interno
Parceiro
2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
Figura 5.
Porcentagem de violaes por categoria de agente de ameaa ao longo do tempo
100%
75%
50%
External
Internal
25% Collusion
Partner
2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
A Figura 4 representa a contagem bruta de violaes atribudas a Visto que estamos deixando as visualizaes falarem por si prprias
agentes externos, internos e parceiros nos dez anos de histria de aqui, faremos apenas algumas observaes e deixaremos o resto de
nossos dados de violaes. A Figura 5 mostra esses dados como uma lio de casa.
proporo de todas as violaes e reorganiza as categorias de modo Um perodo de dez anos oferece algumas boas estimativas de
a destacar as exclusividades e sobreposies entre elas. Ela usa uma mnimo/mximo/mais provvel para vocs que gostam de criar
linha de tendncia polinomial de terceiro grau para torn-los agradveis modelos. Com exceo de 2006-2008, as propores gerais so
e suaves, o que nos permite ver o comportamento bsico com o passar relativamente estveis, especialmente quando se consideram as
do tempo. Juntas, elas ajudam a responder s principais perguntas de mudanas drsticas nos totais de violaes e nas fontes que
nosso interesse quais agentes so responsveis pelo maior nmero de compem o escopo a cada ano.
violaes e qual a mudana relativa ao longo do tempo? 2007 o nico ano que mostra uma maioria de pessoas de dentro da
empresa na Figura 4. Isso resulta, principalmente, de um conjunto de
casos de violaes confirmadas excepcionalmente pequeno da
Violaes ou Incidentes? Verizon e de um influxo de dados do Servio Secreto dos Estados
Este relatrio usa as seguintes definies: Unidos do perodo de 2006-2008. Em essncia, fundimos duas
Incidente: um evento de segurana que compromete a amostras de tamanhos iguais mas muito diferentes.
integridade, confidencialidade ou disponibilidade de um ativo Essa queda gigantesca no nmero de agentes externos em 2012
de informao. visvel na Figura 4 coincide com uma queda geral no nmero de
Violao: um incidente que resulta na divulgao ou potencial violaes naquele ano, principalmente devido a poucos e grandes
rompantes de invases a pontos de vendas (PDVs) com vrias vtimas
exposio dos dados.
direcionados a pequenas e mdias empresas no conjunto de dados.
Divulgao de dados: uma violao para a qual tenha sido
Graas a vrios novos parceiros cujo foco se concentra em crimes
confirmada a divulgao de dados para uma parte no perpetrados por pessoas de dentro da empresa, a linha de tendncia
autorizada (no apenas a exposio). proporcional de agentes internos volta a subir nos ltimos anos
enquanto a de agentes externos se volta para baixo. Entretanto, se
removssemos a curva polinomial, veramos uma regresso positiva
dos agentes externos e uma regresso ligeiramente negativa dos
agentes internos.
100% 1000
Ideologia/Diverso
Financeira
75% 750
Espionagem
50% 500
Espionagem
Ideologia/Diverso
2009 2010 2011 2012 2013 2009 2010 2011 2012 2013
Duas exibies diferentes que indicam como as motivaes A Figura 8 tem a tarefa desafiadora de exibir dez anos de aes
dos agentes de ameaas mudaram nos ltimos cinco anos so de ameaas que levaram a violaes de dados. Experimentamos
apresentadas nas Figuras 6 e 7. O grfico de linha (Figura 6) d a maneiras alternativas de visualizar estes dados, mas achamos que a
porcentagem relativa das trs principais motivaes em nosso simplicidade deste grfico funcionava melhor. Tenha em mente que as
conjunto de dados, enquanto a Figura 7 usa uma plotagem de rea das aes no so mutuamente exclusivas; vrias podem contribuir para
contagens totais de incidentes. um incidente (o mesmo se d com agentes e ativos).
Sabamos que a espionagem vinha aumentando nos ltimos anos, Este grfico faz um excelente trabalho de enfatizar o valor do
mas o grfico de linha de tendncia nos surpreendeu pelo grau de compartilhamento de dados. Pode-se ver o nmero de violaes e a
convergncia com as motivaes financeiras. Isso ir continuar? diversidade das ameaas aumentarem medida que o Relatrio
Essa descoberta meramente o resultado do acrscimo ao DBIR passa, de uma nica amostra, a ser um metaestudo.
Relatrio DBIR de novos colaboradores especializados em Mas nem tudo se deve s mudanas no conjunto de amostras.
espionagem, ou o dinheiro est mesmo diminuindo como principal Observe como as categorias de ao de hackers e malware passam
determinante do crime na Internet? Parece mais fcil imaginar a por uma exploso de crescimento em 2009 e as tticas sociais do
primeira opo do que a segunda, mas isso certamente nos faz incio sua ascenso em 2010. Elas tm histrias paralelas no
querer continuar ampliando nossa coleo de dados de violao no mundo real (por exemplo, melhores ferramentas de ataque
futuro. automatizadas e kits de malware faa voc mesmo) e fascinante
A plotagem de rea nos lembra que violaes motivadas pelo v-las refletidas nos dados.
dinheiro ainda excedem as outras em nmero com uma boa margem.
Para emprestar a frase do Pink Floyd, a maior parte dos agentes
ainda quer agarrar essa grana com as duas mos e estocar.
Figura 8.
Nmero de violaes por categoria de ao de ameaa ao longo do tempo
800
Ao de hackers
600
Malware
400
Social
200
Fsico
Uso indevido
Erro
2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
40%
300 300
200 200
30%
Dispositivos
de usurio
100 100
Quiosque
20%
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
Indivduo
10% Rede
Pagamento Interno
Mdia 600 600
400 400
300 300
Figura 11.
200 200
Nmero de violaes por categoria de ativo ao longo do tempo
100 100
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
Servidor
600
Credenciais Segredos
600 600
400
de usurio 400 400
300 300
Quiosque
200 Indivduo 200 200
2005
2006
2007
2008
2009
2010
2011
2012
2013
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2009 2010 2011 2012 2013
As Figuras 10 e 11 mostra como o mix de ativos comprometidos Seria difcil tratar da maneira devida uma dcada de furtos de
mudou com o passar do tempo. Isso til por revelar a zona de dados sem abranger as variedades de dados furtados nesse perodo
projeo dos invasores medida que se deslocam pelo ambiente de tempo. Felizmente, a Figura 12 soluciona o problema nesse
da vtima em busca de dados. Enquanto defensores, isso nos d uma departamento.
noo do que requer uma ateno ou proteo extra. Se voc comparar essas tendncias com as das motivaes dos
Tipicamente, os servidores vm encabeando a lista, agentes das Figuras 6 e 7, poder traar alguns paralelos.
provavelmente porque os invasores sabem que l que os dados Criminosos com motivaes financeiras buscam, naturalmente,
esto armazenados. dados que sejam facilmente convertidos em dinheiro, como
Dispositivos de usurio vm crescendo com o tempo, informaes bancrias e cartes de pagamento, enquanto grupos
provavelmente porque oferecem uma brecha fcil de entrada. voltados espionagem tm como alvo dados corporativos internos
Mdia a nica categoria de ativo com tendncia reduo, e segredos comerciais.
provavelmente devido a uma concentrao excepcionalmente alta A tendncia do furto de cartes de pagamento bastante
de casos (parcialmente relacionados) em 2009 que envolveram fascinante: ela sobre rapidamente at atingir um pico em 2010 e,
numerosos furtos de documentos e mdia digital. em seguida, prossegue para uma curva negativa. Um aumento
Muitos perguntam por que a categoria Rede tem um valor to ocorre em 2013, mas ainda assim esse foi o primeiro ano na
baixo, visto que a maior parte dessas violaes acontece pela rede. histria deste relatrio em que a maior parte das violaes de
O foco aqui so dispositivos de rede especficos, como roteadores, dados no envolveu cartes de pagamento.
switches, etc. O trfego mal-intencionado definitivamente passa Credenciais de autenticao so teis tanto no submundo do crime
por eles, que, no entanto, no so normalmente comprometidos quanto no mundo sombrio dos clandestinos, e essa demanda se
durante uma violao. reflete aqui.
100% 80%
Tempo at o comprometimento
60%
Deteco
75%
de fraudes
40%
50% Segurana
pblica
Interno
Tempo at a descoberta 20%
Terceiros
25%
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
Respire profundamente para acalmar-se antes de mergulhar neste Tendo lidado com esse ltimo golpe relacionado s linhas de tempo,
ltimo item, j que ele pode resultar em danos mentais e at corporais. os leitores familiarizados com o fluxo tradicional do Relatrio DBIR
Na Figura 13, contrastamos o tempo que demora at que o invasor podem ouvir, cheios de esperana, o grito de guerra do Mortal Kombat
comprometa um ativo com o tempo que o defensor leva para descobrir Finish him! (Acabe com ele!) em suas mentes medida que avanamos
esse fato. Optamos por fixar a medida em dias para manter as para a discusso dos mtodos de descoberta das violaes. Mas
coisas simples e rematadas (poder-se-ia acrescentar tristes a essa no haver um anncio triunfante de Fatality! (Fatalidade!) aqui. Em
aliterao). vez disso, vamos ser misericordiosos e terminar com um astral mais
Ignore o comportamento das linhas por um instante e concentre seu positivo.
foco na ampla lacuna entre as porcentagens das duas fases. Ela Ficamos empolgados ao ver que o nmero de descobertas internas
torna bvio o fato de que os bandidos raramente precisam de dias superou o de deteces externas de fraudes pela primeira vez na
para dar conta do recado, enquanto os mocinhos raramente histria do Relatrio DBIR!
conseguem terminar seu trabalho antes do dia de So Nunca. timo que a segurana pblica esteja constantemente ficando
As linhas de tendncias fazem com que esse baque inicial seja cada vez melhor na deteco de violaes e notificao de vtimas!
seguido de um golpe na cabea. Elas mostram claramente que os Terceiros sem vnculos, como CSIRTs e pesquisadores de ameaas,
invasores esto ficando melhores/mais rpidos no que fazem a uma esto aumentando rapidamente como uma maneira importante e
taxa mais alta do que os defensores esto aprimorando sua arte. Os proeminente de as vtimas especialmente as vtimas de
pratos da balana no esto se equilibrando, pessoal. espionagem ficarem sabendo sobre as violaes. Mantenham o
Pensamos em fazer a superposio de gasto total com bom trabalho, pessoal. J estamos fazendo alguma diferena!
monitoramento de rede, nmero de produtos de segurana no
Esperamos que voc tenha gostado tanto quando ns desta pequena
mercado e nmero de profissionais com a certificao CISSPS
viagem de dez anos de rememorao do passado. Este pequeno
(Certified Information Systems Security Professionals) no local de
grupo de geeks grato Verizon por nos permitir passar tanto tempo
trabalho, mas tememos que pudesse resultar em muito dano
em nosso playground de informaes sobre violaes. Tambm
autoinfligido na comunidade de segurana. E preferimos que vocs,
somos gratos s muitas organizaes que participaram, tornando
rapazes e moas, fiquem por aqui nos ajudando a corrigir o problema.
isto possvel. Sem suas contribuies, os dados teriam se tornado
obsoletos anos atrs. E finalmente, obrigado a todos vocs, leitores
que baixam este documento e consideram estas tendncias ao lutarem
pela boa causa de proteger informaes e clientes. Que os prximos
dez anos possam nos encontrar a todos do lado vencedor da batalha.
Figura 16.
Frequncia dos padres de classificao de incidentes
Crimeware 4% 20% 4%
Ataques de DoS 0% 3% 0%
1,000
Uso indevido 100%
por pessoas
de dentro
da empresa 75%
750
Invases Ataques a
a PDV aplicativos Invases a PDV
50% Ataques a
500 da Web Extratores de cartes aplicativos
da Web
2009 2010 2011 2012 2013 2009 2010 2011 2012 2013
Figura 19.
Frequncia dos padres de classificao de incidentes por setor da vtima
Uso
indevido
Ataques EXTRATORES
por Negao
Invaso a Furto/ ERROS CRIME- de ESPIONAGEM Tudo o
Setor PESSOAS de
a PDV aplicativos perda DIVERSOS WARE cartes de eletrnica mais
DE DENTRO servio
da WEB pagamento
DA
EMPRESA
Hotelaria [72] 75% 1% 8% 1% 1% 1% <1% 10% 4%
Para obter mais informaes sobre os cdigos NAICS [mostrados a seguir], visite: https://www.census.gov/cgi-bin/sssd/naics/naicsrch?chart=2012
De um relance
Descrio Ataques remotos a ambientes em que transaes de varejo so conduzidas, especificamente onde
compras so feitas com apresentao de carto. Crimes que envolvem a adulterao ou substituio
aplicativos na
Web
DA EMPRESA
Principais Dadas as recentes manchetes, alguns de vocs podem se surpreender ao constatar que as invases
descobertas a PDVs esto apresentando uma tendncia reduo nos ltimos anos. Isso se deve principalmente
a termos testemunhado comparativamente menos rompantes de ataques envolvendo numerosas
pequenas franquias. Ataques de fora bruta a conexes para acesso remoto a PDVs ainda
lideram como principal vetor de invaso. O ressurgimento do malware RAM scraper representa o
desenvolvimento ttico mais proeminente de 2013.
Furto e perda
fsica
Figura 20.
Sabemos que muitos de vocs vm para esta seo Comparao dos padres de classificao de incidentes Invaso
esperando encontrar todos os detalhes srdidos de uma a pontos de vendas e Ataques a aplicativos na Web, 2011-2013
determinada violao envolvendo um grande varejista dos
Erros diversos
pagamento
afetados pelas invases de PDV sejam: restaurantes, hotis, 2009 2010 2011 2012 2013
supermercados e outros varejistas com lojas fsicas, todos alvos
potenciais. Recentes violaes altamente divulgadas de vrios do que o nmero registrado em 2010 e 2011 (apesar destes anos
varejistas de grande porte trouxeram os comprometimentos terem contado com dez vezes mais colaboradores). A Figura
de PDV ao primeiro plano. Mas, correndo o risco de bancar o 20 nos lembra que nossa compreenso do risco deve sempre
sabe-tudo da segurana j vnhamos falando disso h anos. se remeter aos dados, e no ao que gera boas manchetes ou
Espionagem
eletrnica
Invases a pontos
de pequeno porte que podem ou no se dar conta do alvo organizaes gerenciadas pelo fornecedor. Depois de furtada,
de vendas
lucrativo que representam. Essa cadeia de eventos comea com o ela essencialmente se tornou uma senha padro e os invasores
comprometimento do dispositivo de PDV, com pouco ou nenhum tambm se inteiraram da base de clientes. Armados com essas
trabalho de campo. Os dispositivos esto abertos para toda a informaes, o modus operandi familiar de instalar cdigo mal-
Internet e, para piorar as coisas, protegidos com senhas fracas ou intencionado que capturasse e transmitisse os dados desejados
padro (s vezes at sem senha). teve incio.
aplicativos na
ATAQUES a
Figura 21. Figura 22.
Web
Dez principais variedades de ao de ameaa entre as Variedade de ao de hackers entre as Invases a pontos de vendas
Invases a pontos de vendas (n=196) (n=187)
PESSOAS DE DENTRO
38%
PRIVILGIOS OU POR
Dados exportados [mal] 79% Uso de credenciais furtadas
USO INDEVIDO DE
DA EMPRESA
Fora bruta [hac] 50% Quebra de senha offline 9%
Furto e perda
Spyware/Keylogger[mal] 2%
fsica
Backdoor [mal] 1% Figura 23.
Configurao incorreta [err] <1% Vetor de ao de hackers entre as Invases a pontos de vendas
(n=187)
Phishing [soc] <1%
Desktop 55%
de terceiros
Erros diversos
As trs principais aes de ameaa contam bem essa histria Compartilhamento
de rea de trabalho 35%
(Figura 21). Os criminosos fazem a varredura da Internet
em busca de portas de acesso remoto abertas e, se o script Acesso fsico 9%
identificar um dispositivo como ponto de vendas, emite
Backdoor ou C2 1%
credenciais provveis (Fora bruta) para acessar o dispositivo.
Em seguida, instalam malware (RAM scraper) para coletar e Shell de comandos 1%
exfiltrar (Exportar dados) informaes de cartes de pagamento.
VPN <1%
Crimeware
Uma descoberta que nos intrigou foi o renascimento do malware
RAM scraper como principal ferramenta usada para capturar Aplicativo da Web <1%
dados. Os RAM scrapers permitem que os dados de cartes
de pagamento sejam arrebatados enquanto esto sendo
Embora no sejam to comuns quanto as invases mais
processados na memria (onde no esto criptografados) em vez
simples aos PDVs, nosso conjunto de dados inclui vrios
de isso se dar enquanto armazenados em disco ou em trnsito
incidentes do primeiro trimestre de 2013 que apresentaram um
pela rede (onde ficam (ostensivamente) criptografados).
de cartes de
comprometimento em uma localidade corporativa, o que levou
Extratores
pagamento
interessante, mas no necessariamente surpreendente, que os ao comprometimento disseminado de localidades individuais e
RAM scrapers ultrapassaram os keyloggers como funcionalidade instalao de cdigo mal-intencionado em um grande nmero de
de malware mais comum associada a comprometimentos de PDV. lojas. Alguns casos comearam com o comprometimento de uma
Uma teoria possvel seria a de que os keyloggers (a maioria dos loja que levou penetrao da rede corporativa, mas a arquitetura
quais eram de variedades comuns, como Perfect Keylogger e hub-and-spoke permitiu a travessia eficiente da rede e o impacto
Artemis) podem ser detectados mais facilmente do que o cdigo do comprometimento foi ampliado, independentemente da
Espionagem
eletrnica
Cinco principais mtodos de descoberta de invases a PDV comprometimento quanto os mtodos de descoberta. A entrada
de vendas
Figura 25.
Web
Comprometimento n=169
Int - relatado pelo usurio <1%
51%
PESSOAS DE DENTRO
PRIVILGIOS OU POR
36%
USO INDEVIDO DE
Exfiltrao n=169
a ver notificaes pela segurana pblica ou por detectores
de fraude como os mtodos mais comuns de descoberta. Em
Furto e perda
Nunca
Anos
Meses
Horas
Dias
Semanas
Segundos
pagamento
Invases a pontos
Reflexes aps o primeiro ano de operaes
de vendas
para todas as EMPRESAS do EC3
O vetor compartilhado pelos principais cenrios o software de No ano passado, o Relatrio DBIR apresentou um apndice
acesso remoto terceirizado (por exemplo, pcAnywhere, LogMeIn). de Troels Oerting, Diretor Assistente do European
A segurana desses produtos no a questo aqui. O que Cybercrime Centre (EC3, Centro Europeu contra o Crime
acontece que com frequncia os encontramos implementados Ciberntico), onde ele discutiu os planos e prioridades
de maneira muito perigosa. da diviso recm-estabelecida da Europol. Os rgos de
aplicativos na
segurana pblica desempenham um papel crtico neste
ATAQUES a
Restringir o acesso remoto relatrio, e no sempre que podemos acompanh-los
Web
desde os estgios de sua formao. Assim, pensamos que
Limite qualquer acesso remoto aos sistemas de PDV por seu seria interessante incluir algumas reflexes sobre o primeiro
fornecedor de gerenciamento terceirizado e tenha srias ano de operaes do EC3.
discusses de negcios com relao a como e quando eles iro
PESSOAS DE DENTRO
PRIVILGIOS OU POR
A tarefa do EC3 no nada pequena: ele atende a 28
USO INDEVIDO DE
realizar suas obrigaes.
estados membros da Unio Europeia (UE) e dezenas de
DA EMPRESA
pases e coordena a proteo de 500 milhes de cidados,
Fazer cumprir as polticas de senhas quase trs quartos dos quais tm acesso Internet.
Em termos de operaes, o EC3 prioriza quatro reas:
Tenha absoluta certeza de que todas as senhas usadas para
inteligncia ciberntica, invaso, fraude online e abuso
acesso remoto aos sistemas de PDV no sejam os padres de
sexual de menores. Como acontece com qualquer novo
fbrica, o nome do fornecedor de PDV, palavras encontradas
Furto e perda
empreendimento, muito do primeiro ano se concentrou na
no dicionrio nem outras senhas fracas. Se um terceiro for
construo da infraestrutura e de capacidades para atender
fsica
responsvel por essa informao, exija que isso seja feito e que
a essas prioridades. Conexes seguras via rede a parceiros,
eles no usem a mesma senha para outros clientes (e verifique).
localizados na UE ou no, foram implementadas, assim como
ambientes e ferramentas centralizadas de anlise forense.
O ponto de venda, no de
encontros sociais O EC3 treinou mais de 100 especialistas em segurana
Erros diversos
pblica em toda a UE em investigao ciberntica,
No navegue pela Web, envie emails, use mdias sociais, jogue ferramentas e na obteno de evidncias forenses. Criou
jogos nem faa qualquer outra coisa que no sejam as atividades um novo laboratrio forense central para ajudar os colegas
relacionadas ao ponto de vendas nos sistemas de PDV. nos estados membros a obterem evidncias. Distribuiu
alertas, notificaes de inteligncia e avaliaes de ameaas
Implementar software antivrus para diferentes grupos de interesse. Memorandos de
entendimento (MoUs) foram assinados com os principais
Crimeware
Instale e mantenha um software antivrus nos sistemas de PDV. grupos de interesse privados, e um novo Grupo Consultivo,
composto por especialistas de fora da comunidade de
Concluso: dificulte para os viles fazer login em um dispositivo
segurana pblica, foi estabelecido (a Verizon est feliz em
que aceita a informao mais visada pelos criminosos com
estar entre eles).
motivao financeira.
As tendncias observadas pelo EC3 entre os estados
PARA EMPRESAS DE GRANDE PORTE/COM VRIAS LOJAS membros em 2013 incluem aumentos considerveis no
de cartes de
Extratores
pagamento
Empresas maiores, com vrias lojas e franquias devem considerar nmero de invases, malware, phishing, grooming, DDoS,
mais algumas recomendaes adicionais para limitar o impacto espionagem e atividade de botnet. Ele tambm relata um
de uma violao a uma localidade especfica e prevenir um grande avano da infraestrutura criminosa na darknet, o
comprometimento em massa. crescimento de malware que afeta dispositivos mveis e
uma distribuio mais ampla de malware a partir de servios
Desmascarar a teoria da rede plana na nuvem. No combate a essas tendncias, o EC3 priorizou a
Espionagem
eletrnica
Monitore o trfego da rede que vem do PDV e vai para ele. Deve
haver um padro de trfego normalizado e, embora seja fcil falar,
qualquer trfego anmalo deve ser identificado e investigado.
De um relance
Descrio Qualquer incidente em que um aplicativo na Web tenha sido o vetor de ataque. Isso inclui exploraes
de vulnerabilidades no nvel do cdigo do aplicativo, bem como a burla de mecanismos de
aplicativos na
ATAQUES a
autenticao.
Web
DA EMPRESA
Principais Os aplicativos na Web continuam sendo o proverbial saco de pancadas da Internet. Eles so golpeados
descobertas de uma entre duas maneiras: pela explorao de um ponto fraco no aplicativo (normalmente a
validao inadequada dos dados inseridos) ou pelo uso de credenciais furtadas para personificao
de um usurio vlido. Muitos dos ataques em nosso conjunto de dados de 2013 visaram sistemas
de gerenciamento de contedo prontos para uso (por exemplo, Joomla!, Wordpress ou Drupal) para
Furto e perda
aplicativos na Web uma tarefa complexa. Lamentavelmente, ultraconcentrado em obter acesso ao dinheiro e, portanto, seus
nossa discusso sobre tal complexidade fica prejudicada pelo dois principais setores-alvo so os setores financeiro e de varejo
nvel de detalhes fornecido sobre esses incidentes. A menos que (onde dados que podem ser facilmente convertidos em dinheiro
uma investigao forense tenha sido conduzida (um pequeno so abundantes e, com demasiada frequncia, acessveis). No
subconjunto do banco de dados como um todo), as tcnicas setor financeiro, seu foco se concentra mais em obter acesso
especficas utilizadas deixaram em grande medida de ser interface de usurio de aplicativos (bancrios) na Web do que em
informadas ou foram registradas em amplas categorizaes. explorar o aplicativo da Web propriamente dito, por o aplicativo
Embora tenhamos material suficiente para discutir as violaes
Crimeware
trs ataques a aplicativos na Web foram atribuveis a grupos tticas usadas pelos invasores so os suspeitos de sempre:
ativistas impulsionados por ideologia e lulz; um pouco menos a) tcnicas de phishing para induzir ardilosamente o usurio a
de um a cada trs veio de agentes com motivaes financeiras; fornecer credenciais ou instalar malware no sistema cliente, b) a
sendo o pequeno nmero restante vinculado espionagem. velha prerrogativa de adivinhar a senha por fora bruta e c) casos
Aps destrinchar os dados, descobrimos alguns subpadres mais raros de visar o aplicativo por meio da injeo de SQL ou de
muito diferenciados que compunham essa motivao. Os outros ataques no nvel do aplicativo como meio de recuperar
Espionagem
eletrnica
ataques financeiros e ideolgicos merecem uma discusso credenciais, burlar a autenticao ou visar de alguma outra forma
especfica, visto que o tratamento reservado a cada um pode o sistema de gerenciamento de usurios. Quando a atribuio
ser ligeiramente diferente. Embora os ataques perpetrados possvel, a maioria dos invasores externos que usam credenciais
por indivduos motivados pela espionagem certamente sejam furtadas em algum ponto da cadeia de ataque procede da Europa
relevantes, sua discusso ser abordada na seo Espionagem. Oriental.
Invases a pontos
A ideologia representa a poro maior das motivaes Dez principais mtodos de descoberta de incidentes com motivaes
de vendas
identificadas para os ataques a aplicativos na Web, e os agentes financeiras entre os Ataques a aplicativos na Web (n=122)
tambm tendem a ser os mais diversificados em termos
de localizao geogrfica. 74% concentram seu foco em Totaldeexternos 88%
exploraes consagradas que visam, acima de tudo, entradas no
validadas no cdigo executado. Em nenhum lugar isso explorado Totaldeinternos 12%
em mais larga escala do que nos Sistemas de Gerenciamento de
Contedo (CMS), como Joomla!, Drupal e WordPress e, mesmo ali, Ext - cliente 74%
aplicativos na
isso acontece mais nos plug-ins adicionados do que no cdigo de
ATAQUES a
Ext - deteco de fraude 6%
ncleo do CMS propriamente dito.
Web
Int - auditoria de TI 4%
Os agentes ideolgicos (sejam suas motivaes sociais, polticas
ou mera diverso) esto menos preocupados com chegar s Ext - parte no relacionada 3%
joias da coroa do que com conseguir uma plataforma (em todas
Ext - segurana pblica 2%
as acepes da palavra) em que se posicionar. Com isso em
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
mente, no de se surpreender que ns vejamos dois tipos de Int - deteco de fraude 2%
DA EMPRESA
resultados dos invasores ideolgicos caa de um servidor
Web: desfigurao para enviar uma mensagem ou sequestro do Int - relatado pelo usurio 2%
servidor para atacar outras vtimas (inclusive por DDoS). Ext - divulgao pelo agente 2%
Esse foco em se apoderar oportunisticamente apenas do servidor Ext - auditoria 1%
Web fica claro quando se olha para os ativos comprometidos no
ataque. O servidor Web foi o nico ativo registrado em quase Ext - servio de monitoramento 1%
Furto e perda
todos os incidentes atribuveis a motivaes ideolgicas. Os
agentes no pareciam estar interessados em se aprofundar ou se O mtodo de descoberta parece um pouco mais sombrio para
fsica
alastrar mais pela rede. Isso pode ser resultado simplesmente de os ativistas. 99% das notificaes vieram de fontes externas
no se relatarem esses componentes secundrios do incidente (principalmente CSIRTs) que entraram em contato com as vtimas
portanto, no tome isso como recomendao de se concentrar para inform-las de que seus hosts estavam envolvidos em
somente no servidor Web mas lgico e um ponto de contraste outros ataques. Isso grandemente influenciado por invasores
com outros tipos de ataque em nosso conjunto de dados. ideolgicos que usam a plataforma silenciosamente para atacar
Erros diversos
outras vtimas, em vez de, por exemplo, valer-se de simples
Mtodos e linha do tempo das descobertas desfiguraes (que so raras no conjunto de dados).
Quando o agente tem motivao financeira e o mtodo de Embora os dados da linha do tempo sejam um pouco esparsos,
descoberta registrado, testemunhamos um mtodo de o quadro que delineiam de uma entrada rpida, com 60% dos
notificao lder que no vemos em mais nenhum lugar: os clientes. comprometimentos iniciais ocorrendo em questo de minutos
Talvez os clientes notem a atividade fraudulenta antes de qualquer ou menos. Isso reflete as exploraes altamente repetidas de
outro, mas algo definitivamente lhes serve de advertncia CMS neste padro; se funcionar, funciona rpido. Pouco mais de
antes de qualquer mecanismo interno. Com todos os mtodos 85% dos incidentes so descobertos em questo de dias ou mais,
Crimeware
de descoberta interna combinados, somente 9% das vtimas com cerca de 50% demorando meses ou mais tempo para serem
descobriram as violaes de dados por sua prpria conta. descobertos. Contudo, depois de descobertos, vemos um tempo
de reao bastante bom, com cerca de metade das organizaes
levando dias ou menos tempo para responder e conter o incidente.
Isso muito melhor que a norma, tipicamente de semanas ou mais
tempo.
de cartes de
Extratores
pagamento
Comparao de ataques a cronogramas de patches
No seria maravilhoso saber que a aplicao (rpida) de patches O que encontramos no foi nada conclusivo e a nica concluso
contra vulnerabilidades em aplicativos na Web ajuda? Este ano, vlida a ser tirada que mais trabalho necessrio para se
ns formamos uma parceria com a WhiteHat Security a fim de entender a relao entre as vulnerabilidades nos aplicativos
combinar e comparar os dados de incidentes que coletamos na Web e os incidentes de segurana. Com isso, s podemos
com os dados de avaliao de vulnerabilidades que eles coletam especular o motivo por que estamos testemunhando esses
Espionagem
eletrnica
de dezenas de milhares de sites da Web de centenas das resultados. Talvez isso esteja nos dizendo que nenhum setor
organizaes mais conhecidas. Depois de algumas idas e vindas, est fazendo o suficiente. Sabemos que trs a cada quatro
decidimos por primeiro dividir os dados por setores (porque comprometimentos baseados na Web ocorrem em questo de
horas ou menos a contar do primeiro contato e, talvez, corrigir
os padres emergem entre os setores) e, em seguida, optamos
as vulnerabilidades em 10 dias e no em 70 dias no ajude tanto.
por comparar dois pontos de dados sobre vulnerabilidades na
Alm disso, o invasor explora apenas uma vulnerabilidade (talvez
Web com os dados de incidentes: a mdia de vulnerabilidades
duas). Mas uma explicao diferente pode ser que o foco da
por site e a mediana dos dias at a aplicao do patch. Partimos
nossa lente estava muito amplo, e talvez pudssemos aprender
ATAQUES
Repensar o CMS
PRIVILGIOS OU POR
DA EMPRESA
Int - desconhecido
Figura 29. <1%
E nos referimos a repensar de todas as maneiras. Se voc
Lapso de tempo dos eventos entre os Ataques a aplicativos na Web
Int - antivrus <1% estiver comprometido com uma plataforma ativa (Joomla!,
Drupal, WordPress, etc.), configure um processo de aplicao
Int - deteco42%
de fraude <1%
Comprometimento n=43
19%
12% verdadeiro para plug-ins de terceiros. Outra maneira de repensar
fsica
27%
21% 21% Validar as entradas
18%
9% Embora estejamos enfrentando esse desafio h anos, a
3%
0% 0% recomendao ainda vlida. A melhor maneira de ter certeza
de que seu aplicativo no ser explorado ir atrs e lidar com
as vulnerabilidades antes que os invasores o faam (e pode ter
41%
certeza de que eles iro faz-lo). Se no tiver acesso ao cdigo-
Descoberta n=70
Conteno n=41
Extratores
pagamento
Dias
Horas
Segundos
Invases a pontos
de vendas
pessoas de dentro da empresa
De um relance
aplicativos na
Todos os incidentes na categoria de ao Uso indevido qualquer uso no aprovado ou mal-
ATAQUES a
Descrio
intencionado de recursos organizacionais se enquadram neste padro. Trata-se principalmente de
Web
uso indevido por pessoas de dentro da empresa, mas pessoas de fora (por conluio) e parceiros (porque
a eles tambm so concedidos privilgios) tambm do as caras.
Principais Pblico, Imobilirio, Administrativo, Transporte, Manufatura, Minerao
PESSOAS DE DENTRO
setores
PRIVILGIOS OU POR
USO INDEVIDO DE
DA EMPRESA
Frequncia 11.698 incidentes no total
Principais A maior parte dos crimes cometidos por pessoas de confiana so perpetrados para fins de ganho
descobertas financeiro ou pessoal. Entretanto, as mudanas mais notveis no conjunto de dados de 2013 foram
um aumento na espionagem por pessoas de dentro da empresa direcionada a dados internos e
Furto e perda
segredos comerciais e uma variedade mais ampla de tticas. Dizemos conjunto de dados de 2013
fsica
porque no acreditamos que a taxa real desses crimes tenha aumentado significativamente. O que
estamos vendo o benefcio do aumento da visibilidade decorrente de nossos parceiros cujo foco se
concentra em pessoas de dentro da organizao.
Erros diversos
A propriedade intelectual de uma organizao est entre A Figura 30 relaciona as principais aes de ameaa observadas
seus ativos mais valiosos, determinando com frequncia sua entre os incidentes que se enquadram no padro de uso indevido.
capacidade de competir no mercado. Em muitos casos, as Observe que nem todos constam da categoria de uso indevido
organizaes tambm tm a custdia de grandes quantidades [mis]; fique ligado para saber mais sobre isso mais tarde. No
de dados sobre os clientes que atendem, os funcionrios que nada inesperado que o abuso de privilgios tirar vantagem dos
os atendem e os relacionamentos de que dependem para fazer privilgios de acesso ao sistema concedidos por um empregador
Crimeware
negcios. Esses dados tm valor para a organizao, mas tambm e us-los para cometer atos nefandos encabece a lista.
para aqueles que poderiam busc-los para seu prprio benefcio Entendemos que isso abrange uma variedade muito ampla de
pessoal ou por inmeros outros motivos. Para o padro de uso atividades, mas o tema geral e a lio diferem um pouco: a maior
indevido, nosso foco se concentra naqueles que j tm um lugar parte dos usos indevidos por pessoas de dentro da empresa
de confiana dentro da organizao. Pode-se argumentar que o ocorre dentro dos limites da confiana necessria para realizao
caso mais proeminente de uso indevido por algum de dentro da de tarefas normais. Isso que os torna to difceis de prevenir.
de cartes de
Extratores
pagamento
organizao nas manchetes neste ltimo ano foi o do contratado
Lembre-se de que as variedades de aes no VERIS no so
do governo dos Estados Unidos, Edward Snowden. Embora esse
mutuamente exclusivas e comum ver mais de uma em um nico
seja um exemplo extremo do dano que determinadas pessoas de
incidente. Hardware no aprovado e uso indevido de email/
dentro da organizao podem infligir, ele ilustra o risco presente
tratamento indevido de dados (um empate) representam as
quando uma organizao precisa depositar sua confiana em
trs principais aes na categoria de uso indevido, mas so mais
indivduos.
uma funo de como os dados so exfiltrados do que como so
Espionagem
eletrnica
Estelionato [uso] 4%
confiana, podemos ver mais facilmente como eles fazem para crimes. Embora o pessoal da cadeia de pagamento e usurios
de vendas
adquirir dados quando seu prprio acesso insuficiente. Alm finais ainda se sobressassem, gerentes (inclusive executivos)
de abusar dos privilgios e recursos que lhe so confiados, tambm se destacaram mais do que nos anos anteriores. Vocs
observamos tcnicas de ao de hackers para elevar privilgios conhecem o tipo: sem rodeios e com toda a pinta de alta gerncia.
Com frequncia eles tm acesso a segredos comerciais e a outros
e contornar controles (com frequncia pelo furto das credenciais
dados de interesse da concorrncia e, tragicamente, tambm tm
de outras pessoas), vrias formas de engenharia social e o uso
maior probabilidade de estarem isentos das polticas de segurana
de malware como keyloggers e backdoors. Essas patifes se devido a seu status privilegiado na empresa.6 Uma dessas prises
aplicativos na
No corporativo 1%
fsica
a maioria dos funcionrios perpetraram suas aes enquanto esquemas de fraude. Ex-funcionrios exploram contas ainda ativas
estavam no escritrio, bem debaixo do nariz de seus colegas, em ou outros furos que somente eles conhecem. Concorrentes aliciam
vez de saltar de proxy em proxy na segurana relativa de seus propriedade intelectual para obter vantagens de negcios. Para
lares. Se algum quiser usar essas estatsticas para afrouxar as montar uma defesa apropriada, as organizaes devem levar em
polticas de trabalho em casa e demolir os cubculos em prol de conta que o fato de que esses jogadores esto em campo.
plantas mais abertas esse algum tem a nossa bno. Quase todos os incidentes de uso indevido anteriores a 2013
estavam centrados na obteno de informaes para uso com a
Figura 32. finalidade de fraude. Como mostra a Figura 34, encontramos mais
Crimeware
Dez principais variedades de agentes internos entre os Usos espionagem que nunca por pessoas de dentro da empresa que
indevidos por pessoas de dentro da empresa (n=99) visavam dados organizacionais internos e segredos comerciais.
pagamento
Outros 7% Convenincia 4%
Espionagem
eletrnica
Desenvolvedor 6% Diverso 3%
Auditor 1%
De acordo com o The Recover Report,7 publicado por um de nossos
colaboradores no Relatrio DBIR, a Mishcon de Reya, os dois
cenrios mais comuns envolvem a tomada de dados por criminosos
para:
ATAQUES
DE DoS
Invases a pontos
Figura 35.
dominados, tradicionalmente, por sinais externos. No caso do
Variedade dos dados em risco entre os Usos indevidos por
de vendas
uso indevido por pessoas de dentro da empresa, no entanto,
pessoas de dentro da empresa (n=108)
mtodos internos (55%) so responsveis pela deteco de
Pessoais 34% mais incidentes do que mtodos internos (45%). A maneira mais
Pagamento 29% comum pela qual as organizaes detectam crimes cometidos
por pessoas de dentro quando os funcionrios os denunciam.
Internos 27%
Descobertas decorrentes de auditorias financeiras e de TI
aplicativos na
Segredos 18% tambm foram muito comuns. A reviso dos livros na manh
ATAQUES a
de segunda-feira um exemplo das primeiras, e um exemplo
Web
Bancrios 14%
promissor destas ltimas um processo regular de exame do
Credenciais 9% acesso por funcionrios desligados da empresa.
Mdicos 3% O CERT Insider Threat Center (outro de nossos parceiros)
PESSOAS DE DENTRO
PRIVILGIOS OU POR
Outros 3% concentra o foco de sua pesquisa em violaes por pessoas
USO INDEVIDO DE
de dentro da organizao e concluiu que em mais de 70% dos
DA EMPRESA
Desconhecido 2%
casos de furto de IP, pessoas de dentro da empresa furtaram a
Sigilosos 1% informao em at 30 dias de anunciarem sua demisso.8 Em
um nmero razovel de ocasies, um exame da atividade de
Desktops so o ativo comprometido com maior frequncia neste funcionrios com acesso a informaes sigilosas que deixaram a
padro, o que faz sentido, porque os computadores desktop so empresa permitiu s organizaes afetadas detectar o incidente
Furto e perda
uma das principais interfaces do funcionrio com o resto da rede e agir rapidamente para recuperar as informaes (com sorte
(Figura 36). Normalmente, ali que os dados so armazenados, antes de danos irreparveis terem ocorrido).
fsica
carregados, enviados por email para fora da organizao ou
copiados para uma mdia removvel. Bancos de dados e servidores Figura 37.
de arquivos, ambos repositrios de tantas informaes valiosas, Dez principais mtodos de descoberta entre os Usos
tambm so alvos regulares. Cartes de pagamento no se indevidos por pessoas de dentro da empresa (n=122)
Erros diversos
referem variedade de dados, mas aos cartes propriamente
Totaldeexternos 45%
ditos, que so processados por dispositivos de mo para extrao
de dados (ou copiados de alguma outra forma) no clssico cenrio Totaldeinternos 55%
do garom demonaco. No que tange propriedade dos ativos,
vemos pessoas de dentro da empresa abusando de ativos de Ext - cliente 16%
propriedade corporativa, e no de propriedade do funcionrio Int - relatado pelo usurio 13%
e autorizado para uso corporativo (BYOD, ou traga seu prprio
dispositivo). No entanto, vemos evidncias de que eles com Int - desconhecido 11%
Crimeware
frequncia se aproveitam de dispositivos pessoais no aprovados Int - auditoria financeira 10%
para ajud-los a remover os dados da organizao (que aparecem
Int - auditoria de TI 9%
como uso de hardware no aprovado).
Ext - deteco de fraude 8%
Figura 36.
Ext - desconhecido 6%
de cartes de
Dez principais ativos afetados entre os Usos indevidos por
Extratores
pagamento
pessoas de dentro da empresa (n=142) Ext - segurana pblica 6%
Outros 22%
(servidor)
(mdia)
Arquivo 9%
(servidor)
Outros 8%
(pessoas)
Aplicativo na Web 8%
(servidor)
Desconhecido 6%
ATAQUES
DE DoS
Laptop 5%
(dispositivo de usurio)
O MAIS
TUDO
Minutos 2%
PESSOAS DE DENTRO
PRIVILGIOS OU POR
DA EMPRESA
pagamento
Invases a pontos
de vendas
De um relance
Descrio Praticamente o que parece ser qualquer incidente em que um ativo de informaes tenha
desaparecido, seja por ter sido extraviado ou por m inteno.
aplicativos na
Principais Sade, Pblico, Minerao
ATAQUES a
setores
Web
Frequncia 9.704 incidentes no total9
Principais Perdas so relatadas com mais frequncia que furtos. Em um achado surpreendente, descobrimos que
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
descobertas ativos so furtados de escritrios corporativos com mais frequncia do que de veculos pessoais ou
DA EMPRESA
residncias. E embora informaes pessoais e mdicas sejam comumente expostas, a maior parte das
perdas/furtos relatada devido a regulamentaes de divulgao obrigatria e no por causa de fraude.
Para ser honesto, ns ponderamos se deveramos ou no incluir de incidente que se aplica uniformemente. At os fazendeiros
Furto e perda
uma seo sobre ativos perdidos ou furtados neste relatrio. tm problemas com pessoas que vm e tentam arrebatar seus
Decidimos, no entanto, que simplesmente no poderamos laptops.
fsica
ignorar o fato flagrante de que tais incidentes por menos sexy
Falando de laptops, eles so a variedade de ativo mais comum
ou cyber que fossem esto entre as causas mais comuns da
entre as denncias deste padro. Com frequncia, os relatos de
perda/exposio de dados denunciada pelas organizaes. Isso
incidentes especialmente para CSIRTs no especificam o ativo
especialmente aparente em setores como o de Sade, onde a
perdido ou furtado. Assim, algum tipo de dispositivo de usurio
Erros diversos
divulgao de todos os incidentes que possam potencialmente
tudo que podemos inferir e explica por que Outros (dispositivo
expor dados sigilosos obrigatria. E se h alguma coisa que
de usurio) to frequente. Alm disso, o que seria de se
sabemos ser verdade com relao natureza humana que
esperar: computadores, documentos e unidades de mdia.
perder coisas e furtar coisas parecem ser predisposies
inerentes. O prximo item a se observar a relao entre perda e furto:
a perda de ativos de informaes acontece com muito maior
O estudo dos achados rendeu algumas observaes
frequncia do que o furto, com uma diferena de 15 para um.
interessantes que podem ajudar a informar a prtica, e a que
E isso importante porque sugere que a vasta maioria dos
Crimeware
concentraremos nossa ateno nesta seo. Ao comearmos,
incidentes neste padro no se deve a aes mal-intencionadas
tenha em mente que estamos falando especificamente sobre
ou intencionais. Assim, o principal desafio a) evitar que os
ativos de informaes10; o que quer que tenha sido perdido ou
funcionrios percam coisas (sem chance) ou b) minimizar o
furtado teria que armazenar, processar ou transmitir informaes
impacto quando eles perdem. O dinheiro bem investido o da
para chamar nossa ateno.
opo b, embora dispositivos de computao bioimplantados
A observao n1 se relaciona aos dados demogrficos: temos podem ser promissores no futuro para a opo a. Isso
de cartes de
Extratores
pagamento
evidncia de que todo tipo e porte de organizao perde coisas praticamente tudo que vamos dizer sobre perda, mas o furto
e/ou tem coisas furtadas. Isso pode no ser um grande choque, ainda nos reserva algumas lies.
mas pelo menos digno de nota que este seja o nico padro
(n=332)
Outros 8.929
(dispositivo de usurio)
rea de trabalho da vtima 43%
Laptop 308
(dispositivo de usurio)
Veculo pessoal 23%
Documentos 140
(mdia)
Residncia pessoal 10%
Desktop 108
(dispositivo de usurio)
rea segura da vtima 5%
Unidade Flash 102
Instalao de parceiro 4%
ATAQUES
(mdia)
DE DoS
Unidade de disco 37
(mdia)
Veculo de parceiro 4%
Fitas 36
(mdia)
Instalao pblica 3%
Outros 27
(servidor)
Dependncias da vtima 2%
Outros 12
(mdia)
Veculo pblico 2%
Banco de dados 11
O MAIS
(servidor)
como perda simplesmente para livrar a prpria cara. a criptografia a soluo mais bvia para esse padro de
incidentes. claro que o ativo ainda est desaparecido, mas
Residncias pessoais e veculos pessoais/de parceiros/ pelo menos pode poupar muita preocupao, constrangimento
pblicos so palco de quase 40% dos furtos e nos lembram que e processos judiciais potenciais poder simplesmente dizer que
PESSOAS DE DENTRO
PRIVILGIOS OU POR
dispositivos em trnsito so passveis de desaparecer. as informaes nele contidas estavam protegidas. Alm disso,
USO INDEVIDO DE
Figura 41.
ainda esteja ativa tambm no fica atrs. Isso vai ser til quando
Vetor de acesso fsico entre os Furtos/perdas (n=158) o auditor ou regulador fizer a temida pergunta: Como voc tem
certeza de que estava criptografado?
Controles desativados 60%
Local sem controle 3% em sua posse e sempre vista. Sim, isso se aplica a jantares
luxuosos com clientes e a visitas ao toalete. Tambm no um
mau princpio a se aplicar a dispositivos mveis em um contexto
Embora em geral no seja conhecido/relatado exatamente como corporativo. Pode ser um pouco desajeitado, mas mais seguro
os agentes tiveram acesso fsico a esses locais, mais de 80% do que deix-los no carro ou sem superviso em uma sala cheia
Erros diversos
dos furtos para os quais temos essas informaes envolveram a de pessoas estranhas. Se for absolutamente necessrio deix-los
desativao ou evaso de controles. Os demais j tinham acesso, no carro, tranque-os no porta-malas antes de deixar o escritrio e
seja porque lhes tinham sido concedidos privilgios ou por se no os deixe l durante a noite.
tratar de um local acessvel ao pblico.
Internos 21
Trancar
de cartes de
Extratores
pagamento
Bancrios 20
Outros 1
ativos altamente sigilosos ou valiosos para uma rea segura
separada e certificar-se de que fiquem por l.
O conjunto final de observaes abrange a variedade dos
dados que foram comprometidos ou, com maior frequncia, BNUS - Usar tecnologia que no seja
potencialmente expostos, no caso de perda ou furto de ativos. chamativa
Vale enfatizar que o motivo principal de estes incidentes terem
sido includos o fato de acionarem algum tipo de requisito Sim, uma recomendao bastante heterodoxa, mas pode
ATAQUES
DE DoS
obrigatrio de relato/divulgao. O ativo desapareceu, ficou de fato ser um dissuasor de furtos (embora talvez aumente a
determinado que continha informaes regulamentadas que frequncia das perdas). Um MacBook Air novinho e brilhante no
agora esto expostas a acesso no autorizado potencial e, banco do passageiro pode ser tentador demais para qualquer
portanto, teve que ser relatado. Isso explica a predominncia um resistir, mas somente os viles realmente dedicados iriam
de dados regulamentados, como informaes pessoais ou de correr o risco de ir para a cadeia por um laptop tipo tijolo de 10
identificao e pronturios mdicos, na Figura 42. cm de espessura de meados dos anos 90. Ou, se voc realmente
precisar da tranqueira mais rpida da galxia, talvez exista um
O MAIS
TUDO
Invases a pontos
de vendas
De um relance
aplicativos na
ativo de informaes. No inclui dispositivos perdidos, que esto, em vez disso, agrupados com furto.
ATAQUES a
Web
Principais Pblico, Administrativo, Sade
setores
Frequncia 16.554 incidentes no total12
PESSOAS DE DENTRO
412 com divulgao de dados confirmada
PRIVILGIOS OU POR
USO INDEVIDO DE
DA EMPRESA
Principais Depois de escrutinar 16 mil incidentes, fizemos uma descoberta espantosa s vezes as pessoas
descobertas ferram as coisas. (Prmio Nobel, aqui vamos ns!) Os dados parecem sugerir que processos de
negcios altamente repetitivos e mundanos que envolvam informaes sigilosas so especialmente
propensos a erros. Tambm digno de nota que esse padro contm mais incidentes causados por
parceiros de negcios do que qualquer outro.
Furto e perda
fsica
Quase todo incidente envolve algum elemento de erro humano. Entrega indevida (enviar documentos
Por exemplo, deixar de aplicar um patch do WordPress
impressos ou emails para o destinatrio
certamente deixa o aplicativo vulnervel a ataques, mas no
compromete diretamente o sistema. Algum outro agente/ao incorreto) o erro que resulta em divulgao
Erros diversos
de ameaa necessrio para que isso acontea. Sem fazer essa de dados visto com maior frequncia.
distino, esta categoria estaria to inchada com incidentes que
seria difcil extrair informaes teis. H apenas dois problemas difceis na cincia da computao:
digno de nota que este padro no inclui todos os incidentes na invalidao de cache, atribuio de nomes e erros em que um loop
categoria Erro. A perda um tipo de erro, mas ns a agrupamos iterativo executado uma vez a mais ou a menos (off-by-one).
com o furto (em Fsico) em um padro diferente porque eles Entrega indevida (enviar documentos impressos ou emails para
compartilham certas semelhanas (voc deixa de possuir o o destinatrio incorreto) o erro que resulta em divulgao
Crimeware
dispositivo) e porque, com frequncia, fica difcil determinar de dados visto com maior frequncia. Um dos exemplos mais
se ocorreu perda ou furto. Por favor, tenha isso em mente ao comuns uma mala direta em que documentos e envelopes
examinar as principais aes e ativos nesta seo. esto fora de sincronia (off-by-one) e documentos sigilosos
acabam sendo enviados para o destinatrio errado. Uma mancada
corriqueira, claro, mas que com muita frequncia expe dados a
pessoas no autorizadas.
de cartes de
Extratores
pagamento
Figura 43.
Figura 44.
Dez principais variedades de ao de ameaa entre os Erros
Dez principais ativos afetados entre os Erros diversos
diversos (n=558)
(n=546)
(servidor)
Gafe 1% Email 4%
ATAQUES
(servidor)
DE DoS
sobre seus funcionrios quanto seus eleitores, o que faz Semanas 6% 13%
com que se possa esperar um alto nmero de incidentes
Meses 47% 6%
de entrega indevida. Leis relativas a dados pblicos e a
obrigatoriedade de relatar incidentes de segurana tambm Anos 8% 2%
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
Figura 46.
Erros diversos
Os Dicionrios Oxford declaram que selfie (autorretratos) foi Dez principais mtodos de descoberta dos incidentes de
a palavra do ano de 2013,13 mas voc sabia que postar contedo Erros diversos (n=148)
na Web e depois se arrepender tambm foi uma prtica social no
Totaldeexternos 68%
mundo corporativo? Isso mesmo, a segunda variedade de erro
mais frequente so os erros de publicao, que frequentemente Totaldeinternos 32%
envolvem a postagem acidental de informaes que no so
pblicas em um recurso pblico, como o servidor Web da Ext-cliente 30%
Crimeware
empresa. por isso que os aplicativos na Web assumem o Ext-parte no relacionada 25%
segundo lugar no grfico de ativos afetados (Figura 44). Para
completar os trs mais importantes nesta categoria vem o Int-relatado pelo usurio 18%
erro de descarte, em que o ativo afetado jogado fora sem Outros 12%
ser retalhado ou, no caso de mdia digital, sem que os dados
Int-desconhecido 5%
sigilosos tenham sido devidamente apagados.
3%
de cartes de
Int-auditoria de TI
Extratores
pagamento
Invases a pontos
Resposta encarcerada: o futuro da
Bob Ross, o pintor favorito de todo mundo, que pinta pequenas
de vendas
resposta a incidentes?
nuvens macias, uma vez disse, Ns no cometemos erros, apenas
Um exemplo do VCDB mostra o ponto em que as coisas
temos acidentes felizes. Ainda assim, as organizaes podem
podem chegar quando tudo d errado com o descarte de
tomar medidas para diminuir a frequncia de todas as formas de
documentos. Uma clnica mdica contratou um fornecedor
acidentes reduzindo sua exposio a padres de erro comuns que
para fazer a coleta de documentos e retalh-los antes
resultam na divulgao de dados.
do descarte. Aparentemente, a coleta foi feita com uma
aplicativos na
caminhonete aberta, porque os arquivos acabaram, em
ATAQUES a
Manter os dados no DLP vez disso, na beira da estrada. Era como se uma nevasca
Web
de papel branco tivesse atingido a rea, segundo uma
Considere a implementao de software de Preveno de perda
testemunha. Tratava-se de antigos pronturios mdicos com
de dados (DLP, da sigla em ingls) para reduzir os casos em
todo tipo de informao protegida. Quando as pessoas os
que documentos sigilosos so enviados por email. O DLP pode
encontraram e chamaram a segurana pblica, uma equipe
PESSOAS DE DENTRO
PRIVILGIOS OU POR
identificar informaes que seguem um formato comum, como
USO INDEVIDO DE
de reclusos que estava fazendo a coleta regular do lixo na
DA EMPRESA
nmeros de carto de crdito, nmeros da previdncia social ou
rea foi enviada para recuperar esses documentos sigilosos.
cdigos de faturamento mdico.
E o som que os prisioneiros acorrentados faziam ao executar
esse trabalho forado era o de caixa registradora cha-ching.
Conferir a publicao
Reduza a frequncia dos erros de publicao tornando mais
Furto e perda
rigorosos os processos de postagem de documentos em sites
internos e externos. Por exemplo, conte com um segundo revisor
fsica
para aprovar qualquer coisa a ser postada nos servidores da
empresa, desenvolva processos para verificar regularmente as
pginas pblicas na Web em busca de dados que no sejam pblicos
e implemente uma proibio geral de armazenar documentos
Erros diversos
no editados em um servidor de arquivos que tambm tenha um
servidor Web em execuo. incrvel a facilidade que uma planilha
tem de migrar para a pasta htmldocs. Certifique-se de que h um
processo para testar os controles de segurana aps qualquer
alterao vimos com frequncia situaes em que deixar de
restabelecer os controles resultou em uma violao por publicao.
Crimeware
Nail the snail mail fail whale
(Detectar falha de grandes malas
postais no correio)
Diga isso trs vezes bem rpido. Ao enviar grandes malas postais
(tambm propensas a erros dada a alta velocidade e a repetio),
de cartes de
Extratores
faa uma conferncia por amostragem para assegurar-se de que a
pagamento
informao no documento coincida com o nome no envelope. Esteja
atento tambm a envelopes com janela s vezes a janela pode ser
grande demais ou seu contedo pode no estar centrado corretamente
e permitir a exposio de informaes sigilosas. Muitos desses
incidentes poderiam ter sido evitados se algum tivesse pego alguns
envelopes da pilha e inspecionado antes de coloc-los no correio.
Espionagem
eletrnica
A TI no produz lixo
A TI o queima. Qualquer descarte ou venda de ativos de
informaes deve ser coordenado pelo departamento de TI.
Eduque os usurios a pensarem em descartar um computador da
mesma maneira como pensariam em descartar algum material
ATAQUES
DE DoS
De um relance
Descrio Qualquer incidente de malware que no tenha se enquadrado em outros padres, como espionagem
ou ataques de ponto de vendas. Rotulamos esse padro como crimeware, j que o apelido descreve
aplicativos na
um tema comum entre os incidentes. Na verdade, o padro abrange uma faixa de incidentes que
ATAQUES a
Principais A meta principal obter o controle de sistemas como plataforma para usos ilcitos, como furtar
descobertas credenciais, ataques de DDoS, spam, etc. Downloads da Web e drive-bys so os vetores de infeco
mais comuns.
Muitos incidentes nesta seo vm de nossos parceiros CSIRTs, A diferena que este tem como principais alvos dispositivos
Furto e perda
o que reflete um agregado de muitas organizaes vtimas. mveis Android e Blackberry com propsitos semelhantes.
fsica
O nvel de detalhes tende a ser menor porque no houve uma Embora o Zeus sirva de exemplo das famlias de crimeware
investigao forense ou anlise aprofundada semelhante (ou o relatadas em todas as partes do mundo, outros tiveram uma
relatrio no foi fornecido ao CSIRT), o que deixa as mtricas do presena mais localizada. O Nitol, por exemplo, foi muito comum
VERIS um pouco esparsas. Mas o alto nmero de incidentes ainda entre os incidentes relatados para o MyCERT da Cybersecurity
oferece algum discernimento quanto s infeces por malware Malaysia, mas no temos ocorrncias em que ele tenha afetado
Erros diversos
no dia a dia, em que os escudos representados pelo antivrus (AV) sistemas fora da sia. O Nitol permite o acesso por backdoor e
e o sistema de preveno de invaso (IPS) da vtima no puderam com frequncia faz com que os sistemas afetados participem de
repelir um poder de fogo de tal magnitude. ataques de DDoS.
Conforme esperado, este padro de incidentes consiste A expanso dos mercados online, em que especialistas oferecem
principalmente em infeces oportunistas vinculadas a cybercrime-como-um-servio, se tornou uma tendncia
criminosos organizados com algum tipo de motivao financeira crescente em 2013. Um bom exemplo na Holanda foi a onda
direta ou indireta (da o ttulo crimeware). Uma vez que o de ataques de DDoS a bancos e instituies especficas
cdigo mal-intencionado tenha adquirido algum nvel de acesso desde maro de 2013. Os assim chamados booter websites
Crimeware
e controle de um dispositivo, inmeras possibilidades de ganhar disponibilizaram esse tipo de ataque a literalmente qualquer um
algum dinheiro se abrem para o invasor. que quisesse atacar uma empresa ou instituio. Naturalmente,
um bando de outras famlias de malware fizeram aparies no ano
A notcia no to chocante que o Zeus continua sendo a maneira
passado, mas essas duas se destacaram para ns como dignas de
favorita de ganhar algum dinheiro com o crimeware em 2013 (veja
uma breve meno.
a barra lateral para obter mais detalhes). O foco do Zeus e de sua
cria, o Citadel, se concentra principalmente no furto de dinheiro
de cartes de
Extratores
pagamento
C2 86%
DoS 4%
como uma variante do Zeus, mas evoluiu consideravelmente.
O Zeus pode ser usado para instalar outros malwares, mas Adware 2%
com frequncia arrebatam credenciais de login e bancrias
Exportao de dados 1%
de dentro dos navegadores. Apesar dos esforos de muitos,
ele continuou a desconcertar os mocinhos que esto
tentando acabar com ele.
O MAIS
TUDO
Invases a pontos
mas, quando o fazem, preferem C2 (segundo os CSIRTs mais Dez principais ativos afetados entre os Crimewares
de vendas
interessantes do mundo, pelo menos). Isso faz total sentido, j (n=1.557)
que a meta obter e manter o controle de um dispositivo para Outros 43%
(servidor)
comand-lo para fazer o seu lance. Independentemente de os
Outros 19%
pequenos servos comprometidos estarem participando de um (dispositivo de usurio)
aplicativos na
(servidor)
anncios, existem numerosas maneiras de aproveitar estaes de
ATAQUES a
Outros 10%
trabalho comprometidas que no implicam em uma penetrao
Web
(pessoas)
PESSOAS DE DENTRO
PRIVILGIOS OU POR
(dispositivo de usurio)
USO INDEVIDO DE
Crimewares (n=337) Usurio final <1%
DA EMPRESA
(pessoas)
Propagao pela rede 6% Como ns, sua primeira reao pode ser por que no usar
tecnologias como IDS e antivrus? Isso reflete o papel dos
Anexo de email 5% CSIRTs como principais fornecedores de incidente de crimeware
Furto e perda
Link em email 4% neste conjunto de dados. O mtodo de descoberta no era
fsica
conhecido em 99% dos incidentes. Em geral, no est em sua
Download por malware 2%
alada de visibilidade ou responsabilidade. Pelo que nos consta,
Outros 2% os CSIRTs viram somente o 1% que no foi descoberto por
Injeo remota 1% antivrus ou IDS. A linha de tempo das descobertas na Figura 52
sugere que esse pode, de fato, ser o caso. Observe a diferena
Erros diversos
Desconhecido 1%
em N entre a Figura 51 e a Figura 52 e quantas infeces so
Mdia removvel 1% descoberta em questo de segundos somente mtodos de
deteco automatizados poderiam ser to rpidos.
A maior parte dos incidentes de crimeware comea com alguma
atividade na Web infeces por download ou do tipo drive-by Figura 51.
por kits de explorao e similares em vez de links ou anexos a Comparao entre mtodos de descoberta externos e
email.15 Adware ainda comparece, embora felizmente o Bonzi internos entre os Crimewares (n=183)
Buddy continue extinto. Para malware com um componente de
Crimeware
Descoberta externa 84%
engenharia social, tanto golpes quanto phishing desempenham
papis importantes16. Em geral, os ativos infectados no foram Descoberta interna 16%
identificados, mas interessante que, entre os casos em que
essa informao foi relatada, havia mais servidores do que Figura 52.
dispositivos de usurio. Uau. Tantos vetores. Muita famlia. Linha do tempo da descoberta entre os Crimewares
Muitos incidentes. (n=1.017)
de cartes de
Extratores
pagamento
Segundos 32%
Figura 49.
Variedade dos dados em risco entre os Crimewares (n=73) Minutos 7%
Horas 28%
Credenciais 82%
Dias 22%
Bancrios 71%
Espionagem
Semanas 8%
eletrnica
Pagamento 14%
Meses 4%
Pessoais 4%
Anos <1%
Desconhecido 4%
Internos 3%
Segredos 1%
ATAQUES
DE DoS
os tipos de coisas que o antivrus no faz to bem ou para ao computador de um usurio e, subsequentemente, sua
conta bancria. Sempre que novos malwares ou mtodos
Web
Nossos resultados vinculam o crimeware a credenciais furtadas uma transferncia bancria errnea e solicitando que o
com mais frequncia do que qualquer outro tipo de dados. Isso dinheiro seja estornado para a conta do invasor. Eventos
aponta para o principal papel do crimeware quando o objetivo do do mundo real so explorados com frequncia: uma recente
ataque obter acesso a contas de usurios. A autenticao por fuso de marcas que envolveu o maior banco online polons
dois fatores no ir impedir o furto de credenciais, mas far muito resultou em ataques que foraram os usurios a redefinir
por prevenir a reutilizao fraudulenta dessas credenciais. listas de transferncias permanentes redirecionando-os
de cartes de
pagamento
usados pelo crimeware podem ser facilidade detectados pelo de malware: o final de 2013 testemunhou ataques em
monitoramento dos principais indicadores nos sistemas. Isso grande escala contra roteadores domsticos, que tiveram
remete ao tema geral de melhorar a deteco e a resposta em vez suas configuraes de servidor DNS subsequentemente
de concentrar o foco somente na preveno. reconfiguradas de modo a apontar para servidores DNS
desonestos. Estes foram ento usados em ataques
Man-in-the-Middle (de intermedirio), atravs de uma
Alavancar feeds de ameaa srie de proxies, para subverteram mecanismos de SSL
e autenticao por dois fatores usando mtodos de
ATAQUES
DE DoS
Dada a alta incidncia de comunicaes C2, usar feeds de dados engenharia social semelhantes aos descritos acima.
de ameaa que identificam endereos IP e nomes de domnio
usados para controlar botnets e, ento, fazer a correspondncia
desses dados com os registros de firewall ou proxy pode ajudar
a acelerar a deteco e, assim, a conteno. Normalmente, no
recomendamos usar essas listas para o bloqueio cabal devido
a possveis problemas operacionais. Mas os pesquisadores de
O MAIS
TUDO
Invases a pontos
de vendas
De um relance
Descrio Todos os incidentes em que um dispositivo de extrao de informaes foi fisicamente implantado
(violao) de um ativo que l dados de tarjas magnticas de cartes de pagamento (por exemplo,
aplicativos na
caixas eletrnicos, bombas de gasolina, terminais de pontos de vendas, etc.).
ATAQUES a
Web
Principais Finanas, Varejo
setores
Frequncia 130 incidentes no total17
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
DA EMPRESA
Principais No existe tanta variao neste padro no nvel do VERIS: grupos criminosos instalam extratores de
descobertas cartes de pagamento em caixas eletrnicos (o mais comum) e em outros dispositivos de leitura de
cartes. Em um nvel mais qualitativo, os extratores de cartes de pagamento esto adquirindo uma
aparncia mais realista e tornando-se mais eficientes na explorao de dados pelo uso de Bluetooth,
transmisso pela rede celular, etc.
Furto e perda
fsica
Figura 54.
Para uma grande variedade de criminosos, desde as quadrilhas Ativos afetados entre os Extratores de cartes de
do crime altamente organizado at a variedade de inteis que pagamento (n=537)
no esto virando boa coisa, como sua mamma avisou mesmo
que seria, a extrao de informaes continua a florescer como Caixaeletrnico 87%
(terminal)
Erros diversos
uma maneira relativamente fcil de enriquecer rapidamente. Terminal de combustvel 9%
Embora a maior parte dos incidentes esteja vinculada a agentes (terminal)
na Europa Oriental, quase todas as vtimas dos extratores Acesso para leitura 2%
(rede)
Crimeware
(servidor)
1%
excluso de um mtodo consagrado usado por criminosos para
Email 1%
furtar informaes de cartes de pagamento. (servidor)
Mainframe 1%
Figura 53. (servidor)
de cartes de
Extratores
pagamento
em caixas eletrnicos (87%) e bombas de gasolina (9%), devido
Bulgria 38%
facilidade relativa com que podem ser abordados e adulterados.
Armnia 18% Com frequncia, os extratores de cartes de pagamento de
bombas de gasolina so instalados por um pequeno grupo de
Romnia 18%
pessoas que agem de comum acordo. Um cenrio envolve um ou
Brasil 8% mais conspiradores entrando no posto para fazer uma compra
e distraindo a ateno do caixa, enquanto um parceiro no crime
Espionagem
Estados Unidos 8%
eletrnica
para coletar os dados furtados. Embora isso ainda exista, Como acontece com qualquer tecnologia, a tendncia
normalmente indicativo dos viles menos organizados e desenvolver-se de volumosa e lenta para agilizada e
de menor nvel tentando descolar uma grana com algum eficiente. Os dispositivos de extrao de informaes no
tiozinho rico. Com frequncia, eles so apreendidos so uma exceo. Muitas pessoas ainda pensam no extrator
enquanto recuperam os dados extrados dos cartes. De de cartes de pagamento como o golpe clssico o pequeno
acordo com o que descobrimos sobre os ataques baseados extrator de mo usado por garons para obter ilicitamente
aplicativos na
em rede, o criminoso bem-sucedido aquele que consegue dados de tarjas magnticas enquanto mantm o carto
ATAQUES a
manter uma distncia segura entre si mesmo e o alvo. Assim, em sua posse, distante do cliente. Porque eram to fceis
Web
os criminosos mais altamente qualificados agora coletam os de usar, eles se tornaram a especialidade da maioria dos
dados via Bluetooth ou chips com cache remoto e alertas de criminosos por um bom tempo.
adulterao. Alguns dispositivos chegam a enviar um alerta
Por outro lado, era relativamente fcil para os mocinhos
por SMS para o criminoso cada vez que o caixa eletrnico
PESSOAS DE DENTRO
PRIVILGIOS OU POR
usado.
descoberta. Algoritmos de Ponto comum de compra
DA EMPRESA
Ext - deteco de fraude 26% Agora um avano rpido at o ano 2000, quando o primeiro
21% extrator de cartes de pagamento de bomba de gasolina foi
Ext - segurana pblica
encontrado em um posto na Califrnia. O extrator de cartes
Ext - cliente 17% de pagamento foi colocado dentro da bomba e (visto que
Erros diversos
Int - relatado pelo usurio 17% capturava somente informaes da tarja) os criminosos
instalaram uma cmera de vdeo sem fio a 375 metros de
Ext - parte no relacionada 12%
distncia em um compartimento a prova d'gua. Nesse
Int - deteco de fraude 7% caso especfico, a cmera foi descoberta e desconectada
por um investigador. Em questo de minutos, os bandidos
Com o subterfgio e a fraude sendo os objetivos por trs da
apareceram no posto para ver o que tinha dado errado e
extrao de informaes, no de se surpreender que esse
foram prontamente levados para a priso.
padro seja mais comumente detectado por um terceiro.
Crimeware
Na maior parte do tempo, esse terceiro uma empresa de O risco de descoberta durante a recuperao acabou
cartes de pagamento ou um cliente que percebeu alguma se tornando grande demais e, por isso, mais criminosos
atividade fraudulenta. Outras vezes, um telefonema de um comearam a fabricar extratores de cartes de pagamento
rgo de segurana pblica depois de prenderem uma gangue e a vend-los online. Essa nova onda de dispositivos era
com um porta-malas cheio de dispositivos de extrao equipada com Bluetooth, o que permitia baixar os dados da
de informaes e cartes plsticos brancos. Na rabeira tarja e do PIN na segurana do estacionamento.
de cartes de
Extratores
pagamento
Invases a pontos
Embora algumas pessoas possam questionar essa opinio,
de vendas
no encontramos nenhum erro bvio ou omisso por Proteger o PIN
parte das organizaes que permitem que a extrao de
Ao inserir seu PIN, cubra sua mo para impedir pequenas
informaes seja bem-sucedida quando isso normalmente
cmeras que possam estar gravando seus movimentos. Voc
no aconteceria. Mas h algumas coisas que podem ser
no gostaria que seu PIN casse nas mos de um pilantra sem
feitas para dificultar para o criminoso e abreviar a janela de
vergonha, gostaria?
aplicativos na
exposio.
ATAQUES a
Confiar nos seus instintos
Web
Para empresas
Se alguma coisa parecer no estar normal em seu caixa
Projetar (ou comprar) terminais
eletrnico ou bomba de gasolina, pode ser que alguma coisa
resistentes a violao suspeita esteja mesmo acontecendo. Embora os criminosos
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
estejam cada vez mais astuciosos ao projetar extratores
Enquanto comerciante, provavelmente isso algo que voc
DA EMPRESA
de cartes de pagamento difceis de detectar, talvez voc
no pode fazer por sua prpria conta, mas esteja ciente de
ainda consiga notar algo fora do comum, especialmente se o
que certos designs so mais susceptveis a dispositivos
terminal tiver um aspecto diferente dos outros ao seu redor.
de extrao de informaes do que outros. Muitos caixas
Se alguma dessas engenhocas no for igual s outras, no
eletrnicos modernos so projetados com isso em mente;
passe o seu carto!
escolha um desse tipo, se possvel.
Furto e perda
Usar controles evidentes contra No se calar
fsica
violao Se algo lhe parecer fora do normal em um terminal de
Faa coisas que tornam bvio (ou enviam um alerta) quando pagamento, no se cale. No deixe de avisar o comerciante ou
ocorre uma violao. Isso pode ser simples, como lacrar o banco que voc pode ter detectado um extrator de cartes
a porta de uma bomba de gasolina com um adesivo, ou de pagamento. Voc no estar ajudando apenas eles, mas
Erros diversos
tticas mais sofisticadas, como o monitoramento visual de tambm os outros consumidores.
anomalias em caixas eletrnicos.
Crimeware
para detectar extratores de cartes de pagamento e
reconhecer comportamentos suspeitos de indivduos
tentando instal-los. Se um criminoso for capaz de colocar
um extrator de cartes de pagamento de um de seus
dispositivos, essas inspees regulares ajudaro a restringir
os danos.
de cartes de
Extratores
pagamento
Espionagem
eletrnica
ATAQUES
DE DoS
O MAIS
TUDO
De um relance
Descrio Os incidentes neste padro incluem acesso no autorizado rede ou ao sistema vinculado a agentes
aplicativos na
Principais
Web
DA EMPRESA
Principais O que mais nos surpreende o crescimento consistente e significativo do nmero de incidentes no
descobertas conjunto de dados. Sabamos que era generalizado, mas um pouco desconcertante quando o valor
triplicado em relao ao nmero j muito maior do ano passado. A espionagem exibe uma variedade
mais ampla de aes de ameaa do que qualquer outro padro. As mudanas mais evidentes com
relao a nosso ltimo relatrio incluem a elevao do nmero de comprometimentos estratgicos na
Web e as regies estratgicas mais amplas representadas tanto pelas vtimas quanto pelos agentes.
Furto e perda
fsica
Para obter mais informaes sobre os cdigos NAICS [mostrados a seguir], visite:
https://www.census.gov/cgi-bin/sssd/naics/naicsrch?chart=2012
ATAQUES
DE DoS
O MAIS
TUDO
Invases a pontos
nestes dados. Nossos dados no abrangem toda a atividade de de fornecedores de inteligncia de ameaas que alegam ter
de vendas
espionagem em 2013 muito longe disso, na verdade. Como 100% de certeza de que um ataque do grupo X, do pas Y,
fica evidente na Figura 57, a amostra ainda , em grande medida pelo motivo Z; eles esto provavelmente incorretos. Existem
(mais da metade), baseada dos Estados Unidos, mas no com muitos mtodos de se determinar a atribuio algumas vezes
tanta exclusividade como nos anos anteriores. Esperamos que seguindo as migalhas deixadas pelos agentes. Outras vezes
essa tendncia continue, medida que mais organizaes globais excluindo as alternativas por meio de algo parecido com a
vo se juntando causa. No podemos seno nos perguntar por anlise de hipteses concorrentes.20 Nenhum desses mtodos
aplicativos na
que no temos exemplos de vtimas italianas de espionagem em perfeito. importante avaliar cuidadosamente as informaes
ATAQUES a
nosso conjunto de dados. Nossa melhor hiptese que agentes para se certificar de no estar sofrendo de algum tipo de vis
Web
sofisticados devem se lembrar da gafe clssica que opor-se a cognitivo.21 Seria mais til se uma linguagem probabilstica, como
um siciliano quando a morte est em jogo ao escolher seus alvos as Palavras de Probabilidades Estimativas22 de Sherman Kent,
fosse usada na descrio da atribuio a determinados pases,
Figura 57. regies e agentes de ameaa. Com isso em mente, os dados a
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
Pas da vtima entre as Espionagens eletrnicas (n=470) seguir se enquadrariam entre Provvel e Quase certo.
DA EMPRESA
Estados Unidos 54% Figura 58.
Coreia do Sul 6% Variedade de agentes externos entre as Espionagens
eletrnicas (n=437)
Japo 4%
Furto e perda
Colmbia 2% Crime organizado 11%
fsica
Ucrnia 2% Concorrente 1%
Vietn 1% Ex-funcionrio 1%
Erros diversos
Cazaquisto 1%
Conforme esperado, a maioria dos incidentes desta categoria
Filipinas 1% atribuda a agentes afiliados ao estado. Mas os dados tambm
nos lembram de que grupos do crime organizado, concorrentes
e funcionrios23 e ex-funcionrios tambm entram no jogo.
(a gafe mais famosa , logicamente, se envolver em uma guerra
Tambm percebemos que o jogo mais longo da espionagem nem
territorial na sia). Assistiu A Princesa Prometida?
sempre a nica motivao. Com frequncia, tambm aparece
Alm da ampliao geogrfica, vemos uma distribuio ampla um elemento financeiro mais direto de mais curto prazo. Um
Crimeware
tanto por porte quanto por tipo das organizaes vtimas. exemplo seria um furto no estilo mercenrio de cdigo-fonte ou
Infelizmente, o porte das vtimas nem sempre registrado, o certificados digitais contratado por uma organizao rival ou
que nos deixa com muitas incgnitas, aqui. Na medida em que outra parte interessada.
podemos determinar a partir dos dados nossa frente, contudo,
o porte no parece ser um fator significativo na escolha do alvo. Figura 59.
O setor, por outro lado, parece: os setores Pblico, Profissional Regio dos agentes externos entre as Espionagens
de cartes de
Extratores
pagamento
e de Manufatura so mais visados pela espionagem do que o eletrnicas (n=230)
restante do campo (que ainda abrange uma variedade bastante
ampla). No h muita dvida de que os nmeros do setor Pblico, Extremo Oriente 49%
que abrangem embaixadas, programas econmicos, organizaes No atribudo 25%
militares e outras organizaes de apoio, so elevados por nossos
Europa Oriental 21%
colaboradores governamentais. Tambm h pouca dvida de que
Espionagem
incidentes atribuda ao Extremo Oriente muito menos diversificada, os mtodos bsicos de obter acesso ao ambiente
de vendas
predominante no conjunto de dados deste ano. Dois pases em da vtima no so. O mais prolfico o bom e velho spear phishing.
especial, a Repblica Popular da China e a Repblica Popular Ns (e outros) abordamos isso at a exausto em relatrios
Democrtica da Coreia, representam essa regio. Isso enfatiza anteriores, mas para aqueles dois leitores que talvez tenham
o ponto de vista que defendemos em nosso ltimo relatrio de perdido alguma coisa, aqui vai: Um email bem elaborado e
que, apesar de apenas a China constar de nossos resultados, relevante em termos pessoais ou profissionais enviado para um
a China definitivamente no era o nico pas conduzindo ou mais usurios visados, solicitando a eles que abram o anexo ou
aplicativos na
Um aspecto deste padro que o diferencia dos demais a grande Drive-by na Web 20%
variedade de aes de ameaa. Muitos dos outros padres Instalao direta 4%
tm histrias mais simples com relativamente menos aes do Download por
malware 3%
VERIS. A espionagem quebra radicalmente esse padro, ainda
que as aes especficas envolvidas no sejam uma surpresa Link em email 2%
Erros diversos
Backdoor [mal]
Extratores
65%
pagamento
Invases a pontos
Variedade dos dados em risco entre as Espionagens Linha do tempo da descoberta entre as Espionagens
de vendas
eletrnicas (n=355) eletrnicas (n=101)
aplicativos na
Credenciais 39% Dias 8%
ATAQUES a
Web
Sigilosos 31% Semanas 16%
Pessoais 2% Anos 5%
PESSOAS DE DENTRO
PRIVILGIOS OU POR
Pagamento 1%
USO INDEVIDO DE
O mtodo de descoberta mais comum a notificao ad hoc
DA EMPRESA
Direitos autorais <1% de organizaes de inteligncia e pesquisa de ameaa que
observam, por exemplo, a vtima se comunicando com uma
Outros <1%
infraestrutura de C2 de um grupo de ameaa conhecido. Embora
Depois que o email de phishing ou o SWC tiver feito seu trabalho por si s isso no seja uma boa notcia, sugere que as operaes
e um sistema interno estiver infectado, a questo passa a de inteligncia so uma importante ferramenta para o combate
ser mover-se com determinao rumo rede para buscar espionagem.
Furto e perda
o prmio. Isso pode acontecer rapidamente, mas tambm
fsica
pode se prolongar por anos. Mtodos comuns que envolvem o Ferramentas do ofcio: Comprometimento
carregamento de backdoors em sistemas para manter o acesso, estratgico de sites
instalar spyware/keyloggers e password dumpers para furtar Os Comprometimentos estratgicos de sites (SWCs) so,
credenciais de usurio e ento us-las para elevar privilgios e comprovadamente, uma ttica eficaz de ameaas afiliadas
expandir o controle.
Erros diversos
ao estado para se infiltrar nas redes de organizaes-alvo.
Figura 63. Em 2012, os SWCs fizeram sua estreia com o VOHO
Dez principais mtodos de descoberta entre as Espionagens Affair24 e continuaram em 2013 com ataques cujo foco se
eletrnicas (n=302) concentrou nos setores Pblico, de Manufatura, Profissional
e Tcnico.
Totaldeexternos 85%
Os SWCs alavancam websites que sejam de valor crtico
Totaldeinternos 15% ou complementar para a linha de negcios de um setor
Crimeware
para distribuir malware tradicionalmente contido em
Ext - parte no relacionada 67%
emails de spear phishing. Os visitantes se defrontam com
Ext - segurana pblica 16% um download do tipo drive-by que concede aos invasores
Int - antivrus 8% acesso/propriedade de seu sistema. Os SWCs de 2013
afiliados ao estado exibiram trs novas vulnerabilidades de
Int - NIDS 2% dia zero baseadas em navegador (que constituram mais de
de cartes de
Extratores
pagamento
Int - relatado pelo usurio 2% 75% dos SWCs divulgados publicamente), o que elevou a
taxa de comprometimento por evento.
Int - exame de registros 1%
Int - desconhecido 1% Ento, por que aumentou o uso de SWCs nas campanhas
de espionagem? Bem, no h dvidas de que os invasores
Outros 1% escalonaram bem essa ttica e de que ela proporciona
Ext - cliente 1% uma promessa razovel de ambiguidade. Optando por
Espionagem
eletrnica
discernir o estado geral das coisas. Normalmente demora meses dos SWCs, mas isso parece improvvel. Embora haja
ou at mais tempo at que as vtimas saibam que foram violadas desvantagens para o invasor com relao aos SWCs (alta
e, em geral, isso acontece porque um terceiro as notifica. visibilidade e alto custo de detonar e exaurir um dia zero), os
benefcios de um modo de baixo custo de prestar suporte a
operaes de longo prazo costumam superam os riscos.
O MAIS
TUDO
Isolar a causa-raiz de uma violao relacionada espionagem Alm do bsico, h algumas prticas especficas que as
de vendas
um pouco como caar unicrnios. claro que as vtimas cometem organizaes preocupadas com adversrios afiliados ao estado,
erros (sejam pequenos ou no) que so explorados no processo, entre outros rivais determinados, devem levar em considerao.
mas a verdadeira causa-raiz um adversrio determinado, Em linhas gerais, elas seguem pontos crticos no caminho
habilidoso, paciente e bem aparelhado que continuar cutucando do ataque, em que as vtimas tm as melhores chances de
at encontrar (ou fazer) um furo. Com isso em mente, vamos dar reconhecer e responder.
aplicativos na
criptonita APT ciberfantsticas podem se tornar irrelevantes. seu foco na implementao de uma soluo que proteja
DA EMPRESA
infectar sistemas de usurios finais uma etapa inicial comum Para organizaes mais maduras, confira a coleo crescente
para os invasores. Manter tudo atualizado ir dificultar um pouco de solues de Preveno de execuo de dados (DEP, Data
fsica
pagamento
que qualquer outro processo interno ou tecnologia. Nem tudo dados em sua organizao. Compare-as com sua inteligncia de
tem a ver com preveno. Arme-os com o conhecimento e ameaa e minere esses dados com frequncia.
as habilidades de que precisam para reconhecer e denunciar
incidentes potenciais rapidamente. Parar o movimento lateral dentro da rede
Depois de obter acesso, os invasores comearo a comprometer
Segmentar a rede
Espionagem
Uma boa segmentao da rede e das funes pode fazer aqui tambm.
maravilhas para conter um incidente, especialmente quando A autenticao por dois fatores ajudar a conter a disseminao e
os agentes pretendem alavancar o acesso a um desktop como a reutilizao incontestada das contas de usurio.
trampolim para toda a rede.
Mencionamos algumas noes bsica de segmentao da rede,
mas como faz-la bem pode ser um desafio, vamos mencion-la
Manter bons registros
ATAQUES
Invases a pontos
de vendas
De um relance
Descrio Qualquer ataque cujo objetivo seja comprometer a disponibilidade de redes e sistemas. Inclui tanto
ataques no nvel da rede quanto do aplicativo.
aplicativos na
Principais Finanas, Varejo, Profissional, Informao, Pblico
ATAQUES a
setores
Web
Frequncia 1.187 incidentes no total
A atrao do DDoS em nosso conjunto de dados de 2013 foi a campanha do QCF contra o setor
PESSOAS DE DENTRO
Principais
PRIVILGIOS OU POR
USO INDEVIDO DE
descobertas financeiro, que comprometeu CMSs vulnerveis para criar ataques com alta largura de banda a
DA EMPRESA
partir de centros de hospedagem. Os ataques de reflexo de DNS tambm se tornaram grandes,
mas avistamentos do equivalente do DoS ao Homem das Neves (DDoS que sirvam de distrao para
encobrir outras atividades nefastas) continuam raros.
Furto e perda
Espera um segundo. Ataques de DoS? No relatrio de violaes pais j sabe, aquele que voc est sempre limpando quando
de dados? faz uma visita na poca das festas. Obviamente, esses sistemas,
fsica
reservados em grande medida para usurios domsticos normais
Sabendo que esses ataques so os primeiros que vm mente de
da Internet, tm relativamente pouca largura de banda de DSL ou
muitas organizaes especialmente luz os eventos do final de
modems a cabo. Os invasores podiam ento, valendo-se de seu
2012 e 2013 decidimos expandir o escopo do Relatrio DBIR
botnet de zumbis de DoS, enviar comandos para ataques diretos
de modo a inclu-los. Coletamos um bom tanto de dados sobre
Erros diversos
a um alvo especfico. Faa um avano rpido at setembro de
o tpico de vrias fontes, inclusive das equipes da Akamai e da
2012 e voc ver um cenrio totalmente distinto, bem como um
Verizon que passaram muito tempo nas trincheiras, combatendo
mtodo diferente de criar um botnet melhor. Nessa situao,
ataques de DDoS em 2013. Poderamos ter mudado o nome para
os invasores faziam a varredura em busca de websites e CMSs
Relatrio de Incidentes de Segurana da Verizon (VSIR, da sigla
vulnerveis e os exploravam. Ento colocavam scripts de ataques
em ingls), mas a Microsoft j havia exigido os direitos sobre o
DoS especficos nesses sites. O principal script usado por esses
ttulo SIR26.
invasores uma verso personalizada de um kit russo conhecido
Uma nova tendncia comeou a se desenvolver em setembro como Brobot ou itsoknoproblembro. Ento, qual a diferena?
Crimeware
de 2012. No passado, os ataques de DoS eram gerados Bem, para comear, esses zumbis de botnet no esto confinados
principalmente de computadores domsticos comprometidos ou aos gargalos da Internet dos usurios de banda larga domstica.
por participantes dispostos. Pense no sistema desktop dos seus
Figura 65.
de cartes de
Nveis de largura de banda e contagem de pacotes de ataques de negao de servio 2011-2013
Extratores
pagamento
2011 mdia = 4,7Gbps 2011
.3 bits por segundo pacotes por segundo
Densidade
mdia = 0,4Mpps
.2
.1
Espionagem
eletrnica
mdia = 2,6Mpps
.2
.1
ATAQUES
DE DoS
mdia = 7,8Mpps
.2
.1
O MAIS
TUDO
privadas/ etc. com alta largura de banda. Os servidores tambm serem devastadores, observamos outra tendncia no centro
de vendas
so otimizados para trfego intenso. Junte esses dois e ter os das atenes recentemente: ataques de reflexo de DNS. No
ingredientes para o que os gamers poderiam chamar de um BFG to desajeitados ou aleatrios quanto um botnet, so uma arma
do DoS. Ou, se seu negcio for msica bota o volume no 11. elegante para uma era mais civilizada. Voc se lembra do maior
Ataques com alto nmero de pacotes e alta largura de banda. Em ataque de DoS da histria?27 Se no se lembra, permita-nos
alguns dos ataques por Brobot do ano passado, vemos mais de refrescar sua memria. Em maro de 2013, a organizao
97 Gbps/100 Mpps. Esses foram alguns dos maiores ataques que antisspam Spamhaus foi alvo de um ataque de DoS em massa e
aplicativos na
ns (e provavelmente qualquer um) jamais testemunhamos. sustentado cujo pico alguns fornecedores de segurana alegam
ATAQUES a
eles apelidaram de Operao Ababil. E foi exatamente isso que E como funciona? Normalmente, o invasor envia um punhado
fizeram. Por vrias semanas prximo ao fim de 2012 e durante de consultas DNS para abrir os resolvedores DNS. O invasor
boa parte do primeiro semestre de 2013, o QCF lanou onda atrs forja o endereo de origem em suas solicitaes para fazer com
de onda de ataques de DoS contra bancos estadunidenses usando que paream originadas de seu alvo desejado. Os resolvedores
seus poderosos canhes de ons do Brobot (pense em Hoth). abertos ento enviam suas respostas tipicamente maiores para
Furto e perda
que a Operao Ababil no era mais do que uma fachada para a. Divida isso por 25.000.000 e vai dar cerca de 8.500 bits
invasores afiliados ao estado baseados no Ir. Essas teorias por pacote ou um pouco mais de 1.000 bytes por pacote, em
criaram um dilema no VERIS quanto a como classificar a mdia. Isso indica que muitos dos pacotes esto prximo
variedade de agente do QCF. Eles so verdadeiros hacktivistas ao tamanho mximo de pacote que a maioria dos ISPs
querendo remover vdeos do YouTube ou so agentes de ameaa roteia. Testemunhamos ataques com uma taxa de pacotes
afiliados ao estado sondando os pontos fracos da infraestrutura
de cartes de
pagamento
financeira dos Estados Unidos por ordem do governo iraniano? Tanto os invasores quanto os defensores tendem a criar
Infelizmente, a infraestrutura de comando e controle em vrias sensacionalismo com relao a ataques como este. Ambos
camadas utilizada na criao do botnet torna incrivelmente tm motivos para infl-los. Os invasores querem chamar
difcil determinar com certeza a partir de fontes abertas que o a ateno para seus ataques e os defensores diro, Olha,
Ir de fato o grande mago por trs da cortina verde e, por isso, foi to grande que no havia como mantermos aquele site
acabamos optando pelo propsito publicamente declarado dos funcionando. Ou, se for um fornecedor, Veja quo potente
Espionagem
eletrnica
nvel dos aplicativos. Nesses ataques lentos e de baixo nvel, o 6,7 Gbps a 2,5 Mpps. Voc no dever se surpreender ao
QCF teria enviado vrias solicitaes GET em HTTPS de arquivos saber que em 2013 o ataque mdio de DoS registrou 10,1
em PDF no site visado. Esses tipos de ataques so especialmente Gbps e prximo a 8,1 Mpps. Embora o QCF e seu poderoso
frustrantes: no requerem recursos significativos, pode ser difcil arsenal provavelmente arquem com parte da culpa por esse
se proteger contra eles e podem ser incrivelmente eficazes. O aumento ano a ano, a crescente popularidade dos ataques
uso de HTTPS especialmente problemtico para a atenuao, de reflexo e o poder que geram so os principais culpados.
porque os pacotes so criptografados, o que dificulta para os
O MAIS
TUDO
Invases a pontos
de DNS e da converso de servidores Web em bots de DoS de
Agora que j falamos detalhadamente sobre o problema, uma
de vendas
alta potncia, pouca coisa mudou nos ltimos anos. claro que
boa hora para discutirmos o que pode ser feito para reduzir ou at
sempre h novos kits de ferramentas de DoS se infiltrando
mesmo prevenir ataques de DoS contra sua organizao.
no submundo e novas ondas de ataques acontecendo, mas os
princpios gerais permanecem os mesmos, assim como os alvos.
Vimos muitos ataques direcionados para os setores financeiro, Comecemos pelo bsico
de varejo, servios profissionais e pblico. Existe melhor maneira
aplicativos na
de infligir dor a um banco ou varejista do que ir atrs de seu Servidores/servios devem ser sempre desligados quando no
ATAQUES a
website algo crtico ao atendimento ao cliente? E embora estiverem em uso, ter os patches aplicados quando estiverem em
Web
realizar um ataque de DoS no seja to difcil quanto parece, os uso e estar disponveis somente para as pessoas que precisam
resultados podem variar. Para o invasor financeiramente limitado, deles, especialmente no caso de ataques de reflexo.
possvel baixar ferramentas de fonte aberta, como o Low Orbit
Ion Cannon (LOIC), mas ele ir precisar que MUITOS amigos Isolar os principais ativos
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
faam o mesmo para que o ataque tenha uma chance de ser bem-
DA EMPRESA
sucedido. Por outro lado, se tiver algum dinheiro para gastar, o Segregue os principais IPs/servidores do espao IP que no
invasor pode alugar um botnet DirtJumper ou Athena e esmurrar essencial. Qualquer espao IP que no esteja sendo ativamente
o alvo de sua preferncia por menos de $10 dlares por hora. Um usado para os principais servidores deve ser anunciado em
indivduo mais empreendedor (e voltado para o desenvolvimento) um circuito separado. Pode at ser uma boa ideia comprar um
pode at chegar a programar seu prprio script de DoS e pequeno circuito de backup e anunciar o espao IP. Dessa forma,
arrebanhar um botnet. E pode confiar que esses trs cenrios se se for atacado, o ataque no ir comprometer suas instalaes e
Furto e perda
desenrolam todos os dias no submundo do crime ciberntico. servidores principais.
fsica
Ouvimos muitos clientes e colegas expressarem uma
Ficar confortvel
preocupao com relao aos invasores usarem ataques de
DoS como uma cortina de fumaa para ocultar transferncias No hesite em usar o servio anti-DDoS de seu provedor. Voc
fraudulentas na cmara de compensao automatizada deve poder test-lo a cada trimestre sem cobrana. Certifique-se
Erros diversos
(ACH), entre outras atividades ilcitas. Embora haja relatrios de que suas principais equipes de operaes iro reagir em tempo
espordicos desse fato, as provas concretas que conseguimos hbil caso ocorra de fato um ataque. Mesmo que seu provedor
coletar no indicam que a incidncia ou o impacto justifiquem o oferea a mitigao automtica, esse no pode ser um servio
nvel de ansiedade. s vezes, na brincadeira, nos referimos a isso do tipo que se possa instalar e esquecer.
como o Homem da Neve do DoS, no porque no acreditemos
que seja real, mas porque estamos intrigados e queremos
Ter um plano estabelecido
captur-lo em filme. A coleta de dados para o Relatrio DBIR
2015 j est em andamento, e convidamos qualquer um que O que voc pretende fazer? A quem voc vai recorrer se seu anti-
Crimeware
tenha filmagens tremidas com viso noturna disso a pr um fim DDoS principal no funcionar? Voc sabe o que fazer se um de
nas nossas dvidas. seus circuitos ou servidores deixar de funcionar. Que diferena h
entre um caso e outro?
Fazer os clculos
de cartes de
Extratores
pagamento
Saiba que a maior parte dos ataques tem a ver com os ndices
de FUD (Medo, incerteza e dvida, da sigla em ingls) citados na
mdia noticiosa. Eles esto acima da capacidade de seu servidor
SSL ou talvez equivalham a algumas vezes a taxa de sua linha de
circuito de ingresso. Mas os invasores tambm no tm recursos
infinitos o maior ataque ser logo acima daquilo com que voc
Espionagem
eletrnica
consegue lidar.
De um relance
aplicativos na
Descrio Este ltimo padro na verdade no um padro. Em vez disso, ele abrange todos os incidentes que
ATAQUES a
no se enquadram nos confins ordenados dos outros padres. Isso posto, seria de se imaginar que voc
Web
jamais encontraria um bando mais desprezvel de escria e vilanagem do que este sortimento aleatrio
de rejeitados. Mas o que de fato encontramos no se parece nem de longe com a canalhada da cantina de
Mos Eisley. O grupo dominado quase inteiramente por duas espcies de incidentes relacionados.
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
DA EMPRESA
Ento, porque no criar mais dois padres?, voc pode Ento, por que vocs dizem que so espcies relacionadas?,
perguntar. Excelente pergunta. Permita-nos explicar. voc pode contra-argumentar. Um pouco de investigao dos
dados revela o fato de que esses incidentes representam, na
Primeiro, vamos descrever o que vemos aqui entre esses 7.269
verdade, ataques em massa denunciados a um CSIRT. Em um
incidentes. Os agentes so 99,9% externos. Ao de hacker
deles, milhares de servidores em instalaes de hospedagem
genrica (variedade desconhecida), phishing e malware de
Furto e perda
Figura 66.
Agrupamento hierrquico de enumeraes do VERIS para divulgaes de dados confirmadas que ficam fora dos principais padres de incidentes
20 10 0
ativo.ativos.variedade.S - Banco de dados (9)
atributo.confidencialidade.dados.variedade.Pessoal (5)
atributo.confidencialidade.dados.variedade.Segredos (12)
pagamento
atributo.confidencialidade.dados.variedade.Pagamento (11)
agente.externo.motivao.Financeira (22)
atributo.confidencialidade.dados.variedade.Banco (9)
ao.social.vetor.Telefone (11)
atributo.confidencialidade.dados.variedade.Credenciais (22)
Invases a pontos
se torna aparente que esses incidentes no so algo totalmente ramificao sugerem que esse emparelhamento s vezes visto
de vendas
diferente, seno simplesmente lhes faltam detalhes suficientes em conjuno com ataques de fora bruta, instalao de software
para que possam ser mais bem classificados. no autorizado (malware) e apropriao indbita (uso ilegtimo/
sequestro) de servidores de arquivo. Isso no exclusivo, veja
Uma viso ligeiramente mais interessante encontrada pela
bem, mas um padro reconhecido pelo algoritmo.
restrio ao subconjunto que envolveu a divulgao confirmada
de dados (81 incidentes).28 Usaremos o dendrograma da Figura Acima dele, vemos um agrupamento fortemente relacionado que
aplicativos na
66 para sair caa de padres. Ns nos damos conta de que vincula engenharia social baseada em telefone por funcionrios
ATAQUES a
dendrogramas no so as visualizaes inerentemente mais de call centers. Incluir os agrupamentos prximos a todo esse
Web
intuitivas29, mas a premissa bsica bastante direta e eles segmento do meio acrescenta mais contexto: criminosos
atendem bem a esse propsito. organizados com motivao financeira usando pretextos para
furtar informaes de pagamento de call centers bancrios e
As palavras no dendrograma so enumeraes do VERIS.
conduzir transaes fraudulentas.
As enumeraes esto organizadas em agrupamentos. Os
PESSOAS DE DENTRO
PRIVILGIOS OU POR
USO INDEVIDO DE
agrupamentos esto conectados direta ou indiretamente O furto de segredos comerciais meio que se evidencia, como o
DA EMPRESA
por ramificaes de nveis variados. Mltiplas enumeraes dgito extra de um homem com seis dedos (sim, aquele que matou
no mesmo agrupamento ou ramificao de baixo nvel (que se seu pai e deve se preparar para morrer de novo A Princesa
fundem mais direita) significa um relacionamento prximo Prometida); provavelmente porque a fonte sabia o que foi
e diferenciado (ou seja, eles comumente aparecem juntos nos tomado, mas no como foi tomado nem por quem.
incidentes). Enumeraes e agrupamentos separados por
Os clusters mais em cima parecem ser invases genricas a
ramificaes mais altas significam relacionamentos fracos ou
Furto e perda
servidores Web e bancos de dados para furtar informaes pessoais.
pouco frequentes.
fsica
Poderamos nos aprofundar nessa toca de coelho, mas isto
Quando aplicado Figura 66, isso resulta em um agrupamento na
pelo menos nos d uma ideia do que no se qualificou para os
parte inferior, que engloba credenciais furtadas e o uso dessas
outros padres. De qualquer forma, voc j deve estar com o
credenciais para obter acesso no autorizado. Agrupamentos
dendrograma pelas tampas a esta altura.
Erros diversos
Voc e eu saindo para um phishing no escuro Figura 67.
No relatrio do ano passado, examinamos dados do ThreatSim Taxas de sucesso de exerccios de phishing
e chegamos concluso devastadora de que o phishing
uma maneira eficaz de obter acesso a uma organizao. Ok, Drive-by 18%
talvez isso no seja nenhuma novidade, mas a revelao de
Crimeware
Formulrio/Entrada de dados 9%
que uma campanha de phishing com apenas dez mensagens
tem uma chance de mais de 90% de conseguir um clique foi Clique em anexo 9%
surpreendente para muitos de ns.
de cartes de
do ano passado; que mesmo uma campanha composta por
Extratores
pagamento
um pequeno nmero de mensagens de email tem uma alta
100%
probabilidade de sucesso. No entanto, este ano conclumos
Geral
que a taxa de sucesso geral de uma mensagem de phishing foi 90%
Infeces do
(2013)
ligeiramente mais baixa, de 18%. O motivo pode ser a maior tipo drive-by
conscientizao quanto ao phishing, ou apenas uma variao 80%
50% (2014)
70%
eletrnica
Ao de usurio
Tambm analisamos a taxa de sucesso de diferentes tticas
60% (2014)
de phishing. mais provvel que o usurio visite um link do
que que execute um anexo? mais provvel que ele clique em 50%
um anexo do que que digite suas senhas em um formulrio na
Web? Em geral, parece que cerca de 8% dos usurios clicam 40%
comprometimento.
O MAIS
TUDO
aplicativos da
Extratores de
Furto/perda
Espionagem
Uso indevido
de dentro da
Crimeware
por pessoas
Invases a
eletrnica
Ataques a
diversos
Ataques
cartes
empresa
de DoS
Controles de segurana crticos
Erros
fsica
PDV
Web
(SANS Institute)
Para saber mais sobre os Controles de segurana crticos do SANS Institute, visite: http://www.sans.org/critical-security-controls/
Transporte [48,49]
crticos
Construo [23]
Informao [51]
Minerao [21]
Varejo [44,45]
Educao [61]
Comrcio [42]
Hotelaria [72]
(SANS Institute)
Finanas [52]
Imveis [53]
Pblico [92]
Gesto [55]
Outros [81]
Sade [62]
Inventrio de software 2,4
3,1
Configuraes
3,2
padro
3,8
5,1
Defesas contra
5,2
malware
5,6
6,4
Desenvolvimento
6,7
seguro
6,11
Backups 8,1
9,3
Pessoal qualificado
9,4
11,2
11,6
12,1
12,2
Administrao
12,3
limitada
12,4
12,5
13,1
13,7
Defesa de fronteiras
13,10
13,14
16,1
Gesto de
16,12
identidade
16,13
17,1
Preveno de perda
17,6
de dados
17,9
18,1
Resposta a
18,2
incidentes
18,3
Para obter mais informaes sobre os cdigos NAICS [mostrados a seguir], visite: https://www.census.gov/cgi-bin/sssd/naics/naicsrch?chart=2012
Para saber mais sobre os Controles de segurana crticos do SANS Institute, visite: http://www.sans.org/critical-security-controls/
Com base no feedback, uma das coisas que os leitores mais valorizam 1. Metodologia de coleta de dados da Verizon
com relao a este relatrio o nvel de rigor e integridade que A metodologia subjacente que usamos permanece inalterada em
empregamos ao coletarmos, analisarmos e apresentarmos os dados. relao aos anos anteriores. Todos os resultados se baseiam em
Saber que nossos leitores se importam com essas coisas e consomem evidncia de primeira mo coletada durante peritagens jurdicas
essas informaes com um olho clnico ajuda a nos manter honestos. externas pagas e operaes de inteligncia relacionadas que
Detalhar nossos mtodos uma parte importante da honestidade. conduzimos entre 2004 e 2013. O conjunto de casos de 2013 o foco
analtico principal do relatrio, mas h referncias a toda a coletnea
Nossa metodologia geral permanece intacta e em grande medida
de dados em todo o documento. Quando uma investigao concluda,
inalterada em relao aos anos anteriores. Com 50 organizaes
nossos analistas usam evidncia de caso, relatrios e entrevistas para
contribuindo com dados este ano, no houve apenas um meio de coleta
criar um registro no VERIS do incidente ou incidentes. O registro
e registro dos dados. Em vez disso, empregamos diferentes mtodos
ento revisado e validado por outros membros da equipe para garantir
para reunir e agregar os dados produzidos por uma variedade de
que os dados sejam confiveis e consistentes.
abordagens por nossos colaboradores.
2. Metodologia para colaboradores que usam o VERIS
Depois de coletados, todos os incidentes includos neste relatrio
Os colaboradores que se valeram deste mtodo forneceram dados de
foram revisados individualmente e convertidos (se necessrio) para
incidentes nossa equipe no formato do VERIS. Por exemplo, os agentes
a estrutura do VERIS para que se pudesse criar um conjunto de dados
do Servio Secreto dos Estados Unidos (USSS) usaram um aplicativo
agregado annimo em comum. Mas o mtodo de coleta e as tcnicas
interno baseado no VERIS para registrar detalhes pertinentes aos casos.
de converso diferiram entre os colaboradores. Em geral, trs mtodos
Vrias outras organizaes registraram incidentes diretamente em um
bsicos (explicados a seguir) foram usados para tanto:
aplicativo que criamos especificamente para essa finalidade.30 Para
1) registro direto pela Verizon por meio do VERIS alguns colaboradores, capturamos os pontos de dados necessrios por
meio de entrevistas e requisitamos informaes adicionais, conforme
2) registro direto pelos colaboradores por meio do VERIS
necessrio. Seja qual fosse o processo exato de registro dos dados,
3) recodificao com o VERIS do esquema existente de um colaborador esses colaboradores se valeram de observaes investigativas,
relatrios fornecidos pela vtima ou por outras firmas forenses, bem
Todos os colaboradores receberam instrues de omitir quaisquer
como sua prpria experincia, obtida ao lidar com o incidente.
informaes que pudessem identificar as organizaes ou indivduos
envolvidos, visto que tais detalhes no so necessrios criao do 3. Metodologia para colaboradores que no usam o VERIS
Relatrio DBIR. Alguns colaboradores j coletam e armazenam dados de incidentes
usando sua prpria estrutura. Um bom exemplo disso o CERT Insider
Threat Database31 (Banco de dados de ameaas por pessoas de dentro
Compartilhar e publicar informaes da organizao do CERT), compilado pelo CERT Insider Threat Center
sobre incidentes no fcil, e aplaudimos no Software Engineering Institute (Instituto de engenharia de software)
da Carnegie Mellon University. No caso desta e de outras fontes de
a disposio e o trabalho de todos esses
dados semelhantes, criamos uma converso entre o esquema original e
colaboradores para tornar este relatrio o VERIS32 e recodificamos os incidentes em registros vlidos do VERIS
possvel. Valorizamos sinceramente isso. para importao para o conjunto de dados agregados. Trabalhamos com
os colaboradores para solucionar ambiguidades ou outros desafios
qualidade dos dados durante esse processo de converso e validao.
Ns concentramos nosso foco principalmente no lado corporativo IIP menos sigilosas importncia e valor
das violaes de dados neste relatrio, mas claramente existe uma Com o tempo, os consumidores foram ficando cada vez mais
sobreposio com o mundo dos consumidores. Porque esse mundo conscientizados quanto a violaes que expem senhas, nomes de usurio
muito primordial para o ITRC, pensamos que seria apropriado solicitar e emails. primeira vista, essas informaes de IIP menos sigilosas
a eles que contribussem com sua perspectiva sobre um importante parecem no ter importncia e/ou valor e, portanto, representam um
aspecto das violaes: o furto de identidade do consumidor. risco relativamente baixo de prejuzo. Os consumidores usam essas
informaes entra dia, sai dia, mais provavelmente sem pensar sobre
Ento voc recebe uma carta de notificao de violao de dados.
seu valor ou sobre as medidas instauradas para mant-las seguras e
Isso significa que agora voc vtima do furto de identidade? No
confidenciais. Para as empresas, a exposio desses dados normalmente
necessariamente (ainda).
nem aciona a necessidade de emitir uma notificao de violao.
A relao entre violaes de dados e furto de identidade mais
Mas, existe o risco de furto de identidade? Isso depende da
complicada do que voc imagina. mais intricada do que essas duas
engenhosidade e do nvel de motivao do ladro de dados. Embora
questes estarem relacionadas ou at mesmo correlacionadas. Existem
seja verdade que os ladres possam usar essas informaes que no
estudos que apregoam a relao entre receber uma notificao de
revelam a identidade do usurio para obter outras informaes suas
violao de dados e tornar-se vtima do furto de identidade, mas o ITRC
por engenharia social, isso requer algum grau de esforo.
acredita que isso simplificar demais a questo.
IIP SIGILOSAS IMPORTNCIA E VALOR
TIPOS DE INFORMAES
A maior parte dos consumidores identifica prontamente informaes
Violaes de dados esto se tornando mais corriqueiras e
de cartes de crdito/dbito e de contas financeiras como sendo
compreendidas pelo pblico em geral, devido, em parte, publicidade
importantes. Quando se trata dessas informaes financeiras, eles
ao redor dos muitos incidentes de alto padro que ocorreram no
entendem a necessidade de proteg-las existem riscos associados
ltimo ano. Como resultado, os consumidores esto enfrentando o
ao seu comprometimento. Uma grande preocupao quem
fato de que suas informaes de identificao pessoal (IIP) esto
responsvel por quaisquer perdas financeiras ou despesas incorridas
sendo deixadas desprotegidas por aqueles a quem foram confiadas.
como resultado dessa ocorrncia. Muitos consumidores temem que a
Senhas, nomes de usurio, emails, informaes de cartes de crdito/
exposio de tais informaes possa resultar em furto de identidade;
dbito e contas financeiras e nmeros de previdncia social esto
sem se dar conta de que informaes adicionais (veja Nmero de
sendo comprometidas a um ritmo vertiginoso, colocando em risco as
Previdncia Social, a seguir) so necessrias para se chegar a esse nvel.
identidades de consumidores em todo o pas.
Normalmente, o uso de informaes financeiras limitado a diversas
A percepo da importncia das IIP abrange um continuum de formas de fraude financeira ou de fraude de contas existentes.
importncia e valor bem como de risco. Essa questo da percepo
O valor das informaes de contas financeiras pode ser alto, mas com
se aplica a todos os envolvidos em um cenrio de violao de dados o
frequncia tem curta durao se o consumidor toma medidas e fecha
consumidor, a entidade comercial e, logicamente, o ladro de dados.
as contas rapidamente. Isso facilitado por empresas que fazem
Hesito em chamar o criminoso de ladro de identidade, porque ainda
notificaes de violao prontamente e alertam o consumidor quanto
desconhecemos sua motivao subjacente para o furto das IIP.
necessidade de tomar medidas proativas.
Outros
Colaborador annimo
Commonwealth of Massachusetts
Identity Theft Resource Center
Mishcon de Reya
VERIS Community Database (VCDB)
Winston & Strawn
5. https://www.whitehatsec.com/resource/stats.html
6. Silowash, G., Cappelli, D., Moore, A., Trzeciak, R., Shimeall, T. e Flynn, L. (2012). Common Sense Guide to Mitigating Insider Threats.
In S.E. Institute (Ed.), (4 ed., pp. 17): Carnegie Mellon University. http://www.sei.cmu.edu/library/abstracts/reports/12tr012.cfm
7. http://www.mishcon.com/assets/managed/docs/downloads/doc_2714/Mishcon_Recover_Report.pdf
8. Silowash, G., Cappelli, D., Moore, A., Trzeciak, R., Shimeall, T. e Flynn, L. (2012). Common Sense Guide to Mitigating Insider Threats.
In S.E. Institute (Ed.), (4 ed., pp. 17): Carnegie Mellon University. http://www.sei.cmu.edu/library/abstracts/reports/12tr012.cfm
9. Suplementamos este padro com dados do VCDB por se tratar de uma fonte valiosa de incidentes relacionados.
10. http://veriscommunity.net/doku.php?id=enumerations#assetvariety
11. Nota para mim mesmo: parar de deixar o laptop na sala de conferncia ao dar um pulo na cantina.
12. Suplementamos este padro com dados do VCDB por se tratar de uma fonte valiosa de incidentes relacionados.
13. http://blog.oxforddictionaries.com/2013/11/word-of-the-year-2013-winner/
14. Um importante investigao da NHTCU de grupos que usam malware em celulares mostrou que, em menos de um ano, cinco
variaes de malware para celular foram detectadas para um banco especfico. Estimativas modestas sugerem que os
criminosos ganharam cerca de 50.000 por semana usando essa forma especfica de malware para celular, colhendo mais de
4.000 credenciais de usurio de 8.500 clientes bancrios infectados em apenas alguns meses. O malware para celular no
move a agulha em nossas estatsticas, visto que nosso foco se concentra em incidentes de segurana organizacionais, e no em
comprometimentos de dispositivos de consumidor.
15. quase certo que os dois vetores por email esto insuficientemente representados, com base no nmero de aes de phishing
neste conjunto de dados. Informaes insuficientes foram fornecidas para que se pudesse discernir se esses incidentes de
phishing usaram anexos de email ou links incorporados e, por isso, eles foram marcados como desconhecido. Portanto, o
nmero real de ambos os vetores por email certamente mais alto do que mostrado aqui, mas ainda pode ser insuficiente para
sobrepujar os vetores na Web.
16. Voc pode obter mais dados sobre isto enviando-nos uma pequena taxa para cobrir os custos de transferncia. Basta nos
fornecer o nmero de sua conta bancria e ns lhe enviaremos as informaes. Bitcoins so bem-vindos.
17. Suplementamos este padro com dados do VCDB por se tratar de uma boa fonte de incidentes relacionados.
18. A espionagem no um dos padres mais comuns no setor Pblico, mas se o foco se voltar exclusivamente s violaes de
dados, ela se torna bastante proeminente.
verizonenterprise.com/br
2014 Verizon. Todos os direitos reservados. O nome e o logotipo da Verizon e todos os outros nomes, logotipos e slogans que identificam os produtos e servios da Verizon so marcas comerciais e de servio ou marcas comerciais e de servio
registradas da Verizon Trademark Services LLC ou de suas afiliadas, nos Estados Unidos e/ou em outros pases. Todas as outras marcas comerciais e marcas de servio so de propriedade de seus respectivos detentores. MC15912 PT-BR
04/14