SEGURANÇA
DA INFORMAÇÃO
O novo cenário de ataques e
defesa cibernética
Francimara Viotti
Setembro/2015
Ataques cibernéticos
Ataques cibernéticos
www.norse-corp.com
Ataques cibernéticos - DDoS
http://www.digitalattackmap.com/
Novos cenários
Novos cenários
Bring Your Own Device (BYOD)
Funcionários utilizam seus próprios dispositivos e são totalmente
responsáveis por escolher quais são eles. Este método é popular
entre empresas menores ou aquelas com um modelo de pessoal
temporário.
Choose Your Own Device (CYOD)
Os empregados recebem um conjunto de opções de dispositivos
que a empresa aprovou. Dispositivos funcionam dentro do
ambiente de TI da empresa, mas os funcionários são os donos dos
dispositivos - ou porque pagaram por eles mesmos e pode mantêlos para sempre, ou porque a empresa forneceu um pagamentoe
eles podem mantê-los enquanto durar o emprego.
Company-issued, Personally-Enabled (COPE)
Os funcionários recebem um dispositivo escolhido e pago pela empresa, mas eles também podem usá-lo para
atividades pessoais. A empresa pode decidir quanto de escolha e liberdade funcionários podem ter.Este é o modelo
mais próximo ao método tradicional de fornecimento de dispositivos.
Novos Cenários
Antigas ameaças evoluindo
Novas ameaças
Novas ameaças
Ataques feitos com um objetivo específico, em lugar de uma ação oportunista em
busca de informações aleatórias que possam levar a ganhos financeiros
simplesmente. Muitas vezes esses ataques são guiados por organizações
externas.
Ataques APT são executados por ações humanas coordenadas, ao invés de serem
executadas por meras peças de software automatizado, que é incapaz de
responder inteligentemente a situações novas ou inesperadas.
Novas ameaças
Os agentes por trás desses ataques dispõem de um amplo espectro de
técnicas de coleta de inteligência (informações sensíveis). Os agentes
geralmente conseguem acessar e desenvolver ferramentas cada vez
mais complexas, à medida em que isso se torna necessário. Eles
frequentemente combinam múltiplas técnicas, ferramentas e métodos de
ataque e normalmente incluem o uso de 0-day
exploits e malwares dedicados especificamente ao ataque.
Diferentemente das ameaças que necessitam acessar o sistema apenas
por um breve período, um dos principais objetivos do agente desse tipo
de ataque é obter um acesso de longa duração. O ataque persistente é
realizado por uma interação e um monitoramento contínuo, até que se
alcance o objetivo que foi predefinido. Ataques mais lentos e realizados
em menor escala geralmente obtêm mais sucesso. Se o agente perde
acesso ao seu alvo, ele geralmente irá simplesmente tentar obter acesso
novamente — e muito frequentemente conseguirá.
Ameaça - 1. fato, ação, gesto ou palavra que intimida ou atemoriza. 2.indício de
acontecimento desfavorável ou maléfico; sinal.
Novas ameaças
APT – Advanced Persistent Threat
Desde 2004, Mandiant investigou violações de segurança de computadores em centenas de organizações em
todo o mundo. A maioria dessas violações são atribuídas a agentes denominados “Advanced Persistent
Threat” (APT). Os primeiros detalhes sobre esses APT foram publicados no relatório M-Trends de Janeiro de
2010. Naquela época, a posição da Mandiant foi a de que "O governo chinês pode estar autorizando essa
atividade, mas não há nenhuma maneira de determinar o tamanho do seu envolvimento."
APT – Advanced Persistent Threat
• Três anos depois, no relatório "APT1 Exposing One of China’s Cyber Espionage Units" a Mandiant
afirmou "Temos os elementos necessários para alterar a nossa avaliação. Os detalhes que
analisamos durante centenas de investigações nos convenceram que os grupos que realizam estas
atividades são baseadas principalmente na China e que o Governo chinês está ciente deles."
• "APT1 é uma organização de operadores que conduziu uma campanha de espionagem cibernética
pelo mundo, contra uma ampla gama de vítimas, desde pelo menos 2006. De nossas observações,
é um dos grupos de espionagem cibernética mais prolíficos em termos de grande quantidade de
informações roubadas. A escala e o impacto das operações da APT1 nos obrigou a escrever este
relatório."
APT – Advanced Persistent Threat
Stuxnet
Desenvolvido e disseminado por Estados Unidos e Israel, o worm Stuxnet foi projetado para atuar
em um ciberataque contra o Irã. O objetivo foi dificultar ou se possível impedir que o Irã
produzisse armas nucleares e foi direcionado à usina nuclear iraniana de Natanz. Esse ataque
pode ser considerado como um começo de uma possível guerra cibernética.
Lockheed Martin
Ataques executados com o uso de certificados subtraídos da RSA em 2011. Os invasores
conseguiram acesso inicial enganando um usuário interno, que abriu uma planilha anexada a
um e-mail que explorava uma vulnerabilidade do Adobe Flash. A partir daí, os invasores
obtiveram mais privilégios de acesso, instalaram backdoors e obtiveram controle de mais
recursos.
Operação Aurora
Ataque APT direcionado a inúmeras grandes empresas, tais como Google, Adobe, Rackspace
e Juniper Networks. Outras empresas também estavam na mira, inclusive Yahoo!, Northrop
Grumman, Morgan Stanley, Symantec e Dow Chemical. Acredita-se que o governo chinês
tenha direcionado os ataques como parte de uma campanha coordenada de larga escala
contra os Estados Unidos e outros países ocidentais.
Data Breaches
Target
- Gigante do varejo americano
- 110 M de clientes afetados
- Phishing vindo através de parceiro com
manutenção remota ( ? )
- Dados roubados à venda na Deepweb por $20 a
$100
Janeiro 2014
- Em março de 2015, a Target foi condenada a pagar
um total US$10milhões de dólares para os
usuários que provarem que foram prejudicados
pelo vazamento de dados.
Março 2015
Data Breaches
Em junho de 2015, o United States Office of
Personnel Management (OPM) anunciou que
tinha sido alvo de uma violação de dados. As
estimativas iniciais indicavam que cerca de
quatro milhões de registros pessoais dos
funcionários públicos americanos haviam sido
roubados. Posteriormente o FBI elevou o
número para 18 milhões. Em 9 de julho, 2015, a
estimativa do número de registros roubados
tinha aumentado para 21,5 milhões.
A violação de dados, que supostamente teve
início em março de 2014, só foi notada pela
OPM em abril de 2015.
Esse vazamento foi considerados por funcionários
federais como uma das maiores violações dos
dados do governo na história dos Estados Unidos.
As informações vazadas incluiam números de
Seguro Social, nomes, datas, locais de
nascimento, endereços, renda, etc.
Em 11 de julho de 2015, Katherine Archuleta,
diretora da OPM e ex-Diretora Política Nacional
para campanha de reeleição de Barack Obama em
2012, Katherine Archuleta, pediu demissão.
Data Breaches
Ashley Madison é uma rede social de namoro on-line, voltado
principalmente para pessoas que já estão em um relacionamento e foi
lançado em 2001.
O nome do site foi criado a partir de dois populares nomes femininos
nos EUA: "Ashley" e "Madison". Seu slogan é"Life is short. Have
an affair" (A vida é curta. Curta um caso)
Data Breaches
O ataque é revelada pelo especialista em segurança Brian Krebs em seu blog. Hackers
autodenominados "Impact Team" dizem que vão liberar os dados confidenciais se o site não
for encerrado
Data Breaches
A Avid Life Media, empresa sediada em Toronto, controladora do site, diz na mídia que está
trabalhando com a aplicação da lei nos Estados Unidos e no Canadá, onde a empresa está
sediada. "O criminoso ou criminosos, envolvidos neste ato, denomiram a si mesmos como
juizes, jurados e carrascos, julgando-se aptos para impor uma noção pessoal da virtude em
toda a sociedade."
Data Breaches
Primeiro vazamento de dados: os hackers publicam os nomes, números parciais de cartão
de crédito, e-mail, endereços físicos e preferências sexuais de 32 milhões de clientes na
chamado Dark Web, o que significa que são dados públicos, mas difíceis de serem
encontrados por usuários comuns da Internet.
Data Breaches
Os dados roubados das pessoas que usaram o site Ashley Madison migram para a Web,
tornando-se facilmente pesquisáveis em vários sites.
Data Breaches
Dois escritórios de advocacia canadenses dizem que entraram com um processo no valor
$760.000.000 (dólares canadenses) contra a companhia Avid Life Media: o querelante
principal é descrito como um "viúvo com deficiência" que se juntou brevemente ao site após
a morte de sua esposa, mas nunca conheceu ninguém pessoalmente.
Data Breaches
E-mails e outras informações privadas de cerca de 15.000 funcionários do governo dos EUA
estão expostos. Entre eles: vários advogados do Departamento de Justiça e um especialista
em TI do Departamento de Segurança Interna que usaram contas de email pessoais, mas
acessadas a partir dos computadores do governo.
Data Breaches
As contas do governo incluem alguns com e-mails ".mil". O adultério vai contra o Código de
Conduta para os membros das forças armadas norte-americanas. O secretário de Defesa
Ash Carter diz que o Pentágono está investigando.
Data Breaches
Informações contendo os emails de Noel Biderman, CEO da Empresa-Mãe da Ashley
Madison, Avid Life, são liberadas, mas o arquivo foi corrompido e por isso não pode ser
completamente acessado pelo público.
Data Breaches
Os hackers liberam seu terceiro lote de informações roubadas, corrigindo o arquivo que
contém e-mails de Noel Biderman que tinha sido corrompido.
Data Breaches
A Avid Life Media tenta parar a propagação dos dados vazados. Ela emite avisos relativos
aos direitos autorais para vários sites que hospedavam ou estavam ligados à publicação das
informações roubadas, incluindo o Twitter.
Data Breaches
Várias pessoas diretamente afetadas pela violação de dados dizem à CNN Money que os
documentos roubados e vazados contem informações que serão utilizadas em processos de
divórcio. Clientes expostos estão preocupados com a possibilidade de serem demitidos de
seus empregos.
Data Breaches
A polícia de Toronto investiga dois suicídios que podem estar ligados ao vazamento das
informações. Nos Estados Unidos, um capitão da polícia de San Antonio acabou com a
própria vida depois que suas informações foram expostas, mas o Departamento de Polícia
de San Antonio não quis comentar se o fato está relacionado ao vazamento.
Data Breaches
Avid Life Media, está oferecendo US $ 500.000 (dólares canadenses) para qualquer pessoa
com informações que levem à identificação dos hackers.
Data Breaches
O site The Daily Dot divulga que o site
Ashley Madison planejava lançar um
app que permitiria aos usuários postar
imagens da esposa e receber lances
por elas. Os e-mails vazados de Noel
Biderman revelam que ele havia
recebido uma versão trial do aplicativo
Data Breaches
Noel Biderman, CEO da empresa-mãe da Ashley Madison, Avid Life Media Inc., deixa o
cargo.
Data Breaches
John McAfee
Data Breaches
Data Breaches
February 6, 2015
Hackers roubaram informações de dezenas de milhões de clientes da Anthem Inc. clientes, em
uma violação de dados em massa que está entre os maiores da história corporativa.
Anteriormente conhecido como Wellpoint, Anthem (ANTM) é a segunda maior seguradora de
saúde nos Estados Unidos. A empresa opera planos incluindo Anthem Blue Cross, Anthem Blue
Cross e Blue Shield Amerigroup e Healthlink
As informações roubadas incluem nomes, aniversários, IDs médicos, números de seguro social,
endereços, endereços de e-mail e informações de emprego, incluindo os dados de renda.
O banco de dados comprometido continha cerca de 80 milhões de registros de clientes.
Anthem está trabalhando com AllClear ID, um fornecedor líder de proteção de identidade e de
confiança, para oferecer 24 meses de serviços de reparação de roubo de identidade e de
monitoramento de crédito para indivíduos afetados.
Data Breaches
Ameaças e vulnerabilidades
Ameaças e vulnerabilidades
Ameaças e vulnerabilidades
Ameaças e vulnerabilidades
Desafios
Gartner Group
Digital Business
• Esse conceito considera o papel de quatro forças convergentes que se reforçam mutuamente, de modo a tornarem-se padrões que
alavancam o cenário de negócios na atualidade.
• Embora essas forças sejam inovadoras e disruptivas por si, sua atuação conjunta revoluciona a economia e a sociedade, transformando
radicalmente os velhos modelos de negócios e criando novas lideranças. O Nexus é, na realidade, a base para a tecnologia do futuro.
Desafios
Gartner Group
O Nexus das Forças (The Nexus of Forces)
• Como o mundo pode mudar?
• Como detectar essas mudanças?
• Como lidar com essas mudanças?
Desafios
Grupos de
Aliança
Vizinhança
Vigiada
Risco
Regulado
Controle
Parental
Gartner Group
Cenário
Risco Regulado
• Governos reconhecendo a Internet como uma
Infraestrutura Crítica
• ONU está criando encontros sobre segurança
cibernética
• Governos treinando grupos de contra-ataque
Cenário
Grupos de Aliança
• Fragmentação da autoridade
• Criação de meios de proteção pelo próprio
grupo. Ex.: GTI Bancos Febraban
• Cloud and Cyber security alliances
Cenário
Vizinhança Vigiada
•
•
•
•
Crescimento das milícias
Extremo anarquico hacktivismo
Ataques visando uma pessoa específica
Islamic Internet Efforts – países islâmicos
querendo fechar a Internet para proteger
pessoas boas da más.
Cenário
Controle Parental
• O indivíduo é o alvo e o Governo tenta proteger
o indivíduo
• Direitos e Deveres do Indivíduo na proteção do
seu equipamento
• Ex.:Do not call list – Empresas de call center não
podem ligar se o indivíduo solicitar (SP)
Gartner Group
Cenário
PCI
Brasil
Marco Civil da
Internet
Lei Azeredo
Lei Carolina
Dieckmann
Código Civil
Gartner Group
Desafios
• Reciclar e renovar os quadros técnicos e estruturas organizacionais de segurança.
• Incentivar a liderança de riscos e fazer com as que a tomada de decisão da
gestão de risco se torne generalizada em todas a organização, colocando o ser
humano no centro do mundo de gestão de riscos digital.
• Explorar as novas oportunidades e os riscos que o negócio digital e modelos de
entrega alternativos trazem.
Desafios
“Em que casos devemos regular novas tecnologias poderosas por causa
dos potenciais perigos que representam, e em casos que não? Ou
devemos aceitar algumas consequências negativas devido ao impacto
extremamente positivo? “
Referências
•
•
•
•
•
•
•
•
•
www.cert.br
www.digitalattackmap.com
www.norse-corp.com
http://thehackernews.com
http://blogs.estadao.com.br
http://edition.cnn.com
http://money.cnn.com
http://www.decisionreport.com.br
Gartner Group – 3º Seminário de Segurança da
Informação – Febraban – Nov 2014
Obrigada!
Francimara Viotti
francimaraviotti@gmail.com
Download

Clique aqui para baixar a apresentação