Um estudo conduzido pela Equipe RISK da Verizon com a ... · 1 RELATÓRIO DE INVESTIGAÇÕES DE VIOLAÇÕES DE DADOS DE 2012 Um estudo conduzido pela Equipe RISK da Verizon com a

1 Um e

stud

o co

nduz

ido

pela

Equ

ipe

RISK

da

Veriz

on co

m a

coop

era

o d

a Po

lcia

Fed

eral

Aus

tral

iana

, a U

nida

de N

acio

nal H

olan

desa

de

Crim

es d

e Al

ta Te

cnol

ogia

, o S

ervi

o Ir

land

s d

e Re

lat

rio e

Seg

uran

a d

a In

form

ao

, a U

nida

de C

entr

al d

e Cr

imes

Ele

trn

icos

da

Polc

ia e

o S

ervi

o S

ecre

to d

os E

stad

os U

nido

s.

REL

AT

RIO

DE

INV

ESTI

GA

ES D

E V

IOLA

ES D

E D

AD

OS

DE

2012

RELATRIO DE INVESTIGAES DE VIOLAES DE DADOS DE 2012

Um estudo conduzido pela Equipe RISK da Verizon com a cooperao da Polcia Federal Australiana, a Unidade Nacional Holandesa de Crimes de Alta Tecnologia, o Servio Irlands de

Relatrio e Segurana da Informao, a Unidade Central de Crimes Eletrnicos da Polcia e o Servio Secreto dos Estados Unidos.

Sumrio

resumo executivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2mEToDoLoGiA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Classificao de incidentes com o VEriS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6uma palavra sobre o vis da amostragem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

resultados e anlise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Dados demogrficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10riVD 2011: viso geral dos eventos de ameaas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12Agentes da ameaa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

Tamanho da violao por agente de ameaa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18Agentes externos (98% das violaes, >99% dos registros) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19Agentes internos (4% das violaes,

2

Resumo executivoCom quase toda certeza, o ano de 2011 ficar na histria como um ano de insurreio civil e cultural . Cidados se revoltaram, desafiaram e at mesmo derrubaram seus governos em um efeito domin que j foi denominado a Primavera rabe, apesar de ter se estendido alm de uma nica estao . os insatisfeitos com o que perceberam como sendo o 1% fomentador de riqueza ocuparam Wall Street, bem como outras cidades e locais espalhados pelo globo . No faltam exemplos disso .

Contudo, essa agitao que caracterizou 2011 no se limitou ao mundo fsico . o mundo on-line esteve repleto de confrontos ideolgicos, que tomaram a forma de ativismo, protestos, retaliao e peas . Embora essas atividades tenham englobado mais do que violaes de dados (por exemplo, ataques de negao de servio distribudo, ou DDoS), o furto de informaes corporativas e pessoais foi certamente uma ttica central . Esse espectro reimaginado e revigorado do hacktivismo se insurgiu para atormentar organizaes ao redor do mundo . muitos, perturbados pela natureza sombria de suas origens e por sua propenso a embaraar as vtimas, acharam que essa tendncia era mais assustadora do que as outras ameaas, sejam reais ou imaginrias . Duplamente preocupante para muitas organizaes e executivos foi que a seleo de alvos desses grupos no seguiu as linhas lgicas de quem tem dinheiro e/ou informaes valiosas . o inimigos so ainda mais assustadores quando no se pode prever seu comportamento .

No entanto, nem tudo foram protestos e "lulz" . os criminosos cibernticos tradicionais continuaram a automatizar e a agilizar seus mtodos de ataques de baixo risco e em alto volume do dia contra alvos mais fracos . muito menos frequentes, mas discutivelmente mais danosos, foram os ataques continuados que visaram segredos comerciais, informaes classificadas e outras propriedades intelectuais . Certamente encontramos muitas faces, tticas variadas e diversas motivaes no ano passado e, de muitas maneiras, o relatrio de investigaes de Violaes de Dados de 2012 (riVD) um novo relato das muitas facetas do furto de dados corporativo .

855 incidentes, 174 milhes de registros comprometidos.

Este ano, nosso riVD inclui mais incidentes, derivados de mais colaboradores, e representa um escopo mais amplo e mais geograficamente diversificado . o nmero de registros comprometidos entre esses incidentes subiu vertiginosamente de volta para os 174 milhes depois de uma baixa recorde (ou alta, dependendo do seu ponto de vista) de quatro milhes no relatrio do ano passado . Na verdade, 2011 ostenta a segunda maior perda de dados

desde que comeamos a ficar de olho em 2004 .

mais uma vez, estamos orgulhosos em anunciar que o Servio Secreto dos Estados unidos (uSSS united States Secret Service) e a unidade Nacional Holandesa de Crimes de Alta Tecnologia (NHTCu Dutch National High Tech Crime unit) se uniram a ns para a elaborao do relatrio deste ano . Tambm damos as boas-vindas Polcia Federal Australiana (AFP Australian Federal Police), ao Servio irlands de relatrio e Segurana da informao (iriSSCErT irish reporting & information Security Service) e unidade Central de Crimes Eletrnicos da Polcia (PCeu - Police Central e-Crime unit) da

Polcia metropolitana de Londres (London metropolitan Police) . essas organizaes ampliaram tremendamente o escopo do Rivd em relao s violaes de dados ocorridas ao redor do globo. agradecemos a eles de corao por seu esprito de cooperao e sinceramente esperamos que este relatrio sirva para aumentar a conscientizao quanto ao crime ciberntico, bem como nossa capacidade coletiva de combat-lo.

Com o acrscimo do conjunto de casos de 2011 da Verizon e dos dados contribudos pelas organizaes relacionadas acima, a srie do riVD agora se estende por oito anos, bem mais de 2 .000 violaes e mais de um bilho de registros comprometidos . Esta tem sido uma jornada fascinante e informativa, e somos gratos por tantos de vocs terem optado por se juntarem a ns . Como sempre, nossa meta que os dados e as anlises apresentadas neste relatrio sejam teis aos esforos de planejamento e segurana de nossos leitores . Comeamos com alguns destaques, a seguir .

Esse espectro reimaginado e revigorado do hacktivismo se insurgiu para atormentar organizaes ao redor do mundo .

No entanto, nem tudo foram protestos e "lulz" . os criminosos cibernticos tradicionais continuaram a automatizar e a agilizar seus mtodos de ataques de baixo risco e em alto volume do dia contra alvos mais fracos .

3

Quem est poR tRs das violaes de dados?

98% oriundas de agentes externos (+6%)Nenhuma surpresa aqui: o pessoal de fora ainda est dominando a cena do furto de dados corporativos . os criminosos tramaram seus delitos tpicos e estiveram por trs da maioria das violaes em 2011 . Grupos ativistas tambm criaram sua cota de infelicidade e caos no ano passado e furtaram mais dados do que qualquer outro grupo . Sua entrada no palco tambm serviu para mudar um pouco o panorama no tocante s motivaes por trs das violaes . Embora as boas e antiquadas ganncia e cobia ainda tenham sido os principais determinantes, a dissidncia ideolgica e o prazer em ver o sofrimento dos outros assumiram um papel proeminente em todo o conjunto de casos . Como seria de se esperar com tamanho aumento no nmero de invasores externos, a proporo de incidentes causados por pessoas de dentro da empresa diminuiu ainda mais este ano, chegando aos comparativamente escassos 4% .

4% com funcionrios internos implicados (-13%)

4

Quais so os pontos em comum?

79% das vtimas foram alvos oportunos (-4%) As descobertas do ano passado continuam a mostrar que a seleo dos alvos se baseia mais em oportunidade do que em escolha . A maioria das vtimas se tornou presa porque foi descoberto que tinha um ponto fraco passvel de explorao (com frequncia com facilidade) e no por ter sido pr-identificada para o ataque .Tendo sido visada ou no, a grande maioria das vtimas sucumbiu a ataques que no podem ser descritos como sendo de alto nvel de dificuldade . mesmo os que tenderam para o lado mais sofisticado, geralmente exibiram esse trao em estgios posteriores do ataque, depois que o acesso inicial tinha sido obtido .isso dito, no de se surpreender que a maioria das violaes poderia ter sido evitada (pelo menos retrospectivamente) sem a necessidade de aes corretivas difceis ou dispendiosas . os baixos nveis de aderncia ao PCi DSS enfatizam inmeros problemas de toda espcie para as organizaes relacionadas .Embora com frequncia exista pelo menos alguma evidncia das violaes, normalmente as vtimas no descobrem seus prprios incidentes . Com frequncia, elas so informadas por terceiros e, infelizmente, isso normalmente acontece semanas ou meses depois .Voc se deu conta de como a maior parte disso piorou em 2011?

96% dos ataques no foram altamente difceis (+4%)

94% de todos os dados comprometidos envolveram servidores (+18%)85% das violaes demoraram semanas ou ainda mais tempo para serem descobertas (+6%)92% dos incidentes foram descobertos por terceiros (+6%)

97% das violaes poderiam ter sido evitadas por meio de controles simples ou de nvel intermedirio (+1%)

96% das vtimas sujeitas ao PCi DSS no tinham atingido a conformidade (+7%)

onde os esfoRos de atenuao devem se concentRaR?

mais uma vez, este estudo nos lembra de que nossa profisso tem as ferramentas necessrias para dar conta do recado . o desafio dos "mocinhos" reside na seleo das ferramentas corretas para o trabalho nossa frente e em no deixar que elas acabem ficando ineficazes e enferrujadas com o tempo . A evidncia mostra que, quando isso acontece, os "bandidos" so rpidos em se aproveitar da situao . Como voc ver em breve, contrastamos as descobertas relativas a organizaes de menor ou maior porte ao longo de todo este relatrio . Voc ter uma noo de quo diferentes (e em alguns casos quo semelhantes) seus problemas tendem a ser . Por isso, faz sentido que as solues para esses problemas tambm sejam diferentes . Assim, a maioria das recomendaes fornecidas ao final deste relatrio diz respeito s organizaes de grande porte . No que estejamos ignorando as organizaes de menor porte o caso que, embora o crime ciberntico moderno seja uma praga em suas vidas, o antdoto relativamente simples e quase universal .As organizaes de grande porte exibem um conjunto mais diversificado de problemas que precisa ser abordado por meio de um conjunto igualmente variado de medidas corretivas . Esperamos que os achados neste relatrio ajudem a priorizar esses esforos, mas adequar verdadeiramente uma estratgia de tratamento s suas necessidades requer uma avaliao bem informada e introspectiva de seu panorama especfico de ameaas .

organizaes de menor porteimplementar um firewall ou uma Lista de controle de acesso (ACL) nos servios com acesso remotoAlterar as credenciais padro de sistemas de ponto de vendas (PoS) e de outros dispositivos voltados para a internetSe um fornecedor terceirizado estiver lidando com os dois itens acima, certifique-se de que tenha feito isso de fato

organizaes de maior porte Eliminar dados desnecessrios; vigiar de perto os que permanecerem Garantir que os controles essenciais sejam cumpridos; conferir regularmente se esse continua sendo o casomonitorar e minerar os registros de eventos

Avaliar seu panorama de ameaas a fim de priorizar sua estratgia de tratamento

Consultar a concluso deste relatrio para obter indicadores e atenuantes para as ameaas mais comuns

tem alguma dvida ou comentrio sobre o Rivd?Envie-nos um e-mail para [email protected], encontre-nos no facebook ou poste no twitter com a marca #dbir .

mailto:dbir%40verizon.com?subject=http://www.facebook.com/verizonbusinesshttps://twitter.com/#!/verizonbusiness

5

metodologiaCom base nos comentrios que recebemos sobre este relatrio, um dos pontos mais valorizados pelos leitores o nvel de rigor e honestidade que empregamos ao coletar, analisar e apresentar os dados . isso importante para ns, e somos gratos pelo seu reconhecimento . A bem da verdade, a elaborao deste relatrio no uma coisa nada simples (855 incidentes a examinar no o que se possa chamar de uma carga leve) . Se ningum soubesse ou se importasse, ns poderamos ficar tentados a poupar algum tempo e esforo ignorando um aspecto ou outro, mas o fato de vocs saberem e se importarem nos ajuda a nos mantermos honestos . E esse o ponto central desta seo .

metodologia de coleta de dados da verizon A metodologia subjacente usada pela Verizon permanece relativamente inalterada em relao aos anos anteriores . Todos os resultados se baseiam em evidncia de primeira mo coletada durante peritagens jurdicas externas pagas conduzidas pela Verizon entre 2004 e 2011 . o conjunto de casos de 2011 o foco analtico principal do relatrio, mas h referncias a toda a coletnea de dados em todo o documento . Embora a equipe riSK trabalhe com uma variedade de casos (mais de 250 no ano passado), somente aqueles que envolveram o comprometimento confirmado de dados esto representados neste relatrio . Houve 90 deles em 2011 que foram concludos no prazo deste relatrio . Para ajudar a garantir uma entrada confivel e consistente, ns usamos a estrutura Verizon Enterprise risk and incident Sharing (VEriS - Compartilhamento de riscos e incidentes empresariais da Verizon) para registrar os dados dos casos, bem como outros detalhes relevantes . os pontos de dados do VEriS so coletados por analistas durante todo o ciclo de vida da investigao e concludos aps o fechamento do caso . A entrada ento examinada e validada por outros membros da equipe riSK . Durante o processo de agregao, as informaes relativas identidade das vtimas das violaes so removidas do repositrio de dados dos casos .

metodologia de coleta de dados dos outros colaboradoresAs entidades uSSS, NHTCu, AFP, iriSSCErT e PCeu diferiram precisamente quanto ao modo como coletaram os dados contribudos para este relatrio, apesar de compartilharem a mesma abordagem bsica . Todos se valeram do VEriS como denominador comum, mas usaram mecanismos variados para entrada dos dados . Por exemplo, os agentes do uSSS usaram um aplicativo interno baseado no VEriS para registrar detalhes pertinentes aos casos . Para a AFP, entrevistamos os principais agentes de cada caso, registramos os pontos de dados necessrios e solicitamos informaes de acompanhamento, conforme necessrio . o mecanismo especfico da coleta de dados menos importante do que compreender que todos os dados se baseiam em incidentes reais e, o mais importante, em fatos reais sobre esses incidentes . Essas organizaes se valeram de observaes investigativas, relatrios fornecidos pela vtima ou por outras firmas forenses, bem como sua prpria experincia, obtida ao lidar com o caso . Dos dados coletados foram eliminadas quaisquer informaes que pudessem identificar organizaes ou indivduos envolvidos . os dados foram ento fornecidos Equipe riSK da Verizon para agregao e anlise .

Entre as numerosas investigaes com que essas organizaes trabalharam em 2011 e mantendo-se o foco do riVD, o escopo foi restringido a apenas aquelas que envolveram violaes confirmadas de dados organizacionais .1 o escopo foi restrito ainda mais de modo a incluir apenas os casos cuja peritagem judicial no tenha sido conduzida pela Verizon .2 Em suma, essas agncias contriburam um total combinado de 765 violaes para este relatrio . Algumas pessoas podem se opor ao fato de que o conjunto de casos da Verizon representa uma proporo relativamente pequena do conjunto de dados abordado neste relatrio, mas no podamos estar mais satisfeitos com esse resultado . Acreditamos firmemente que mais informaes possibilitam uma compreenso mais completa e precisa do problema que todos enfrentamos coletivamente . Se isso significa que nossos dados ocupam uma posio secundria em uma publicao de autoria da Verizon, que assim seja . Ns daremos preferncia aos dados compartilhados em detrimento da participao de nossa marca no relatrio sem nenhuma hesitao .

1 Violao de dados organizacionais se refere a incidentes que envolvam o comprometimento (acesso no autorizado, furto, divulgao, etc.) de informaes que no sejam pblicas enquanto armazenadas, processadas, usadas ou transmitidas por uma organizao.

2 Com frequncia trabalhamos, de uma maneira ou de outra, com essas agncias durante uma investigao. A fim de eliminar a redundncia, os dados contribudos pela Verizon foram usados quando tanto a Verizon quanto outra agncia trabalharam no mesmo caso.

A metodologia subjacente usada pela Verizon

permanece relativamente inalterada em relao aos

anos anteriores . Todos os resultados se baseiam em evidncia de primeira

mo coletada durante peritagens judiciais

externas pagas .

6

Enquanto estamos neste tpico, se sua organizao investiga ou lida com violaes de dados e tiver interesse em contribuir com futuros riVDs, entre em contato conosco . A famlia riVD continua crescendo e novos membros so bem-vindos .

Informaes breves sobre o verIs VEriS uma estrutura projetada para proporcionar uma linguagem comum para descrio de incidentes relacionados segurana de maneira estruturada e repetvel . Ele converte a narrativa quem fez o qu para o qu ou para quem com que resultado no tipo de dados presente neste relatrio . Porque muitos leitores indagaram sobre a metodologia por trs do riVD e porque esperamos facilitar o compartilhamento de mais informaes sobre incidentes de segurana, lanamos o VEriS para uso gratuito pelo pblico . uma breve viso geral do VEriS est disponvel em nosso site3 e a estrutura completa pode ser obtida no wiki da comunidade veRis .4 Ambos so boas referncias concomitantes a este relatrio para compreenso da terminologia e do contexto .

classificao de incidentes com o veRisA seo Classificao dos incidentes da Estrutura VEriS converte a narrativa do incidente de quem fez o qu para o qu (ou para quem) com que resultado em uma forma mais adequada determinao de tendncias e anlise . Para tanto, o VEriS emprega o modelo de ameaa A4 desenvolvido pela equipe riSK da Verizon . No modelo A4, um incidente de segurana visto como uma srie de eventos que afetam adversamente os ativos de informaes de uma organizao . Cada evento consiste nos seguintes elementos (os quatro As):

agente: as aes de quem afetaram o ativo ao: que aes afetaram o ativo ativo: que ativos foram afetados atributo: como o ativo foi afetado

Acreditamos que os quatro As representam o mnimo de informaes necessrio para descrever adequadamente qualquer incidente ou cenrio de ameaa . Alm disso, essa estrutura proporciona um arcabouo otimizado no qual medir a frequncia, os controles associados, o impacto do link e muitos outros conceitos necessrios ao gerenciamento do risco .

Se calcularmos todas as combinaes dos elementos de mais alto nvel do modelo A4, (trs Agentes, sete Aes, cinco Ativos e trs Atributos), 3155 eventos de ameaa distintos emergiro . A grade na Figura 1 os representa graficamente e designa um Nmero de evento de ameaa (doravante denominado TE#) a cada um deles . TE1, por exemplo, coincide com malware Externo que afeta a Confidencialidade de um Servidor . observe que nem todas as 315 combinaes do A4 so viveis . Por exemplo, at onde ns saibamos, malware no afeta pessoas apesar de isso dar um intrigante tema de fico cientfica .

transformao da narrativa do incidente em mtricaConforme indicado acima, os incidentes com frequncia envolvem vrios eventos de ameaa . identificando quais se aplicam e usando-os para reconstruir a cadeia de eventos como modelamos um incidente a fim de gerar as estatsticas deste relatrio . Como um exemplo, descrevemos a seguir um incidente hipottico simplificado em que um ataque de spear phishing usado para exfiltrar dados sigilosos e propriedade intelectual (Pi) de uma organizao .

o fluxograma que representa o incidente inclui quatro eventos de ameaa principais e um evento condicional .6 uma breve descrio de cada evento fornecida, juntamente com os TE#s correspondentes e as categorias do A4 da matriz exibida anteriormente .

3 http://www.verizonbusiness.com/resources/whitepapers/wp_verizon-incident-sharing-metrics-framework_en_xg.pdf4 https://verisframework.wiki.zoho.com/5 Alguns se lembraro de que esta grade mostrava 630 interseces, conforme apresentada no RIVD 2011. A diferena o resultado do nmero de atributos de segurana representado. Embora ainda

reconheamos os seis atributos do Parkerian Hexad, ns (com a contribuio de outros) decidimos us-los e apresent-los em um formato emparelhado (por exemplo, perdas de confidencialidade e posse). Assim, as noes de confidencialidade em relao posse so preservadas, mas a anlise e a visualizao dos dados so simplificadas (uma solicitao comum dos usurios do VERIS). Mais comentrios sobre essa alterao podem ser encontrados na seo Atributos do wiki do VERIS.

6 Consulte a seo Erro em Aes de ameaa para obter uma explicao dos eventos condicionais.

Acreditamos que os quatro As representam o mnimo de informaes necessrio para descrever adequadamente qualquer incidente ou cenrio de ameaa .

http://www.verizonbusiness.com/resources/whitepapers/wp_verizon-incident-sharing-metrics-framework_en_xg.pdfhttps://verisframework.wiki.zoho.com/http://www.verizonbusiness.com/resources/whitepapers/wp_verizon-incident-sharing-metrics-framework_en_xg.pdfhttps://verisframework.wiki.zoho.com/

7

Assim que a construo da cadeia principal de eventos concluda, uma classificao adicional pode acrescentar mais especificidade quanto aos elementos que compem cada evento (ou seja, o tipo especfico de agente Externo ou as tticas Sociais exatas usadas, etc .) . Agora o incidente est VEriS-cizado e mtricas teis esto disponveis para elaborao de relatrios e anlise adicional .

uma observao final antes de concluirmos esta subseo . o valor do processo descrito acima vai alm de simplesmente descrever o incidente propriamente dito; tambm ajuda a identificar o que poderia ter sido feito (ou no ter sido feito) para evit-lo . A meta simples: quebrar a cadeia de eventos e interromper o prosseguimento do incidente . Por exemplo, o treinamento de conscientizao quanto segurana e a filtragem de e-mails poderia ajudar a impedir a ocorrncia de E1 . Caso contrrio, um antivrus e a implementao dos privilgios mais baixos necessrios no notebook poderiam evitar E2 . A interrupo da progresso entre E2 e E3 pode ser conseguida pela filtragem da sada ou pela anlise do fluxo de rede para deteco e preveno do acesso por backdoors . Treinamento e procedimentos de controle de alteraes poderiam ajudar a evitar a configurao incorreta pelo administrador descrita no evento condicional e impossibilitar o comprometimento da propriedade intelectual em E4 . Estes so apenas alguns exemplos de controles potenciais de cada evento, mas a capacidade de visualizar uma abordagem em camadas para deter, impedir e detectar o incidente deve estar aparente .

malware ao de hackers social uso indevido fsico erro ambientalExt . int . Parc . Ext . int . Parc . Ext . int . Parc . Ext . int . Parc . Ext . int . Parc . Ext . int . Parc . Ext . int . Parc .

serv

idor

es

Confidencialidade e posse 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

integridade e autenticidade 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

Disponibilidade e utilidade 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63

Rede

s




disp

ositi

vos d

e usu

rio Confidencialidade

e posse 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147



dado

s off

-line Confidencialidade e posse 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210



pess

oas




figura 1. grade a4 do veRis representando os 315 eventos de ameaa de alto nvel

o valor do processo descrito acima vai alm de simplesmente descrever o incidente propriamente dito; tambm ajuda a identificar o que poderia ter sido feito (ou no ter sido feito) para evit-lo . A meta simples: quebrar a

cadeia de eventos e interromper o prosseguimento do incidente .

8

uma palavra sobre o vis da amostragemPermita-nos reiterar: no fazemos qualquer alegao de que os achados deste relatrio sejam representativos de todas as violaes de dados em todas as organizaes em todo o perodo . Ainda que a fuso dos conjuntos de dados (supostamente) reflita a realidade melhor do que qualquer um dos dois faria isoladamente, ainda assim trata-se de uma amostra . Embora acreditemos que muitos dos achados apresentados neste relatrio se prestem generalizao (e nossa confiana aumenta medida que reunimos mais dados e os comparamos com os de outras fontes), vieses certamente esto presentes . infelizmente, no podemos medir exatamente quanto vis existe (ou seja, a fim de fornecer uma margem de erro precisa) . No temos como saber que proporo de todas as violaes de dados est representada, porque no h como saber o nmero total de violaes de dados em todas as organizaes em 2011 . muitas violaes no so denunciadas (embora nossa amostra contenha muitas destas) . muitas mais ainda so desconhecidas das vtimas (e, portanto, nossas desconhecidas) . o que de fato sabemos que o nosso conhecimento cresce com o que podemos estudar, tendo crescido mais do que nunca em 2011 . Ao final das contas, tudo o que ns pesquisadores podemos fazer passar nossas descobertas para sua avaliao e uso, como achar conveniente .

o agente externo envia um e-mail com phishing que consegue persuadir

um executivo a abrir o anexo .

o malware infecta o notebook do executivo, criando uma backdoor .

o agente externo acessa o notebook do executivo atravs da

backdoor, exibindo os e-mails e outros dados

sigilosos .

o administrador do sistema configura

erradamente os controles de acesso ao criar um novo servidor

de arquivos .

o agente externo acessa um servidor de

arquivos mapeado a partir do notebook do

executivo e furta a propriedade intelectual .

te#280ExternoSocial

Pessoasintegridade

te#148Externomalware

Dispositivos de usuriointegridade

te#130Externo

Ao de hackersDispositivos de usurio

Confidencialidade

te# 38interno

ErroServidoresintegridade

te#4Externo

Ao de hackersServidores

Confidencialidade

figura 2. exemplo de cenrio de incidente do veRis

e1 e2 e3 e4ce1

tem alguma dvida ou comentrio sobre o Rivd?Envie-nos um e-mail para [email protected], encontre-nos no facebook ou poste no twitter com a marca #dbir .

mailto:dbir%40verizon.com?subject=http://www.facebook.com/verizonbusinesshttps://twitter.com/#!/verizonbusiness

9

Resultados e anliseo conjunto de dados combinados de 2011 representa o maior que j abordamos em um nico ano, abrangendo 855 incidentes e mais de 174 milhes de registros comprometidos (o segundo total mais alto, caso voc esteja acompanhando) . os prximos pargrafos devem ajudar a colocar tudo isso em perspectiva .

Em vrios pontos no transcorrer do texto, apresentamos e discutimos todo o conjunto de dados de 2004 at 2011 . medida que estuda estes achados, lembre-se de que o conjunto de dados da amostra qualquer coisa, menos esttico . o nmero, natureza e fontes dos casos mudam drasticamente com o tempo . isso posto, talvez voc se surpreenda com o fato de algumas tendncias parecerem to estveis (um fato que acreditamos fortalecer sua validade) . Por outro lado, determinadas tendncias esto quase certamente mais relacionadas com a desordem das amostras do que com mudanas significativas no ambiente de ameaas externo . Como foi o caso nos relatrios anteriores, a abordagem escolhida apresentar o conjunto de dados combinado intacto e realar diferenas (ou semelhanas) interessantes no texto, quando apropriado . Existem, no entanto, alguns pontos de dados que foram coletados apenas para os casos da Verizon, e que esto identificados no texto e nas figuras .

As figuras neste relatrio se valem de um formato consistente . os valores mostrados em cinza-escuro se referem a violaes, enquanto que os valores em vermelho dizem respeito aos registros de dados. A violao o incidente sob investigao em um caso e os registros se referem ao nmero de unidades de dados (arquivos, nmeros de cartes, etc .) comprometido na violao . Em algumas figuras, no fornecemos um nmero especfico de registros, mas usamos um # vermelho para denotar uma alta proporo de perda de dados . Se um desses valores apresentar uma alterao substancial em relao aos anos anteriores, estar marcado com um smbolo + ou laranja (o que denota um aumento ou reduo) . A soma em muitas figuras e tabelas neste relatrio supera os 100%; isso no um erro . Simplesmente decorre do fato de que os itens apresentados em uma lista nem sempre so mutuamente exclusivos e, portanto, vrios podem se aplicar a um determinado incidente .

Porque o nmero de violaes neste relatrio to alto, o uso de porcentagens um pouco enganoso em algumas situaes (5% pode no parecer muito, mas representa mais de 40 incidentes) . Quando apropriado, indicamos o nmero bruto de violaes em vez das porcentagens ou alm delas . uma tabela prtica de converso entre porcentagem e valor mostrada na Tabela 1 . Nem todas as figuras e tabelas contm todas as opes possveis, seno apenas aquelas que contm um valor superior a zero (e algumas apresentam truncamento de mais do que isso) . Para ver todas as opes de qualquer figura em especial, consulte a estrutura VEriS .

Algumas crticas construtivas que recebemos sobre o relatrio de 2011 sugeriram que o conjunto de dados estava to repleto de vtimas de pequenas violaes que no se aplicava to veementemente a organizaes de grande porte como foi o caso em anos passados . (Que descaramento d para acreditar nessa gente?)

Estamos brincando, logicamente; essa crtica tanto compreensvel quanto til . um dos problemas quando se analisa uma grande quantidade de dados de uma grande diversidade de organizaes que as mdias relativas ao todo so tomdias. Visto que os nmeros falam em nome de todas as organizaes, na verdade no se aplicam a nenhuma organizao ou grupo demogrfico em especial . isso inevitvel . Tomamos a deciso consciente de estudar todos os tipos de violaes de dados, j que afetam todos os tipos de organizaes e, se as pequenas empresas esto caindo como moscas, no vamos exclu-las por infestarem nossos dados . o que podemos fazer, no entanto, apresentar os resultados de tal maneira, que sejam prontamente aplicveis a determinados grupos .

855 violaes

% N1% 95% 43

10% 8625% 21433% 28250% 428

tabela 1. Base para converso de porcentagens em nmeros do conjunto de dados do Rivd 2012

os valores mostrados em cinza-escuro se referem a violaes, enquanto que os valores em vermelho dizem respeito aos registros de dados. A violao o incidente sob investigao em um caso e os registros se referem ao nmero de unidades de dados (arquivos, nmeros de cartes, etc .) comprometido na violao . Em algumas figuras, no fornecemos um nmero especfico de registros, mas usamos um # vermelho para denotar uma alta proporo de perda de dados . Se um desses valores apresentar uma alterao substancial em relao aos anos anteriores, estar marcado com um smbolo + ou laranja (o que denota um aumento ou reduo) .

10

Poderamos dividir o conjunto de dados de um sem-nmero de maneiras, mas optamos (parcialmente devido crtica mencionada anteriormente) por realar as diferenas (e semelhanas) entre as organizaes de menor e maior porte (estas ltimas definidas como tendo pelo menos 1 .000 funcionrios) . Esperamos que isso atenue essas preocupaes e torne as descobertas neste relatrio tanto informativas em termos gerais quanto especificamente teis .

Ah! E embora no exatamente toleremos o prazer em ver o sofrimento dos outros, esperamos que vocs o apreciem .

dados demogrficosTodos os anos, comeamos com os dados demogrficos das vtimas de violaes dos anos anteriores, j que isso define o contexto para o restante das informaes apresentadas no relatrio . Estabelecer como as violaes se decompem nos diferentes setores, portes de empresa e localizaes geogrficas deve ajudar a criar alguma perspectiva com relao a todos os detalhes suculentos apresentados nas sees a seguir .

Este ano ns alteramos o modo como coletamos alguns dos dados demogrficos . Decidimos parar de usar nossa prpria lista de setores e adotar o North American industry Classification System (Sistema Norte Americano de Classificao de Setores, que conta com uma referncia cruzada com outras classificaes comuns) . Como resultado, algumas das tendncias e comparaes da diviso em setores dos anos anteriores perdem alguma consistncia, mas, na maior parte dos casos, as classificaes so mapeadas com tal proximidade que as comparaes no chegam a perder seu valor .

Como mostra a Figura 3, os primeiros trs lugares permanecem os mesmos de nosso ltimo relatrio . o setor mais afligido, mais uma vez, o de Servios de acomodao e alimentcios, que consiste em restaurantes (cerca de 95%)

e hotis (cerca de 5%) . o setor de Finanas e seguros caiu de 22% em 2010 para aproximadamente 10% no ano passado . Embora tenhamos produzido uma variedade de explicaes plausveis (e algumas no to plausveis) para a ampliao da lacuna entre os servios financeiros e os alimentcios, reservaremos a maior parte dessas consideraes para as sees mais aplicveis do relatrio . Basta dizer que parece que a tendncia industrializao dos crimes cibernticos que tiveram uma influncia to expressiva nas descobertas em nosso ltimo relatrio ainda est em plena atividade (tendo-se repetido em outros relatrios do setor7) .

Ao examinar a decomposio dos registros perdidos por setor na Figura 4, no entanto, nos deparamos com um resultado muito diferente . o grfico dominado por dois setores que quase no tm expresso na Figura 3 e que no contriburam anteriormente com uma grande participao na perda de dados informao e manufatura . Vamos voltar a tocar nesse ponto no transcorrer do relatrio, mas essa guinada surpreendente se deve, principalmente, a algumas violaes muito grandes que atingiram organizaes nesses setores em 2011 . Suspeitamos que os ataques que afetaram essas organizaes foram direcionados contra sua marca e por seus dados, em vez de visarem seu setor .

7 Por exemplo, consulte o Trustwaves 2012 Global Security Report, que discute o aumento do nmero de ataques contra franquias.

Poderamos dividir o conjunto de dados de um sem-nmero de maneiras, mas optamos (parcialmente devido crtica mencionada anteriormente) por

realar as diferenas (e semelhanas) entre as organizaes de menor e maior porte (estas ltimas definidas como tendo pelo menos 1 .000 funcionrios) .

o North American industry Classification System (NAiCS, Sistema Norte Americano de Classificao de Setores) o padro usado pelos rgos de estatstica federais estadunidenses para a classificao de estabelecimentos comerciais para fins de coleta, anlise e publicao de dados estatsticos relacionados economia empresarial dos Estados unidos .

o NAiCS foi desenvolvido sob os auspcios do office of management and Budget (omB, Gabinete de Gesto e oramento), tendo sido adotado em 1997 para substituir o sistema Standard industrial Classification (SiC, Classificao padro de setores) . Ele foi desenvolvido conjuntamente pelo u .S . Economic Classification Policy Committee (ECPC), a Statistics Canada e o instituto Nacional de Estadistica y Geografia do mxico, a fim de permitir um alto nvel de comparabilidade das estatsticas empresariais entre os pases norte-americanos .

Fonte: http://www.census.gov/eos/www/naics/

http://www.census.gov/eos/www/naics/

11

um novo traado da Figura 5 com essas discrepncias removidas revela o que , talvez, uma descrio mais representativa ou tpica dos registros comprometidos entre os setores . A Figura 4 est um pouco mais de acordo com os dados histricos, apresentando alguma semelhana com a Figura 3, acima .

mais uma vez, organizaes de todos os portes esto includas entre os 855 incidentes em nosso conjunto de dados . As organizaes menores representam a maioria dessas vtimas, como foi o caso no ltimo riVD . Como alguns dos padres do setor, isso est relacionado procriao de ataques industrializados mencionada acima, que podem ser executados contra grandes nmeros em um perodo de tempo surpreendentemente curto com pouca ou nenhuma resistncia (da vtima, bem entendido; os rgos de segurana pblica esto vigilantes e resistindo . Consulte a seo mtodos de descoberta, bem como o Apndice B .) . As empresas de menor porte so o alvo ideal desses ataques surpresa, e os criminosos cibernticos estimulados pelo dinheiro e avessos a riscos sabem disso muito bem . Assim, o nmero de vtimas nessa categoria continua a avolumar-se .

o nmero bastante alto de violaes vinculadas a organizaes de porte desconhecido demanda um rpido esclarecimento . Embora solicitemos dados demogrficos dos colaboradores do riVD, s vezes essas informaes so desconhecidas ou no nos so transmitidas . Existem situaes vlidas onde se pode saber detalhes sobre mtodos de ataque, entre outras caractersticas, apesar da pouca informao demogrfica sobre as vtimas . isso no o ideal, mas acontece . Em vez de descartar essas informaes como dados inteis, estamos usando o que puder ser validado e simplesmente rotulando o que no pode como desconhecido . (Consulte a Tabela 2 .)

Conforme mencionado na seo de metodologia, iremos decompor as descobertas para as organizaes de grande porte sempre que apropriado . ao mencionarmos grande porte, nos referimos nossa amostra com pelo menos 1.000 funcionrios. Lembre-se disso ao ler este relatrio .Para que voc tenha uma melhor ideia da composio desse subconjunto, a Figura 6 mostra os setores das 60 organizaes que atendem a esse critrio .

figura 4. Registros comprometidos por grupo setorial

Todos os outros

manufatura

informao52%+

45%+

3%

figura 5. Registros comprometidos por grupo setorial com violaes com >1m de registros removidos

outro

Comrcio varejista

informao

Serv . administrativos e de suporte

Serv . de acomodao e alimentcios

Finanas e seguros40%

28%

10%

9%

7% 6%

figura 3. grupos setoriais representados pela porcentagem de violaes

6%outros

Comrcio varejista 20%

Finanas e seguros 10%

Servios de acomodao e alimentcios

54%

Sade e assistncia social 7%+informao 3%

tabela 2. porte organizacional por nmero de violaes (nmero de funcionrios)

1 a 10 4211 a 100 570101 a 1 .000 481 .001 a 10 .000 2710 .001 a 100 .000 23mais de 100 .000 10Desconhecido 135

12

Como de costume, difcil extrair algum significado de onde as vtimas baseiam suas operaes, visto que a maioria das violaes no requer que o invasor esteja fisicamente presente para reivindicar seu prmio . Ns definimos um alto patamar em 2010 com 22 pases representados, mas esmagamos esse recorde em 2011 com colossais 36 pases hospedando organizaes que caram vtima do comprometimento de dados . Essa uma rea em que as contribuies de nossos parceiros globais de segurana pblica realmente enfatizam o fato de que as violaes de dados no so um problema regional isolado .

figura 6. grupos setoriais representados pela porcentagem das violaes oRganiZaes de maioR poRte

5%

outros

informao 22%

Comrcio varejista 12%

Finanas e seguros 28%

Fabricao 8%

Administrao pblica 7%

18%

Transporte e armazenagem

figura 7. pases representados no conjunto de casos combinado

frica do SulAlemanhaAustrliaustriaBahamasBlgicaBrasilBulgriaCanad

DinamarcaEmirados rabes unidosEspanhaEstados unidosFederao russaFilipinasFranaGanaGrcia

Holanda ndia irlanda israel Japo Jordnia Kuwait Lbano Luxemburgo

mxico Nova Zelndia Polnia reino unido romnia Taiwan Tailndia Turquia ucrnia

pases em que uma violao foi confirmada

Ns definimos um alto patamar em 2010 com 22 pases representados, mas esmagamos esse recorde em 2011 com colossais 36 pases hospedando

organizaes que caram vtima do comprometimento de dados .

13

Rivd 2011: viso geral dos eventos de ameaasNo riVD do ano passado, apresentamos pela primeira vez a grade de eventos de ameaa do VEriS preenchida com contagens de frequncia . Alm dos novos parceiros de compartilhamento de dados, essa foi uma das novidades mais bem recebidas no relatrio . A estatstica apresentada em todo este relatrio fornece uma anlise em separado dos Agentes, Aes, Ativos e Atributos observados, mas a grade apresentada aqui rene todas essas informaes de modo a mostrar as interseces entre os quatro As . Ela proporciona uma exibio centralizada do panorama geral dos eventos de ameaas associados s violaes de dados de 2011 . A Figura 8 (conjunto de dados geral) e a Figura 9 (organizaes de maior porte) usam a estrutura da Figura 1 da seo metodologia, mas substituem os TE#s pelo nmero total de violaes em que cada evento de ameaa fez parte do cenrio do incidente .8 Esta a nossa exibio mais consolidada das 855 violaes de dados analisadas este ano, sendo que h vrios pontos dignos de nota .

Quando observamos o conjunto geral dos dados a partir da perspectiva do gerenciamento de ameaas, somente 40 dos 315 possveis eventos de amea tm valores superiores a zero (13%) . Antes de ir mais alm, precisamos reafirmar que nem todas as interseces na grade so factveis . os leitores tambm devem se lembrar de que o foco deste relatrio se concentra exclusivamente nas violaes de dados . Durante as interaes em que trabalhamos com organizaes a fim de VEriS-cizar todos os seus incidentes de segurana no transcorrer de um ano, foi muito interessante observar quo diferente o aspecto dessas grades quando comparadas com os conjuntos de dados do riVD . Pode-se formular a hiptese de que Erro e uso indevido, bem como perdas de Disponibilidade, demonstram ser muito mais comuns .

8 Em outras palavras, 381 das 855 violaes em 2011 envolveram malware externo que afetou a confidencialidade de um servidor (o evento de ameaa no canto superior esquerdo).


serv

idor

es

Confidencialidade e posse 381 518 1 9 8 1 2 1

integridade e autenticidade 397 422 1 6 1 1

Disponibilidade e utilidade 2 6 5

Rede

s

Confidencialidade e posse 1

integridade e autenticidade 1 1

Disponibilidade e utilidade 1 1 1

disp

ositi

vos d

e usu


e posse 356 419 1 86

integridade e autenticidade 355 355 1 1 86

Disponibilidade e utilidade 1 3

dado

s off

-line Confidencialidade e posse 23 1

integridade e autenticidade

Disponibilidade e utilidade

pess

oas

Confidencialidade e posse 30 1

integridade e autenticidade 59 2


figura 8. grade a4 do veRis representando a frequncia dos eventos de ameaa de alto nvel

14


serv

idor

es

Confidencialidade e posse 7 33 3 2 1

integridade e autenticidade 10 18 1

Disponibilidade e utilidade 1

Rede

s

Confidencialidade e posse


Disponibilidade e utilidade 1 1

disp

ositi

vos d

e usu


e posse 3 6 10

integridade e autenticidade 4 2 10

Disponibilidade e utilidade 1

dado

s off

-line Confidencialidade e posse 1 1



pess

oas

Confidencialidade e posse 7

integridade e autenticidade 11


figura 9. grade a4 do veRis representando a frequncia dos eventos de ameaa de alto nvel oRganiZaes de maioR poRte

Uso do verIs no GerencIamento do rIsco baseado em evIdncIasisto pode soar como propaganda, mas no voc pode fazer isto usando o VEriS (que grtis!) . imagine, enquanto gerente de risco, ter acesso a todos os incidentes de segurana em sua organizao classificados pelo VEriS (se realmente quiser deixar sua imaginao correr solta, pense tambm em contar com dados semelhantes de outras organizaes como a sua) . Com o passar do tempo, um conjunto de dados histrico criado, o que proporciona informaes detalhadas sobre o que aconteceu, com que frequncia aconteceu e o que no aconteceu em sua organizao . o nmero de incgnitas e incertezas comea a diminuir . Voc fornece as informaes para o responsvel pela visualizao dos dados, que produz uma grade para seus vrios grupos de negcios, semelhante Figura 9 . As zonas de concentrao na grade concentram sua ateno em reas problemticas crticas e ajudam a diagnosticar corretamente os problemas subjacentes . A partir da, estratgias de tratamento para deter, prevenir, detectar ou ajudar a recuperar-se de eventos de ameaa recorrentes (ou danosos) podem ser identificadas e priorizadas . mas voc no para por a . Na verdade, mede a

eficcia de suas providncias, acompanhando se ocorre a reduo no nmero de incidentes e perdas aps a aplicao dos tratamentos . Assim, voc chega a um estado em que a melhor medio possibilita um melhor gerenciamento . os colegas comeam a cham-lo de Dr . risco e, subitamente, sua opinio relevante nas discusses dos gastos com segurana . Essa poderia ser a sua histria .

obviamente, estamos adicionando uma pitada de ironia, mas realmente acreditamos no mrito de uma abordagem como esta . Gostamos de nos referir a esta abordagem como Gerenciamento do risco baseado em evidncia (EBrm, Evidence-Based risk management), emprestando o conceito de medicina baseada em evidncia . Essencialmente, o objetivo do EBrm aplicar a melhor evidncia disponvel, obtida em pesquisas empricas, para medir e gerenciar o risco da informao . os incidentes de segurana, sejam grandes ou pequenos, so uma enorme parte dessa melhor evidncia disponvel . por isso que afirmamos que analis-los meticulosamente uma prtica altamente benfica .

15

Voltemos agora para as grades, cujos resultados do conjunto de dados em geral compartilham muitas semelhanas com o nosso ltimo relatrio . As maiores alteraes so que as zonas de concentrao nas reas de uso indevido e Fsico esto um pouco mais controladas, enquanto malware e Ao de hackers contra Servidores e Dispositivos de usurio esto mais intensos que nunca . Da mesma forma, a lista dos principais eventos de ameaa na Tabela 3 parece assustadoramente familiar .

Separar os eventos de ameaa das organizaes de maior porte na Figura 9 resulta em mais alguns pontos dignos de nota . Algumas pessoas podem se surpreender por esta verso da grade estar menos coberta do que a Figura 8 (22 dos 315 eventos 7% foram vistos pelo menos uma vez) . Seria de se esperar que a maior superfcie de ataque e os controles mais reforados associados s organizaes de maior porte espalhariam os ataques por uma poro mais vasta da grade . isso pode ser verdade, e nossos resultados no devem ser usados para contradizer esse argumento . Acreditamos que a menor densidade da Figura 9 em comparao com a Figura 8 seja resultado principalmente das diferenas de tamanho dos conjuntos de dados (855 comparadas com 60 violaes) . Com respeito diversidade das ameaas, interessante observar que a grade das organizaes de maior porte mostra uma distribuio comparativamente mais uniforme entre os eventos de ameaa no escopo (ou seja, uma aglomerao menos intensa ao redor de malware e Ao de hackers) . A esse respeito, eventos Sociais e Fsicos compem a lista dos 10 mais na Tabela 4 . Com base nas descries na imprensa de ataques proeminentes que se aproveitam de formas de engenharia social, isso no chega a ser um choque .

Naturalmente, comentaremos todos esses pontos nas sees a seguir .

evento de ameaan do

evento de ameaa

contagem

1 Externo .Ao de hackers .Servidor .Confidencialidade 4 33

2 Externo .Ao de hackers .Servidor .integridade 28 18

3 Externo .Social .Pessoas .integridade 280 114 Externo .malware .Servidor .integridade 22 10

5 Externo .Fsico .Dispositivo de usurio .Confidencialidade 139 10

6 Externo .Fsico .Dispositivo de usurio .integridade 160 10

7 Externo .malware .Servidor .Confidencialidade 1 7

8 Externo .Social .Pessoas .Confidencialidade 259 7

9 Externo .Ao de hackers .Dispositivo de usurio .Confidencialidade 130 6

10 Externo .malware .Dispositivo de usurio .integridade 148 4

tabela 4. dez principais eventos de ameaa do veRis oRganiZaes de maioR poRte

evento de ameaan do

evento de ameaa

contagem

1 Externo .Ao de hackers .Servidor .Confidencialidade 4 518

2 Externo .Ao de hackers .Servidor .integridade 28 422

3 Externo .Ao de hackers .Dispositivo de usurio .Confidencialidade 130 419

4 Externo .malware .Servidor .integridade 22 3975 Externo .malware .Servidor .Confidencialidade 1 381

6 Externo .malware .Dispositivo de usurio .Confidencialidade 127 356

7 Externo .malware .Dispositivo de usurio .integridade 148 355

8 Externo .Ao de hackers .Dispositivo de usurio .integridade 151 355

9 Externo .Fsico .Dispositivo de usurio .Confidencialidade 139 86

10 Externo .Fsico .Dispositivo de usurio .integridade 160 86

tabela 3. dez principais eventos de ameaa do veRis

os resultados do conjunto de dados em geral compartilham muitas semelhanas com o nosso ltimo relatrio . As maiores alteraes so que as

zonas de concentrao nas reas de uso indevido e Fsico esto um pouco mais controladas, enquanto malware e Ao de hackers contra Servidores e

Dispositivos de usurio esto mais intensos que nunca .

16

agentes da ameaaEntidades que causam um incidente ou contribuem para ele so conhecidas como agentes de ameaa . Pode haver, logicamente, mais de um agente envolvido em um incidente especfico . As aes executadas por eles podem ser mal-intencionadas ou no, intencionais ou no, causais ou auxiliares e decorrer de uma variedade de motivaes (todas elas discutidas em sees subsequentes, especficas a cada agente) . A identificao dos agentes associados a um incidente crtica tomada de medidas corretivas especficas, bem como tomada de decises bem informadas com relao a futuras estratgias defensivas . o VEriS especifica trs categorias principais de agentes de ameaa: Externo, interno e Parceiro .

externo: agentes externos tm origem em fontes externas organizao e a sua rede de parceiros . Exemplos incluem ex-funcionrios, hackers isolados, grupos criminosos organizados e entidades governamentais . Agentes externos tambm incluem eventos ambientais, como inundaes, terremotos e interrupes do fornecimento de energia . Normalmente, no h implicaes de confiana ou privilgios em relao s entidades externas .

interno: ameaas internas so aquelas que se originam dentro da organizao . isso engloba executivos da empresa, funcionrios, contratados independentes, estagirios, etc ., assim como a infraestrutura interna . Pessoas de dentro da empresa so confiveis e privilegiadas (alguns mais do que outros) .

parceiros: parceiros incluem qualquer terceiro que compartilhe um relacionamento comercial com a organizao . isso inclui fornecedores, prestadores de servios, provedores de hospedagem, suporte de Ti terceirizado, etc . Geralmente, algum nvel de confiana e privilgio est implicado entre os parceiros comerciais .

A Figura 10 exibe a distribuio dos agentes de ameaa por porcentagem das violaes no conjunto de dados deste ano, juntamente com todos os anos anteriores deste estudo . importante lembrar que no estamos analisando uma amostra consistente . os primeiros anos se basearam somente em casos da Verizon . Depois disso, o uSSS (2007-2011), a NHTCu (2006-2011), a AFP (2011), o iriSSCErT (2011) e a PCeu (2011) se juntaram a diferentes alturas nos anos seguintes . Assim, as tendncias so a combinao das mudanas no ambiente das ameaas e das mudanas no conjunto de dados da amostra .

70%78%

39%

6%

72%

48%

6%

86%

98%

12% 2% 4%

17

2011 deu continuidade guinada em direo ao envolvimento de agentes externos em uma alta porcentagem das violaes de dados . Embora tenhamos sempre testemunhado uma maioria externa, nunca um ano tinha sido to unilateral . 2009 foi o ano que chegou mais perto de constituir uma exceo a essa regra, mas o aumento no nmero dos agentes internos foi, em sua maior parte, um subproduto da incorporao do conjunto de casos do uSSS, com grande nmero de agentes internos s empresas (consulte o Rivd 20109 para obter mais detalhes em ingls) . Desde ento, o pessoal de fora consistiu na maioria dos conjuntos de casos que examinamos .

Deixando de lado as variaes anuais das amostras, h vrios fatores que contriburam para a ascenso da porcentagem de agentes externos em comparao com pessoas de dentro da empresa e parceiros neste relatrio . o principal fator, que foi abordado extensivamente no Rivd 201110 (em ingls), o efeito continuado dos ataques industrializados nessas propores . Grupos criminosos organizados que tm como alvo informaes de cartes de pagamento em sistemas de postos de vendas voltados para a internet ou caixas eletrnicos e bombas de gasolina fisicamente expostos podem lanar-se com veemncia contra centenas de vtimas em uma mesma operao . Do ponto de vista percentual, o efeito que esses ataques no especializados e, ainda assim, altamente escalonveis tm sobre as tendncias dos agentes de ameaa faz todo o sentido . Pessoas de dentro da empresa, por definio, tm um pequeno nmero de alvos potenciais .

outro contribuinte ascenso continuada dos agentes externos em 2011 foram as condutas revigoradas dos grupos ativistas . Comumente conhecidos como hacktivismo, esses ataques so inerentemente externos . Esto longe de ser to frequentes (ou at mesmo constantes) quanto o crime ciberntico tradicional, mas, como veremos a seguir, podem ser bastante prejudiciais .

Seramos negligentes se no chamssemos a ateno para o fato de que, em 2011, houve vrias investigaes que envolveram agentes internos, mas que no satisfizeram a definio de uma violao de dados . Quando pessoas de dentro da empresa usam indevidamente o acesso ou as informaes fornecidas para o desempenho dos deveres de seus cargos, mas no divulgam as informaes para um terceiro no autorizado, no chega a ocorrer a perda de confidencialidade .11 Tais incidentes no esto includos neste relatrio .

outra observao interessante sobre 2011 a porcentagem muito mais baixa de violaes com vrios agentes . Em 2009, mais de um quarto de todos os incidentes decorreu do trabalho de mais de uma categoria de agente de ameaa . Algumas vezes, esses incidentes envolvem uma conivncia aparente, mas, com maior frequncia, pessoas de fora da empresa chamam pessoas de dentro para participarem de algum aspecto do crime . Em 2011, esse valor foi de apenas 2% . o declnio neste caso tambm pode ser atribudo tendncia industrializao discutida acima .

os agentes de ameaa de parceiros sofreram um declnio continuado nos ltimos anos, e este conjunto de dados no uma exceo .12 Com menos de 1% das violaes causadas por um parceiro, provavelmente a tendncia no ter como ser outra seno um aumento no prximo relatrio . Como ocorreu com as pessoas de dentro da empresa, o drstico aumento do nmero de agentes externos ajuda a explicar esse declnio, mas tambm existem outros fatores . observe que a tendncia ao declnio comeou em 2008, anteriormente grande guinada em direo aos ataques altamente escalonveis por pessoas de fora da empresa . Levantamos vrias hipteses em relatrios anteriores, inclusive aumento da conscientizao, regulamentao e avanos tecnolgicos . o mais significativo o modo como definimos agentes causais e auxiliares . Parceiros que no tiveram um papel causal no incidente no esto includos nessas porcentagens . uma discusso mais aprofundada sobre esses cenrios pode ser encontrada nas sees sobre Parceiro e Erro deste relatrio .

Tambm totalmente possvel que pessoas mal-intencionadas de dentro da empresa e/ou parceiros estejam voando baixo para no serem pegos pelo radar, o que est impedindo sua descoberta . Lamentamos em relatrios anteriores (e lamentaremos nas sees a seguir) que uma alta porcentagem das violaes seja identificada pela

9 http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf10 http://www.verizonbusiness.com/go/2011dbir/us/11 Um exemplo frequente disso um funcionrio de banco que se vale de privilgios no sistema para fazer um saque ou transferncia de fundos no autorizada. Isso certamente uma violao da

segurana, mas no uma violao de dados.12 Alguns podem justificadamente se lembrar de que a porcentagem vinculada a parceiros era consideravelmente mais alta nos relatrios anteriores. Lembre-se de que aqueles relatrios mostraram os

dados da Verizon em separado, enquanto estes so dados combinados de todas as organizaes participantes retroativamente ajustados aos dados histricos. Isso definitivamente altera os resultados.

2011 deu continuidade guinada em direo

ao envolvimento de agentes externos em

uma alta porcentagem das violaes de dados .

Embora tenhamos sempre testemunhado uma maioria

externa, nunca um ano tinha sido to unilateral .

http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdfhttp://www.verizonbusiness.com/go/2011dbir/us/http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdfhttp://www.verizonbusiness.com/go/2011dbir/us/

18

deteco de fraude . No entanto, comprometimentos de dados que no sejam financeiros no contam com esses mecanismos para acionar a conscientizao, sendo, portanto, mais difceis de se descobrir . Nossos dados mostram sistematicamente que partcipes de confiana tm consideravelmente maior probabilidade de furtar propriedade intelectual e outros dados sigilosos (no financeiros), sendo que existe uma boa chance de que essas atividades nunca venham a ser detectadas . No inclumos isso para nos desculpar pelo vis ou para disseminar medo, incerteza e dvida, mas para levantar o ponto vlido de que as pessoas de

dentro da empresa e os parceiros esto provavelmente insuficientemente representados na Figura 10 (embora, no grande esquema das coisas, ainda no acreditamos que eles estejam nem perto das pessoas de fora) .

A fim de cumprir nossa promessa de fornecer descobertas especficas s organizaes de maior porte, apresentamos a Figura 12 . os que esperam ver um resultado significativamente diferente aqui esto fadados decepo . (Voc no detesta quando os dados criam obstculos a uma boa teoria?) Ns tnhamos uma explicao incrivelmente perspicaz e racional para elucidar por que as pessoas de dentro da empresa e os parceiros tinham maior probabilidade de atacar as organizaes de maior porte, mas infelizmente tudo foi por gua abaixo .

Tamanho da violao por agente de ameaao comprometimento dos dados, medido pelo nmero de registros perdidos, no indicativo do impacto total da

violao, apesar de ser um indicador til e mensurvel . Concordamos que o ideal seria incluir mais informaes sobre perdas associadas a resposta, danos a marcas, interrupo dos negcios, penalidades legais, etc . Como um pequeno passo nessa direo, acrescentamos a este relatrio uma breve seo que discute algumas dessas consequncias . Aqui, concentramos nosso foco exclusivamente no volume da perda de dados .

A Figura 13 mostra a distribuio entre os agentes de ameaa dos aproximadamente 174 milhes de registros comprometidos em todo o conjunto de dados consolidado de 2011 . No, no esquecemos de incluir bales para pessoas de dentro da empresa e parceiros . A questo que as pessoas de fora tomaram conta de praticamente tudo . Quando comparado com todo o conjunto de dados que engloba todos os anos deste estudo (Figura 14), o efeito no muito diferente (mas pelo menos podemos ver outras cores alm de azul esverdeado) . megaviolaes, que envolvem milhes de registros em um nico incidente, tm sistematicamente distorcido os valores das perdas de dados em direo aos agentes externos . os ataques em alto volume e de baixo rendimento tambm contam em seu favor com o passar do tempo .

figura 12. agentes de ameaa por porcentagem das violaes oRganiZaes de maioR poRte

Externo interno Parceiro Desconhecido

87%

5% 5%3%

figura 13. Registros comprometidos por agente de ameaa, 2011

Somente externo

Somente interno

Vrios agentesSomente parceiro

153 .002 403 173 .874 .419 55 .493

figura 14. Registros comprometidos por agente de ameaa, 2004-2011

Somente externo

Somente interno

Vrios agentesSomente parceiro

978 .433 .619 28 .925 .291 43 .897 .579 46 .476 .153

figura 11. agentes de ameaa (exclusivos) por porcentagem das violaes

95%+ 2%

19

importante reconhecer os vrios tipos de dados comprometidos e sua influncia nesta mtrica . Dados de cartes de pagamento e informaes pessoais so, com frequncia, armazenados e furtados em massa, enquanto que o furto de propriedade intelectual ou dados classificados normalmente envolve apenas um nico registro . Como mencionado anteriormente, pessoas de dentro da empresa tm maior probabilidade de visar estes ltimos .

Agentes externos (98% das violaes, >99% dos registros)Como aconteceu com todos os nossos riVDs anteriores, esta verso continua a reforar a descoberta de que partes externas so responsveis por muito mais violaes do que pessoas de dentro da empresa e parceiros . Desta vez, elas estavam vinculadas a 98% de todos os incidentes . primeira vista, muito do que se refere s funes, variedades e motivaes dos agentes externos em 2011 parece ser apenas uma continuao da mesma velha histria .

Pessoas de fora quase sempre se envolveram em aes diretas, intencionais e mal-intencionadas . Somente escassos 2% dos casos apresentaram agentes externos em funes indiretas, em que tenham solicitado ou ajudado algum a agir contra a vtima . Grupos criminosos organizados estiveram, mais uma vez, por trs da maior parte (83%) de todas as violaes . de se perguntar por que eles fazem o que fazem (ns certamente nos perguntamos, motivo pelo qual comeamos a pesquisar mais sobre as motivaes no ano passado) . A resposta bastante direta fazem isso por dinheiro (96%) . Em suma, a maior parte dos ladres de dados consiste em criminosos profissionais que tentam deliberadamente furtar informaes que possam ser transformadas em dinheiro . Como dissemos a mesma velha histria .

Essa no , contudo, toda a histria . Nem mesmo a questo mais importante . A mudana mais significativa que percebemos em 2011 foi a ascenso do hacktivismo contra organizaes de maior porte em todo o mundo . A frequncia e a regularidade dos casos vinculados a grupos ativistas que chegaram at ns em 2011 excederam o nmero combinado dos casos trabalhados em todos os anos anteriores . mas isso no se restringiu apenas ao nosso conjunto de dados . As outras organizaes participantes deste relatrio tambm empreenderam bastante esforo respondendo a exploraes hacktivistas, investigando-as e processando-as . Foi extremamente interessante montar um quebra-cabea com essas diferentes perspectivas a fim de formar uma viso global das investigaes dos grupos ativistas e de suas vtimas . Trs por cento de todos os ataques

Ganho financeiro ou pessoal

Disseno ou protesto

Diverso, curiosidade ou vaidade

ressentimento ou ofensa pessoal

96%71%

3%25%

2%23%

1%2%

Todas as organizaes

organizaes de maior porte

figura 15. motivao de agentes externos por porcentagem de violaes da categoria externo

Em suma, a maior parte dos ladres de dados consiste

em criminosos profissionais que tentam deliberadamente

furtar informaes que possam ser transformadas

em dinheiro . Como dissemos a mesma velha histria .

Essa no , contudo, toda a histria . Nem mesmo a questo mais importante . A mudana mais significativa que percebemos em 2011 foi a ascenso do hacktivismo contra organizaes de maior porte em todo o mundo .

20

externos pode no parecer muito (mas lembre-se de que estamos lidando com mais de 850 incidentes aqui, e observe que as motivaes relacionadas so mais numerosas que isso, alm de suspeitarmos que alguns agentes desconhecidos so, na verdade, ativistas), mas essa tendncia provavelmente o maior e absolutamente mais importante fator de mudana no riVD deste ano .

isso no quer dizer que o hacktivismo seja algo novo . o termo j consta do lxico corrente desde que foi cunhado pela comunidade de hackers Cult of the Dead Cow no final da dcada de 90 .13 Naquele tempo, ele consistia, na maior parte, em vandalismo de sites da Web, ataques coordenados de negao de servio, entre outras peas para

expressar disseno, conquistar o direito de se gabar ou simplesmente porque sim . A maior guinada que ocorreu em 2011 foi que os grupos ativistas agregaram as violaes de dados ao seu repertrio com uma intensidade e publicidade muito exaltadas . Em outras palavras, 2011 testemunhou a fuso entre essas duas transgresses clssicas, com uma nova reviravolta que diz ah, por falar nisso, tambm vamos roubar todos os seus dados .

mas mesmo isso ainda no toda a histria . Embora os grupos ativistas tenham respondido por uma proporo relativamente pequena do conjunto de casos de 2011, eles furtaram mais de 100 milhes de registros .

isso quase o dobro do valor abocanhado por todos os profissionais com motivaes financeiras que discutimos anteriormente . Por isso, embora os ataques ideolgicos tenham sido menos frequentes, certamente cobraram um preo muito alto .

Por que a disparidade entre o total de registros furtados por criminosos cibernticos profissionais e por grupos ativistas? observando os dados dos casos, fica aparente que os ladres impulsionados pelo dinheiro continuam a concentrar mais o seu foco em ataques oportunistas contra alvos mais vulnerveis . isso pode se dever, pelo menos parcialmente, ao fato de um bom nmero de seus colegas estar cumprindo pena . Em vez de roubos grandes (e arriscados), eles pilham quantidades menores de dados de um sem-nmero de organizaes de menor porte que impem um risco mais baixo ao invasor . Pense nisso como uma maneira de agilizar os processos comerciais . Encontre uma maneira fcil de aproveitar-se dos desprevenidos, dos fracos, dos ineptos e ento simplesmente repita-a em larga escala . Esse modelo de negcio de alto volume e baixo rendimento tornou-se o modus operandi padro dos grupos de criminosos organizados .

uma importante observao antes de fecharmos esta discusso que quase todos os dados furtados por grupos ativistas foram extrados de organizaes de maior porte . Alm do mais, a proporo de violaes vinculadas a motivaes relacionadas ao hacktivismo aumentou para 25% . isso compreensvel, j que uma marca mais discreta tem menos probabilidade de atiar a ira desses grupos .

Exatamente como os profissionais da segurana com quem se debatem, os criminosos esto constantemente avaliando o risco o risco de serem pegos . um dos grandes desafios dos rgos de segurana pblica no combate ao crime ciberntico estabelecer a correspondncia entre a identidade de um criminoso no mundo real e sua identidade on-line . infelizmente, em 10% do conjunto de casos de 2011, os investigadores no conseguiram identificar uma variedade especfica de agente externo . H vrios motivos vlidos para tal . Acima de tudo, muitos clientes no mantm dados suficientes em registros que pudessem permitir a atribuio . Em muitos casos, a determinao no pode ser feita apenas com a peritagem judicial dos discos . Por vrios motivos, muitas vtimas no desejam expandir a investigao de modo a incluir essa linha de investigao uma vez que a conteno da violao tenha sido bem-sucedida . s vezes, o criminoso consegue apagar seus rastros ou ocult-los entre um grande nmero de sistemas intermedirios . De vez em quando, justamente quando achamos que identificamos corretamente o assaltante Nope! Chuck Testa (d uma pesquisada a pausa pode valer a pena).

13 http://www.wired.com/techbiz/it/news/2004/07/64193

todas as organizaes

organizaes de maior

porteGrupo de criminosos organizados 83% 35% 33% 36%Desconhecido 10% 1% 31% 0%

Pessoas no afiliadas 4% 0% 10% 0%

Grupo ativista 2% 58%+ 21% 61%Ex-funcionrio (no tinham mais acesso) 1% 0% 6% 0%

Parente ou conhecido de funcionrio 0% 0% 2% 0%

tabela 5. variedades de agentes externos por porcentagem de violaes na categoria externo e porcentagem de registros

21

origem dos agentes externosComo sempre, determinar a origem geogrfica de invasores externos com base somente no endereo iP pode ser problemtico . mesmo que se possa especificar o pas dos endereos iP de origem, esse pode no ser o verdadeiro pas de residncia do invasor . bastante provvel que se trate apenas de um host em um botnet ou outro salto usado pelo agente . Em alguns casos, vrios tipos de dados adicionais, como aqueles fornecidos pelos rgos de segurana pblica e/ou anlises de fluxo de rede, podem ajudar a determinar a verdadeira origem do invasor . De qualquer forma, examinar a origem geogrfica dos invasores valioso por diversos motivos .

os achados de 2011 se parecem com os dos anos anteriores, com agentes de ameaa procedentes da Europa oriental respondendo por dois teros de todas as violaes externas (consulte a Figura 16) . Contudo, se examinarmos apenas as organizaes de grande porte, esse nmero cai para 27% . Essa estatstica est alinhada com a tendncia cada vez maior dos grupos de criminosos organizados (que com frequncia provm da Europa oriental) de visar vtimas menores, cujos ataques demandam o mais baixo nvel de dificuldade . os ataques contra as organizaes de maior porte se originaram de um conjunto comparativamente mais diversificado de regies ao redor do mundo .

Agentes internos (4% das violaes,

22

Este ano, tambm separamos caixas de lojas/caixas de bancos/garons da categoria funcionrios/usurios finais comuns . Descobrimos que os tipos de aes em que esses manipuladores de dinheiro estavam envolvidos eram bastante diferentes das dos usurios finais tradicionais nas empresas de grande porte . Fazendo isso, conseguimos obter um panorama mais preciso de quem est por trs da porcentagem historicamente alta de incidentes atribudos a funcionrios comuns . os manipuladores de dinheiro mencionados acima respondem por 65% de todos os incidentes internos . Esses indivduos, com frequncia por solicitao de quadrilhas organizadas externas, extraem regularmente informaes de cartes de pagamento de clientes em dispositivos de mo projetados para capturar dados de uma fita magntica . os dados so ento passados para elementos mais acima na cadeia de criminosos, que usam codificadores de fita magntica para fabricar duplicatas dos cartes . No de se surpreender que esses incidentes estejam quase sempre

associados a empresas de menor porte ou a franquias locais independentes de grandes marcas .

Por outro lado, quando usurios finais comuns de grandes empresas esto envolvidos (12%), suas aes so bastante diferentes . Na maioria dos casos, esses funcionrios abusam do acesso ao sistema ou de outros privilgios a fim de furtar informaes sigilosas . Quase todos os cenrios relacionados acima so motivados por ganho financeiro ou pessoal .

Alm das variedades mencionadas acima, observamos uma mistura de executivos, gerentes e supervisores (que totalizam 18%) . Como os funcionrios e usurios finais comuns, esses indivduos tambm esto explorando o acesso ao sistema e os privilgios para obter ganhos pessoais . Por trs anos consecutivos, testemunhamos um declnio no pessoal financeiro e contbil . Ainda assim, as responsabilidades dirias desses funcionrios, que envolvem a superviso e/ou o acesso direto a ativos e informaes valiosas, os coloca em uma posio que lhes possibilita se envolverem em inmeras transgresses . de se perguntar o que os dados indicariam se fossemos rastrear esses tipos de indivduos de dentro da empresa pelo cenrio normativo em constante evoluo, desde antes de Glass-Stegall, passando por Graham-Leach-Bliley e agora Dodd-Frank . Teria sido muito interessante testemunhar o fluxo e refluxo desses nmeros .

Por fim, teria sido negligncia de nossa parte se no fornecssemos algum comentrio sobre os administradores de sistemas e de redes . Esses guerreiros tecnolgicos dignos de confiana ajudam a manter as organizaes de Ti ao redor do mundo em plena produtividade e, algumas vezes, possuem as proverbiais chaves do reino . Embora tenhamos visto casos em que eles foram responsveis pelas violaes de dados, esses profissionais registraram um mero vislumbre no radar nos ltimos anos . mencionamos em uma seo anterior que analisamos os incidentes de uma nica organizao no decorrer de um ano . Nesses conjuntos de dados, os incidentes relacionados a administradores ocorreram com frequncia, mas so, em sua maior parte, da variedade relacionada a disponibilidade e tempo de inatividade .

Agentes de parceiros (

23

(alis, tambm a pessoas de dentro da empresa) . No havendo mais nada a dizer sobre os trs incidentes acima, vamos mudar de tpico e tentar esclarecer um pouco o modo como classificamos o papel de parceiros em um incidente . Se voc no tem nenhuma inteno de usar o VEriS e/ou simplesmente no se importa, pode pular este tpico .

Alguns exemplos devem ajudar:

1 . Se as aes dos parceiros so a causa direta do incidente, eles So um agente de ameaa .

2 . Se as aes dos parceiros criam uma circunstncia ou condio que se/quando posta em prtica por outro agente permite o prosseguimento da cadeia principal dos eventos de ameaa, o parceiro No um agente de ameaa . Consideramos este como sendo um evento condicional, em que o parceiro pode ser encarado como um agente auxiliar . Suas aes tiveram mais a ver com a segurana ou vulnerabilidade da vtima do que com a ameaa propriamente dita .

3 . Se o parceiro for proprietrio do ativo da vtima envolvido em um incidente, ou se hospedar ou gerenciar esse ativo, isso No implica necessariamente que ele seja um agente de ameaa . Ele pode ser (caso suas aes tenham levado ao incidente), mas essa simples associao no determina sua culpa .

o exemplo n2 parece apresentar um impasse para a maioria das pessoas . Para ilustrar melhor o que queremos dizer, consideremos o cenrio a seguir . Suponha que um terceiro administre remotamente os dispositivos de um cliente pela internet por meio de algum tipo de acesso ou servio de rea de trabalho remoto . Suponha ainda que esse parceiro se esqueceu de ativar ou definiu incorretamente uma configurao de segurana (pensemos em algo que nenhum administrador jamais faria, como negligenciar a alterao das credenciais padro) . Ento, eis que o dispositivo disparado 30 segundos depois de identificado quando um grupo de criminosos organizados que opera da Europa oriental adivinha o nome de usurio/senha . lgico que tudo isto puramente figurativo, j que jamais aconteceria no mundo real (piscadinha, piscadinha) . Em tais circunstncias, o grupo de criminosos seria o nico agente de ameaa . Seria possvel capturar a contribuio [indireta] do parceiro usando o papel especfico do VEriS contribui com evento(s) condicional(is), juntamente com a ao de ameaa Erro . isso denota essencialmente que o parceiro criou uma vulnerabilidade (o evento condicional) que foi explorada por um agente de ameaa externo .

Em suma, a afirmao feita nos ltimos dois anos continua verdadeira: as organizaes que terceirizam o gerenciamento e suporte de sua Ti tambm terceirizam uma boa dose de confiana aos parceiros de sua escolha . As prticas de segurana complacentes de um parceiro e sua governana insatisfatria com frequncia fora do controle ou competncia da vtima so catalizadores comuns em incidentes de segurana . No obstante, a terceirizao pode ter muitos benefcios, e a melhor maneira de neutralizar o risco associado por meio de polticas de terceiros, contratos, controles e avaliaes . uma advertncia a ser feita com relao terceirizao que podem-se terceirizar funes comerciais, mas no o risco e a responsabilidade a um terceiro . Estes precisam ser assumidos pela organizao que pede populao que confie em que eles faro a coisa certa com seus dados .

aes de ameaaAs aes de ameaa descrevem o que o agente de ameaa faz para causar ou contribuir com a violao . Toda violao de dados contm uma ou mais delas, o que faz com que a soma das porcentagem exceda os 100% . No

VEriS, as aes so classificadas em sete categorias de alto nvel (cada uma delas ser abordada em detalhes nas sees a seguir) .

Ao de hackers e malware tradicionalmente encabearam a lista, mas este ano eles se distanciaram ainda mais do grupo enquanto acenavam oi, mame! para a cmera . Dos 855 incidentes deste ano, 81% se valeram da ao de hackers, 69% incluram malware e impressionantes 61% de todas as violaes apresentaram uma combinao de tcnicas de hackers e malware . Dos 602 incidentes com dois ou mais eventos, ao de hackers e malware foram usados em 86% dos ataques (mais sobre os relacionamentos entre as aes de ameaa pode ser encontrado no Apndice A) .

As prticas de segurana complacentes de um

parceiro e sua governana insatisfatria com

frequncia fora do controle ou competncia da vtima

so catalizadores comuns em incidentes de segurana .

Ao de hackers e malware tradicionalmente encabearam a lista, mas este ano eles se distanciaram ainda mais do grupo enquanto acenavam oi, mame! para a cmera .

24

Em geral, vimos as categorias se alternando um pouco com o passar dos anos . uso indevido e tticas sociais intensificaram seu jogo em 2009, enquanto tcnicas fsicas fizeram uma apario respeitvel no ano seguinte . A queda bastante acentuada dos ataques fsicos no ano passado pode se dever ao fato de os rgos globais de segurana pblica terem mudado diametralmente sua posio com relao aos envolvidos em incidentes com extrao de informaes especficas . Eles concentraram seu foco decisivamente nas quadrilhas de criminosos por trs dessas atividades de extrao de informaes especficas em vez de concentrarem-se nos incidentes propriamente ditos, e podemos estar comeando a testemunhar os frutos desses esforos .

Amb .

uso ind .

Hack .mal .

Soc .

Fs .Erro

201049%

50%11%

17%29%

25

Seja qual for a explicao, uma coisa fica absolutamente clara: vemos um padro definitivo emergindo com o passar dos anos com respeito s aes de ameaa em todo o conjunto de dados .

Se olharmos para as organizaes de maior porte, no entanto, encontraremos um panorama ligeiramente diferente . A Figura 18 alude a uma verdade bvia e simples que vale a pena mencionar: os problemas das empresas de grande porte so diferentes dos problemas das pequenas empresas . Talvez isso se deva ao fato de as empresas de grande porte contarem com o pessoal de Ti para lidar com algumas das questes mais imediatamente abordveis (ou, o que costuma ser o caso, para lidar com fatos consumados a posteriori) . Entretanto, para chegarmos s questes prticas da diferena entre organizaes de grande e pequeno porte, precisamos analisar a decomposio das aes de ameaa alm dessas categorias de alto nvel (veja a Tabela 7) .

classificao variedade categoria violaes Registros

1 Keylogger/Form-grabber/Spyware (capturar dados a partir da atividade do usurio)

malware 48% 35%

2 Explorao de credenciais padro ou facilmente adivinhveis ao de hackers 44% 1%

3 uso de credenciais de login furtadas ao de hackers 32% 82%

4 Envio de dados para site/entidade externa malware 30%

26

Empresas de todos os portes se depararam com uma boa quantidade de cdigo mal-intencionado projetado para capturar as entradas dos usurios, comumente conhecidos como keyloggers presentes em quase metade de todas as violaes (48%) . isso muito provavelmente contribuiu com o uso de credenciais furtadas em aproximadamente um a cada trs incidentes . outra ao de ameaa uniformemente usada contra empresas de grande e pequeno porte foi a instalao (e explorao) de backdoors, que foram aproveitadas em um a cada cinco ataques . Podemos ter uma ideia dos diferentes panoramas de ameaas das empresas de grande e pequeno portes comparando a Tabela 8, que relaciona as principais aes de ameaa usadas contra as empresas de maior porte .

Extrair as informaes da Tabela 8 um pouco problemtico, visto que os nmeros so menores (conjuntos de dados menores apresentam oscilaes maiores nos erros de amostragem), mas podemos observar algumas tendncias interessantes . A primeira coisa que chama a ateno a maior presena das tticas sociais . um valor desproporcional de 22% dos incidentes envolveu essas tticas nas organizaes de maior porte . o motivo poderia ser suas melhores defesas de permetro (o que foraria os invasores a visar humanos em vez de sistemas) ou o fato de os funcionrios de empresas de maior porte terem uma rede social mais complexa (menos provavelmente conhecem todos os colegas em quem deveriam (ou no) confiar) .

outra concluso interessante que podemos tirar da Tabela 8 a falta de explorao das credenciais padro . Ela desapareceu do radar e algumas das 60 violaes de empresas de grande porte incluram essa ao de ameaa . mais uma vez, isso poderia se dever ao fato de as organizaes de maior porte contarem com o talento e os recursos para lidar com algumas das tarefas domsticas ou pode ser que as empresas de maior porte provavelmente tm mais que uma nica senha padro entre o invasor e as jias da coroa . isso refora a necessidade de os bandidos furtarem credenciais de login para invadirem as organizaes de maior porte . Nas pginas a seguir, nos aprofundamos em cada uma dessas categorias para ver o que mais podemos aprender sobre as aes que levaram s violaes de dados de 2011 .

Malware (69% das violaes, 95% dos registros)malware qualquer software mal-intencionado, script ou cdigo desenvolvido ou usado com a finalidade de comprometer ou danificar ativos de informaes sem o consentimento informado de seu proprietrio . malware foi um fator em mais de dois teros do conjunto de casos de 2011 e em 95% de todos os dados furtados . Diante da identificao de malware em uma investigao, a equipe riSK da Verizon conduz uma anlise de objetivos para classificar e determinar suas capacidades em relao ao comprometimento em questo . A equipe riSK usa a anlise para ajudar a vtima na conteno, remoo e recuperao da infeco . o malware pode ser classificado de muitas maneiras, mas usamos uma abordagem bidimensional na estrutura VEriS, que identifica o vetor de infeco e a funcionalidade usada para violar os dados . Essas duas dimenses so diretamente relevantes identificao das medidas de deteco e preveno apropriadas ao malware .

classificaoclassificao

geral variedade categoria violaes Registros

1 3 uso de credenciais de login furtadas ao de hackers 30% 84%

2 6 Backdoor (permite o acesso/controle remoto) malware 18% 51%

3 7 Explorao de backdoor ou canal de comando e controle ao de hackers 17% 51%

4 9 Adulterao fsico 17%

27

vetores de infeco de malwareComo foi o caso no passado, o vetor de infeco de malware mais comum continua a ser a instalao ou injeo por um invasor remoto . isso abrange cenrios em que o invasor viola um sistema por meio de um acesso remoto e, em seguida, implanta malware ou injeta cdigo valendo-se de vulnerabilidades de aplicativos na Web . Nos ltimos anos, os dados mostram que esse vetor de infeco continua em uma tendncia ascendente . os invasores se valeram deste vetor em ligeiramente mais da metade dos casos relacionados a malware em 2009, cerca de 80% em 2010 e descomunais 95% no ano passado . Sua popularidade como um vetor de infeco provavelmente advm tanto do desejo do invasor de permanecer em controle depois de obter acesso a um sistema, quanto de seu uso em ataques automatizados de grande volume contra servios com acesso remoto . isso mais evidente em crimes mais amplos com motivao financeira (como violaes de cartes de pagamento) em que o malware normalmente no o vetor inicial de intruso, sendo instalado por um invasor aps a obteno do acesso . isso nem sempre verdade para outros gneros de ataques . Em cenrios de furto de iP, o malware com frequncia proporciona o ponto de entrada aps um ataque social bem-sucedido, como um e-mail com phishing . Em ambos os casos, bons controles de proteo abrangente, e no apenas software antivrus, poderiam ajudar a manter o invasor afastado, para comear .

Quando o foco se concentra em situaes de comprometimento de dados, o e-mail menos comum como vetor de infeco . muitas organizaes empregam com sucesso produtos antivrus e outros mecanismos de filtragem para bloquear ou colocar em quarentena os milhes de variedades de malware que flutuam ao redor da internet . altamente provvel que o e-mail fosse um vetor muito maior se esses controles fossem revogados .

As infeces via Web reduziram em nmero mais uma vez neste ano passado em proporo com outros vetores . Ns dividimos o malware baseado na Web em duas subcategorias: cdigo executado automaticamente (tambm conhecido como downloads silenciosos) e software que o usurio pre

Documents

Um estudo conduzido pela Equipe RISK da Verizon com a ... · 1 RELATÓRIO DE INVESTIGAÇÕES DE VIOLAÇÕES DE DADOS DE 2012 Um estudo conduzido pela Equipe RISK da Verizon com a