Relatório do McAfee Labs destaca os principais desafios para compartilhamento de inteligência de ameaças

A McAfee Inc. divulgou seu Relatório de Ameaças McAfee Labs: Abril de 2017, que detalha os desafios enfrentados pelos esforços de compartilhamento de inteligência de ameaças, examina a arquitetura e mecanismos internos dos botnets Mirai, avalia ataques relatados em todos os setores, e revela as tendências de crescimento em malware, ransomware, malware móvel e outras ameaças no 4º trimestre de 2016.

“O setor de segurança enfrenta desafios fundamentais em nossos esforços de compartilhar inteligência de ameaças entre entidades, dentre soluções de fornecedores, e mesmo dentro de portfólios de fornecedores”, disse Vincent Weafer, Vice-Presidente do McAfee Labs. “Trabalhar em conjunto faz a força. A abordagem desses desafios determinará a efetividade das equipes de segurança cibernética para automatizar a detecção e orquestrar respostas, e finalmente pender a balança em favor dos defensores.”

O relatório revisa o histórico e os motivadores do compartilhamento de ameaças; os diversos componentes, fontes e modelos de compartilhamento da inteligência de ameaças; como operações de segurança consolidadas podem fazer uso dos dados compartilhados; e os principais desafios do compartilhamento que o setor deve superar. Esses desafios incluem:
• Volume. Um massivo problema de relação sinal-ruído continua a assolar os defensores que tentam triar, processar e agir frente aos incidentes de segurança da mais alta prioridade.

• Validação. Atacantes podem registrar falsos relatórios de ameaças para desorientar ou sobrecarregar sistemas de inteligência de ameaças, sendo que os dados de fontes legítimas podem ser adulterados se forem incorretamente administrados.

• Qualidade. Se os fornecedores apenas focarem em reunir e compartilhar mais dados de ameaças, existe um risco de que muitos desses dados sejam duplicados, perdendo um tempo valioso e esforço em vão. Sensores devem capturar dados mais ricos para ajudar a identificar os principais elementos estruturais de ataques persistentes.

• Velocidade. Inteligência recebida tarde demais para a prevenção de um ataque ainda é valiosa, mas apenas para o processo de limpeza. Os sensores e sistemas de segurança devem compartilhar inteligência de ameaças em tempo quase real para se equiparar às velocidades de ataque.

• Correlação. A falha em identificar padrões relevantes e pontos de dados principais nos dados de segurança impossibilita transformar os dados em inteligência e, em seguida, em conhecimento que pode informar e orientar as equipes de operações de segurança.

Para evoluir o compartilhamento de inteligência para o próximo nível, o McAfee Labs sugere o foco em três áreas:

• Triagem e priorização. Simplifique a triagem de eventos e proporcione um melhor ambiente para os profissionais de segurança para investigar ameaças de alta prioridade.

• Conectar os pontos. Estabeleça relações ente indicadores de comprometimento de modo que os caçadores de ameaças possam entender suas conexões para campanhas de ataque.

• Melhores modelos de compartilhamento. Aprimore os meios de compartilhar inteligência de ameaças entre seus próprios produtos e junto a outros fornecedores.

“Atacantes cada vez mais sofisticados estão evitando sistemas de segurança discretos, e sistemas de armazenamento em silos deixam entrar ameaças que foram paradas em outros locais porque não compartilharam informações”, continuou Weafer. “O compartilhamento de inteligência de ameaças nos permite aprender com as experiências de cada um, obtendo percepções com base em vários atributos que compõem um cenário mais amplo e completo do contexto dos eventos cibernéticos.”

Proliferação do Botnet Mirai

O Mirai foi responsável pelo altamente difundido ataque de DDoS ao Dyn, um os principais provedores de serviços de DNS. O Mirai é notável porque ele detecta e infecta dispositivos IoT mal protegidos, transformando-os em bots para atacar seus alvos.

A divulgação do código-fonte do Mirai, em outubro, resultou em uma proliferação de bots derivados, embora a maioria pareça ser acionado por programadores de scripts amadores e relativamente limitados em seu impacto. Entretanto, a divulgação do código-fonte também resultou em ofertas de “DDoS-as-a-Service” com base no Mirai, tornando simples para atacantes pouco sofisticados, mas voluntariosos, executar ataques de DDoS que afetam outros dispositivos IoT com baixa segurança. Os ataques de DDoS com base no botnet Mirai estão disponíveis como um serviço no mercado de criminosos cibernéticos por $50 a $7.500 ao dia.

O McAfee Labs estima que 2,5 milhões de dispositivos de Internet das Coisas (IoT) foram infectados pelo Mirai no 4º trimestre de 2016, com cerca de cinco endereços IP de IoT adicionados para botnets Mirai a cada minuto naquele momento.

Para saber mais a respeito o botnet Mirai, acesse nosso blog e assista ao vídeo sobre o tópico.

Atividade de Ameaças no 4º Trimestre de 2016

No quarto trimestre de 2016, a rede Global Threat Intelligence do McAfee Labs registrou notáveis tendências no crescimento de ameaças cibernéticas e incidentes de ataque cibernético em todos os setores:

• Crescimento de malware. O número de novas amostras de malware diminuiu 17% no 4º trimestre, enquanto que a contagem geral aumentou 24% em 2016 para 638 milhões de amostras.

• Malware móvel. O número de novas amostras de malware móvel diminuiu 17% no 4º trimestre, enquanto que o total de malwares móveis aumentou 99% em 2016.

• Crescimento de ransomware. O número de novas amostras de ransomware caiu 71% no 4º trimestre, em maior parte devido a uma queda nas detecções de ransomwares genéricos, bem como uma redução na atividade das categorias Locky e CryptoWall. O número de amostras totais de ransomware aumentou 88% em 2016.

• Malware de Mac OS. Embora as ameaças ainda sejam pequenas quando comparadas às ameaças do Windows, o número de novas amostras de malware do Mac OS cresceu 245% no 4º trimestre por conta do agrupamento de adware. O total de malware do Mac OS cresceu 744% em 2016.

• Botnets de spam. Mensagens de e-mail de spam dos 10 principais botnets sofreram queda de 24% no 4º trimestre para 181 milhões de e-mails. No total, foram geradas 934 milhões de mensagens de spam em 2016.

• Incidentes de segurança reportados. A McAfee contabilizou 197 incidentes de segurança divulgados publicamente no 4º trimestre e 974 incidentes de segurança divulgados em 2016. Incidentes de segurança são eventos que comprometem a integridade, confidencialidade ou disponibilidade de ativos de informação. Alguns, mas nem todos, incidentes dessa natureza são violações. Violações são incidentes que resultam na divulgação confirmada (não apenas exposição potencial) dos dados.

• Ataques cibernéticos ao setor público. O setor púbico claramente experimentou o maior número de incidentes, mas a McAfee acredita que isso pode ser resultado dos requisitos mais rigorosos para reportar incidentes, bem como devido ao aumento nos ataques relacionados ao processo de eleição dos EUA, sendo a maioria incidente da base de dados do eleitor e de obliteração dos websites eleitorais.

• Ataques a bancos e jogos. Um salto dos incidentes no 3º trimestre afetando o setor de desenvolvimento de software foi em consequência do aumento nos ataques em plataformas de jogos. No setor financeiro, os ataques de SWIFT no setor bancário ocasionaram um salto dos incidentes no 2º trimestre.

• Atividade de botnet. O botnet KelihosC, um recente fornecedor de produtos farmacêuticos falsos e de peças automotivas da Rússia (tal como “pneus de verão e inverno a preços competitivos”), aumentou seu volume total durante o 4º trimestre.