Segundo o relatório Midyear Cybersecurity Report 2016 da Cisco® (MCR), as organizações atuais não estão preparadas para futuros desenvolvimentos de ransomware mais sofisticados. Infraestruturas frágeis, limpeza insatisfatória das redes e taxas lentas de detecção estão fornecendo tempo e cobertura amplos para os adversários operarem. Além disso, na visão de Marcelo Bezerra, gerente de Engenharia de Segurança da Cisco, o motivo ainda pode estar no amadorismo com que algumas empresas enfrentam o profissionalismo dos cibercriminosos de hoje, com soluções adaptadas ou cobrindo apenas uma parte dos métodos de ataque.
O ransomware tornou-se em 2016 o tipo de malware mais rentável da história. A expectativa é que esta tendência continue ainda mais destrutiva, se espalhando por si só e contendo redes inteiras, fazendo as empresas de reféns. Novas variedades serão capazes de mudar rapidamente as táticas para maximizar a eficiência. Por exemplo, futuros ataques de ransomware poderão evitar a detecção apenas limitando o uso de CPU e abstendo-se de ações de comando e controle. Estas novas formas irão se espalhar mais rapidamente e se replicarão dentro das organizações antes de coordenar as atividades de resgate.
A visibilidade por toda a rede e pelos endpoints permanece como um dos principais desafios. Em média, as organizações levam até 200 dias para identificar novas ameaças. Segundo Bezerra, essa dificuldade de detecção não é apenas um desafio atual, mas tende a ser também no futuro até que as empresas se tornem conscientes de que é necessário proteger todo o ciclo de vida de um ataque.
“Geralmente são três grandes frases: quando o hacker está estudando em como acessar a rede ou o computador; quando já conseguiu o acesso e está procurando seus alvos; e quando o ataque já se concretizou e ele está extraindo informações ou qualquer outro objetivo malicioso”, explica. Para ele, a estratégia deve contemplar todo esse processo e o CSO deve avaliar o estado de suas defesas, descobrir onde está mais fraco e direcionar seus investimentos. Um tempo mais rápido para detecção de ameaças é crítico para restringir o espaço operacional dos atacantes e minimizar os danos das intrusões.
Fechando as portas
Em face de ataques sofisticados, dos recursos limitados e da infraestrutura envelhecida, os defensores estão lutando para manter o mesmo ritmo que seus adversários. No entanto, dados do relatório sugerem que os gestores estão menos propensos a limpar adequadamente a rede aplicando patches.
“O que poderia ser algo automatizado e rápido acaba se transformando num processo demorado, deixando o sistema mais vulnerável. Muitos administradores preferem testar suas normas contra problemas de compatibilidade. Eles não estão errados, mas o processo deve ser o mais rápido possível para não atrasar a implantação dos patches”, avalia Bezerra.
Pesquisadores da Cisco examinaram 103,121 dispositivos da própria organização conectados à internet e descobriram que cada um deles, em média, estava rodando com 28 vulnerabilidades conhecidas. Os aparelhos estavam ativamente rodando ameaças conhecidas há uma média de 5 anos e mais de 9% tinham riscos conhecidos há mais de dez anos.
Setores visados
O Midyear Cybersecurity Report 2016 da Cisco mostra que o desafio persiste em escala global. Enquanto organizações em segmentos críticos, como a área da Saúde, sofreram um significativo aumento de ataques ao longo dos últimos meses, as conclusões do relatório indicam que todos as verticais e regiões do mundo têm se tornado alvos.
Clubes e organizações, instituições de caridade, organizações não governamentais (ONGs) e empresas eletrônicas têm experimentado um aumento em ataques no primeiro semestre de 2016. No cenário mundial, as preocupações geopolíticas incluem a complexidade regulamentar e as políticas de segurança cibernética contraditórias de cada país. A necessidade de controlar ou acessar dados limitam e entram em conflito com o comércio internacional, em um cenário de ameaças sofisticadas.
