A Fortinet publicou o relatório Q2 Global Threat Landscape para 2017 , com dados extraídos de mais de 3 milhões de dispositivos de rede e sensores implantados em ambientes de produção ao vivo em todo o mundo.
Q2 de 2017 foi único por uma série de razões.
Primeiro é que o número de exploits detectados aumentou quase 30% em relação ao Q1, o que mostra que a comunidade de crimes cibernéticos continua a estar viva e saudável.
Segundo é que os ataques estão se tornando cada vez mais sofisticados, alavancando novas técnicas como aprendizado de máquina e ataques de tipo AI para realizar suas tarefas de forma mais eficaz sem que seja detectado.
Terceiro lugar, entrar em redes para injetar códigos malicioso está mais fácil do que nunca.
Volume de ataque em ascensão
Exploits: o volume de ataques continua crescendo rapidamente. FortiGuard Labs detectou 184 bilhões de explorações totais no segundo trimestre, em comparação com 129 bilhões de detecções no primeiro trimestre – um aumento de 30%.
Isso representa um volume diário médio de 1,8 bilhão de ataques, em comparação com 1,4 bilhões no primeiro trimestre.
Foram detectamos 6.998 exploits únicos, acima de 5.542 no primeiro trimestre de 2017. E essas ameaças são efetivas. 69% das organizações experimentaram exploits altos ou críticos no segundo trimestre de 2017.
Malware: também registramos 62 milhões de detecções de malware, para um volume diário médio de 677.000. Assim como o crescimento de explorações únicas, o desenvolvimento de malware também é muito ativo.
A partir dos milhões de detecções de malware registrados, foi detectado 16.582 variantes derivadas de 2.534 famílias de malwares.
1 em 5 organizações também relataram malware visando dispositivos móveis.
A funcionalidade mais comum entre as principais famílias de malware é o download / upload de arquivos, seguido de outros softwares maliciosos no sistema infectado. Esta técnica ajuda a injetar arquivos inócuos em dispositivos a fim de serem modificados e ativados com códigos mal-intencionadas mais tarde.
Botnets: ataques de botnet, sejam como ataques de negação de serviço ou como parte de novas redes baseadas em botnet como Hajime e Devil’s Ivy, também estão atingindo níveis sem precedentes.
Isso é em grande parte devido à proliferação de dispositivos IoT altamente vulneráveis.
O Q2 viu 2,9 bilhões de detecções de botnet, representando uma média de 993 detecções diárias por organização. Também foi detectado 243 botnets únicas durante o trimestre.
45% das empresas detectaram pelo menos uma botnet ativa em seu ambiente durante o trimestre e cerca de 3% relataram terem sido ser infectadas simultaneamente com 10 ou mais botnets ativas exclusivas!
Deixando a porta aberta
WannaCry iluminou nossos sensores em meados de maio.
Foram registrados uma taxa máxima de 22 milhões de visitas por dia usando a o DoublePulsar como seu principal vetor de ataque. O EternalBlue também foi outro importante vetor de ataque, aumentando para mais de 7 milhões de tentativas antes de ser controlado com a divulgação do “Kill Switch” de desativação.
Mas, como seu nome sugere, EternalBlue não foi eliminado, ele foi ressuscitado pelo NotPetya no final de julho, juntamente com outra técnica usando SMB inventado pelo EternalRomance, visando exatamente a mesma vulnerabilidade explorada pelo WannaCry.
A verdade é, no entanto, esses ataques poderiam ter sido amplamente evitados se as organizações simplesmente praticassem a segurança básica de segurança. Ambos WannaCry e NotPetya visaram uma vulnerabilidade que havia sido corrigida pela Microsoft alguns meses antes.
Mas não são apenas esses ataques de alto perfil que visam vulnerabilidades recentes que são o problema.
Durante o segundo trimestre, 90% das organizações registraram explorações contra vulnerabilidades com três ou mais anos de idade. E 60% das empresas experimentaram ataques bem sucedidos visando dispositivos para os quais um patch estava disponível há dez ou mais anos!
Com tantas organizações estão lentas para corrigir ou substituir dispositivos e sistemas com vulnerabilidades conhecidas, os cibercriminosos não estão investindo muitos recursos no desenvolvimento de novas formas de invasão em redes e, em vez disso, estão focados no desenvolvimento de ferramentas automatizadas e novas formas de infecção mais sofisticadas que são cada vez mais difíceis de detectar e remover.
Outros Destaques do Relatório
Aumento do risco em Apps: foi notado um aumento nos ataques resultantes do uso de aplicativos peer-to-peer (P2P) e proxy. As organizações que permitem aplicativos P2P relatam sete vezes mais botnets e malwares que aqueles que não.
Da mesma forma, as organizações que permitem aplicativos de proxy relatam quase nove vezes mais botnets e malwares que aqueles que não os permitem.
Mais tráfego criptografado: houve uma alta nas comunicações criptografadas na web. 57% de todo o tráfego que atravessa a web agora está criptografado, acima de 51% no primeiro trimestre.
O que significa que, devido à sobrecarga necessária para quebrar e inspecionar o tráfego SSL, as equipes de TI só podem inspecionar uma fração do tráfego criptografado que atravessa suas redes para procurar malware.
Ameaças no Final de Semana: Historicamente, os volumes de ataque geralmente eram sincronizados com os horários de trabalho normais. À medida que os modelos de negócios digitais passaram a operam 24h e 7 dias na semana, e muitos ataques se tornaram automatizados, essa tendência começou a mudar.
De fato, 44% de todas as tentativas de exploração ocorreram no sábado ou domingo durante o segundo trimestre, com o volume médio de ataque diário durante o fim de semana (quando as equipes de TI estão em grande parte em casa), atingindo o dobro do da semana.
Cloud Safety: um ponto positivo observado é a nuvem. O reporte da Fortinet conclui que as são baixas as chances de que os aplicativos em nuvem contribuam para sua próxima infecção por malware ou botnet, porque a análise descobriu que não parece haver nenhuma correlação entre o uso de aplicativos na nuvem e o aumento da freqüência de ameaça.
O que significa que operadoras, provedores de nuvem e MSPs estão fazendo um bom trabalho na manutenção de ambientes de nuvem seguros.
Embora seja claro que a sofisticação e o volume de ameaças estão em ascensão, talvez o mais importante takeaway deste último relatório é que grande parte do problema está bem controlado no âmbito da maioria das organizações.
O patch regularmente corrigido, a substituição da tecnologia antiga e desatualizada e a segmentação apropriada das aplicações com risco e do tráfego de dispositivos, como o IoT e o P2P, contribuem para reduzir a potencial superfície de ataque e minimizar o risco.
Mas o aumento do grande volume de dados que entram em redes, combinado com a crescente porcentagem desses dados agora criptografados, significa que muitas soluções de segurança tradicionais e pontos de acesso simplesmente não conseguirão cumpriri seus propósitos.
Uma nova abordagem de segurança é necessária
As equipes de TI precisam dar uma olhada no impacto que a análise de volumes de tráfego criptografado terá no desempenho de suas ferramentas de segurança.
E, finalmente, a crescente sofisticação dos ataques de hoje exige uma nova abordagem de segurança.
Dispositivos e plataformas de segurança isolados não são mais adequados.
O Fortinet Security Fabric permite que você conecte seus diferentes dispositivos de segurança, independentemente de onde eles foram implantados, em uma única estrutura de segurança holística.
Isso permite aos dispositivos de segurança coletar e compartilhar dados, correlacionar centralmente essa inteligência de ameaças alavancando as tecnologias avançadas do Fortinet e, em seguida, coordenar uma resposta unificada em toda a rede distribuída, desde o ponto final e IoT até o núcleo e para a nuvem.
Enygma , a sua representante Fortinet, contate para mais informações
fonte: Fortinet 2017 Q2 Global Threat Landscape report por Enygma 25/08/2017
Be the first to comment