Relatório de Investigações de Dados da Verizon 2018

Há poucas semanas, foi lançado o último Relatório de Investigações de Dados da Verizon. Passei um tempo com o relatório de 2018, e posso resumir tudo em um curto parágrafo.

No ano passado, as empresas enfrentaram dificuldades causadas por hackers que usaram malwares, credenciais roubadas ou phishing como vetores de ataques. As invasões foram rápidas e roubaram informações sobre cartões de pagamento e outros dados confidenciais. Com a equipe de TI, geralmente, levando meses para descobrir que houve uma violação.

O parágrafo acima foi extraído, palavra por palavra, de análise feita do Relatório de 2016. Depressivamente, a análise também se aplica ao Relatório de 2018. E isso vem acontecendo já há alguns anos com os relatórios da Verizon.

Queijo suíço
O ponto chave é que os hackers encontraram uma situação confortável e que é muito difícil de ser combatida. De acordo com o relatório deste ano, o roubo de credenciais e phishing ocupam o primeiro e terceiro lugares entre as 20 principais violações (RAM scraping, a propósito, está na segunda posição e é muito comum em ataques de POS).

Mas qual é o problema com o roubo de credenciais, nomes de usuários e senhas, que foram hackeados de outros sites?

Em um post feito no final do ano passado, Brian Krebs explorou o mercado negro de senhas. Um hacker pode comprar uma combinação de nome de usuário e senha por cerca de US$ 15. O preço sobe para US$ 60 para contas ativas de militares e chega a US$ 150 para credenciais ativas de varejistas online de eletrônicos.

Falando a verdade, esses dados são relativamente baratos e, como se constata, também são abundantes. Um estudo do Google divulga que o número de credenciais disponíveis no mercado negro chega a quase dois bilhões.

Obviamente que isso é uma péssima notícia. Até que tenhamos um uso mais amplo de autenticações multifator, os hackers podem contornar as defesas de perímetro para roubar cada vez mais credenciais e outros dados pessoais para depois vende-los no mercado negro. Em outras palavras, existe um grande mercado envolvido nesse jogo.

E, caso os hackers não tenham dinheiro para comprar essas informações em massa, podem simplesmente usar técnicas de phishing para ultrapassar as barreiras digitais. Mas há um pequeno alento em relação a isso: o Relatório da Verizon aponta que 80% dos funcionários não clicam nessas armadilhas. A má notícia é que 20% clicam. Basta apenas um funcionário morder a isca para os hackers entrarem.

Resumindo: as defesas de segurança que protegem contra os ataques de phishing, ou hackers usando credenciais roubadas ou fracas, cada vez mais se assemelham a esse produto lácteo, citado acima, produzido em um país montanhoso europeu.

Script de malware
De acordo com o relatório, e-mails de phishing são a principal forma de um malware entrar em uma empresa. Com isso, os hackers não precisam perder tempo procurando brechas de segurança: o phishing é muito mais eficaz e fácil de ser executado.

O relatório deste ano também apresenta alguns insights interessantes sobre o formato de malware que eventualmente chega à empresa. Os hackers estão usando scriptwares– JavaScript ou VBScript – muito mais que binários.

E isso faz todo o sentido. É muito fácil escrever esses scripts e faze-los aparecer, por exemplo, como arquivos PDF clicáveis, ou inserir um script VBA diretamente em um documento do Word ou Excel, que será executado assim que o arquivo for aberto.

Os invasores também podem aproveitar de maneira inteligente as falhas encontradas no Microsoft Office. Existe até uma abordagem totalmente livre de código que aproveita a função DDE do Microsoft Word, usada em campos incorporados.

É desnecessário dizer que essas técnicas de malware – scripts do Office, PowerSheel, HTTP – são muito difíceis de serem detectadas usando ferramentas padrão de monitoramento de segurança. Os próprios scripts são fortemente disfarçados e regularmente ajustados para que as defesas dependam da verificação de palavras-chave específicas.

E o relatório da Verizon valida esta análise. Suas estatísticas indicam que entre 70% e 90% das amostras de malware são exclusivas de uma empresa. Existe, então, a necessidade de abordagens mais inteligentes e adaptativas para combater a variedade de malwares que temos atualmente.

Por um 2018 melhor

Para transformar 2018 em um ano melhor para a segurança de dados, o primeiro passo é admitir que os firewalls e a infraestrutura de scanners não resolverão tudo, e as defesas secundárias precisam estar em pleno funcionamento.

Isso significa restringir ainda mais o acesso aos arquivos de dados confidenciais para limitar o que pode ser descoberto por hackers. Em seguida, usar técnicas de monitoramento que alertem as equipes de segurança caso uma invasão aconteça.

O acesso a dados sensíveis pode ser um fator de perigo para a proteção de dados. Por isso, é necessário um controle de acesso mais robusto. O DataPrivilege economiza tempo, reduz a carta da TI e contribui para a tomada de decisões mais seguras sobre o controle de acesso.