Só 42% dos profissionais de segurança utilizam inteligência compartilhada

Paulo Brito
29/03/2016

Pesquisa com 500 profissionais de segurança cibernética mediu a adesão e o valor percebido do compartilhamento de inteligência de ameaças em segurança cibernética corporativa; novos ransomware disparam para 26% no 4º trimestre

intel abandona marca mcafeeA Intel Security divulga seu McAfee Labs Threats Report: março de 2015, que avalia a atitude de 500 profissionais de segurança cibernética com relação ao compartilhamento de inteligência contra ameaças (Cyber Threat Intelligence – CTI), examina os trabalhos internos da ferramenta de administração remota (RAT) Adwind* e detalha o grande aumento em ransomware, malware móvel e malware em geral no quarto trimestre de 2015.

Em 2015, a Intel Security entrevistou 500 profissionais de segurança de vários setores na América do Norte, Ásia-Pacífico e Europa, para medir o conhecimento de CTI, seu valor agregado em segurança corporativa e quais fatores podem atrapalhar a melhor implementação de CTI nas estratégias de segurança. Os profissionais pesquisados forneceram um importante quadro sobre o estado atual e as potenciais oportunidades para CTI na empresa:

  • Percepção de valor e adesão. Dos 42% que relataram usar inteligência compartilhada contra ameaças, 97% acreditam que seu uso permite que eles forneçam uma proteção melhor para sua empresa. Dentre esses, 59% entendem que esse compartilhamento é “muito importante” para suas organizações, enquanto 38% entendem que ele é “razoavelmente importante”.
  • Inteligência específica da indústria. De forma quase unânime, 91% dos pesquisados dizem se interessar por inteligência contra ameaças cibernéticas específica do setor, com 54% respondendo “muito interessado” e 37% respondendo “razoavelmente interessado”. Setores como serviços financeiros e infraestrutura crítica tendem a se beneficiar mais dessa CTI específica do setor, dada a natureza altamente especializada de ameaças que o McAfee Labs tem monitorado nesses dois setores de missão principal.
  • Disposição em compartilhar. Sessenta e três por cento dos que responderam indicam que estão dispostos a avançar apenas recebendo CTI compartilhada para de fato contribuírem com seus próprios dados, desde que sejam compartilhados em uma plataforma segura e privada. Entretanto, a ideia de compartilhar suas próprias informações encontra um grau variado de entusiasmo, com 24% respondendo que é “muito provável” que eles compartilhem enquanto para 39% é “razoavelmente provável” que eles compartilhem.
  • Tipos de dados para compartilhar. Quando perguntados sobre quais tipos de dados de ameaça eles estão dispostos a compartilhar, os pesquisados apontaram comportamento de malware (72%) seguido por reputações de URL (58%), reputações de endereço IP externo (54%), reputações de certificado (43%) e reputações de arquivo (37%).
  • Barreiras à CTI. Quando perguntados por que não implementaram a CTI em suas empresas, 54% dos pesquisados identificaram a política corporativa como o motivo, seguido por regulamentações do setor (24%). Os demais participantes, cujas organizações não compartilham dados, relatam que estão interessados, mas precisam de mais informações (24%) ou estão preocupados com os dados compartilhados serem vinculados a suas empresas ou a eles mesmos como indivíduos (21%). Essas descobertas sugerem uma falta de experiência ou conhecimento das variedades de opções de integração de CTI disponíveis para a indústria, além da falta de conhecimento das implicações legais de compartilhar CTI.

“Dada a determinação demonstrada por cibercriminosos, o compartilhamento de CTI se tornará uma importante ferramenta para criar o equilíbrio de poder da segurança cibernética em favor dos defensores,” diz Vicente Weafer, Vice-Presidente do grupo McAfee Labs da Intel Security. “Mas nossa pesquisa sugere que uma CTI de alto valor deve superar as barreiras de políticas organizacionais, restrições regulamentares, riscos associados a atribuição, confiança e uma falta de conhecimento de implementação, antes de seu potencial ser totalmente percebido.”

O relatório deste trimestre também avalia a ferramenta de administração remota (RAT) Adwind, um Cavalo de Troia backdoor com base em Java* que tem como alvo várias plataformas que oferecem suporte a arquivos Java. O Adwind é normalmente propagado por meio de campanhas de spam que utilizam e-mail, páginas da web comprometidas e downloads direcionados carregados com malware. O McAfee Labs Report descreve um rápido aumento no número de amostras de arquivo .jar, identificadas por pesquisadores do McAfee Labs como o Adwind em que houve um salto de 426% no quarto trimestre de 2015 em relação ao primeiro trimestre de 2015 (de 1388 para 7295 identificações).

Estatísticas de ameaças do 4º trimestre de 2015

  • Ransomware acelera novamente. Após desacelerar levemente na metade do ano, novos ransomware recuperaram sua rápida taxa de crescimento, com um aumento trimestral de 26% apontado no 4º trimestre de 2015. Código ransomware de fonte aberta e ransomware como um serviço continuam a simplificar o lançamento de ataques, as campanhas Teslacrypt e CryptoWall 3 continuam a estender seu alcance. As campanhas ransomware continuam a ser financeiramente lucrativas. Uma análise de outubro de 2015 do ransomware CryptoWall 3 simulou a escala financeira dessas campanhas, quando pesquisadores do McAfee Labs vincularam apenas as operações de uma campanha a $325 milhões em pagamentos de resgate de vitimas.
  • Salto em malware móvel. O 4º trimestre de 2015 observou um aumento trimestral de 72% em novas amostras de malware móveis, já que os autores de malware parecem ter produzido novos malwares mais rapidamente.
  • Malware rootkit cai. O número de novas amostras de malware rootkit despencou precipitadamente no 4º trimestre, continuando uma tendência de queda de longo prazo nesse tipo de ataque. O McAfee Labs atribui um pouco desse declínio, que começou no 3º trimestre de 2011, à contínua adoção dos clientes de processadores Intel® de 64 bits ao Microsoft Windows* de 64 bits. Essas tecnologias incluem recursos como Kernel Patch Protection* e Secure Boot* que juntos, auxiliam a melhorar a proteção contra ameaças como o malware rootkit.
  • O retorno do malware. Após três trimestres em declínio, o número total de novas amostras de malware retomou seu crescimento no 4º trimestre, com 42 milhões de novos hashes maliciosos descobertos, 10% a mais que no 3º trimestre e a segunda maior contagem já registrada pelo McAfee Labs. Em parte, o crescimento no 4º trimestre foi resultado de 2,3 milhões de novas amostras de malwares móveis, ou 1 milhão a mais que no 3º trimestre.
  • Binários assinados por software maliciosos diminuíram. O número de binários assinados por software maliciosos diminuiu em cada trimestre no último ano, atingindo no 4º trimestre de 2015 o menor nível desde o 2º trimestre de 2013. O McAfee Labs acredita que o declínio possa ser atribuído em parte aos antigos certificados com presença frequente no mercado negro estarem expirando ou sendo revogados conforme as empresas migram para funções de hashing mais fortes. Além disso, tecnologias como Smart Screen* (parte do Microsoft Internet Explorer*, mas se estendendo para outras partes do Windows) atuam como testes adicionais de confiabilidade e fazem com que a assinatura de binários contra software malicioso seja menos benéfica para os autores de malware.

Para obter informações sobre esses tópicos de interesse, ou mais estatísticas do panorama de ameaças no 4º trimestre de 2015, visite http://www.mcafee.com/March2015ThreatsReport para obter o relatório completo.

Para orientação sobre como as organizações podem proteger melhor suas empresas das ameaças detalhadas no relatório deste trimestre, visite Enterprise Blog.

Para dicas de segurança on-line sobre como os consumidores podem se proteger das ameaças mencionadas neste relatório, visite Consumer Safety Tips Blog.

 

Compartilhar: