* Leonardo Moreira
Quando o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança do Brasil (CERT.br) divulgou dados sobre os incidentes registrados em 2015, vimos (além de uma queda no número de incidentes registrados), um crescimento nos ataques motivados por scan.
Em 2014, os ataques por fraude foram os campeões, representando 44,6%, enquanto, em 2015, caíram para 23,3%. Já os ataques de scan, saltaram de apenas 25% em 2014 para 54% em 2015.
Para entendermos os motivos desse crescimento, precisamos esclarecer um ponto importante: o scan não chega a ser um ataque, mas uma intenção. Esse tipo de ação equivale à de alguém que passa de carro na frente da casa de uma vítima para sondar se sua correspondência está na porta ou se existem jornais se acumulando na entrada. Não chega a ser roubo, mas um levantamento do alvo. Apenas se houver uma tentativa de invasão o suspeito será preso.
O scan é a primeira atividade de um cibercriminoso e consiste na instalação de softwares capazes de escanear uma rede inteira. Assim, os criminosos podem descobrir o que está “do outro lado” – quais serviços existem no servidor e na rede, quais são as vulnerabilidades e qual é o melhor momento para tentar uma ação.
A quantidade de scans registrados pelo CERT.br preocupa principalmente por mostrar um aumento nas tentativas de ataque e, apesar de não ser considerado propriamente um ataque, o scan é, sim, considerado um incidente. Afinal, que empresa gosta de alguém vigiando seus ativos para tentar uma ação maliciosa a qualquer momento?
Já existe uma série de softwares que funcionam nas mãos dos criminosos como “robôs” que passeiam pela web em busca de vulnerabilidades. Essas aplicações ficam escaneando a rede até encontrar algo que possa ser explorado.
Os dados mostram que os cibercriminosos no Brasil estão de olhos mais abertos e abrangendo grupos cada vez maiores para atacar nos momentos mais oportunos. Estamos sendo cada vez mais observados e as falhas de segurança das empresas são ainda mais perigosas, pois são percebidas com rapidez pelos hackers.
Para evitar esse tipo de ataque, é preciso investir na proteção de perímetro e em equipamentos capazes de detectar ameaças pelo comportamento. Esse tipo de ferramenta pode ajudar a manter os ativos mais seguros, pois consegue detectar ações suspeitas, como múltiplas tentativas de conectar-se em várias portas diferentes. O bloqueio pode ser feito por soluções de IPS, por exemplo, ou um Next Generation Firewall.
O número de ataques diminuiu?
Além do aumento nos casos de scan, outra informação que saltou aos olhos de quem viu os dados divulgados pelo CERT.br foi a diminuição no número de incidentes divulgados. Vale lembrar que, no Brasil, ao contrário dos Estados Unidos, as empresas não são obrigadas a divulgar os incidentes que sofrem.
A diminuição no número de incidentes no ano de 2015, no entanto, mostra que o ano de 2014 foi um “ponto fora da curva” por causa da Copa e das eleições em outubro, com ataques de DoS e de fraude dando saltos no final de setembro.
Seguindo esse padrão, podemos prever que o ano de 2016 trará registros assustadores, com a ascensão do ransomware e a chegada das Olimpíadas. Sua empresa está com a segurança em dia para enfrentar os cibercriminosos?
* Leonardo Moreira é diretor da PROOF