Professional Documents
Culture Documents
E
S
10
20
30
40
50
D N O S A J J M A M F J
TENDNCIA
A projeo estimada dos
volumes de spam globais no
trfego de e-mails comerciais
diminuiu levemente em 3 por
cento, de 30 bilhes de e-mails
de spam por dia em 2012 para
29 bilhes em 2013.
9 i symantec corporation relatrio de ameaas segurana de sites 2014 - parte 3 i Volume 19
10 i symantec corporation Relatrio de Ameaas Segurana de Sites 2014 - Parte 3 I Volume 19
Sites comprometidos
Muitas pequenas empresas e usurios comuns gerenciam seus
prprios servidores Web, sejam eles hospedados interna ou
externamente, porque hoje o processo fcil e relativamente
barato.
No entanto, embora a facilidade de instalao e o custo
de manuteno possam ter diminudo, muitos novos
administradores podem no estar familiarizados com a
proteo de seus servidores contra os ataques dos toolkits
mais recentes. Eles tambm podem no ter constncia na
proteo de seus sites e na instalao de patches com as
atualizaes de software mais recentes. essencial atualizar
aplicativos populares no servidor Web, como sistemas de
gerenciamento de contedo ou software de blogs. Esses
servios se tornaram importantes alvos de hackers, e uma
nica vulnerabilidade pode ser usada em milhares de sites.
Os fraudadores tambm atacam sites de hospedagem Web
que fornecem plataformas de hospedagem como servio. Se
um invasor conseguir descobrir uma maneira de violar com
xito uma empresa que fornea esses servios, poder ter
acesso a vrios sites hospedados pela empresa comprometida.
possvel afetar milhares de sites com essas violaes.
Os hackers tambm podem usar mecanismos de pesquisa
conhecidos para descobrir rapidamente sites vulnerveis
que possam comprometer. Dessa forma, um site pode ser
sequestrado com facilidade se qualquer vulnerabilidade de
software puder ser explorada pelo invasores.
Com a facilidade de instalao e o custo de manuteno reduzidos, muitos
novos administradores podem no estar familiarizados com a proteo de
seus servidores contra os ataques dos toolkits mais recentes.
O futuro
relatrio de ameaas segurana de sites 2014 - parte 3 i Volume 19
12 i symantec corporation Relatrio de Ameaas Segurana de Sites 2014 - Parte 3 I Volume 19
Mdia social e mobilidade
Grande parte do que fazemos hoje em nosso cotidiano rastreado e registrado online. Todos ns temos um apetite
aparentemente insacivel por aplicativos de estilo de vida que nos ajudam a fazer tudo melhor do que antes e a conquistar
nossas metas mais rpido do que jamais sonhamos. Isso pode abrir mais caminhos de explorao para os criminosos
cibernticos e permitir que tirem proveito de vtimas potenciais. Embora ainda possa haver algumas atividades em nossas
vidas que no so compartilhadas online, provvel que isso diminua no futuro. A tecnologia vestvel, como relgios
inteligentes e outros acessrios, transformar a interao com esses aplicativos em uma parte da vida cotidiana, em vez de
uma atividade online. Os usurios com menor conscincia dos perigos e riscos potenciais logo se transformaro em vtimas.
Para esses usurios, a importncia da educao sobre a segurana online e da conscientizao ser maior do que nunca.
o futuro
Para esses usurios, a importncia da educao sobre a segurana online e
da conscientizao ser maior do que nunca.
Recomendaes e diretrizes
de melhores prticas
relatrio de ameaas segurana de sites 2014 - parte 3 i Volume 19
14 i symantec corporation Relatrio de Ameaas Segurana de Sites 2014 - Parte 3 I Volume 19
01
Empregar estratgias de defesa profunda
Enfatize sistemas defensivos mltiplos, sobrepostos e com suporte mtuo para se proteger
contra falhas de ponto nico em qualquer tecnologia ou mtodo de proteo especficos.
recomendaes e diretrizes de melhores prticas
02
Monitorar a rede em busca de tentativas de incurso, vulnerabilidades e abuso de marca
Receba alertas sobre novas ameaas e vulnerabilidades em diferentes plataformas para
correo proativa. Controle o abuso de marca por meio de alertas de domnio e relatrios de
sites fictcios.
03
Somente o antivrus em endpoints no suficiente
Em endpoints, importante ter a verso mais recente do software antivrus instalada. Implante
e use um produto de segurana abrangente para endpoints que inclua camadas adicionais de
proteo.
04
Proteger seus sites contra ataques MITM (Man-In-The-Middle) e infeco por malware
Para evitar comprometer o relacionamento de confiana que voc mantm com os seus
clientes:
Implemente a proteo Always On SSL (proteo SSL em seu site, do login ao logoff).
Verifique seu site regularmente em busca de malware e vulnerabilidades.
Defina o sinalizador de segurana para todos os cookies de sesso.
Avalie seu site regularmente em busca de vulnerabilidades (em 2013, 1 em 8 sites
verificados pela Symantec apresentaram vulnerabilidades crticas).
Escolha certificados SSL com Extended Validation para exibir a barra de endereo verde
para os usurios do site.
Exiba marcas de confiana reconhecidas (como o Selo Norton Secured) em locais de
grande visibilidade em seu site para mostrar seu compromisso com a segurana de seus
clientes.
05
Proteger suas chaves privadas
Certifique-se de obter os seus certificados digitais de uma autoridade de certificao confivel
e estabelecida que demonstre prticas de segurana excelentes. A Symantec recomenda que
as organizaes:
Usem infraestruturas separadas de assinaturas de testes e de assinaturas de verses.
Armazenem chaves em dispositivos de hardware criptogrficos seguros e prova de violaes.
Implementem segurana fsica para proteger seus ativos contra roubo.
06
Usar criptografia para proteger dados confidenciais
Implemente e aplique uma poltica de segurana que determine a criptografia de todos
os dados confidenciais. O acesso a informaes confidenciais deve ser restrito. Isso deve
incluir uma soluo de DLP (Proteo contra perda de dados). Certifique-se de que os dados
dos clientes tambm estejam criptografados. Criptografe dados em trnsito usando SSL.
Isso no apenas serve para impedir violaes de dados mas tambm pode ajudar a mitigar
os danos de vazamentos de dados potenciais dentro de uma organizao.
15 i symantec corporation Relatrio de Ameaas Segurana de Sites 2014 - Parte 3 I Volume 19
recomendaes e diretrizes de melhores prticas
07
08
09
10
Garantir que todos os dispositivos permitidos em redes da empresa tenham protees
de segurana adequadas
Se houver uma poltica de BYOD (Traga seu prprio dispositivo), certifique-se de haver um
perfil de segurana mnimo definido para todos os dispositivos com acesso rede.
Implementar uma poltica de mdia removvel
Quando possvel, restrinja o uso de dispositivos no autorizados, como unidades de disco
rgido portteis externas e outras mdias removveis. Esses dispositivos podem introduzir
malware e facilitar violaes de propriedade intelectual, intencionais ou no.
Ser assertivo com atualizaes e patches
Atualize, aplique patches e migre de navegadores, aplicativos e plug-ins de navegador
ultrapassados e inseguros. Mantenha definies de preveno de intruses e vrus
atualizadas usando os mecanismos de atualizao automtica do fornecedor.
Aplicar polticas de senha eficazes
Garanta a fora das senhas; elas devem ter pelo menos de 8 a 10 caracteres e incluir uma combina-
o de letras e nmeros. As senhas devem ser alteradas regularmente, pelo menos a cada 90 dias.
11
Garantir a realizao de backups regulares
Criar e manter backups regulares de sistemas crticos, alm de endpoints.
12
Restringir anexos de e-mail
Configure os servidores de e-mail para bloquear ou remover e-mails que contenham anexos
comumente usados para disseminar vrus, como arquivos .VBS, .BAT, .EXE, .PIF e .SCR.
13
Garantir a existncia de procedimentos de resposta estabelecidos para infeces e
incidentes
Mantenha as informaes de contato de seu fornecedor de segurana mo, alm das etapas
que voc deve seguir em caso de infeco dos sistemas.
Certifique-se de que exista uma soluo de backup e restaurao estabelecida para
restaurar dados perdidos ou comprometidos.
Certifique-se de usar recursos de deteco ps-infeco.
Isole os computadores infectados para impedir o risco de mais infeces na organizao.
Se os servios de rede forem explorados por cdigo mal-intencionado ou alguma outra
ameaa, desabilite ou bloqueie o acesso a esses servios at um patch ser aplicado.
14
Educar usurios sobre protocolos de segurana bsicos
No abra anexos, a menos que eles sejam esperados e venham de uma fonte confivel e
conhecida, e no execute software obtido por download na Internet, a menos que o download
tenha sido verificado quanto a vrus.
Tenha cuidado ao clicar em URLs fornecidas em e-mails e programas de mdia social,
mesmo quando vierem de fontes confiveis e amigos.
Implante solues de plug-in de reputao de URLs para navegadores que exibam a
reputao dos sites em pesquisas.
Faa download de software apenas de compartilhamentos corporativos ou diretamente do
site do fornecedor.
Se os usurios do Windows virem um aviso indicando que esto infectados aps
clicarem em um URL ou usarem um mecanismo de pesquisa, informe-os de que devero
fechar ou sair do navegador usando Alt-F4, CTRL+W ou o gerenciador de tarefas.
16 i symantec corporation Relatrio de Ameaas Segurana de Sites 2014 - Parte 3 I Volume 19
A vulnerabilidade Heartbleed foi descoberta na conhecida
biblioteca de software criptogrfico OpenSSL em abril de
2014 (HYPERLINK http://heartbleed.com/). O OpenSSL
amplamente usado, muitas vezes com aplicativos e servidores
Web como Apache e Nginx. As verses do OpenSSL de 1.0.1 at
1.0.1f contm essa vulnerabilidade, que pode ser explorada por
invasores para ler a memria dos sistemas.
O acesso memria pode levar os invasores a obterem chaves
secretas, permitindo que eles decifrem e interceptem comuni-
caes criptografadas por SSL e se faam passar por provedores
de servios. Os dados na memria tambm podem conter infor-
maes confidenciais, inclusive nomes de usurio e senhas.
importante observar que o Heartbleed no uma
vulnerabilidade do SSL/TLS, e sim um bug de software na
implementao da extenso heartbeat do OpenSSL. O SSL/TLS
no foi enfraquecido; ele ainda o padro ouro para criptografia
de dados em trnsito na Internet. Porm, devido popularidade
do OpenSSL, aproximadamente 66% dos servidores da Internet
(segundo o relatrio da Netcraft sobre servidores Web http://
news.netcraft.com/archives/2014/04/02/april-2014-web-server-
survey.html) podem estar utilizando esse software. Recomenda-
se s empresas que usam o OpenSSL que o atualizem para a
ltima verso corrigida do software (1.0.1g) ou recompilem o
OpenSSL sem a extenso heartbeat o mais rpido possvel.
A Symantec j tomou medidas para fortalecer nossos sistemas.
Nossas razes no correm risco; no entanto, estamos seguindo
as melhores prticas e recriamos as chaves de todos os certifica-
dos nos servidores Web que contm as verses afetadas do
OpenSSL.
Depois que as empresas atualizarem ou recompilarem seus
sistemas, a Symantec recomenda que os clientes substituam
todos os seus certificados em servidores Web, seja qual for o
emissor, para reduzir os riscos de violaes segurana.
A Symantec oferece certificados substitutos gratuitos para
todos os clientes.
heartbleed
Embora este relatrio tenha se concentrado em 2013, acreditamos ser
necessrio destacar a vulnerabilidade Heartbleed (OpenSSL Heartbleed
CVE-2014-0160 3).
Aqui est um resumo das etapas a
serem seguidas:
Para empresas:
Todos aqueles que usam o OpenSSL 1.0.1 at
1.0.1f devem atualiz-lo para a ltima verso
corrigida do software (1.0.1g) ou recompilar o
OpenSSL sem a extenso heartbeat.
As empresas tambm devem substituir o
certificado nos respectivos servidores Web
aps migrarem para uma verso corrigida do
OpenSSL.
Por fim, como melhor prtica, tambm
recomendvel que as empresas redefinam as
senhas dos usurios finais que possam ter
ficado visveis na memria de um servidor
comprometido.
Para os consumidores:
Esteja ciente da possibilidade de seus dados
terem sido vistos por um terceiro se voc tiver
usado um provedor de servios vulnervel.
Monitore as notificaes enviadas pelos
fornecedores que voc usa. Se um fornecedor
vulnervel comunicar aos clientes que devem
alterar suas senhas, os usurios devem seguir
essa instruo.
Evite possveis e-mails de phishing enviados
por invasores solicitando a atualizao de sua
senha; para evitar acessar um site fraudulento,
atenha-se ao domnio oficial do site.
Visite: https://ssltools.websecurity.symantec.
com/checker/ para testar se um servidor est
vulnervel a ataques Heartbleed.
Como funciona a vulnerabilidade Heartbleed
do OpenSSL
SOLICITAO DE HEARTBEAT
Tamanho de carga declarado: 64 KB
(Tamanho de carga real: 1 KB)
2. A carga da solicitao
gravada na memria
RESPOSTA DE HEARTBEAT
Tamanho de carga declarado: 64 KB
(Tamanho de carga real: 64 KB)
1.
O invasor envia uma solicitao mal-intencionada
de heartbeat para um computador vulnervel
que execute OpenSSL3
3.
O OpenSSL formula uma resposta copiando
64 KB de dados a partir de onde ele gravou a
carga da solicitao original
4.
A resposta de 64 KB de retorno inclui a carga da solicitao original e quaisquer
dados que estejam em locais adjacentes da memria. Os dados retornados
podem conter chaves de criptografia ou outros dados no criptografados.
OpenSSL
Memria
Memria
Memria
OpenSSL
OpenSSL
17 i symantec corporation
18 i symantec corporation Relatrio de Ameaas Segurana de Sites 2014 - Parte 3 I Volume 19
Identified by Symantec
garanta a segurana de seus negcios
com a Symantec
Nem todo SSL igual, porque nem todas as Autoridades
de Certificao so iguais. A Symantec garante as
maiores e mais crticas implantaes de certificados do
mundo.
Noventa e sete das 100 maiores instituies financeiras do
mundo e 75% dos 500 maiores sites de e-commerce dos EUA
usam os certificados SSL da Symantec.
Nossa avanada infraestrutura de chaves pblicas inclui data
centers e sites de recuperao de desastres com nveis de se-
gurana militar para oferecer aos clientes proteo de dados,
disponibilidade e tranquilidade incomparveis.
alm do ssl
Nossas solues de segurana para sites incluem:
Algoritmos SSL
Os certificados SSL da Symantec oferecem trs opes
diferentes de algoritmos de criptografia: RSA, DSA e ECC.
Algoritmo ECC (Elliptic Curve Cryptography)
O algoritmo ECC uma opo includa em todos os
certificados Symantec Premium SSL. O ECC fornece maior
segurana e melhor desempenho: ele usa comprimentos de
chave menores (por exemplo, uma chave ECC de 256 bits
fornece o mesmo nvel de segurana que uma chave RSA de
3.072 bits).
Criptografia SSL de 128 bits real
Certificados SGC (Server-Gated Cryptography) habilitam
criptografia* SSL de no mnimo 128 a at 256 bits, a mais
poderosa criptografia SSL disponvel comercialmente hoje.
Avaliao de vulnerabilidades para ajudar voc a identificar
e agir rapidamente contra os pontos fracos mais explorveis
de seu site.
Uma verificao diria de malware que examina seu site,
notificando voc sobre pginas infectadas e tambm sobre o
cdigo que causa o problema.
O Selo Norton Secured
Visualizado mais de 750 milhes de vezes por dia, o Selo
Norton Secured o sinal de confiana mais reconhecido da
Internet.
19 i symantec corporation Relatrio de Ameaas Segurana de Sites 2014 - Parte 3 I Volume 19
Mais informaes
Symantec no mundo: http://www.symantec.com/
ISTR e recursos de inteligncia da Symantec: http://www.symantec.com/threatreport/
Resposta de segurana da Symantec: http://www.symantec.com/security_response/
Norton Threat Explorer: http://us.norton.com/security_response/threatexplorer/
Norton Cybercrime Index: http://us.norton.com/cybercrimeindex/
sobre a symantec
A Symantec Corporation (NASDAQ: SYMC) uma especialista em
proteo de informaes que ajuda pessoas, empresas e governos que
buscam a liberdade para aproveitar as oportunidades trazidas pela
tecnologia a qualquer momento, em qualquer lugar. Fundada em
abril de 1982, a Symantec, uma empresa Fortune 500 que opera uma
das maiores redes globais de inteligncia de dados, fornece solues
lderes do setor para segurana, backup e disponibilidade de locais onde
informaes vitais so armazenadas, acessadas e compartilhadas. Os
mais de 20.000funcionrios da empresa esto espalhados por mais de 50
pases. Noventa e cinco por cento das empresas Fortune 500 so clientes
da Symantec. No ano fiscal de 2013, ela registrou receitas de US$ 6,9
bilhes. Para saber mais, visite www.symantec.com/pt/br ou conecte-se
Symantec em: http://www.symantec.com/pt/br/social/.
relatrio de ameaas segurana de sites 2014 - parte 3 i Volume 19
Para obter informaes de
escritrios locais especficos
e nmeros de contato, visite
nosso site. Para obter
informaes de produtos
ligue para: +1 520 477 3111
Symantec Brasil
Av. Dr. Chucri Zaidan, 920 - 12 andar
Market Place Tower
So Paulo, SP
Brasil.
www.symantec.com/pt/br
2014 Symantec Corporation. Todos os direitos reser-
vados. Symantec, o logotipo da Symantec, o logotipo da
marca de verificao e o logotipo do Norton Secured so
marcas comerciais ou registradas da Symantec Corpora-
tion ou de suas afiliadas nos Estados Unidos e em outros
pases. Outros nomes podem ser marcas comerciais dos
respectivos proprietrios.
8/2012 21263454