Threat Intelligence

Vi este post no blog do Fernando Cima e como muitos de meus leitores não lêem o blog dele, resolvi replicar aqui:


Um pré-requisito para fazer uma análise de risco é conhecer quais são as ameaças –  o quê está aí fora que pode nos atacar, quão severas são as ameaças, como elas vem evoluindo, etc. Isso é o que chamamos de Threat Intelligence e é um componente essencial do gerenciamento de riscos de uma organizacão.


Boas fontes de threat intelligence são baseadas em sólidas evidências e análise informada. Várias empresas fornecem serviços de threat intelligence, mas você pode obter bastante informação de qualidade gratuitamente na Internet. A Microsoft divulga semestralmente o Microsoft Security Intelligence Report (clique aqui para baixar o último em português), que contém um sumário dos dados coletados pelo Microsoft Update, MSRT, Hotmail, Microsoft Research e outros instrumentos.


A Symantec também divulga semestralmente o seu Symantec Internet Security Threat Report, uma outra boa fonte de threat intelligence. O último relatório foi divulgado ontem e contém como sempre vários insights e contrapontos para vários mitos que ainda subsistem. Aqui vão os pontos que eu achei mais interessante:


■ Qual sistema operacional é mais rápido em preparar patches? Um gráfico fala por duas mil palavras:



■ Código malicioso se espalha usando vulnerabilidades nos sistemas operacionais e aplicativos? Cada vez menos. Na verdade apenas uma pequena porcentagem explora vulnerabilidades remotas, 18% segundo o relatório da Symantec. A maior parte das infecções por malware acontece pela execução de arquivos baixados da Internet, e também cada vez mais recebidos através de P2P.



■ Nem Virus nem Worm, Trojan – Uma conseqüência crescente uso de firewalls pessoais, os worms continuam caindo no percentual de infecções por código malicioso. Neste semestre foram significativos 15% de queda, e se essa tendência continuar em breve os ataques serão residuais, no nível dos virus. Enquanto isso os ataques usando trojans continuam crescendo e são a causa de quase 3/4 das infecções.



■ Roubo de identidade é o nome do negócio – Talvez o ponto mais significativo deste relatório. Segundo a Symantec, 65% dos principais tipos de malware atacando a Internet tem mecanismos de roubo de informacão confidencial, um aumento significativo em relação ao semestre anterior. O método mais comum que uma informação é roubada é através de um backdoor, que permite que remotamente se faça screenshots ou roubar arquivos. São cada vez mais populares também malware com keyloggers.


A informação roubada é comercializada no mercado negro dos fóruns online, ou usada diretamente pela máfia que sustenta várias botnets. Pela pesquisa da Symantec um cartão de crédito sai por entre US$ .50 e 5, um shell Unix por US$ 2, e uma conta de banco entre US$ 30 e US$ 400.  


O próximo relatório da Microsoft sai em breve. Vale também checar as estatísticas no Brasil fornecidas pelo CERT-BR e pelo CAIS da RNP.

Leave a Reply

Your email address will not be published. Required fields are marked *


*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>