Threat Intelligence
Um pré-requisito para fazer uma análise de risco é conhecer quais são as ameaças - o quê está aí fora que pode nos atacar, quão severas são as ameaças, como elas vem evoluindo, etc. Isso é o que chamamos de Threat Intelligence e é um componente essencial do gerenciamento de riscos de uma organizacão.
Boas fontes de threat intelligence são baseadas em sólidas evidências e análise informada. Várias empresas fornecem serviços de threat intelligence, mas você pode obter bastante informação de qualidade gratuitamente na Internet. A Microsoft divulga semestralmente o Microsoft Security Intelligence Report (clique aqui para baixar o último em português), que contém um sumário dos dados coletados pelo Microsoft Update, MSRT, Hotmail, Microsoft Research e outros instrumentos.
A Symantec também divulga semestralmente o seu Symantec Internet Security Threat Report, uma outra boa fonte de threat intelligence. O último relatório foi divulgado ontem e contém como sempre vários insights e contrapontos para vários mitos que ainda subsistem. Aqui vão os pontos que eu achei mais interessante:
■ Qual sistema operacional é mais rápido em preparar patches? Um gráfico fala por duas mil palavras:
■ Código malicioso se espalha usando vulnerabilidades nos sistemas operacionais e aplicativos? Cada vez menos. Na verdade apenas uma pequena porcentagem explora vulnerabilidades remotas, 18% segundo o relatório da Symantec. A maior parte das infecções por malware acontece pela execução de arquivos baixados da Internet, e também cada vez mais recebidos através de P2P.
■ Nem Virus nem Worm, Trojan - Uma conseqüência crescente uso de firewalls pessoais, os worms continuam caindo no percentual de infecções por código malicioso. Neste semestre foram significativos 15% de queda, e se essa tendência continuar em breve os ataques serão residuais, no nível dos virus. Enquanto isso os ataques usando trojans continuam crescendo e são a causa de quase 3/4 das infecções.
■ Roubdo de identidade é o nome do negócio - Talvez o ponto mais significativo deste relatório. Segundo a Symantec, 65% dos principais tipos de malware atacando a Internet tem mecanismos de roubo de informacão confidencial, um aumento significativo em relação ao semestre anterior. O método mais comum que uma informação é roubada é através de um backdoor, que permite que remotamente se faça screenshots ou roubar arquivos. São cada vez mais populares também malware com keyloggers.
A informação roubada é comercializada no mercado negro dos fóruns online, ou usada diretamente pela máfia que sustenta várias botnets. Pela pesquisa da Symantec um cartão de crédito sai por entre US$ .50 e 5, um shell Unix por US$ 2, e uma conta de banco entre US$ 30 e US$ 400.
O próximo relatório da Microsoft sai em breve. Vale também checar as estatísticas no Brasil fornecidas pelo CERT-BR e pelo CAIS da RNP.
