financial services — hostile takeover attempts...ataques na web (milhões) vertical outros...
TRANSCRIPT
Financial Services — Hostile Takeover Attempts
Volume 6, 1ª edição
[state of the internet] / security
Resumo executivo:
Resumo executivoFeliz Ano Novo! Quando você estiver lendo isto, já teremos feito e desistido da maioria das resoluções de início de ano e retornado aos hábitos antigos. Enquanto aguardamos o próximo ano, a equipe que produz o relatório State of the Internet / Security tem apenas uma determinação: evoluir. Essa é uma missão interessante, pois não somos os únicos a evoluir. Os criminosos começaram a evoluir, e seus ataques estão ficando mais ambiciosos a cada dia.
Nesta edição do relatório State of the Internet / Security, começamos com um artigo da profissional de marketing de segurança Jennifer Leggio. Ela aborda um tipo de evolução autorreflexiva, incentivando colegas e a comunidade de segurança a evitar o FUD (medo, incerteza e dúvida) ao discutir produtos, serviços ou ameaças.
A partir daí, destacamos um ataque recorde a uma conhecida empresa financeira que incluiu 55.141.782 tentativas de login mal-intencionadas. O ataque ocorreu em 7 de agosto de 2019 e representa o maior caso de abuso de credenciais direcionado contra o setor de serviços financeiros desde que começamos a rastrear esses ataques.
As APIs (interfaces de programação de aplicações) estão em toda parte. Os funcionários e os clientes do setor de serviços financeiros são expostos a elas constantemente, especialmente REST, por serem usadas com frequência no desenvolvimento de aplicações móveis e para websites. No entanto, o SOAP é outra opção popular no espaço empresarial, principalmente no setor bancário.
De dezembro de 2017 a novembro de 2019, a Akamai observou 85.422.079.109 ataques de abuso de credenciais em toda a base de clientes. Quase 20%, ou 16.557.875.875, eram a nomes de host claramente identificados como pontos de extremidade de API. Dentre eles, 473.513.955 atacaram as organizações do setor de serviços financeiros.
Tentativas diárias de login mal-intencionado – nomes de host de API óbvios em destaque
Serviços financeiros
Todos os verticais
Janeiro de 2018 Março de 2018 Maio de 2018 Julho de 2018 Setembro de 2018 Novembro de 2018 Janeiro de 2019 Março de 2019 Maio de 2019 Julho de 2019 Setembro de 2019 Novembro de 2019
Janeiro de 2018 Março de 2018 Maio de 2018 Julho de 2018 Setembro de 2018 Novembro de 2018 Janeiro de 2019 Março de 2019 Maio de 2019 Julho de 2019 Setembro de 2019 Novembro de 20190 milhões
100 milhões
200 milhões
300 milhões
0 milhões
20 milhões
40 milhões
Log
ins
mal
-inte
ncio
nad
os
(milh
ões
)
Ponto de extremidade de API óbvio? Não Sim
25 de janeiro de 2018113.324.322
27 de outubro de 2018287.168.120
07 de agosto de 201955.141.782
25 de agosto de 201919.058.161
[state of the internet] / security
Financial Services — Hostile Takeover Attempts: Resumo executivo 2
0 milhões
10 milhões
20 milhões
30 milhões
40 milhões
50 milhões
Janeiro de 2018 Março de 2018 Maio de 2018 Julho de 2018 Setembro de 2018 Novembro de 2018 Janeiro de 2019 Março de 2019 Maio de 2019 Julho de 2019 Setembro de 2019 Novembro de 2019
Ata
ques
na
Web
(milh
ões)
Vertical Outros Serviços financeiros
17 de outubro de 201950.350.787
22 de novembro de 201840.376.035
23 de dezembro de 201823.771.753
28 de outubro de 201913.491.776
22 de novembro de 201942.248.675
Ataques diários a aplicações WebServiços financeiros e outros
A Akamai observou 662.556.776 ataques a aplicações Web contra o setor de serviços financeiros e 7.957.307.672 em todos os mercados verticais."
3
Neste relatório, também analisamos os ataques DDoS e a aplicações Web contra o setor de serviços financeiros, usando o mesmo período de 24 meses considerado para o abuso de credenciais.
Durante esse período, a Akamai observou 662.556.776 ataques a aplicações Web no setor de serviços financeiros e 7.957.307.672 em todos os mercados verticais.
Em geral, o ataque SQLi (Injeção de SQL) representou mais de 72% de todos os ataques ao observar todos os mercados verticais durante esse período. Essa taxa é reduzida a 36% quando considerados apenas os ataques a serviços financeiros. O principal tipo de ataque ao setor de serviços financeiros foi o de inclusão de arquivo local (LFI), com 47% do tráfego observado.
[state of the internet] / security
Financial Services — Hostile Takeover Attempts: Resumo executivo
A Akamai protege e entrega experiências digitais para as maiores empresas do mundo. A Akamai Intelligent Edge Platform engloba tudo, desde a empresa até a nuvem, para que os clientes e suas empresas possam ser rápidos e inteligentes e estar protegidos. As principais marcas mundiais contam com a Akamai para ajudá-las a obter vantagem competitiva por meio de soluções ágeis que estendem o poder de suas arquiteturas multinuvem. A Akamai mantém as decisões, aplicações e experiências mais próximas dos usuários e os ataques e as ameaças cada vez mais distantes. O portfólio de soluções Security Edge, desempenho na Web e em dispositivos móveis, acesso corporativo e entrega de vídeos da Akamai conta com um excepcional atendimento ao cliente e monitoramento 24 horas por dia, sete dias por semana, durante o ano todo. Para saber por que as principais marcas mundiais confiam na Akamai, acesse www.akamai.com, blogs.akamai.com, ou siga a @Akamai no Twitter. Encontre nossas informações de contato globais em www.akamai.com/locations. Publicado em 02/20.
State of the Internet / SecurityVolume 6, 1ª edição Financial Services – Hostile Takeover Attempts
Baixe o relatório State of the Internet completo
O setor de serviços financeiros foi o terceiro mais visado dos ataques DDoS durante o período do relatório; os setores de jogos e alta tecnologia foram os alvos mais comuns. No entanto, ao verificarmos o número de organizações atacadas, observamos que os serviços financeiros ficaram em primeiro lugar.
Por fim, falamos sobre o conceito Zero Trust e analisamos como alguns setores estão adotando esse modelo para defender seus usuários e redes contra as ameaças em evolução.
O Zero Trust substitui o princípio de "confiar, mas verificar" por "não confiar em nada nem em ninguém". No Zero Trust, a rede interrompe todo o acesso aos recursos até determinar quem é o usuário e se ele tem autorização. Absolutamente nada é confiável, seja dentro ou fora da rede. As arquiteturas de segurança ajudam ainda mais nessa abordagem, aplicando o conceito de privilégio mínimo aos usuários e recursos aos quais têm acesso.
O Zero Trust substitui o princípio de 'confiar, mas verificar' por 'não confiar em nada nem em ninguém'."
11 [state of the internet] / security Financial Services — Hostile Takeover Attempts: Volume 6, Issue 1
Web Attacks
Credential stuffing is just one attack type that the
financial service industry faces. Criminals aren’t
choosy when it comes to methodologies, and for
the most part, they’ll try different attack types until
they’re successful. This is why a solid, multilayered
approach to defense is key to stopping them.
Within the same 24-month period used to
examine credential abuse traffic, Akamai observed
662,556,776 web application attacks against the
financial services sector and 7,957,307,672 across
all verticals. The peak attack dates in 2018 and
2019 are highlighted in Figure 5.
Figure 6 shows a breakdown of web attack types
during the 24-month observation period. Overall,
SQL Injection (SQLi) accounted for more than 72%
of all attacks when looking at all verticals during this
period. That rate is halved to 36% when looking at
financial services attacks alone. The top attack type
against the financial services sector was Local File
Inclusion (LFI), with 47% of observed traffic.
LFI attacks exploit various scripts running on
servers, usually PHP, but LFI flaws have also
been known to exist in ASP, JSP, and other web
technologies. The consequence of these attacks
is usually the disclosure of sensitive information.
However, LFI attacks can also be leveraged
for client-side command execution (such as a
vulnerable JavaScript file), which could lead to
Cross-Site Scripting (XSS) and denial-of-service
(DoS) attacks.
Taking all of this into account, criminals conducting
the LFI attacks are looking to expose data that
could enable a stronger foothold on the server,
such as exposing a configuration file with
database credentials. If the database user has
write permissions, the criminal could use the
data exposed via LFI to remotely connect to the
database and compromise the server itself by
command execution.
XSS was the third-most common type of attack
against financial services, with a recorded 50.7
million attacks, or 7.7% of the observed attack
traffic. XSS accounted for 3.3% of the attacks in all
verticals. After that, PHP Injection (PHPi) came in
at just under 16 million attempts against financial
services. Finally, Command Injection, Remote
File Inclusion, OGNL Injection, and malicious file
uploads rounded out the final 5.7% of recorded
attacks against financial services.
Between 2018 and 2019, the most
common attack type against the financial
sector was Local File Inclusion (LFI).
12
Oct 17, 201950,350,787
Nov 22, 201942,248,675
Nov 22, 201840,376,035
Dec 23, 201823,771,753
Oct 28, 201913,491,776
0 M
10 M
20 M
30 M
40 M
50 M
Jan 2018 Mar 2018 May 2018 Jul 2018 Sep 2018 Nov 2018 Jan 2019 Mar 2019 May 2019 Jul 2019 Sep 2019 Nov 2019
Web
att
acks
(mill
ions
)
Vertical Other FinServFig. 5 – While the single-day peaks in attacks are concerning for individual organizations, the continued growth in web attacks
affects all organizations
FinancialServices
AllVerticals
0%10%
20%30%
40%50%
60%70%
80%90% 100%
% Attacks
Ver
tica
l
Attack Vector SQLi LFI XSS PHPi RFI CMDi Other
Fig. 6 – LFI was the top financial services attack type, but SQLi continues to dominate when looking at all verticals
Daily Web Application AttacksFinancial Services and Other
Web Application Attack VectorsDecember 2017 through November 2019
[state of the internet] / securityVolume 6, Issue 1
Financial Services — Hostile Takeover Attempts
BAIXAR AGORA