relatorio trend micro oea infraestruturas criticas americas

7/21/2019 Relatorio Trend Micro Oea Infraestruturas Criticas Americas

http://slidepdf.com/reader/full/relatorio-trend-micro-oea-infraestruturas-criticas-americas 1/60

Relatório sobre Segurança Cibernéticae Infraestruturas Críticas nas Américas



RELATÓRIO SOBRE SEGURANÇA CIBERNÉTICA E INFRAESTRUTURAS CRÍTICAS NAS AMÉRICAS

i | Página © 2015 Trend Micro Incorporate

Índice

Mensagem do Secretário Geral Adjunto da OEA ............................... 1Prefácio .................................................................................................. 3

Organização dos Estados Americanos ................................................ 3Trend Micro.......................................................................................... 4

Resumo Executivo ................................................................................ 6Análise e Comentários sobre a Situação da Segurança Cibernéticadas Infraestruturas Críticas nas Américas ......................................... 8

Informações fornecidas pela Trend Micro ........................................... 8Caltech Smart Grid Research : Potenciais Ameaças Cibernéticase Mitigação ........................................................................................... 10O Papel Vital da Proteção da Infraestrutura Crítica de Informações(CIIP) na Segurança Cibernética ........................................................ 13Compartilhamento de Informações de Serviços Financeiros dosEstados Unidos e o Centro de Análise (FS-ISAC) ............................ 15América Latina e a Segurança Cibernética Industrial ...................... 16




ii | Página © 2015 Trend Micro Incorporate

NOTA LEGAL DA TREND MICRO

As informações fornecidas aqui são apenas parans gerais e educacionais. Não se destinam e

não devem ser interpretadas de forma a constituirum aconselhamento jurídico. As informações aqucontidas podem não se aplicar a todas as situaçõese podem não re etir a situação mais atual. Nada aquicontido deve ser invocado ou posto em prática semo benefício da assistência jurídica com base nosfatos e circunstâncias especí cos apresentados,e nada aqui deve ser interpretado de outra forma.

A Trend Micro se reserva o direito de modi car conteúdo desse documento a qualquer momentosem aviso prévio.Traduções de qualquer material para outraslínguas são apenas uma conveniência. A precisãoda tradução não é garantida nem implícita. Sesurgirem quaisquer dúvidas relacionadas à precisãoda tradução, consulte a versão o cial do documentona língua original. Quaisquer discrepâncias oudiferenças criadas na tradução não são vinculativase não têm efeito legal para efeitos de cumprimentoou imposição.

Apesar da Trend Micro fazer um esforço razoávepara incluir informações precisas e atualizadasaqui, a Trend Micro não dá nenhuma garantia ourepresentação de qualquer tipo para sua precisão,atualidade ou integridade. Você concorda que oacesso e uso e a con ança neste documento eao seu conteúdo é por sua conta e risco. A TrendMicro se isenta de todas as garantias de qualquertipo, expressas ou implícitas. Nem a Trend Micrnem qualquer parte envolvida na criação, produçãoe entrega desse documento é responsável porqualquer consequência, perda ou dano, sejam elesdiretos, indiretos, especiais, consequentes, perdade lucros comerciais ou danos especiais, por danosdecorrentes de acesso, uso ou incapacidade deuso, ou em conexão com o uso deste documento,ou quaisquer erros ou omissões no seu conteúdo.O uso dessas informações constitui uma aceitaçãopara o uso em uma condição “como está”.

NOTA LEGAL DA ORGANIZAÇÃO DOS ESTAD

AMERICANOS As informações e argumentos expressos nesserelatório não re etem necessariamente as opiniõeso ciais da Organização dos Estados Americanos oudos governos de seus Estados Membros.

Resultados da Pesquisa dos Países da OEA ................................... 23Nível de Incidentes para o Sistema Computacional no Ano Passado ... 23

Ataques Visando Infraestruturas ....................................................... 24Experiência com Vários Incidentes ................................................... 25

Tipos de Métodos de Ataque Cibernético .......................................... 27Percepção da Prontidão para Incidentes Cibernéticos ..................... 28Políticas de Segurança Cibernética ................................................. 29Orçamento para Segurança Cibernética ........................................... 30Discussão com o Governo sobre a resiliência cibernéticados Sistemas de Infraestrutura Crítica .............................................. 31Se os Entrevistados con am no Governo para avançar emuma Agenda de Segurança Cibernética nos Setores de

Infraestrutura Crítica.......................................................................... 32Análise de Inteligência Global de Ameaças da Trend Micro ........... 33

Malware ............................................................................................. 33Spam ................................................................................................. 35Sites Maliciosos e de Phishing .......................................................... 37

Atividades do Submundo................................................................... 38Submundo do Crime Cibernético nas Américas ................................ 39

Estudos de Casos ............................................................................... 40

Argentina ........................................................................................... 40Trinidad e Tobago .............................................................................. 42Uruguai .............................................................................................. 44

Conclusão ............................................................................................ 46Apêndice: Pesquisa de Infraestruturas Críticas ............................... 47

Metodologia....................................................................................... 47Resultados da Pesquisa .................................................................... 47




1 | Página © 2015 Trend Micro Incorporate

Mensagem do Secretário GeralAdjunto da OEA

Embaixador Albert R. Ramdin A Organização dos Estados Americanos (OEA) trabalha com nossos Estados Membros parafortalecer sua capacidade de segurança cibernética, especialmente na proteção de infraestruturascríticas. Em 2004, a Assembleia Geral da OEA aprovou, unanimemente, a

Estratégia Abrangente de Segurança Cibernética Interamericana. Reconhecendo que, desde então,as ameaças cibernéticas continuaram aumentando, o governo das Américas assinou a declaraçãode “Fortalecimento da Segurança Cibernética nas Américas” (2012) e, mais recentemente, oComitê Interamericano contra o Terrorismo (CICTE) da OEA adotou a “Declaração de Proteção dasInfraestruturas Críticas contra Ameaças Emergentes” (2015). Esses instrumentos são fundamentais

para a promoção de políticas de segurança cibernética, melhorando a cibersegurança das infraestruturas críticas nas Américas.

Os Estados Membros dependem das infraestruturas críticas para fornecer serviços e produtos essenciais e, conformeos países das Américas veem um crescimento no número de infraestruturas executadas na Internet, também aumentouo número de ataques cibernéticos contra as mesmas, podendo comprometer as infraestruturas críticas de um país e acapacidade de fornecer serviços essenciais aos seus cidadãos.

Explorações que podem afetar as infraestruturas dos países são geralmente in ltradas por ferramentas simples ouso sticadas que podem acessar dispositivos móveis ou outros dispositivos pessoais para se in ltrar em setores dealto valor, como transportes, energia ou sistemas nanceiros. Para combater essas ameaças cibernéticas, a OEA

iniciou esforços para fortalecer a capacidade das infraestruturas críticas, fornecendo treinamentos personalizados parapro ssionais de nível de gerência, legisladores e técnicos de segurança que trabalham nas infraestruturas críticas dospaíses.





Ao longo dos anos, esses esforços evoluíram para também retratar melhoras tendências dos ataques atuais às infraestruturas críticas. Compreender acapacidade de segurança cibernética dos Estados Membros e as tendênciasdos ataques cibernéticos é o primeiro passo para fortalecer a capacidade deresposta. Pensando nisso, esse relatório foi preparado com o objetivo de serum documento abrangente a partir do qual os Estados Membros, operadores deinfraestruturas críticas e outras pessoas possam tirar conclusões úteis, obtendo

uma melhor compreensão das principais ameaças que afetam as infraestruturascríticas nas Américas. Por exemplo, os dados coletados revelam que 53%dos entrevistados notaram um aumento dos ataques aos seus sistemas decomputadores em 2014 e 76% declararam que os ataques cibernéticos contra ainfraestrutura estão cando mais so sticados.

Vale frisar que a coleta de dados só foi possível graças à cooperaçãoincentivada pela OEA entre os setores público e privado. Os governosdevem trabalhar junto com o setor privado e com organizações da sociedadecivil, reconhecendo que a segurança cibernética é uma responsabilidadecompartilhada. Esse relatório é um grande exemplo da abordagem de múltiplosparticipantes adotada pela OEA em suas políticas de segurança cibernética,combinando contribuições dos governos dos Estados Membros, do setorprivado, universidades e sociedade civil. Esperamos que essas informaçõesorientem nossa região a buscar um espaço cibernético mais seguro e amelhorar a capacidade de segurança cibernética para proteger nossasinfraestruturas essenciais.





PrefácioOrganização dos Estados Americanos

Adam Blackwell Secretário de Segurança Multidimensional | Organização dos Estados Americanos

O mundo nunca foi tão pequeno, com mais de nós conectados com velocidades de Internet maisrápidas do que nunca. A Internet das Coisas (IoT) mudou a maneira como interagimos uns comos outros, revolucionou os processos de negócios e alterou a maneira pela qual os países e asinfraestruturas críticas são operados.

Não há dúvida de que essa grande conectividade é uma ferramenta de desenvolvimento poderosae uma oportunidade de crescimento para os governos, empresas e também indivíduos – umaferramenta que deve permanecer aberta e acessível apesar dos riscos inerentes. O desa o estáem nossa capacidade de equilibrar e gerenciar esses riscos para o futuro próximo. A abertura e

facilidade de acesso de uma grande conectividade diminuiu as barreiras de entrada para os criminosos empreendedores já que podem participar de atividades ilícitas em quase qualquer lugar. Isso di culta para os agentes da lei relacionaremo crime ao seu perpetrador e jurisdição correspondente.

Consequentemente, os governos, as organizações internacionais, o setor privado e a sociedade civil devem trabalhar juntos para reforçar a colaboração, reconhecendo que a segurança cibernética é uma responsabilidade compartilhada.O crime cibernético afeta a sociedade como um todo; não apenas ameaça a privacidade dos indivíduos, mas tambémpode comprometer as infraestruturas críticas de um país e sua capacidade de fornecer os serviços essenciais para oscidadãos. A natureza globalizada da economia também signi ca que essa é uma ameaça em nível internacional. Issodestaca a necessidade de uma ação em quatro diferentes níveis: internacional, nacional, setor privado e individual. Osindivíduos também têm alguma responsabilidade e devem estar cientes de suas próprias vulnerabilidades na saúde

cibernética. A América Latina e o Caribe atualmente têm uma das populações conectadas à Internet que mais crescem no mundo,gerando um número signi cativo de desa os de segurança cibernética. Em resposta às crescentes ameaças, a OEA,através do Comitê Interamericano contra o Terrorismo (CICTE), desenvolveu um programa de segurança cibernéticaregional focando no fortalecimento da segurança cibernética e melhorando a proteção à infraestrutura crítica deinformações em todas as Américas. Reconhecendo a importância da colaboração, o Programa de Segurança Cibernéticada OEA gira em torno da implementação do seguinte plano de sete pontos:

[1] Envolvimento da sociedade civil e do setor privado: Mais de 80% da infraestrutura que conduz a Internet eserviços administrativos essenciais são de propriedade e operados pelo setor privado. Por essa razão, a OEAestabeleceu parceiras com empresas do setor privado como a Trend Micro (com a qual temos o prazer decolaborar neste relatório), a Microsoft e a Symantec, além de empresas sem ns lucrativos, incluindo o FórumEconômico Mundial,STOP. THINK. CONNECT 1 e o Centro de Informações de Rede da América Latina eCaribe.

[2] Aumentar a conscientização: Com o desenvolvimento da IoT (Internet das Coisas), as pessoas estãoconectadas a Internet de muitas maneiras diferentes. Essa nova tendência destaca a importância de elaborarpolíticas para aumentar a conscientização entre os usuários pessoais da Internet a respeito de medidas básicasde segurança cibernética. A OEA iniciou um programa agressivo de conscientização para se certi car de queos indivíduos entendem os riscos e a necessidade de tomar medidas apropriadas para sua própria segurançacibernética.

1 http://stopthinkconnect.org/

http://stopthinkconnect.org/

http://stopthinkconnect.org/





[3] Desenvolvimento de estratégias nacionais: Uma estratégia nacionalde segurança cibernética permite que os países estabeleçamuma visão abrangente de segurança cibernética e de namresponsabilidades claras, coordenando ações entre governos eparticipantes importantes. A OEA promove o desenvolvimento deestratégias e estruturas nacionais de segurança cibernética em

todos os Estados Membros, trabalhando no passado com Colômbia,Panamá e Trinidad e Tobago, e com trabalhos em andamento naDominica e Bahamas.

[4] Fornecimento de treinamento: Manter-se atualizado é fundamentalno ambiente em constante evolução da segurança cibernética. Ofornecimento de treinamento técnico aos o ciais se mostrou ummeio de grande sucesso para fortalecer a segurança cibernética nosníveis regionais e nacionais. Em particular, a OEA auxiliou os EstadosMembros no estabelecimento de robustas Equipes de Resposta aIncidentes e Segurança de Computadores (CSIRTs), nacionais egovernamentais, cujos números cresceram de 6 a 19 nas últimasdécadas.

[5] Exercício de gestão de crises: Paralelamente ao treinamento técnicoe ao desenvolvimento de equipes de resposta, a OEA também realizaensaios de gestão de crises. Isso permite que os Estados Membrospersonalizem os exercícios para suas próprias necessidades,fortalecendo a colaboração em nível técnico dentro de outros paísesrespondendo a ameaças.

[6] Realização de missões de assistência técnica: A OEA responde àsnecessidades dos países, desenvolvendo e realizando missões deassistência técnica projetadas para atender às preocupações dospaíses. Isso normalmente envolve visitas aos locais, análises eapresentações de políticas feitas por autoridades locais, culminandocom uma série de recomendações de especialistas.

[7] Compartilhamento de informações: A OEA está trabalhando no

desenvolvimento de uma rede de CSIRTs nacionais e outrasautoridades relacionadas à segurança cibernética, com o objetivode facilitar a comunicação e o compartilhamento de informações emtempo real.

Trend MicroNa Trend Micro, nossa missão de fazer um mundo melhor para a trocade informações digitais nos levou a cultivar parcerias público-privada comempresas de todo o mundo. Nunca foi tão importante para empresas públicase privadas colaborar e compartilhar informações em um esforço para combatero crime cibernético. Com esse objetivo, estamos orgulhosos de ter feito uma

aliança com a OEA para o desenvolvimento deste relatório que analisa asameaças do crime cibernético impactando em infraestruturas críticas das Américas.

Os dados coletados nesse relatório incluem informações das Américas, querevelaram um signi cativo aumento no nível dos incidentes em sistemascomputacionais no ano passado. O aumento da atividade criminosa não ésurpresa. A tendência do aumento de ataques cibernéticos na América Latinafoi documentada em nosso relatório Tendências de Segurança Cibernética eRespostas dos Governos, de 2013, na região. 2

2 http://www.oas.org/cyber/documents/OASTrendMicroLAC_ENG.pdf

http://www.oas.org/cyber/documents/OASTrendMicroLAC_ENG.pdf

http://www.oas.org/cyber/documents/OASTrendMicroLAC_ENG.pdf





Além disso, o Relatório Anual de Segurança de 2014 do TrendLabsSM relata que numerosas empresas em todo o mundo,inclusive bancos e serviços públicos, perderam milhões de registros e credenciais de clientes para os agressores em2014.3 O setor de infraestruturas críticas surgiu como um vetor especialmente vulnerável, devido ao envelhecimento dasinstalações e à prevalência de “meias-medidas e improvisos” ao invés de sistemas de segurança abrangentes. 4

O relatório fornece aos leitores uma grande compreensão dos riscos de ataques sofridos por esse setor nas Américas,chamando a atenção para a necessidade de uma maior colaboração entre empresas de infraestruturas críticas eos governos. Como visto em 2014, o governo dos Estados Unidos reconheceu as vulnerabilidades neste setor e aspossíveis graves consequências de não proteger adequadamente setores inteiros em uma escala nacional, tais comorede elétrica, abastecimento de água e combustível, e telecomunicações.

Esse relatório pretende esclarecer a atividade do crime cibernético e as tendências que ocorrem nas Américas dentrodo setor de infraestruturas críticas. Também tem o objetivo de fornecer percepções sobre como a fomentação da

colaboração entre esses setores e seus governos podem fortalecer sua capacidade para combater o crime cibernético.

3 http://www.trendmicro.com.br/cloud-content/br/pdfs/business/datasheets/relatorio-anual-seguranca-2014-trend-micro.pdf 4 http://blog.trendmicro.com/breaking-down-old-and-new-threats-to-critical-infrastructure/

http://www.trendmicro.com.br/cloud-content/br/pdfs/business/datasheets/relatorio-anual-seguranca-2014-trend-micro.pdf

http://blog.trendmicro.com/breaking-down-old-and-new-threats-to-critical-infrastructure/

http://blog.trendmicro.com/breaking-down-old-and-new-threats-to-critical-infrastructure/






Resumo Executivo

Os ataques a infraestruturas críticas se tornaram uma crescente causa depreocupação para governos e fornecedores privados em todo o mundo – sejamin igidos por criminosos cibernéticos em busca de ganho nanceiro ou atospolíticos com o objetivo de minar a credibilidade de governos e empresas.

A agitação acerca dessas ameaças é justi cada, já que a pesquisa demonstraque os ataques a infraestruturas críticas aumentaram tanto em prevalênciacomo em so sticação e continuarão a crescer no futuro.

Houve uma melhora no gerenciamento e monitoramento das instalações deinfraestruturas críticas, que se tornaram progressivamente mais conectados à

Internet. A conveniência adicional da conectividade transformou a superfíciede ataque desses setores, antes limitada, em um cenário fértil para ataquescibernéticos. Devido aos potenciais efeitos de alto nível dos ataques a sistemasde infraestruturas críticas, esses setores se tornaram alvos cada vez maisatraentes para os criminosos cibernéticos.

Aproveitando o sucesso de nosso estudo conjunto de 2013 “Tendências deSegurança Cibernética da América Latina e Caribe e Respostas dos Governos”,a OEA e a Trend Micro se juntaram para fornecer outra visão sobre a situaçãoda segurança cibernética dos membros da OEA. 5 Essa pesquisa semprecedentes, com mais de 20 Estados Membros da OEA, fornece uma visão dasituação atual da segurança cibernética em relação à infraestrutura da região eas tendências de ameaças que essas empresas cruciais enfrentam.

Os dados coletados fornecem perspectivas importantes sobre: os ataquescibernéticos a organizações de infraestruturas críticas da região, além de suasmedidas e políticas de segurança cibernética; a colaboração com governoslocais; e sua prontidão para ataques cibernéticos. Muitas das descobertas dapesquisa se correlacionam com nossos estudos sobre ataques a infraestruturascríticas, e novas percepções ajudarão a orientar nossas pesquisas futurasenquanto trabalhamos para proteger esse setor contra ataques cibernéticos.

Os entrevistados pela pesquisa vieram de agências governamentais e desetores críticos, como comunicações, bancos e nanças, indústrias, energia esegurança, entre outros. Os entrevistados mostraram que os agressores estão

tão interessados em roubo de dados como em causar caos e desordem ao“hackear” sistemas de controle (SCADA).

Sem surpresa, táticas de “spear phishing” foram mencionadas por todos osentrevistados como sendo o único grande método de ataque contra o qualtiveram que se defender. A exploração de vulnerabilidades de softwaressem “patches” vem num segundo lugar bem distante. Isso espelha o papelproblemático que o spear phishing desempenha nos incidentes de segurançacibernética em geral, principalmente em ataques direcionados.

5 http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-latin-american-and-caribbean-cybersecurity-trends-and-government-responses.pdf

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-latin-american-and-caribbean-cybersecurity-trends-and-government-responses.pdf








Análise e Comentáriossobre a Situação daSegurança Cibernéticanas InfraestruturasCríticas nas Américas

Esta seção fornece uma série de estudos curtos de colaboradores especialistasselecionados, analisando e comentando a situação da segurança cibernética eas infraestruturas críticas.

Informações fornecidas pela Trend Micro A área de pesquisas avançadas de ameaças da Trend Micro ( Forward-lookingThreat Research ) observou várias tendências no ano passado. Entre elas, amais signi cativa é o uso de malware que compromete os sistemas de controle

de supervisão e aquisição de dados (SCADA), inclusive em sistemas de gestãode informação sobre moradores de rua ( Homeless Management InformationSystem – HMIS ), processamento histórico e outros dispositivos conectados.

Essa tendência tem se manifestado de duas maneiras principais: malware sepassando por aplicações SCADA válidas e malware usado para escanear eidenti car protocolos SCADA especí cos. No primeiro caso, houve malwarese passando por aplicações válidas da Siemens, Allen Bradley e outrosfornecedores. No segundo caso, vimos o escaneamento de malware especí copara o OPC e Modbus. Embora a razão para esse escaneamento não tersido determinada, o objetivo provável é a coleta de dados para espionagemindustrial ou identi cação de futuros alvos de ataques. Observamos um maior

interesse por protocolos, ataques e malware para SCADA, e acreditamos queessa tendência continue.

Parece haver um crescimento notável de conhecimento dos agressores sobrea tecnologia SCADA. Esses agressores não só demonstraram o conhecimentodos nomes das aplicações, nomes dos projetos, etc. Eles também estão setornando muito familiarizados com os protocolos SCADA. Esse conhecimentocresceu claramente a cada mês. Espera-se que essa tendência aumentesigni cativamente em 2015 e 2016, com mais funcionalidades encontradas nosmalwares e, provavelmente, com a identi cação de mais grupos atacando oSCADA.





Estabelecer a origem desses grupos de criminosos cibernéticos é geralmentedifícil, se não impossível. Porém, a atribuição fornecida por múltiplas rmas deinteligência (sem incluir a Trend Micro), concluiu que a maioria dos grupos queestão usando malware direcionado contra os sistemas SCADA se originaramna Rússia. A motivação é desconhecida. Portanto, é difícil determinar se essesataques estão sendo realizados por criminosos cibernéticos individuais ou porcriminosos apoiados pelo governo.Dois Ataques Notáveis a Infraestruturas Críticas em 2014

De acordo com a rma de segurança CrowdStrike, um grupo de hackerschamado “Energetic Bear” causou uma importante interrupção em empresasdos Estados Unidos do setor de energia. 6 O grupo usou um malware muitoefetivo e recém criado chamado “Havex” para invadir sistemas de controle(ICS)/SCADA de suas empresas alvos. Assim que um malware Havex infectao ICS de uma empresa, ele transmite os dados e informações sensíveis daempresa de volta para os hackers através de servidores de comando e controle(C&C). Segundo Mike Assante, Diretor de ICS no Instituto SANS, “módulos demalware projetados para ICS (Havex e BlackEnergy II) indicam investimentossigni cativos em tempo e dinheiro”.No nal de 2014, um ataque lançado contra uma usina siderúrgica na

Alemanha causou danos físicos, segundo um relatório do Escritório Federalpara a Segurança de Informações da Alemanha, ou BSI. 7 Aparentemente,os agressores comprometeram a rede do escritório da usina siderúrgicausando emails de spear phishing e engenharia social inteligente. A partir daí,abriram caminho para a rede de produção e outros sistemas, inclusive os quecontrolavam o equipamento da usina.

O comprometimento resultou em frequentes falhas de componentes de controleindividuais e em vários sistemas. No nal, deixou os operadores incapazes deregular adequadamente e desligar rapidamente um alto forno. O resultado foi“um enorme dano à usina”, notou o BSI.8

As empresas podem empregar as seguintes práticas para ajudar a se defendercontra os ataques ICS em 2015:

• Implementar software antimalware, sempre que possível, em todo oambiente ICS.

• Usar um “bastion host” para impedir o acesso não autorizado a locaisprotegidos em todo o ambiente ICS

• Aplicar “whitelisting” de aplicações em todo o ambiente ICS paraimpedir que aplicações não autorizadas sejam executadas

• Implementar um sistema de detecção de violações• Ativar um bloqueio de USB em todos os ambientes SCADA. Isso

impede que o malware entre sicamente no ambiente

• Implementar medidas de segurança básicas entre segmentos de rede,como um rewall/IPS, entre a rede de negócios e a rede ICS.

6 http://www.infosecurity-magazine.com/news/energetic-russian-bear-attacking-western-energy/7 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile8 http://www.itworld.com/article/2861675/cyberattack-on-german-steel-factory-causes-massive-damage.html

“Um relatório feito pelaEquipe de Reposta deEmergência Cibernéticade Sistemas de ControlesIndustriais (ICS-CERT) nosEstados Unidos relatou queos sistemas de controleindustriais sofreramataques cibernéticos pelomenos 245 vezes em 12

meses, de outubro de 2013a setembro de 2014. Cercade 32% das indústriaseram do setor de energia,enquanto as manufaturascríticas compreenderam27%. O ICS-CERT aindarevelou que 55% dosincidentes investigadosmostraram sinais de queameaças persistentesavançadas ou ataquesdirecionados foram usados

para violar os sistemas.”

Referências:

http://www.v3.co.uk/v3-uk/news/2399334/us-industrial-control-systems-attacked-

245-times-in-12-months

https://ics-cert.us-cert.gov/sites/default/les/Monitors/ICS-CERT_Monitor_

Sep2014-Feb2015.pdf

http://www.infosecurity-magazine.com/news/energetic-russian-bear-attacking-western-energy/


https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile


http://www.itworld.com/article/2861675/cyberattack-on-german-steel-factory-causes-massive-damage.html


http://www.v3.co.uk/v3-uk/news/2399334/us-industrial-control-systems-attacked-245-times-in-12-months



https://ics-cert.us-cert.gov/sites/default/files/Monitors/ICS-CERT_Monitor_Sep2014-Feb2015.pdf



















Caltech Smart GridResearch: PotenciaisAmeaças Cibernéticase Mitigação

Steven LowProfessor de Ciência da Computação e Engenharia Elétrica | Instituto de Tecnologia daCalifórnia

Estamos no limiar de uma transformação histórica de nossos sistemas deenergia. A rede de energia, desde a geração até a transformação e distribuiçãoao consumo, sofrerá o mesmo tipo de transformação arquitetônica naspróximas décadas que a rede de computação e de comunicação sofreramnas últimas duas décadas. Nós vislumbramos uma rede futura com centenasde milhões de recursos de energia distribuídos (DERs), tais como painéissolares, turbinas de vento, veículos elétricos, dispositivos de armazenamentode energia, edifícios inteligentes, aparelhos inteligentes, inversores inteligentese outros aparelhos eletrônicos de energia. Esses terminais inteligentes nãoserão meramente cargas passivas, como a maioria dos terminais atuais,

mas terminais que podem gerar sentido, computar, comunicar e atuar. Elescriarão uma tremenda oportunidade para uma maior e ciência, exibilidadee capacidade em nossa geração e utilização de eletricidade. Eles tambémcriarão graves riscos por causa dos potenciais ataques cibernéticos e outrasvulnerabilidades.Nossa pesquisa aborda alguns dos desa os econômicos e de engenhariamais difíceis e fundamentais para nos ajudar a entender e orientar nossatransformação histórica, para reduzir o risco e aproveitar seu potencial. A seguirfornecemos um exemplo dos resultados de nossa pesquisa.Propagação de falhas e ataques e mitigação

A rede de energia transformada será a maior e mais complexa integração deredes cibernéticas e físicas da história. A inteligência estará integrada em todosos lugares, de painéis solares e veículos elétricos, a aparelhos inteligentese dispositivos de armazenamento de energia, de domicílios a microrredese subestações. Embora indispensável para a estabilidade, con abilidadee e ciência de uma rede, isso também criará uma nova fragilidade para osataques de segurança cibernética. Cada DER se tornará um ponto de entradapotencial para um ataque cibernético. A rede cibernética que controla e otimizaa rede física também irá ampli car muito a escala, velocidade e complexidadede um ataque. Também poderá tornar uma propagação da falha mais rápida emais ampla na rede física, di cultando a mitigação de um apagão.

Nós estudamos esse processo para entender sua dinâmica e desenvolverestratégias de mitigação. Suponha que um ataque contra uma rede cibernéticaou física tenha resultado na falha de um conjunto inicial de dispositivos de





rede. Como essa falha se propagará? A falha em cascata levará a um apagãoem grande escala? Responder a essas questões requer uma compreensão daredistribuição do uxo de energia na rede quando um conjunto de dispositivosde rede falhar.

Descobrimos propriedades de monotonicidade relativas a falhas de ligaçãoque nos permite entender sistematicamente as dinâmicas da redistribuição deenergia, conforme a falha em cascata se desenrola pela rede. Utilizando essaspropriedades de monotonicidade, projetamos estratégias de redução de cargaque podem reduzir a sobrecarga da rede e os apagões se os dispositivos derede falharem, isolando os potenciais ataques cibernéticos.

Otimização de uxo de energia

Fluxo de Potência Ótimo (FPO) é o problema de minimizar certas funções decusto, tais como perda de energia ao longo da rede, o custo de combustívelde geração de eletricidade ou restrições de segurança. O FPO é fundamentalnas operações e planejamento do sistema de energia já que é a base denumerosas aplicações, tais como, comprometimento de unidade (que geradoresutilizam), envio econômico (quanto esses geradores devem gerar), estimativasde estado (estimativa do estado da rede completa a partir de medidas parciais),avaliações de estabilidade e con abilidade (a rede convergirá para um novoequilíbrio estável no caso de uma contingência?), controle Volt-VAR (provisãode energia reativa para estabilizar voltagens) e resposta (adaptação da cargapara suprimento utuante).

A rede ótima é exível, com recursos que têm taxas dinâmicas de tempovariável, re etindo a capacidade do recurso sob condições operacionaisvariáveis. Ela também é con gurada de maneira ótima: abrir ou fechar linhasde transmissão se torna uma decisão variável, ou ação de controle, ao invésde um insumo para o problema, ou estado. Quando possível, as restrições desegurança são corretivas ao invés de preventivas. Com restrições de segurançapreventivas, o sistema é operado de maneira conservadora para sobreviveras perdas de qualquer elemento ou gerador de transmissão. Ao contrário,restrições corretivas recon guram o sistema com equipamentos de açãorápida (sistemas de proteção especial ou esquemas de ações de remediação)imediatamente após a perda de um gerador ou elemento de transmissão, assimcomo nossas estratégias de redução de carga para reduzir potenciais ataquescibernéticos.

Nos últimos anos, temos desenvolvido uma nova abordagem para o FPOatravés de um relaxamento semide nitivo. Esse método fornece a capacidadede determinar se uma solução é globalmente ótima. Se não for, a soluçãofornece um limite inferior a custo mínimo e, consequentemente, um limitesobre a diferença de sub otimalidade de qualquer solução viável. Nós testamosnossos métodos em vários sistemas de referência e sistemas de distribuiçãono mundo real, descobrindo que eles fornecem com sucesso soluções globais

ótimas em mais de 95% dos casos estudados.Controle ubíquo de frequência residual

Diferente das redes de dados, o suprimento e demanda de eletricidade deveser equilibrado o tempo todo e em todos os pontos da rede de energia. Isso éconseguido através do controle de frequência. A frequência de nosso sistemade energia de corrente alternada (AC) é mantida estável ao redor de seu valornominal (por exemplo, 60Hz nos EUA e 50Hz na Europa) quando a demandaou o suprimento utua. As dinâmicas do sistema são principalmente conduzidaspor grandes máquinas rotativas nos geradores. As frequências em que essasmáquinas rodam determinam a frequência da rede de energia. Quando ademanda excede o suprimento, essas máquinas desaceleram e a frequência do

“Embora indispensável para a estabilidade,confabilidade e efciênciade uma rede, issotambém criará umanova fragilidade para osataques de segurançacibernética. Cada recursode energia distribuídase tornará um ponto deentrada potencial para um

ataque cibernético. A redecibernética que controlae otimiza a rede físicatambém irá amplifcarmuito a escala, velocidadee complexidade de umataque.”





sistema cai. Quando a demanda está aquém do suprimento, essas máquinasaceleram e a frequência do sistema sobe.

Portanto, os desvios de frequência medem o desequilíbrio de energiainstantâneo. O controle da frequência é tradicionalmente implementado nolado da geração, isto é, a geração é ajustada em resposta às utuações dademanda. Nós estudamos a possibilidade do controle ubíquo de frequência dolado da carga contínua. Diferente do controle do lado da geração tradicional, ocontrole da frequência do lado da carga responde mais rápido e não consomecombustível extra, nem emite gases extras de efeito estufa.

Tanto a necessidade e as tecnologias para implementar o controle defrequência do lado da carga amadureceram na última década. O problema écomo projetar algoritmos de controle de feedback em tempo real para o controleubíquo de frequência do lado da carga contínua.

Recentemente, desenvolvemos um conjunto de algoritmos distribuídos queprovavelmente são estáveis, e cientes e justos, podendo ser usado em milhõesde cargas inteligentes. Simulações mostraram que eles funcionam em harmonia

com o controle do lado do gerador, melhorando tanto o estado estacionárioe o comportamento transitório em comparação com o controle único do ladodo gerador. Conforme transformamos nossa rede de energia com DERsintegrados, podemos modi car esses algoritmos para ajustar falhas de ligaçõesque podem ser causadas por ataques cibernéticos.

Conclusão

A integração das redes física e cibernética detém a promessa futura de umsuprimento e ciente, con ável e exível da energia elétrica em harmonia comas necessidades de energia em rápida evolução. DERs inteligentes criarãotremendas oportunidade, mas também apresentam o potencial de gravesriscos.

Ao compreender os desa os e riscos de engenharia apresentados por essasoportunidades, é possível reduzir as potenciais ameaças de segurançacibernética. As propriedades de monotonicidade das falhas na rede causadaspor possíveis ataques cibernéticos podem ser usadas para desenvolverestratégias de redução de carga. Restrições de segurança podem ser incluídasnas fórmulas de FPO para manter a e ciência da rede. Além disso, o controleubíquo de frequência no lado da carga pode ser utilizado para manter aestabilidade da rede através de algoritmos distribuídos que se ajustam parapotenciais ataques cibernéticos.





O Papel Vitalda Proteção daInfraestrutura Crítica deInformações (CIIP) naSegurança Cibernética

Peter BurnettCoordenador do Meridian | Consultor da CiviPol

Quarter House Ltd Compartilhamento de Informações de Segurança

O CIIP é um subconjunto dos conceitos mais amplamente conhecidos daProteção de Infraestruturas Críticas ( Critical Infrastructure Protection ouCIP ), ou da proteção de energia, telecomunicações, abastecimento de água,

nanças, saúde e outras infraestruturas que permitem que uma nação funcione.Essas infraestruturas críticas precisam ser protegidas contra eventos acidentaisou deliberados que poderiam impedir sua operação normal e causariam umgrave impacto no bem-estar econômico e social dessa nação.Essas infraestruturas foram protegidas contra ataques físicos e sabotagempor muitas décadas até o começo desse século. Porém, uma série de paísespercebeu que muitas dessas infraestruturas críticas também tinham umcomponente em comum: elas eram dependentes em maior ou menor graudas infraestruturas de informações (redes de telecomunicações e sistemas decomputadores). Foi por causa dessa dependência que a disciplina da Proteçãoda Infraestrutura de Informações Críticas (Critical Information InfrastructureProtection ou CIIP ) nasceu. Essa percepção tem crescido rapidamente entre osgovernos e outros setores e, ao longo do caminho, o conceito mais amplo desegurança cibernética que agora surgiu inclui a CIIP.

A CIP (inclusive a CIIP) é essencialmente um problema para os governosgerenciarem, mas a falha de CIP é um problema para todos, já que todos nósdependemos dessa infraestrutura. A CIP é geralmente uma responsabilidadenacional e pode ser, em grande parte, gerenciada como uma questão desegurança nacional, mas a CIIP é quase sempre uma questão internacionalou global. Existem poucos países (se houver) cuja infraestrutura detelecomunicações não se estende além de seus limites, e no espaço cibernéticovocê tem uma fronteira com todos os outros países, não apenas com seusvizinhos.Em muitos países, especialmente os ocidentais, as infraestruturas são depropriedade privada e dirigidas por operadores de infraestruturas críticasprivadas. E as infraestruturas de informações são muitas vezes dirigidas porcorporações multinacionais sediadas para além das fronteiras. Isso signi caque os governos devem trabalhar de perto com os operadores da infraestruturado setor privado para garantir a continuidade dos serviços, criando





infraestruturas resilientes. A Internet foi intencionalmente concebida para seruma rede resiliente e, fundamentalmente, ainda é. Ela nunca foi projetadapara ser uma infraestrutura de informações críticas tão vital como se tornou,especialmente para pequenas empresas, cuja dependência de emails, sites,acesso a nuvem e outros recursos online cresce todos os dias. O impacto deuma grave perda de acesso à Internet por um tempo prolongado é incalculáveldevido à complexidade de nossas dependências. Tente apenas perder a bandalarga por algumas semanas!Portanto, é essencial que os governos trabalhem intimamente com o setorprivado, frequentemente em Parcerias Público-Privada (PPPs), para ajudara gerenciar as ameaças a essas Infraestruturas Críticas de Informações(Critical Information Infrastructures ou CIIs) para procurar soluções. O setorprivado é, muitas, vezes, o primeiro a detectar essas ameaças, mas as CERTsdo governo também podem desempenhar um papel vital na coordenaçãoda resposta. Modelos especí cos de PPP evoluíram para garantir que essecompartilhamento de informações seja feito em tempo hábil e de maneiraefetiva. O que inclui o modelo do Centro de Análise e Compartilhamento deInformações (Information Sharing and Analysis Centre ou ISAC), desenvolvidonos Estados Unidos há quase 20 anos; o modelo de Troca de Informações(Information Exchange ou IE) e, recentemente, a Parceria de Compartilhamento

de Informações de Segurança Cibernética ( Cybersecurity Information SharingPartnership ou CISP), ambos desenvolvidos no Reino Unido; e a varianteholandesa do ISAC, para citar apenas alguns.Os governos também precisam conversar uns com os outros sobre essasquestões, bilateralmente e, às vezes, em um fórum con dencial só dogoverno onde possam compartilhar experiências e soluções, criando redes decontatos governamentais internacionais con áveis, sem a pressão comercialde parceiros do setor privado. Um fórum global desse tipo só é realizadoexclusivamente por uma série de Conferências Meridian, que são realizadas emdiferentes países e regiões a cada ano; a 11 a conferência anual será realizadana Espanha em outubro de 2015, organizada pela agência CNPIC do CIIPespanhol. E depois da conferência na Argentina em 2013, o Meridian planejaretornar às Américas em 2016.

A grande questão de crescente preocupação que une os operadores da CIPe da CIIP e os governos é a área de interseção conhecida como sistemas desegurança para Controles de Supervisão e Aquisição de Dados (SCADA), ousegurança de Sistemas de Controle Industrial (ICS). Isso inclui os sistemasque controlam as defesas de enchentes, barragens, instalações de geraçãode energia, oleodutos, controles de indústrias químicas e muitos outroscomponentes de infraestruturas críticas. Antes desse século, esses eramfrequentemente controles manuais, ou controlados por computador feitos porespecialistas de hardware e software obscuros, entendidos apenas por poucosengenheiros e especialistas.

A cada dia, mais e mais desses sistemas estão se tornando computadorizados,com controles de comunicações remotos e, quase sempre, ligados à Internetde algum modo. Isso signi ca que eles têm que ser protegidos de alguns dos

mesmos malwares e explorações de hackers que podem afetar sistemas decomputadores domésticos ou de pequenas empresas. E isso signi ca queestamos ainda mais dependentes da resiliência da Internet. Apenas imagineuma interrupção prolongada da Internet que não apenas vai tirar sua bandalarga, mas também sua estação de bombeamento de água local, o sistema degeração de energia, o centro de logística para entrega de matéria-prima paraindústrias alimentícias e supermercados, a rede de entrega de combustíveispara re narias de petróleo e postos de gasolina... O pesadelo não tem m.Felizmente, há muitas empresas comerciais, operadores do setor privado eagências governamentais trabalhando para garantir que as infraestruturas deinformações estejam protegidas e resilientes, garantindo que esse pesadelonão aconteça. E eles estão trabalhando da melhor maneira possível: juntos.





Compartilhamento deInformações de ServiçosFinanceiros dos EstadosUnidos e o Centro deAnálise (FS-ISAC)

Os ataques DDoS de 2012 e 2013 contra o setor nanceiro são um excelenteexemplo da resposta coordenada do setor através do Compartilhamento deInformações de Serviços Financeiros e Centro de Análise (FS-ISAC). Sob aCartilha de Todos os Riscos da FS-ISAC, criamos uma equipe de ação deincidentes formada por 37 instituições que foram atacadas. O compartilhamentoque aconteceu entre o grupo foi fenomenal. Depois, coletamos as informações,as agregamos e as tornamos anônimas, compartilhando com o restantedos parceiros do setor, como o Centro de Integração de Comunicações eSegurança Cibernética Nacional (NCCIC) e outros ISACs.

As informações compartilhadas incluíam indicadores de comprometimento(IOCs), boas práticas, scripts e estratégias, e lições aprendidas. Tambémtrabalhamos de perto com os ISPs e mitigadores, e tivemos reuniões comeles para compartilhar e desenvolver melhores práticas e estratégias demitigação. O IAT também desenvolveu um ponto de vista da ameaça DDoSque atualizamos três vezes conforme as táticas mudavam, compartilhando como setor e parceiros. O esforço foi tão bem sucedido que os agressores foramatrás de outras instituições, já que suas táticas se tornaram menos e cazes.No último dia das últimas 3 fases, uma instituição que não tinha sido alvejadaantes foi atacada, mas não houve impacto. Eles declararam que, devido aocompartilhamento de informações, foram capazes de pôr em práticas asestratégias de mitigação, desviando o ataque. Esse é o melhor exemplo do

compartilhamento de informações.





América Latina e aSegurança CibernéticaIndustrial

O interesse da comunidade de segurança em analisar e descobrir novasvulnerabilidades nos sistemas de automação industrial, especialmente nasinfraestruturas críticas, cresceu rapidamente. Mesmo que esse interessetenha começado em quase todas as conferências de segurança importantesem 2013 e 2014, muito se falou sobre os ataques aos sistemas de controle eautomação. Houve um grande número de publicações sobre esse assunto,e também de fornecedores adaptando suas tecnologias para fornecer uma“nova” proteção para esses sistemas. O mais importante é o fato de que asmídias mais importantes relataram um número signi cativo de ataques afetandoprincipalmente a produção e distribuição de petróleo, gás e energia.

A América Latina não foi uma exceção – há um grande interesse nainvestigação de potenciais fragilidades e dos ataques realizados. Os paísesda América Latina têm acompanhado tais assuntos de perto, mesmo tendoorçamentos menores em comparação aos dos países europeus e dos EstadosUnidos.

Analisando os três países mais representativos da região, Argentina, Brasil eColômbia, podemos observar três diferentes maneiras de abordar a segurançacibernética industrial, a partir dos problemas diferentes e característicasparticulares de cada país, o que as enriquece com suas próprias experiênciasde maneiras diferentes.

No caso da Argentina, as de nições “fechadas” ou políticas multinacionais desegurança não foram diretamente impostas porque os sistemas industriaisimplementados no país são em sua maioria (não todos eles) ultrapassados,híbridos ou desenvolvidos localmente. A política econômica conduziu odesenvolvimento de sistemas de monitoramento e controle industrial, mas osdesenvolvimentos locais não podem ser sempre aplicados ao mesmo “pacotede políticas” criados para outras plataformas. Nesse contexto, e com basena ideia de projetos abertos de hardware, como o Raspberry-Pi, a Argentinaanunciou um projeto chamado CIAA (Computador Industrial Aberto Argentina)9.Esse projeto tem o objetivo de fornecer computadores que podem trabalharem tempo real, para serem usados nos sistemas industriais de pequenas emédias empresas (PMEs), já que essas empresas não têm recursos paracomprar equipamentos de marcas internacionais, que também são escassas.Instituições educacionais, como universidades, também podem usar essescomputadores.

9 http://www.proyecto-ciaa.com.ar

http://www.proyecto-ciaa.com.ar/

http://www.proyecto-ciaa.com.ar/





Em relação ao contexto político acerca desse assunto, a Argentina criou oPrograma Nacional de Infraestruturas de Informações Críticas e SegurançaCibernética10, cujo objetivo é “impulsionar a criação e adoção de umaestrutura regulatória especí ca que promova a identi cação e proteção deinfraestruturas críticas e estratégicas do Setor Público Nacional, organizaçõesinter-juridicIonais e organizações privadas e civis; e a colaboração de tais

setores para desenvolver estratégias e estruturas apropriadas para trabalhar junto, implementando uma ação coordenada para implementar as tecnologiasrelevantes, entre outras ações” .

Esse programa do Governo Nacional apresenta tarefas para substituir emonitorar as infraestruturas críticas no país. Infelizmente, a adesão dasorganizações públicas e privadas a essa estrutura de controle de nido peloICIC é voluntária; portanto, seu avanço não é tão rápido e ágil como seesperava. Porém, com o suporte e a convicção dos que apoiam esse assunto,ações regulares têm sido realizadas, inclusive treinamento de segurançacibernética industrial para os representantes de empresas membros e tambémexercícios nacionais para responder aos incidentes cibernéticos (ProgramaENRIC), envolvendo participantes como autoridades de segurança ou o CERT.

Por outro lado, a Colômbia foi o primeiro país da região a levar esse assuntoa sério, chamando a atenção do mundo. Mas mesmo que essa informaçãopossa parecer uma surpresa, não é, porque a Colômbia tem lutado contra asForças Armadas Revolucionárias da Colômbia (FARC) há muitas décadas.Uma luta que exige que as Forças Militares e a Polícia atuem em coordenaçãocom o setor privado para defender e proteger a infraestrutura critica virtual efísica do país. Assim, no estágio nal de sua Política Nacional de SegurançaCibernética e Defesa Cibernética (CONPES 3701/2011), grupos de trabalhoforam estabelecidos e incluem Instituições do Governo Nacional (Departamentode Defesa Nacional, MINTIC, Polícia Nacional, etc) e organizações privadas(representantes dos setores de energia e comunicações, administradoresdos domínios .co, universidades, etc.) para criar uma estrutura muito séria ecoordenada para proteger as infraestruturas críticas do país.

Sua implementação será liderada pela Equipe de Resposta a Emergências deComputação da Colômbia (colCERT) com a ajuda do setor privado espanhol.O CoICERT identi cará, priorizará e classi cará a infraestrutura crítica do país.Ele servirá como uma plataforma cibernética que classi ca a infraestrutura einterconecta as organizações de segurança nacionais para que elas possamfornecer uma proteção efetiva. Finalmente, ele planejará e criará a Estratégiade Defesa Nacional para Infraestruturas Críticas.

O Brasil, o maior país da América Latina, também é o mais digitalizado, com omaior investimento de TI da região. Ele também é o quarto país com o maiornúmero de usuários de Internet do mundo. Existem mais de 100 milhões depessoas conectadas à Internet, graças aos incentivos do governo. A presidênciada República sancionou o Marco Civil da Internet em abril de 2014, que listaregras, direitos e obrigações para o uso da Internet e também a proteção dedados.

As organizações privadas e estatais incluíram a segurança cibernética em suasagendas desde a preparação para a Copa do Mundo da FIFA de 2014 e estãose preparando para realizar os Jogos Olímpicos no Rio de Janeiro em 2016.Desde então, eventos sobre SCADA e segurança estão sendo organizadosnessa cidade.

Segundo diferentes relatórios, os executivos brasileiros acreditam que amaioria dos incidentes de segurança cibernética são causados por hackers,concorrentes, ativistas cibernéticos e funcionários atuais ou antigos. Os

10 www.icic.gob.ar

http://www.icic.gob.ar/

http://www.icic.gob.ar/





incidentes de segurança industrial no Brasil estão crescendo dramaticamenteem número, gravidade e so sticação. Desde o hacktivismo do LulzSec e doLulzSecBrazil em 2014, os sites pertencentes ao Ministério dos Esportes,Ministério das Relações Exteriores e Gabinete da Presidência foram alvos deataques de negação de distribuição de serviço (DDoS). Informações privadassobre cargos públicos também foram roubadas. Por causa das frequentes

notícias sobre corrupção e instabilidade social e política, podemos esperar umano repleto de incidentes de segurança cibernética, especialmente incidentesde segurança cibernética industrial.

Além dos esforços individuais de cada país da região, o Peru e o Chile, entreoutros, têm feito um trabalho de segurança cibernética muito interessante.Organizações, como a União das Nações Sul Americanas (UNASUR)11 eEstados Membros incluíram a segurança cibernética e a defesa cibernéticaem sua agenda. Eles também organizaram conferências militares emdiferentes cidades e analisaram iniciativas de alianças e cooperação. Porém,para além do trabalho realizado por cada país ou por organizações, não háinformações o ciais sobre incidentes de segurança nos sistemas industriais ouinfraestruturas críticas na região.

Evolução dos incidentes A metade das empresas da América Latina e do Caribe foram atacadasnos anos recentes – isso sem mencionar as instituições governamentais,administrações e organizações políticas. E os ataques continuam crescendo.

A Argentina é um dos países com a maior atividade de crime cibernético domundo. As ameaças cibernéticas na Colômbia também são altas, quasea metade dos ataques de phishing acontecem nesse país. Esses ataquescibernéticos incluem fraude, ataques direcionados, sequestro de computador,hacktivismo, roubo de identidade e de informações privadas e públicas(especialmente no setor nanceiro), terrorismo e guerra cibernética, eespionagem militar. Os ataques cibernéticos na região também incluem roubode identidade e sequestro de alto nível, similares ao que aconteceu com o emaildo Presidente Santos, que causou uma grande agitação na mídia daquele país.Em uma escala global, as duas grandes tendências do crime cibernético sãofraude com motivações econômicas e ataques contra a con dencialidade,integridade e disponibilidade.

Vulnerabilidades

O crescimento dos ataques direcionados, especialmente os que visam setoresou infraestruturas que fornecem serviços críticos para a sociedade e o Estado,impulsiona o crescimento dos serviços de detecção de vulnerabilidades. Issoé feito para ajudar a de nir prioridades, corrigir a segurança e conformidadespara impedir ataques, facilitando a implementação de políticas e estratégiasapropriadas em cada caso.

Dados do Brasil, Chile e México revelaram que a maioria das vulnerabilidadesestão relacionadas com con gurações de sistema erradas, seguida porproblemas de versões e aplicações desatualizadas. No entanto, essesproblemas estão associados a um nível de risco maior.

60% das vulnerabilidades que expõem brechas poderiam afetar acon dencialidade das informações. 30% das vulnerabilidades representamuma ameaça contra a integridade, enquanto 10% delas são fragilidades quepodem ser aproveitadas por ataques contra a disponibilidade de informações eserviços.

11 http://www.unasursg.org/node/13

“Dados do Brasil, Chilee México revelaramque a maioria dasvulnerabilidades estãorelacionadas comconfgurações de sistemaerradas, seguida por

problemas de versões eaplicações desatualizadas”.

http://www.unasursg.org/node/13

http://www.unasursg.org/node/13





50%

25%

0

Conguração

Versão

Aplicação

45%

30%25%

Tipos de vulnerabilidades

60%

30%

0

Condencialidade

Integridade

Disponibilidade

60%

30%

10%

Alcance das vulnerabilidades

Ataques Distribuídos de Negação de Serviço (DDos)

Os ataques “DDoS-for-hire” e os ataques de repercussão e de múltiplosvetores são uma tendência crescente no que diz respeito ao número e volumede incidentes. As vítimas desses ataques incluem fornecedores de serviços

nanceiros, empresas de comércio eletrônico, instituições governamentais,mídia digital, data centers, etc.

No Chile, uma única vítima sofreu 35 ataques DDoS em um mês, em 2014.50% dos ataques observados tinham uma largura de banda abaixo de 5Gbps;enquanto 25% dos ataques tinham uma largura de banda entre 5 e 10Gbps;e os restantes 25% incluíram incidentes com volumes entre 10 e 20Gbps. Osataques mais frequentes tinham uma largura de banda superior a 20Gbps. Osataques de 50Gbps estão cada vez mais comuns. A informação é similar aorestante dos países da região.





A maioria dos ataques com um maior volume que usaram o protocolo UDPforam orientados para as portas NTP, DNS, SNMP, HTTP e HTTPS, o quesigni ca um potencial uso de mecanismos de repercussão/ampli cação paracriar tráfego.

Foi observado um signi cativo aumento no volume de ataques contra SSL/TLS

Abaixo de 5G

Entre 5 e 10G

Entre 10 e 20G

Superior a 20G

50%

23%

14%

13%

Tipos de ataques UDP: ataques de inundação usando o protocolo UDP

UDP

Largura de banda

Tráfego TotalSYN

DNS

Protocolo UDP

74%

3%

5%5%

5%

8%

Tipos de ataques de protocolo UDP: Ataques usando anomalias no protocolo UDP

Spam e malwareO roubo de informações con denciais continua sendo a principal motivaçãopara os que usam o email para propagar ameaças. A mídia social tambémcontinua sendo o alvo perfeito para essa categoria de crime cibernético.

Fraudes contra entidades nanceiras usam spam para esconder phishing,malware e roubo de dados. De acordo com provedores de serviço e conteúdono Brasil, cerca de dois milhões de emails de spam são gerenciados por dia,com uma porcentagem signi cativa desses emails imitando avisos de cartão decrédito.





De acordo com os dados sobre malware na região de língua espanhola, cercade 1,5 milhões de tentativas de conexão a partir das máquinas infectadas paraseus respectivos C&Cs são relatadas todos os dias. Cerca de 10.000 diferentesIPs são identi cados por dia e 7.000 diferentes IPs por semana são infectadoscom malware, o que corresponde a uma atividade de cerca de 50 diferentesbotnets , inclusive DOWNAD/Con cker 12, ZACCESS/ZeroAccess13 e a família demalware B10614.

12 http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/worm_downad13 http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/rtkt_zaccess14 https://csirt.cesnet.cz/_media/cs/services/x4/botnet_b106.pdf

50%

25%

0

Concker

B106:-Jenxcus

B106-MULTI

B68-2-32

B68-2-64

B106-Bladabindi

B106-Rebhip

B54-BASE

waledac

B106-CB

12.54%

46.05%

10.72%8.91%

4.23% 3.10% 1.78% 1.78% 1.34% 1.31%

Dados de atividade dos principais tipos de malware em fevereiro de 2015

Con cker : botnet worm; B106 : : roubo de identidade/fraude nanceira/invasãode privacidade; B68 : ZeroAccess: publicidade/fraude de cliques; B54 : Citadel :

Roubo de identidade/fraude nanceira; Waledac : Spam

Todos esses indicadores apontam para a consolidação de que a ideia dasegurança cibernética é uma necessidade geral para a alta gestão pública eprivada e para os cidadãos do país em geral.

Capacidades e desafos

Argentina

O setor de TIC da Argentina contribui signi cativamente para o PIB, cercade 4,5% e continua crescendo. A Argentina é o terceiro país que mais apoiaesse setor, junto com o Brasil e o México. Os setores público e privado teriaminvestido 7,4 bilhões de euros em TIC em 2013.

A segurança cibernética das infraestruturas críticas sofre com a poucacolaboração entre os setores público e privado, regulamentações especí casinsu cientes e uma melhor conscientização de alguns pro ssionais dosetor, para os quais a segurança cibernética signi ca apenas proteger suasredes SCADA (Primeira Conferência de Conscientização para Proteção deInfraestruturas Críticas e Segurança Cibernética, outubro de 2012).

http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/worm_downad

http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/rtkt_zaccess

https://csirt.cesnet.cz/_media/cs/services/x4/botnet_b106.pdf

https://csirt.cesnet.cz/_media/cs/services/x4/botnet_b106.pdf

http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/rtkt_zaccess

http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/worm_downad





Os desa os mais importantes são os relacionados às tomadas de decisão e àadoção de medidas organizacionais, além de reforçar a coordenação em todasas organizações públicas, e entre estas e o setor privado.

Brasil

O PIB do setor de TIC do Brasil cresceu 5,3% em 2013 em comparação com o

ano anterior, sendo o crescimento mais alto desde 2008. O faturamento de TICno Brasil está crescendo por volta de 30%, representando cerca de 103 bilhõesde euros em 2013. A maior parte da despesa em pesquisa e desenvolvimentona América Latina está no Brasil. Além disso, o Brasil é o primeiro país da

América Latina e o sétimo do mundo que mais investe em TIC; os investimentochegaram a 48,2 bilhões de euros em 2013.

A segurança cibernética é uma das principais prioridades da Estratégia deDefesa Nacional.

Esse documento é abrangente e não apenas cobre as questões militares,como também a proteção das infraestruturas críticas do espaço, TIC e usinasnucleares, buscando reduzir a dependência de outros países. O Brasil temuma ampla rede de centros de primeiros alertas e equipes de resposta contraincidentes de segurança.

Os desa os que o Brasil está enfrentando podem ser classi cados em trêscategorias: orçamentos para pesquisa, desenvolvimento e inovação (P&D);organização e controle dos sistemas atuais de segurança cibernética; e aredução de sua dependência de países estrangeiros no que diz respeito asuprimentos e aquisições.

Colômbia

A receita do setor de TIC colombiano atingiu 24 bilhões de euros em 2012,6% do PIB, com um crescimento anual de 9%. O setor de TIC criou 110.000

empregos diretos e seu crescimento é maior do que o de outros setores Oinvestimento no setor de TIC atingiu 5,9 bilhões de euros em 2013, portantoa Colômbia é o quarto país da América Latina depois do Brasil, México e

Argentina.

O plano de segurança cibernética será o roteiro para a administração e seráaplicado às infraestruturas críticas e ao setor privado. Seus aspectos maisimportantes incluem: estrutura de dupla defesa e segurança cibernética paraameaças externas e internas, crescimento dos recursos de tecnologia, revisãoe endurecimento da estrutura regulatória atual, e o reforço dos recursos deinteligência técnicos e humanos.

A Colômbia enfrenta desa os importantes: educacional, para promover

e consolidar uma cultura de segurança cibernética em todos os campos;regulatória, para estabelecer uma clara estrutura personalizada para a realidadedo país e seus recursos críticos, com recursos para veri car a conformidade.

Conclusão

Os governos e as grandes empresas devem basicamente promover uma culturade segurança cibernética em todos os níveis, proporcionando a prevenção deameaças. A colaboração nacional e internacional entre os setores público eprivado tem um papel importante no fortalecimento das estruturas de segurançacibernética nacionais. É necessário realizar mais trabalhos legislativos eregulatórios para haver progresso. A troca de informações e as respostasoperacionais também devem ser decisivas.

“Os governos e asgrandes empresas devembasicamente promoveruma cultura de segurançacibernética em todos osníveis, proporcionando a

prevenção de ameaças. A colaboração nacionale internacional entre ossetores público e privado

tem um papel importanteno fortalecimento dasestruturas de segurançacibernética nacionais.”





Resultados da Pesquisa

nos Países da OEA

Essa seção fornece destaques e análise das respostas da pesquisa realizadacom os Estados Membros com perguntas sobre segurança cibernética,ataques, prontidão e infraestrutura crítica.

Uma pesquisa quantitativa online foi realizada pela OEA e Trend Micro, em janeiro de 2015, entre os Chefes de Segurança das principais infraestruturascríticas dos Estados Membros, em todos os países das Américas. Tambémforam incluídas nessa pesquisa organizações que gerenciam infraestruturascríticas dentro de seus países.

A pesquisa tem o objetivo de nos dar uma visão da situação da segurançadas infraestruturas críticas nesses Estados Membros para ajudar a identi caros pontos fortes e fracos que precisam ser abordados. A primeira parte dapesquisa avalia a situação do cenário de ameaças dentro dessas regiões e quala frequência e so sticação dos ataques realizados.

Nível de Incidentes para o Sistema de

Computação no Ano PassadoVocê notou um aumento, diminuição ou um nível estável de ataques aosseus sistemas de computação no ano passado?

60%

30%

0

Aumento

Diminuição

Níveis Estáveis

53%

7%

40%





Os ataques contra infraestruturas estão cando mais so sticados?

Os resultados acima indicam que os incidentes estão aumentando e candomais so sticados conforme os atores de ameaças podem visar infraestruturascríticas vulneráveis no futuro. Esses resultados indicam uma necessidade decriar proteções melhores e processos aprimorados para resposta aos incidentesdentro das regiões para garantir uma redução efetiva de futuros ataques. Jáque apenas 5% dos entrevistados a rmaram que os ataques não estão maisso sticados, isso nos diz que os atores de ameaças estão se esforçandopara entender como comprometer infraestruturas críticas e a necessidade demelhorar suas ferramentas e técnicas usadas nos ataques. Estamos vendoum fenômeno similar nos ataques a sistemas de pontos de venda (PDV) queocorreram nos Estados Unidos no ano passado.

Ataques Visando InfraestruturasVocê detectou quaisquer ataques/incidentes/intrusões que visavamespeci camente a infraestrutura em que sua empresa opera/mantém/ administra?

50%

25%

0

Sim

Não

Não tem Certeza

43%

26%

31%

80%

40%

0

Sim

Não

Não tem Certeza

76%

5%

19%





Os dados acima mostram um aumento especí co dos ataques a infraestruturascríticas (43%), com uma alarmante resposta de 31% dos que não têm certezade que foram atacados. Um grande desa o atual é a so sticação dos ataques(76% disseram que os ataques estão cando mais so sticados) sendo difícil dedetectar. Como quase um terço dos entrevistados caram nessa categoria, éevidente que controles de monitoramento contínuo são um requisito necessáriodentro da maioria das organizações para melhorar a visibilidade da presença deagressores em todas as suas redes.

Experiência com Vários Incidentes

Porcentagem de organizações que sofreram tentativas de ter suas

informações apagadas ou destruídas por tipo de organização

De acordo com os resultados da pesquisa, os setores governamentais e deenergia foram os dois principais setores que sofreram ataques de ameaçasdestrutivos, seguidos pelos setores de comunicações, nanceiro e bancário.

50%

25%

0

Governo

Comunicações

Segurança

Finanças eBancos

Indústrias

Energia

51%

44%

37%

42%

34%

47%





Organizações governamentais que sofreram tentativas de manipulação deseu equipamento através de uma rede/sistema de controle, por país.

A maioria das regiões pesquisadas indicou que seu equipamento ICS/SCADAfoi alvo de hackers, indicando uma grande quantidade de atividade dos atoresde ameaças. Embora muitos desses ataques podem estar simplesmentecoletando informações de seus alvos, podemos esperar ver mais regiõesrelatando isso no futuro conforme suas infraestruturas críticas se tornam maisconectadas ou com acesso a melhores recursos para identi car a presença deum ataque.

NÃO PARTICIPOU/SEM RESPOSTA

NÃO

BarbadosBolíviaDominicaEquadorRepública DominicanaSão Vicente e GranadinasSurinameUruguai

SIM

ArgentinaBelizeBrasilChileColômbiaEl SalvadorEstados UnidosGranadaGuatemalaMéxicoPanamáParaguai

Peru





Tipos de Métodos de Ataque Cibernético

Que tipos de métodos de ataque cibernético foram usados contra suaorganização?

A partir dos resultados acima, podemos ver que a maioria das regiões estásofrendo ataques de phishing contra suas organizações.

O phishing é a primeira ameaça usada em ataques direcionados atualmente epode ser um indicador da situação real das atividades relacionadas a ataquesdirecionados, mesmo sendo a menor ameaça nos resultados listados acima.Também poderia indicar as tentativas iniciais dos atores de ameaças para

penetrar em uma organização, em um esforço para se mover lateralmente paraoutros sistemas, como seus dispositivos SCADA.

Os atores de ameaças geralmente utilizam vulnerabilidades sem patches em seus ataques, reconhecendo que o patching é um processo difícil paramuitas organizações. Além disso, muitos dispositivos de infraestruturas críticasusam versões antigas de sistemas operacionais e aplicações, estando maispropensos a car vulneráveis já que muitos não têm mais suporte.

Como vimos acima, os ataques estão cando mais frequentes e maisso sticados, exigindo que as organizações estejam melhor preparadas. Aseguir, pedimos que as regiões identi cassem quão preparadas estavamatualmente no caso de um ataque.

80%

40%

0

Phishing

Vulnerabilidadessem patch

DDos

SQL injection

Cross site scripting

Ataques dehacktivistas

APTs

50%

71%

42%

32%

21% 21% 18%





Percepção da Prontidão para IncidentesCibernéticosQuão preparada você acha que sua organização está para um ataquecibernético?

A maioria dos países se sente parcialmente preparada para um incidentecibernético, o que é uma boa notícia, mas os resultados da pesquisa emquestão sugerem que os esforços para melhorar a prontidão podem ser maisdifíceis do que parecem. Além disso, o aumento do número e so sticação dosataques signi ca que os países que estão despreparados ou parcialmentepreparados devem considerar melhorar sua capacidade de detecção, proteçãoe resposta imediatamente.

PREPARADO

ChileRepública Dominicana

NÃO PREPARADODominicaEl SalvadorEquadorGranadaNicarágua


PARCIALMENTE PREPARADO

ArgentinaBarbadosBelizeBrasil

ColômbiaCosta RicaEstados UnidosGuatemalaMéxicoPanamáParaguaiPeruSão Vicente e GranadinasUruguai





Políticas de Segurança Cibernética

Sua organização tem políticas e/ou planos de segurança cibernética?

A prontidão começa com um plano e, como pouco mais da metade dosentrevistados (52%) declarou ter um plano de resposta a incidentescibernéticos, isso não é um bom presságio no caso de um ataque. Os controlesindustriais (ICS/SCADA) frequentemente são implementados sem as medidasde segurança necessárias, mesmo que muitas regiões tenham adicionadoregulamentações e normas para isso. Apenas 37% das organizaçõesadotaram essas normas, o que aumenta o risco de comprometimento de seusdispositivos.

80%

40%

0

Conscientização sobreCibersegurança para osFuncionários

Plano de Recuperaçãode Desastre

Plano de Resposta aIncidentes Cibernéticos

Adoção de Normas deSegurança Industriais

(BERC CIP, ISO 270)

54%

69%

52%

37%





Orçamento para Segurança Cibernética

Organizações governamentais cujos orçamentos para segurançacibernética aumentaram no ano passado

Com mais da metade dos entrevistados dizendo que seus orçamentos nãoaumentaram no ano passado, a capacidade para detectar intrusões estarágravemente comprometida, já que a maioria dos ataques de hoje não podemser combatidos com medidas de segurança tradicionais. Sistemas de detecçãode violações de dados podem ajudar a melhorar essa área, mas vimos que issorequer um orçamento adicional para ser implementado.


NÃO AUMENTOU

AUMENTOU

BelizeChileRepública DominicanaUruguai

NÃO TEM CERTEZA

Costa RicaSão Vicente e Granadinas

ArgentinaBarbadosBrasilColômbiaDominicaEl SalvadorEquadorEstados UnidosGranadaGuatemalaMéxico

NicaráguaPanamáParaguaiPeru





Discussão com o Governo sobre a resiliênciacibernética dos Sistemas de InfraestruturaCrítica

Existe uma discussão/diálogo com o governo sobre resiliência cibernéticados sistemas de infraestrutura crítica?

Como a infraestrutura crítica afeta a todos em uma região, Parcerias Público-Privadas (PPPs) são fundamentais para lidar adequadamente com a ameaçaassociada aos atores da ameaça tentando comprometer esses sistemas. Como só1 de cada 5 entrevistados (21%) declararam ter um diálogo ativo, existe um altograu de melhorias a serem feitas para lidar efetivamente com a ameaça.

40%

20%

0

Sim, e nossaorganizaçãoparticipa

Sim, mas nossaorganização nãoparticipa

Existem diálogosinformais

Não

Não tem certeza

21%

6%

20%

34%

19%





Se os Entrevistados con am no Governopara avançar em uma Agenda de SegurançaCibernética nos Setores de InfraestruturaCrítica

A boa notícia é que a maioria dos entrevistados (68%) declara con ar que ogoverno apoie os avanços para lidar com a ameaça. Isso pode indicar que abarreira para implementar mais diálogos é menor do que pode parecer e requersimplesmente que as organizações público-privadas entrem em contato paracomeçar o processo.

Você con a no governo para avançar em uma agenda de segurançacibernética em setores de infraestrutura crítica? Quanto você estádisposto a trabalhar com eles?

80%

40%

0

Sim

Não

68%

32%





Análise de InteligênciaGlobal de Ameaças daTrend Micro

Malware

Em 2014, a Região da América foi afetada por diferentes tipos de malware,cada um com suas características distintas, que podiam ajudar os possíveisagressores em suas explorações. Eles incluem worms (DUNIHI e DOWNAD/Con cker), cavalos de Troia (AGENT e FAKEAV), explorações de navegadore(CONDUIT, SAFNUT e CROSSRDR) e ferramentas para hackear/invadiraplicações (KEYGEN, ACTIVATOR e PRODUKEY). Como foi observadonos últimos anos, dispositivos de armazenamento removíveis sem proteçãosu ciente, sistemas operacionais sem patch (SOs) e/ou aplicações, e ocomportamento indiscriminado de usuários online são alguns dos fatoresconsistentes que colocam usuários e organizações sob o risco das ameaçasem evolução que estão por aí.





Principais Famílias e Malware em 2014

Essa família de malware gera números de série para entrar em programas que

precisam de números de série válidos para o programa funcionar totalmente.Essa família de malware é normalmente malware VBS ofuscado que é capazde se propagar infectando unidades removíveis; pode chegar como umanexo de spam.

Essa família de malware entra em aplicações e pode ser instalada manualmentepor um usuário. Permite que os usuários violem as técnicas de proteção eregistro das aplicações, possibilitando usar uma versão totalmente registrada.

Esse malware bem conhecido explora vulnerabilidades em serviço de servidorque, quando explorado, permite que um usuário remoto execute um códigoarbitrário no sistema infectado para se propagar em todas as redes.

Essa família de malware vem junto em pacotes de malware como umcomponente ou como um arquivo entregue por outro malware, ou como umarquivo baixado sem o conhecimento do usuário ao visitar sites maliciosos.

Uma aplicação que exibe a ID do produto e a chave de CD de um certosoftware se instalado no sistema infectado. Essa ferramenta para hackearpode ser instalada manualmente por um usuário.

Essa família de malware vem incluída em um pacote de malware como umcomponente. Chega ao sistema entregue por outro malware ou como umarquivo baixado sem o conhecimento do usuário ao visitar sites maliciosos.

Essa família de malware normalmente carrega ataques ou outras açõesmaliciosas, que vão de levemente irritantes a irreparavelmente destrutivas.Também pode modicar as congurações do sistema para iniciarautomaticamente. Restaurar os sistemas afetados pode requererprocedimentos que vão além de um programa de vericação antivírus.

Essa família de malware vem em pacotes de malware como um componente.Chega ao sistema entregue por outro malware ou como como um arquivobaixado sem o conhecimento do usuário ao visitar sites maliciosos.

Essa família de malware cria pastas no sistema afetado e entrega váriosarquivos, inclusive uma cópia dele mesmo e um arquivo malicioso. Ele fazvárias modicações no registro, uma das quais permite que seja executadotoda vez que o sistema é iniciado.

KEYGEN

NOME DESCRIÇÃO

DUNIHI

ACTIVATOR

DOWNAD/Concker

CONDUIT

PRODUKEY

SAFNUT

AGENT

CROSSRDR

FAKEAV





Principais Famílias de Malware nas Américas, por Trimestre

Spam

O volume global de spam teve um crescimento nos últimos anos. 15,16 O aumentopode ser atribuído a prevalência de malware como os downloaders de cavalosde Troia, que normalmente chegam aos computadores como anexos emmensagens de email enviadas por botnets . Apesar do aumento em volume,

o email como vetor de infecção continua em declínio. Pode ser porque oscriminosos cibernéticos continuam a explorar e se aproveitar de outros vetoresde infecção, como sites de rede social e dispositivos móveis.

Como os dados mostram, entre os países das Américas, os Estados Unidosrepresentam mais de um quarto do total de mensagens de spam enviadas em2014. A Argentina vem logo atrás, enquanto a Colômbia, Brasil e México foramos primeiros na lista de países remetentes de spam, em 2014. Esses paísesrepresentam mais de 75% do número total nas Américas.

15 http://blog.trendmicro.com/trendlabs-security-intelligence/a-year-of-spam-the-notable-trends-of-2013/16 http://blog.trendmicro.com/trendlabs-security-intelligence/1h-2014-spam-attacks-and-trends/

DUNIHI

DOWNAD

KEYGEN

PASSVIEW

VOBFUS

FAKEAV

PRODKEY

PRODUKEY

VARNEP

FORUCON

DUNIHI

KEYGEN

VOBFUS

PRODUKEY

DOWNAD

FAKEAV

ACTIVATOR

PRODKEY

EXPLOIT

CHECK

KEYGEN

ACTIVATOR

CONDUIT

SAFNUT

DOWNWARE

DUNIHI

CROSSRDR

NIXAX

AGENT

KILIM

KEYGEN

VOBFUS

ACTIVATOR

DUNIHI

PRODUKEY

DOWNAD

UPATRE

KULUOZ

CONDUIT

AGENT

1ºTrim 2ºTrim 3ºTrim 4ºTrim

http://blog.trendmicro.com/trendlabs-security-intelligence/a-year-of-spam-the-notable-trends-of-2013/


http://blog.trendmicro.com/trendlabs-security-intelligence/1h-2014-spam-attacks-and-trends/










Principais Países Remetentes de Spam

Argentina Estados Unidos

> 20%

BrasilColômbia

México

10-20%

AnguillaAntígua e BarbudaArubaBahamasBarbadosBelizeBermudasBolíviaCanadáChileCosta RicaDominicaEl SalvadorEquadorGranadaGroenlândiaGuadalupeGuatemalaGuiana

Guiana FrancesaHaitiHondurasIlhas CaymanIlhasFalklands/MalvinasIlhas Turks eCaicos

Ilhas VirgensBritânicasIlhas Virgensdos EUAJamaicaMartinicaMontserratNicarágua

PanamáParaguaiPeruPorto RicoRepúblicaDominicanaSaint Kitts e NevisSaint MartinSaint Pierre eMiquelonSanta LúciaSão Vicente eGranadinasSurinameTrinidad e TobagoUruguaiVenezuela

< 10%





Sites Maliciosos e de Phishing

Sites maliciosos (por exemplo, watering holes ) hospedados nas Américascontinuam a ser uma epidemia. Entre os países analisados nesse relatório,os Estados Unidos não apenas são os primeiros da lista, mas também têmo mais alto nível de tráfego para sites maliciosos. Esses sites maliciosos sãocategorizados como vetores de doença. Essas URLs são normalmente ligadasa mensagens de spam e podem baixar outras ameaças, como malware nossistemas afetados quando acessados.

Os Estados Unidos também são o primeiro da lista de países nas Américas emtermos de phishing .

Países com os Maiores Níveis de Phishing

Estados Unidos

> 20%

AnguillaAntilhasHolandesasAntígua e BarbudaArgentinaArubaBahamasBarbadosBelizeBolíviaBrasilCanadáChileColômbiaCosta RicaCubaDominicaEl SalvadorEquadorGeorgia do Sul eIlhas Sandwich doSulGranada

GuadalupeGuatemalaGuianaGuiana FrancesaHaitiHondurasIlhas Cayman

Ilhas CookIlhasFalklands/MalvinasIlhas Turks eCaicosIlhas VirgensBritânicasIlhas Virgens dosEUAJamaicaKiribatiMartinicaMéxicoMontserratNicaráguaPanamáParaguaiPeruPorto RicoRepúblicaDominicanaSaint Kitts e NevisSanta LúciaSão Vicente eGranadinasTrinidad e TobagoUruguaiVenezuela

< 10%





Atividades do Submundo

Ameaças Notáveis e Tendências das Ameaças

Os Estados Unidos vêm sofrendo ataques direcionados e violaçõesrelacionadas a malware de ponto de venda (PDV). Varejistas, bancos,serviços públicos e numerosas organizações perderam milhões de dados declientes para os agressores. Mais do que as perdas nanceiras, os incidentesde violações de dados no país causaram enormes danos à reputaçãodas organizações. No caso da Code Spaces, o dano foi irreparável. Elestiveram que fechar completamente seu site, pois os agressores apagarama base de dados e o backup dos clientes. 17 A P.F.Chang’s teve que voltar ausar dispositivos manuais para imprimir cartões de crédito depois de umaviolação.18 A Target e a Home Depot sofreram as maiores violações dedados do setor varejista em termos de número de informações de cartões depagamento roubadas e despesas judiciais. Antes do ano terminar, ocorreuo ataque direcionado mais divulgado da América: ohack da Sony Pictures.Provavelmente, o incidente foi o que melhor mostrou quanto uma empresapode perder como resultado de uma brecha de segurança – empresas com abandeira da Sony foram vítimas de ataques massivos. A empresa foi forçadaa fechar sua rede temporariamente depois que ela foi comprometida peloschamados Guardiões da Paz (GOP). 19

O roubo bancário online, por outro lado, continuou a ser um grave problemana América Latina e Caribe, já que os criminosos cibernéticos continuamencontrando novas maneiras de infectar usuários e minar as medidas desegurança. Um exemplo é o cavalo de Troia BANLOAD, uma família de cavalode Troia bancários que visam as instituições bancárias do Brasil. 20 Em 2014,descobriu-se que uma variante do BANLOAD evitava a detecção e limitava suapropagação para outras regiões. Isso era feito veri cando plugins especí cosde segurança primeiro, antes de tentar realizar suas rotinas maliciosas.

Outra tática usada para comprometer credenciais de usuários de banco onlineé o uso de arquivos maliciosos do painel de controle (CPL).21 Em termos deanálise, se você observa um arquivo CPL verá que ele é essencialmenteidêntico ao arquivo DLL. Porém, diferente do último, este é executadoautomaticamente quando ao se dá um duplo clique. Isso faz com que eleseja semelhante aos arquivos EXE, mas usuários despreparados têm maisprobabilidade de tentar executar os arquivos CPL se não souberem.

Extensões maliciosas em navegadores também foram usadas para infectarusuários na região. Ao invés de rodar um arquivo executável, os usuários são

instruídos a instalar uma extensão maliciosa no navegador, o qual, se instaladocom sucesso, sequestra as contas da rede social da vítima para enviar cópiasde si mesmo.

17 http://www.networkcomputing.com/cloud-infrastructure/code-spaces-a-lesson-in-cloud-backup/a/d-id/127911618 http://www.usatoday.com/story/money/business/2014/08/04/pfchang-credit-debit-card-data-breach/13567795/19 http://www.trendmicro.com.br/cloud-content/br/pdfs/business/datasheets/relatorio-anual-seguranca-2014-trend-micro.pdf 20 http://blog.trendmicro.com/trendlabs-security-intelligence/banload-limits-targets-via-security-plugin/21 http://blog.trendmicro.com/trendlabs-security-intelligence/a-look-into-cpl-malware/

http://www.networkcomputing.com/cloud-infrastructure/code-spaces-a-lesson-in-cloud-backup/a/d-id/1279116


http://www.usatoday.com/story/money/business/2014/08/04/pfchang-credit-debit-card-data-breach/13567795/




http://blog.trendmicro.com/trendlabs-security-intelligence/banload-limits-targets-via-security-plugin/


http://blog.trendmicro.com/trendlabs-security-intelligence/a-look-into-cpl-malware/

http://blog.trendmicro.com/trendlabs-security-intelligence/a-look-into-cpl-malware/













Submundo do Crime Cibernético nasAméricas

A Trend Micro continuou a observar de perto os mercados do submundo emdiferentes países. 22 Em 2014, os pesquisadores da Trend Micro analisaram aeconomia do submundo brasileiro 23, que parece amadurecer continuamenteapesar da falta de desenvolvimento das ferramentas e táticas que elesoferecem.

Alguns mercados identi cados no submundo do crime cibernético apresentamcaraterísticas exclusivas. Uma delas é o uso de plataformas de mídia socialpopulares para cometer fraudes ao invés de se esconder nos profundosrecessos da Web com ferramentas que os usuários comuns normalmente nãotêm acesso. Os criminosos cibernéticos nestas áreas fazem uso de mídiaspopulares, tais como Facebook, YouTube, Twitter, Skype e WhatsApp, já queestes demonstraram ser locais e cazes.

Em alguns casos, os criminosos cibernéticos do submundo são players que

comercializam geradores, veri cadores e testadores para mais que apenascartões de crédito. Eles oferecem ferramentas criadas para ataques contraprodutos e serviços exclusivos em um país em particular, oferecendo tambémserviços de treinamento para aspirantes a criminosos cibernéticos. Entre osprodutos oferecidos, além dos cavalos de Troia bancários, estão credenciais decontas para aplicações de negócios populares, páginas de phishing e listas denúmeros de telefone.

22 http://www.trendmicro.com/vinfo/us/security/special-report/cybercriminal-underground-economy-series/23 http://www.trendmicro.com.br/cloud-content/br/pdfs/141117_mercadosubmundobr.pdf

http://www.trendmicro.com/vinfo/us/security/special-report/cybercriminal-underground-economy-series/


http://www.trendmicro.com.br/cloud-content/br/pdfs/141117_mercadosubmundobr.pdf

http://www.trendmicro.com.br/cloud-content/br/pdfs/141117_mercadosubmundobr.pdf







Estudos de Casos

Argentina

Com mais de 32,9 milhões de usuários de Internet (mais de 76% de suapopulação total) e mais de 22 milhões de PCs em seu país, a República da

Argentina se encontra entre os principais países da região em termos deadoção de Tecnologias de Informações e Comunicações (TIC). 24 Além disso,as conexões móveis, inclusive PCs e tablets conectados, smartphones eoutros aparelhos celulares com pacotes de serviços de dados ou Wi-Fi grátis

cresceram a uma taxa exponencial, chegando a 20 milhões de conexões nonal de 2014. Um componente importante desse rápido crescimento foi umasérie de políticas e programas estatais, tais como, “Argentina Conectada” e“Conexão-Igualitária”, visando aumentar a conectividade de banda larga emtodo o país e promover a inclusão digital dos estudantes e professores daescola pública, independentemente de sua origem socioeconômica. Com asociedade argentina cando cada vez mais conectada à Internet, é imperativoque os cidadãos entendam os riscos associados à circulação de informações“sensíveis” como características de identi cação, cartões de crédito, extratosbancários e outras informações pessoais.

Além do crescimento da TIC na sociedade argentina, as instituiçõesgovernamentais estatais também digitalizaram grande parte de suainfraestrutura crítica. Por exemplo, a Administração Nacional de SegurançaSocial (ANSES) e a Administração Federal da Receita Pública (AFIP)digitalizaram grande parte de seus serviços. De fato, uma grande quantidade deprocedimentos e transações estatais agora é feita na Internet.

24 Dados fornecidos pelo estudo “total market”, realizado pela Prince Consulting, emdezembro de 2014. www.princeconsulting.biz

http://www.princeconsulting.biz/

http://www.princeconsulting.biz/





Essas mudanças não se re etem apenas no governo, mas também no setorprivado. Atualmente, existem 758 provedores de serviços de Internet (ISP)no país 25 e o setor de telefonia móvel quadruplicou de tamanho desde 2003,quando superou as linhas xas, com 43 milhões de linhas de serviço ativas.Tal desenvolvimento aumentou o risco do país ser alvo do crime cibernéticoou de outras atividades criminosas maliciosas. Durante o ano passado, asautoridades nacionais observaram um crescimento no roubo de identidade efraudes através de redes sociais, email ou banco eletrônico, adulteração desites e ataques direcionados. 26

Para enfrentar essas ameaças cibernéticas, em 2011, o Governo Nacional,através do Chefe do Gabinete de Ministros, criou o Programa de SegurançaCibernética e Infraestrutura Crítica de Informações (conhecido pela siglaICIC). O ICIC foi elaborado para apoiar a criação e a adoção de uma estruturaregulatória especí ca com o objetivo de identi car e proteger as infraestruturascríticas e estratégicas necessárias para o Setor Público Nacional, organizaçõesinterjurisdicionais, sociedade civil e o setor privado.

Entre outros, os objetivos desenvolvidos pelo ICIC são:

• Sensibilizar os cidadãos e organizações quanto aos riscos que asnovas tecnologias trazem e incentivá-los a proteger suas informações.

• Fortalecer os níveis de segurança cibernética no Setor PúblicoNacional, criando estratégias comuns para proteger informações einfraestruturas críticas.

• Incentivar a colaboração entre os diferentes setores da sociedade(comércio, indústrias, organizações de sociedade civil, universidades,etc.) com o objetivo de adotar uma estrutura de orientações comumpara fortalecer os níveis de segurança cibernética e infraestruturas deinformações críticas de suas organizações.

• Contribuir internacionalmente para o aprimoramento da infraestruturade informações críticas e segurança cibernética.

Até 2014, o ICIC havia alcançado os seguintes pontos: 27

• Ajudou a aprovar a legislação atual relativa ao crime cibernético,permitindo o sucesso da investigação e processos de vários casos decrime cibernético.

• Desenvolveu a iniciativa conhecida comoInternet Sano (Internet“saudável” ou “sadia”), promovendo e fornecendo material educacionalsobre a responsabilidade de TIC e o uso da Internet.

• Desde 2012, tem realizado exercícios anuais de resposta a incidentescibernéticos – chamado ENRIC – e continua a fornecer treinamentopara identi cação, análise, prevenção, fortalecimento, recuperação eresposta a incidentes envolvendo a infraestrutura de informações

25 Fonte: Comissão Nacional de Comunicações http://www.cnc.gob.ar/26 Fonte: Organização dos Estados Americanos, Tendências de Segurança Cibernética da

América Latina + Caribe, junho de 2014.27 Fonte: Organização dos Estados Americanos, Tendências de Segurança Cibernética da

América Latina + Caribe, junho de 2014.

“Atualmente, existem 758 provedores de serviçosde Internet (ISP) no paíse o setor de telefoniamóvel quadruplicou detamanho desde 2003,quando superou as linhasfxas, com 43 milhões delinhas de serviço ativas.Tal desenvolvimentoaumentou o risco do

país ser alvo do crimecibernético ou de outrasatividades criminosasmaliciosas. Durante o ano

passado, as autoridadesnacionais observaramum crescimento no roubode identidade e fraudesatravés de redes sociais,email ou banco eletrônico,deturpações de sites eataques direcionados.”

http://www.cnc.gob.ar/

http://www.cnc.gob.ar/





Desde 2011, o ICIC fez parcerias com várias organizações nacionais einternacionais, produzindo um maior interesse dentro da Argentina em relaçãoàs questões de segurança cibernética. O ICIC participou ativamente de eventospatrocinados pela OEA, Instituto da União Europeia de Estudos de Segurança(EUISS), Agência Internacional de Energia Atômica (IAEA), Processo Meridianentre outros. Várias instituições de ensino superior no país agora tambémoferecem programas de certi cação e de graduação em muitos camposrelacionados à segurança cibernética, inclusive perícia digital.

Apesar da capacidade da Argentina para lidar com as ameaças cibernéticas termelhorado bastante desde a fundação do ICIC, um relatório da OEA destacoutrês principais impedimentos nos esforços em andamento, que ainda existem:a persistente falta de consciência entre os participantes de todos os níveis,questões e preocupações relacionadas à privacidade, e o nanciamentoinsu ciente. Tais desa os terão de ser abordados no futuro para garantir osucesso dos esforços de segurança cibernética da Argentina.

Trinidad e TobagoRepresentando mais de quarenta por cento (40%) do produto interno bruto(PIB) do país, o setor de energia é a principal fonte de receita de Trinidade Tobago. Por isso, os componentes desse setor são considerados comorecursos de infraestrutura crítica. Desde controladores lógicos programáveis(PLC) até redes de controle, tais como Sistemas de Controle Industrial(ICS) e Controle de Supervisão e Aquisição de Dados (SCADA), há um usogeneralizado de tecnologias de informações e comunicações (TIC) em todoo setor de energia de Trinidad e Tobago, tornando-a vulnerável às ameaçascibernéticas. Interrupções resultantes dessas vulnerabilidades podem,potencialmente, paralisar a economia nacional.

Também é importante notar que os componentes de infraestrutura críticade Trinidad e Tobago podem ser encontrados em outros setores, incluindo

nanças, telecomunicações, serviços públicos e saúde. Porém, como a energia,o setor nanceiro tem uma importância particular em termos de segurançacibernética e proteção da infraestrutura crítica (CIP), já que os ataques contraqualquer instituição dentro desse setor podem ter um efeito debilitante em todoo setor nanceiro.





Reconhecendo a necessidade de proteger as infraestruturas críticas através dodesenvolvimento de uma estrutura robusta de segurança cibernética, o Governode Trinidad e Tobago, em 2011, estabeleceu um Comitê Interministerial (IMC)para desenvolver uma estratégia abrangente de segurança cibernética parao país. Compreendendo vários ministérios importantes (inclusive o Ministériode Ciência e Tecnologia, Administração Pública, Procuradoria Geral, Serviços

Públicos, Finanças, Energia e Assuntos de Energia), o IMC foi incumbido de,entre outras coisas:

• Desenvolver uma estratégia de segurança cibernética coordenada e umplano de ação

• Facilitar, orientar e garantir a promulgação de uma lei nacional contra oCrime Cibernético

• Orientar e garantir a implementação de uma Equipe de Resposta aIncidentes de Segurança de Computação Nacional (CSIRT)

• Estabelecer um mecanismo de implementação que teria autoridadelegislativa para desenvolver e impor regulamentações de segurançacibernética

• Criar um mecanismo/estrutura que garanta que as avaliações de risco/vulnerabilidades do plano de segurança e infraestrutura cibernética decada ministério sejam realizadas regularmente.

Até o momento, o IMC realizou o seguinte:

• Desenvolvimento de uma Estratégia Nacional de SegurançaCibernética (aprovada em dezembro de 2012)

• Desenvolvimento de uma Política Nacional de Crime Cibernético(aprovada em fevereiro de 2013)

• Desenvolvimento de uma Política para Estabelecimento de uma

Agência de Segurança Cibernética de Trinidad e Tobago (aprovada emagosto de 2013)

• Acordo Administrativo entre o Ministério Nacional de Segurança ea União Internacional de Telecomunicações (ITU) para assistênciano estabelecimento de uma Equipe de Respostas a Incidentes deSegurança de Computação (CSIRT) (fevereiro de 2014)

• Aprovação para os Projetos de Leis intitulados “Projeto de Lei doCrime Cibernético 2014” e o “Projeto de Lei da Agência de SegurançaCibernética de Trinidad Tobago, 2014”. O Projeto de Lei do CrimeCibernético foi entregue ao Parlamento na sexta-feira, 21 de março de2014.

Além da abrangente estratégia de Segurança Cibernética Nacional que atendeàs necessidades dos participantes públicos e privados, o governo tambémestabeleceu uma Iniciativa de Segurança para o Setor de Energia (ESSI)que tem por objetivo fornecer uma orientação estratégica para a segurançae proteção do setor de energia de Trinidad e Tobago. A ESSI é uma ParceriaPúblico-Privada, formada através da colaboração entre o Governo de Trinidade Tobago, operadores do setor público e proprietários do setor privado dasprincipais infraestruturas de energia. O foco principal da Iniciativa é criar ummecanismo sustentável para impedir, reduzir, preparar, responder e recuperarde todas as possíveis ameaças e vulnerabilidades que possam interromper oudestruir o setor de energia de Trinidad e Tobago.





O objetivo estratégico da ESSI é a prevenção e mitigação de quaisquerocorrências indesejadas dentro do setor de energia. Como tal, a Iniciativapretende garantir que os recursos e bens da energia de Trinidad e Tobagosejam e cazmente protegidos contra atividades que possam resultar emgrandes interrupções ocasionadas intencionalmente, por acidentes oudesastres naturais.

Uruguai

A República Oriental do Uruguai viu um crescente aumento da Tecnologiade Informações e Comunicações (TIC) em nível nacional. Talvez não sejasurpresa que os dados sugiram que os incidentes cibernéticos, especialmenteo phishing , tenha crescido signi cativamente. Tais ameaças trazem gravesrami cações para os recursos de informações críticos do estado, isto é, os quesão considerados vitais para o governo e operações econômicas, tais comoserviços de emergência, serviços de saúde, ordem pública, telecomunicações,

transporte, abastecimento de água potável, serviços bancários e nanceiros ouqualquer outro serviço que afete mais do que 30% da população e, assim, asegurança e o bem-estar da sociedade.

Em 2008, sob a Agência Nacional para o Desenvolvimento do GovernoEletrônico e a Sociedade de Informações (AGESIC), o Centro Nacionalde Resposta a Incidentes de Segurança Cibernética foi constituído porlei (CERTuy). Desde a sua criação, o CERTuy coordenou e implementourespostas para uma análise de incidentes, processos de apoio e coordenaçãode recuperação de desastres, realizou testes de penetração e auditorias desegurança. Também desenvolveu e difundiu normas, políticas e boas práticasque aumentam o nível de segurança. Além disso, trabalhou vigorosamenteno desenvolvimento da capacidade e difusão de conhecimento através decampanhas de conscientização, capacitação de operadores de infraestruturascríticas através de exercícios de gestão de crises e especi camente na criaçãode CSIRTs especializados. Os objetivos e incumbências do CERTuy incluem:

• Promover con ança entre os usuários de TIC e criar uma consciênciamaior na sociedade sobre as ameaças cibernéticas.

• Regular e proteger os recursos de informações críticas do Estado.

• Consolidar todas as organizações de serviço público nacionais críticossob um critério comum para classi cação de sites (isto é, “.gub.uy” e“.mil.uy”) e aprimorar as normas de segurança para base de dados,email e nomes de domínios.

• Incorporar uma abordagem de múltiplos participantes entre osprincipais atores regionais e nacionais (Judiciário, cumprimentoda lei, Ministério de Defesa Nacional, setores privado e nanceiro,universidade, provedores de serviço de Internet, sociedade civil,CCIRTs e organizações internacionais, entre outros).

“Desde a sua criação,o CERTuy coordenou eimplementou respostas

para uma análise deincidentes, processos deapoio e coordenação derecuperação de desastres,realizou testes de

penetração e auditorias desegurança”





Desde de seu início, o CERTuy realizou o seguinte:

• Detectou intrusões de várias complexidades e gravidades em váriossistemas críticos que conseguiram conter, sem gerar maior impacto.

• Em caso de incidentes cibernéticos, ofereceram respostas rápidas ee cazes para determinar os sistemas afetados e trouxeram esforços

para recuperação, que foram conseguidos incorporando metodologiasde gestão de incidentes, intervenção de especialistas em segurançade informações, ligação com vários atores de segurança, redes decon ança nacional e internacional e o constante desenvolvimento derecursos especí cos.

• Anunciou em novembro de 2013 o começo da campanha “Conecte-secom Segurança” que visa conscientizar o público sobre as ameaçasque acompanham o uso de TIC, e também adotaram a campanhaSTOP. THINK. CONNECT , fundada pelos EUAn.

• Forneceram treinamento técnico para o pessoal de várias autoridadesde combate ao crime cibernético, inclusive a Unidade de Crimes deComputação da Polícia Nacional.

Como mencionado acima, o CERTuy considera que as alianças e oenvolvimento de todos os agentes de segurança cibernética, tanto públicoscomo privados, são fundamentais para combater a crescente quantidade eso sticação das ameaças de segurança cibernética.

Portanto, o AGESIC e o CERTuy têm regularmente coordenado esforçoscom as autoridades de outros países e feito parcerias com organizaçõesinternacionais, trabalhando para fomentar a comunicação e colaboração entrecentros de respostas, tais como OAS/CICTE, LACNIC, FIRST e ITU.

O futuro sucesso do Uruguai no combate ao crime cibernético e outras

ameaças de segurança cibernética dependerá, em parte, de sua habilidadepara resolver três questões principais que têm di cultado o progresso: atrasona conscientização de segurança cibernética dentro de outras instituiçõesgovernamentais, nanciamento, e recursos materiais insu cientes para realizaras iniciativas necessárias e falta de pessoal treinado. 28 Apesar disso, o CERTuycontinuou a trabalhar árdua, contínua e colaborativamente para proteger asinfraestruturas críticas do Uruguai contra as ameaças cibernéticas e contribuirpara a segurança cibernética em um nível internacional.

28 Fonte: Organização dos Estados Americanos, Tendências de Segurança Cibernética da América Latina + Caribe, junho de 2014.





Conclusão

Esse pioneiro relatório oferece uma perspectiva única sobre os ataquescibernéticos que atingiram infraestruturas críticas nas Américas. Os 500entrevistados enfatizaram um dramático aumento na so sticação dos ataquescibernéticos. O mais preocupante foi o fenômeno descrito como o signi cativoaumento dos ataques destrutivos – ataques cibernéticos que pretendiam“apagar ou destruir” sistemas de apoio. Aí existe um perigo claro e presente,que ilustra a dramática evolução dos recursos cibernéticos sob controle degrupos de agentes não estatais na região. Esses grupos adotaram os ataquescibernéticos contra infraestruturas com o propósito de crime, ativismo egeopolítica. Diante dessa dura realidade, os orçamentos para a segurança

cibernética e o desenvolvimento de capacidades devem ser aumentados e ummaior compartilhamento de informações deve ser facilitado.

Concluindo, esse relatório destaca que apesar de alguns esforços feitos, aindahá uma falta de parcerias proativas entre governos e organizações privadasno hemisfério ocidental. Na falta de uma parceria público-privada formal, oscriminosos cibernéticos vão prosperar. Isso representa uma oportunidadehistórica perdida. O Programa de Segurança Cibernética da OEA/CICTE servecomo um papel central para fomentar a parceria público-privada que ainda estáamadurecendo na região. É no espírito de tal parceria público-privada que aOEA e a Trend Micro juntaram forças para fornecer a você essa perspectivaúnica sobre os ataques contra infraestruturas críticas que atingiram 25 nações.Uma ação coletiva é de nitivamente necessária.

“Nem todos os exércitos da história do mundo podem impedir uma ideia cujotempo chegou.” –Victor Hugo





Apêndice: Pesquisa deInfraestruturas Críticas

Metodologia

• Uma pesquisa quantitativa online foi realizada em janeiro de 2015,entre os chefes de segurança de CIOs das maiores infraestruturascríticas em todos os países das Américas.

• Um total de 575 entrevistados completou a pesquisa.

Resultados da Pesquisa

Países Entrevistados

Um total de 26 países membros participaram da pesquisa. Eles são:

• Argentina

• Barbados

• Belize

• Bolívia

• Brasil

• Canadá

• Chile

• Colômbia

• Costa Rica

• Dominica (Commonwealth)

• El Salvador

• Estados Unidos da América

• Equador

• Granada

• Guatemala

• Honduras

• México

• Nicarágua

• Panamá

• Paraguai

• Peru

• República Dominicana

• São Vicente e Granadinas

• Suriname

• Uruguai

• Venezuela





Em que país você trabalha atualmente?





Organização Vertical

• O setor mais comumente relatado é o governo, seguido porcomunicações.

Sua empresa pertence a qual setor?

GovernoComunicaçõesSegurançaFinanças e BancosIndústriasEnergiaTransporteSaúdeQuímica e MineraçãoAgriculturaServiços de EmergênciaGestão de Águae Esgoto

32%17%12%11%9%8%4%3%2%2%1%1%

Tamanho da Organização

• Em geral, as organizações pesquisadas estão distribuídas em váriostamanhos. Os dois grupos de tamanho com o maior número deorganizações são: “1 a 50 funcionários” (21%) e “Mais de 10.000funcionários” (18%).

Quantas pessoas sua empresa emprega em todo o mundo?

30%

15%

0

1 a 50

51 a 100

101 a 500

501 a 1,000

1,001 a 2,500

2,501 a 5,000

5,001 a 10,000

Mais de 10,000

10%

21%

16%

10% 10% 10%

6%

18%





Nível de Incidentes para o Sistema Computacionalno Ano Passado

• Mais da metade dos entrevistados relatou um aumento no nível deincidentes em seu sistema computacional no ano passado, enquanto 4

de cada 10 disseram que o nível de incidentes cou estável.• Muito poucos relataram um declínio no nível de incidentes no ano passado

Você notou um aumento, diminuição ou um nível estável de ataques aosseus sistemas de computadores no ano passado?

50%

25%

0

Sim

Não

Não tem certeza

43%

26%

31%

Experiência com Vários Incidentes

• Em geral, a maioria das organizações pesquisadas sofreu tentativasde roubo de suas informações. Mais da metade sofreu tentativas demanipulação de equipamento através de um controle de rede/sistema.

Sua empresa experimentou algum dos seguintes?

60%

30%

0

Tentativas de roubarinformações

Tentativas deapagar ou destruirinformações

Tentativas de paralisarredes de computadores

Tentativas de manipularequipamentos de suaorganização através deum controle derede/sistema

44%

60%

40%

54%





Tipos de Métodos de Ataque Cibernético

• A grande maioria das organizações relatou o uso de phishing contrasuas organizações. A metade relatou o uso de vulnerabilidades sem

patch contra suas organizações.

Que tipos de métodos de ataque cibernético foram usados contra suaorganização?

80%

40%

0

Phishing

Vulnerabilidadessem patch

DDos

SQL injection

Cross site scripting

Ataques dehacktivistas

APTs

50%

71%

42%

32%

21% 21% 18%

Ataques Visando Infraestruturas• Mais do que 4 em cada 10 organizações detectaram ataques que

visavam especi camente as infraestruturas que operam. Outros 3 emcada 10 disseram não ter certeza.

Você detectou quaisquer ataques/incidentes/intrusões que visavamespeci camente a infraestrutura que sua empresa opera/mantém/ administra?

50%

25%

0

Sim

Não

Não tem certeza

43%

26%

31%





So sticação dos Ataques• Há um consenso universal de que os ataques contra as infraestruturas

estão cando cada vez mais so sticados em todos os paísespesquisados.

Os ataques contra infraestruturas estão cando mais so sticados?

Medidas Tomadas para Proteger os Sistemasde Infraestruturas Críticas

• As organizações usaram uma variedade de controles de segurançapara proteger seus sistemas de informações críticas. As medidas maiscomuns foram: antivírus, rewall industrial e backup automatizado.

Que tipos de medidas de segurança cibernética sua organização tem para proteger os sistemas de informações críticas?

100%

50%

0

Antivírus

Firewall industrial

Backupautomatizado

Testes depenetração/auditorias

Comunicaçãocriptografada

Correlação deeventos

90%86%

74%

54%49%

38%

80%

40%

0

Sim

Não

Não tem certeza

76%

5%

19%





Políticas de Segurança Cibernética

• Quase 70% dos entrevistados têm um Programa de Conscientizaçãode Segurança Cibernética para os Funcionários. Mais da metade temum Plano de Recuperação de Desastres/ou um Plano de Resposta a

Incidentes Cibernéticos.Sua organização tem políticas e/ou planos de segurança cibernética?

80%

40%

0

Conscientização deSegurança Cibernéticapara os Funcionários

Plano de Recuperaçãode Desastres

Plano de Resposta aIncidente Cibernético

Adoção de Normas deSegurança Industriais(BERC CIP, ISO 270)

54%

80%

52%

37%

Discussão com o Governo sobre a resiliência cibernéticados Sistemas de Infraestrutura Crítica

• Quase metade das organizações relatou haver discussões ou diálogosinformais com o governo sobre a resiliência cibernética dos sistemas deinfraestruturas críticas.

Existe uma discussão/diálogo com o governo sobre resiliência cibernéticados sistemas de infraestrutura crítica?

40%

20%

0

Sim, e nossaorganizaçãoparticipa

Sim, mas nossaorganização nãoparticipa

Existem diálogosinformais

Não

Não tem certeza

21%

6%

20%

34%

19%





Se os Entrevistados con am no Governo para avançarem uma Agenda de Segurança Cibernética nos Setoresde Infraestrutura Crítica

• Em geral, a maioria das organizações pesquisadas con a no governopara avançar em uma agenda de segurança cibernética nos setores deinfraestrutura crítica e está disposta a trabalhar com o governo.

Você con a no governo para fazer avançar uma agenda de segurançacibernética em setores de infraestrutura crítica? Quanto você estádisposto a trabalhar com eles?

80%

40%

0

Sim

Não

68%

32%

Nível de Gerência que Supervisiona a SegurançaCibernética

• Em geral, o departamento de TI é o que tem mais probabilidade desupervisionar a segurança cibernética organizacional, especialmente noBrasil.

Que nível de gerência que supervisiona a segurança cibernéticaorganizacional?

50%

25%

0

Departamento de TI

Departamento deSegurança deInformação

Alta Gerência (CEO,COO, CFO, etc.)

Diretores

Vice-presidentes

Não tem certeza

47%

27%

10% 9%

3%5%





Prontidão para Ataques Cibernéticos

• Quase metade das organizações relatou haver discussões ou diálogosinformais com o governo sobre a resiliência cibernética dos sistemas deinfraestruturas críticas.

Quão preparada você acha que sua organização está para um ataquecibernético?

40%

20%

0

Muito preparada

Preparada

Parcialmente preparada

Despreparada

Não tem certeza5%

35%

40%

34%

3%

Orçamento para Segurança Cibernética

• Em geral, a maioria dos pesquisados relatou que seu orçamento para

segurança cibernética não aumentou durante o ano passado.Seu orçamento para segurança cibernética aumentou no ano passado?

60%

30%

0

Não

Sim

Não tem certeza

52%

36%

12%




Secretário-GeralJosé Miguel Insulza

Secretário-Geral AdjuntoAlbert R. Ramdin

Secretário de Segurança MultidimensionalAdam Blackwell

Relatório sobre Segurança Cibernética e InfraestruturasCríticas nas Américas

Report on Cybersecurity and Critical Infrastructure in the Americas

Secretário Executivo doComitê Interamericano contra

o TerrorismoNeil Klopfenstein

EditoresTom Kellermann

Pablo MartinezBelisario ContrerasBarbara Marchiori

Todos os direitos reservados.

All rights reserved

Aviso importante

O conteúdo dessa publicaçãode políticas da OEA não re etenecessariamente as opiniões ou

políticas da OEA ou das organizaçõescolaboradoras.

Disclaimer

The contents of this publication dopolicies of the OAS do not necessarily

re ect the views or policies of theOAS or contributory organizations.

Abril de 2015 / April 2015

© Secretaria de SegurançaMultidimensional da OEA

/ OAS Secretariat forMultidimensional Security

1889 F Street, N.W., Washington, D.C.,20006

Estados Unidos da América

www.oas.org/cyber/Kerry-Ann Barrett

Diego SuberoGonzalo García-Belenguer

Emmanuelle PelletierFrancisco Javier Villa

Geraldine Vivanco

ColaboradoresKyle Wilhoit

Christopher BuddIna L

Paul OliveriaDanielle Veluz

http://www.oas.org/cyber/

http://www.oas.org/cyber/



A Trend Micro, líder global em software de segurança, se esforça para tornar omundo seguro para a troca de informações digitais. Nossas soluções inovadoraspara uso pessoal, empresas e governos fornecem segurança de conteúdo emcamadas para proteger informações em dispositivos móveis, endpoints, gateways,servidores e nuvem. Todas as nossas soluções utilizam a tecnologia de inteligênciaglobal de ameaças na nuvem, a Trend Micro™ Smart Protection Network™ e sãoapoiadas por mais de 1.200 especialistas em ameaças em todo o mundo. Para maisinformações, visite www.trendmicro.com.br .

© 2015, Trend Micro Incorporated. Todos os direitos reservados. Trend Micro e ologotipo Trend Micro t-ball são denominações comerciais ou marcas registradas daTrend Micro Incorporated. Todos os outros nomes de produtos ou empresas sãodenominações comerciais ou marcas registradas de seus respectivos titulares

R. Joaquim Floriano, 1120 – 2° andar – Itaim BibiSão Paulo, SP

Phone: +55-11-2149-5655


http://www.trendmicro.com.br/

http://www.trendmicro.com.br/

relatorio trend micro oea infraestruturas criticas americas

Documents