Com base nas últimas estatísticas anuais de incidentes de segurança das redes conectadas à Internet brasileira, podemos notar índices recordes de ataques reportados ao “Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil – CERT.br”. Somente em 2017, o CERT.br registrou um total de 833.775 alertas, sendo este o segundo maior índice da série histórica que teve início em 1999, inferior apenas ao ano de 2014, quando tivemos mais de 1 milhão de incidentes registrados. É importante ressaltar que estes números servem apenas como uma estimativa, uma vez que muitas empresas não reportam os seus incidentes aos órgãos responsáveis.
Entre estes milhares de incidentes registrados, podemos notar que a maioria das notificações está relacionada à tentativa de exploração de vulnerabilidades na rede (SCAN) e à ataques de negação de serviço (DoS).
No caso do SCAN, alguns pontos levantados pelo CERT.br que nos chama a atenção:
- As notificações de varreduras somaram 443.258 em 2017, correspondendo a um aumento de 15% com relação a 2016;
- Os serviços que podem sofrer ataques de força bruta continuam sendo muito visados: SSH (22/TCP) com 47% das notificações de varreduras, TELNET (23/TCP) com 9%, RDP (3389/TCP) com 2% e FTP (21/TCP) com 1% das notificações em 2017;
Já sobre os ataques de negação de serviço (DoS), a equipe do CERT.br cita as botnets que afetaram dispositivos da Internet das Coisas, como o conhecido caso Mirai, em que gravadores de DVR, câmeras de segurança e roteadores entre outros dispositivos, foram explorados para potencializar os ataques em direção aos alvos predeterminados.
- No ano de 2017 o CERT.br recebeu 220.188 notificações sobre computadores que participaram de ataques de negação de serviço (DoS). Este número foi quase 4 vezes maior que o número de notificações recebidas em 2016;
- A maioria das notificações de ataques de DoS foi recebida em julho de 2017, referente a um ataque originado por equipamentos de IoT (Internet das Coisas) infectados e fazendo parte de botnets.
Além desses dois, ainda aparecem na pesquisa os ataques a servidores web, disseminação de worms e invasões a computadores, ou seja, uma variedade de formas de ataque que tentam comprometer a segurança de ativos conectados na internet brasileira. Isso demonstra como as organizações precisam estar preparadas para reduzir o risco de exploração em seus ambientes de rede e isso só é possível com a adoção de controles e práticas de segurança, que periodicamente precisam ser testados para comprovar sua eficácia, diante um ataque real.
E neste ponto que a execução de um Pentest pode comprovar que os ativos estão devidamente protegidos, de acordo com os investimentos em segurança que foram preparados pela organização. O problema atualmente é que este tipo de trabalho ainda é executado mediante pressão, ou pelo cliente da organização que exige tais controles ou após a ocorrência de um grave incidente de segurança. Raramente, para não usar a palavra nunca, observamos a realização de testes de segurança de forma preventiva.
Para nossa melhor compreensão do que representa cada tipo de ataque notificado ao órgão, o CERT.br fornece em sua página as seguintes descrições:
Scan: em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador;
Fraude: segundo Houaiss, é “qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro”. Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem;
Worm: atividades maliciosas relacionadas com o processo automatizado de propagação de códigos na rede;
Web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet;
Invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede;
DoS (Denial of Service): de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede;
Outros: que não se enquadram nas categorias anteriores.
Conclusão
Em virtude dessa crescente tendência de ataques, cada vez mais as organizações, sejam elas públicas ou privadas, deverão rever suas políticas de segurança a fim de reduzir os riscos de ataques que possam comprometer suas operações. Consolidar as melhores práticas envolvendo ferramentas, processos e pessoas é a melhor forma de garantir um nível de segurança aceitável aos novos padrões de mercado.
Para atingir este objetivo, não podemos esperar que cada organização defina sua concepção do que é um Pentest. Unir todas as práticas em um conjunto de recomendações e diretrizes facilitará as atividades dos prestadores de serviço e poderá dar subsídios aos contratantes para validar a qualidade do trabalho realizado. Por falta de um padrão de avaliação, ainda encontramos dificuldades na execução deste tipo de trabalho, pois cada prestador procura oferecer um modelo de Pentest, adotando metodologias próprias que muitas vezes podem deixar o contratante sem garantias de que estes investimentos realmente poderão lhe propiciar proteção efetiva e não uma falsa sensação de segurança.
Sobre a minissérie Pentest
Está minissérie de posts tratando de conceitos básicos sobre Pentest será composta por 6 pequenos artigos tratando aspectos importantes que precisam ser compreendidos tanto pelo profissional técnico que pretende avançar nessa área, quanto pelo profissional que precisa contratar este tipo de serviço e se vê perdido no meio de tantas opções que o mercado oferece.
Abaixo as demais publicações que compõem a minissérie:
PENTEST – INTRODUÇÃO
PENTEST – O QUE É PENTEST?
PENTEST – COMO É FEITO?
PENTEST – QUANDO DEVE SER FEITO?
PENTEST – ONDE DEVE SER REALIZADO?
Fontes consultadas: Revista Infra-Magazine / Cert.br
Imagens: Pexels / Cert.br
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec