14708-Symantec-Knowledge-Is-Power-WhitePaper-PTBR

Prévia do material em texto

CONHECIMENTO É PODER: 
O GUIA DA SYMANTEC PARA PROTEGER O SEU SITE
VULNERABILIDADES 
QUE PODEM PREJUDICAR O SEU SITE
p. 2
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site 
Vulnerabilidades que podem prejudicar o seu site 3 
Uma falsa sensação de segurança pode trazer custos para você 4
O que você pode fazer? 5
Como uma vulnerabilidade pode prejudicar o seu site 6
A batalha é maior do que você pensa 7
Não há como se esconder atrás do seu tamanho 8
O conhecimento é poder para o seu cliente também 9
CONTEÚDO
p. 3
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site 
Em 2012, a Symantec realizou mais 
de 1.400 verificações de vulnerabi-
lidade de sites todos os dias. Mais 
da metade dos sites verificados 
não tinha patches e apresentava 
vulnerabilidades potencialmente 
exploráveis. Dos sites vulneráveis, 
um terço estava realmente infectado 
com malware que poderia infectar 
os visitantes e fazer com que os sites 
ingressassem na lista negra dos me-
canismos de busca. Esses números 
mostram que milhões de sites legíti-
mos estão correndo risco de ataque e 
exploração graves por criminosos de 
Internet todos os dias.
Apesar disso, um terço das empresas 
pesquisadas pela Symantec em “A 
lacuna no conhecimento de vulnera-
bilidades” afirma presumir que seus 
sites são muito seguros, embora não 
tenham verificado de fato os sites 
em busca de vulnerabilidades ou 
infecções1.
Você estaria tão confiante sobre a segurança de seu 
dinheiro se seu banco acidentalmente divulgasse os 
detalhes de metade das contas sob sua responsabi-
lidade? 
O problema é que muitas empresas simplesmente não 
entendem o risco que seu site representa para os seus 
negócios e o quão vulnerável seus sites estão sem a 
segurança e o monitoramento apropriados.
Por que as suas vulnerabilidades importam
Por que criminosos atacam sites? Porque é lá que o 
dinheiro está. Em 2002, as vendas de e-commerce 
somaram US$ 72 bilhões. Dez anos mais tarde, esse 
número aumentou para US$ 225,5 bilhões. Em torno 
de 2,7 bilhões de pessoas usam a Internet em 2013, o 
que representa praticamente a metade da população 
mundial2. Corromper sites dá aos criminosos o acesso 
aos visitantes, bem como aos dados e ao dinheiro deles.
A primeira lacuna de conhecimento com a qual você 
tem que lidar é compreender por que os seus negó-
cios e o seu site são tão atraentes para os criminosos 
cibernéticos. Embora compreender as vulnerabilidades 
baseadas em tecnologia e processos seja importante, 
para proteger-se contra elas você precisa entender o 
risco que elas representam e a probabilidade de que 
eles sejam exploradas.
A sua ignorância é a felicidade deles
Sites não são alvos atraentes apenas pelo o que 
os criminosos podem ganhar. A forma como podem 
ganhar também importa. Os sites e os servidores que os 
hospedam possuem inúmeras vulnerabilidades ineren-
tes, o que muitos proprietários desconhecem, e isso os 
torna alvos fáceis. 
Hospedar sites, por um lado, é muito fácil. Você paga 
uma empresa de hospedagem e publica o seu site. Por 
outro lado, trata-se de um processo muito complexo, 
com várias camadas de software e de hardware, e todas 
elas precisam funcionar corretamente para manter o 
seu site seguro. Como parece tão simples, presumir que 
tudo está funcionando bem costuma ser fácil. Como as 
tecnicidades são difíceis, é fácil fechar os olhos e espe-
rar que outra pessoa cuide de tudo para você.
VulNErAbiliDADEs quE PODEm PrEjuDiCAr 
O sEu siTE
p. 4
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site 
Uma das vulnerabilidades com maior probabilidade de 
ser explorada em um site é o cross-site scripting (XSS); 
apesar disso, as empresas pesquisadas pela Symantec a 
classificaram como a menos provável. A vulnerabilidade 
mais temida foram os ataques de força bruta, onde os 
hackers tentam invadir os servidores que hospedam 
os sites. Esse tipo de ataque é mais raro, mas é o que 
vemos na TV e nos filmes; portanto, eles parecem mais 
prováveis3. O seu site tem muito mais probabilidade de 
ser vítima de um botnet que verifica milhares de sites em 
busca de vulnerabilidades conhecidas do que de atrair 
um grande hacker.
Informações incorretas são tão perigosas quanto a falta 
total de informações, já que elas não apenas disfarçam 
as reais vulnerabilidades mas também acarretam 
desperdício de dinheiro, uma vez que as empresas 
direcionam seus recursos para alvos errados.
 
 
Onde estão os seus pontos fracos? 
“Uma única vulnerabilidade em um aplicativo pode 
representar um risco crítico para uma organização, caso 
seja explorada com sucesso”, de acordo com o Website 
Security Threat Security Report (WSTR) da Symantec4.
Em 2012, havia 5.291 vulnerabilidades relatadas, acima 
das 4.989 de 20115. Elas não são incomuns ou raras, 
e cada uma é igualmente ameaçadora para os seus 
negócios; por isso, compreender os tipos mais comuns 
de vulnerabilidade que o seu site enfrenta é vital:
umA fAlsA sENsAçãO DE sEgurANçA PODE 
TrAzEr CusTOs PArA VOCê
Em 2012 
5.291 vulnerabilidades 
foram relatadas,
em comparação a 
4.989 vulnerabilidades
relatadas em 2011
p. 5
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site 
O quE VOCê PODE fAzEr? 
Vulnerabilidade O que é? O que você pode fazer?
servidores sem 
patches
O índice de descoberta de novas vulnerabilidades 
foi de apenas 6% no último ano, mas os ataques 
a sites comprometidos aumentou 30%. "Resu-
mindo, são vulnerabilidades mais antigas, sem 
patches, que comprometem a maioria dos siste-
mas", de acordo com a pesquisa da Symantec.
Assim como em um PC, se você não mantiver o 
servidor de seu site atualizado e com patches, estará 
correndo riscos.
A verificação de vulnerabilidades automática, 
regular e gratuita em toda compra de certificados 
Symantec Extended Validation ou Pro SSL mantém 
você informado de vulnerabilidades sem patches. 
Vulnerabilidades 
de autorização 
Senhas fracas, nomes de usuário administrador 
comprometidos, configurações padrão não 
alteradas no hardware da rede e software comum 
deixam os sistemas abertos a ataques por pes-
soas que fingem ser usuários legítimos. 
Imponha uma política de senha forte e controles 
de acesso robustos, idealmente com autenticação 
de dois fatores. Garanta que todas as senhas e 
configurações de hardware e software recentemente 
implantadas sejam verificadas e alteradas, se 
necessário. Na medida do possível, limite o acesso 
de administrador a pessoas confiáveis e avaliadas, 
de acordo com o sistema.
Cross-site 
scripting
Cross-site scripting significa injetar código de 
um site (que pertence aos criminosos) em outro 
site (que pertence a você). Isso permite que os 
criminosos da Internet executem seu próprio 
código em seu site para atacar ou infectar 
visitantes, ou para enganá-los para revelar 
informações valiosas, como senhas.
Sempre mantenha o software do servidor 
da Web atualizado para bloquear quaisquer 
vulnerabilidades conhecidas contra essa forma 
de ataque e, quanto ao código personalizado, 
garanta que todas as entradas sejam validadas 
corretamente. Faça verificações de malware 
regulares em seus sites em busca de alterações e 
adições inesperadas.
Ataques de 
força bruta
Como indica o nome, esses ataques simples-
mente tentam todas as probabilidades de 
senha e criptografia até quebrar o código para 
invadir o seu site. 
O pior tipo de ataque ocorre quando os hackers 
conseguem acesso a seus dados criptografados 
e não estão restritos por tentativas de login 
limitadas online.
Esse tipo de ataque é comum, com sites 
grandes relatando 500 tentativas de ataques 
de força bruta por hora6.Mude regularmente as senhas do servidor e do 
sistema de gerenciamento de conteúdo e man-
tenha todos os seus dados criptografados.
Garanta o uso de métodos de criptografia atuali-
zados, já que algoritmos antigos têm fraquezas 
conhecidas fáceis de ser exploradas.
Se o seu site tiver um portal de login para clientes, 
garanta que haja um limite no número de logins 
que as pessoas podem tentar e bloqueie as 
pessoas que tentarem fazer login com muitas 
senhas diferentes de uma vez. O software do 
servidor normalmente vem com essa funcionali-
dade, mas certifique-se de garantir a segurança.
Explorações de 
dia zero
Essas são vulnerabilidades que ninguém conhece 
até que um criminoso comece a explorá-las. O 
ataque começa no “dia zero” de conscientização 
do risco, e os números cresceram no último ano, 
quando 14 novas vulnerabilidades de dia zero 
foram expostas. Nos primeiros três meses de 
2013, a Symantec observou 11 vulnerabilidades 
de dia zero afetando Oracle Java, Adobe Flash, 
Adobe Reader e Microsoft Internet Explorer7.
Se você hospeda seu próprio site, precisa de procedi-
mentos de resposta para minimizar o impacto de um 
ataque como esse. Garanta que todos os aplicativos 
estejam atualizados com os patches de segurança 
mais recentes. Embora uma exploração de dia zero 
não possa receber patches, as atualizações mais 
recentes darão proteção contra vulnerabilidades 
divulgadas anteriormente.
A verificação de vulnerabilidades automática e 
regular, tal como a obtida com certificados Symantec 
SSL, ajudará você a identificar fraquezas o mais cedo 
possível, assim que forem expostas.
p. 6
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site 
1. Acessar as informações e desligar seu servidor. Você tem todos os tipos de informações armazenadas no 
 servidor de seu site, como detalhes e senhas de clientes. O poder do servidor também representa um recurso 
 potencial de força computacional para criminosos distribuírem malware. O acesso ao seu servidor significa 
 violações de dados, perda de confiança e a destruição dos negócios, e é por isso que a verificação regular de 
 vulnerabilidades é tão importante.
2. Interceptar informações trocadas entre você e os seus visitantes. Informações estão constantemente 
 sendo passadas de um lado para outro entre seus visitantes e o seu site. A menos que haja certificados SSL 
 atualizados que criptografem essas informações, você e seus visitantes estarão em risco de ataques “man- 
 in-the-middle”. Muitos sites, como o Facebook e o Google, implementaram o Always-On SSL, o que significa 
 que, independentemente de seu visitante ter passado ou não por uma página de login, todas as comunicações 
 entre o site o servidor serão criptografadas8.
3. Implantar malware nos dispositivos de seu visitante. Se um criminoso cibernético tiver conseguido injetar 
 código JavaScript oculto ou algumas linhas de código vinculadas a outro site que possa instalar malware, 
 todos os visitantes de seu site e o dispositivo que usam para acessá-lo estarão em risco. Esse código malicioso 
 procura por vulnerabilidades no dispositivo do visitante e, se encontrá-las, baixará malware que registra 
 seus pressionamentos de tecla, acessa seus arquivos, bloqueia seu sistema ou usa sua força computacional 
 para distribuir ainda mais o malware.
COmO umA VulNErAbiliDADE PODE 
PrEjuDiCAr O sEu siTE
Seu site é um vínculo entre você e os seus clientes. Isso significa que 
criminosos podem explorar suas vulnerabilidades de três maneiras principais:
Acessar as 
informações e 
desligar seu servidor 
interceptar 
informações trocadas 
entre você e os seus 
visitantes
implantar malware 
nos dispositivos de 
seu visitante
p. 7
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site 
As vulnerabilidades de site são com-
plexas, e tirar vantagem delas não é 
necessariamente simples. Entretanto, 
existem vários criminosos ciberné-
ticos e gangues empresariais que 
desenvolvem e vendem toolkits. Esses 
toolkits incluem informações sobre 
vulnerabilidades conhecidas e o có-
digo necessário para tirar vantagem 
delas, e eles são muito populares. Isso 
significa que um grupo muito maior 
de criminosos menos habilidosos tem 
a capacidade de explorar e atacar o 
seu site, simplesmente comprando 
ou roubando esses toolkits. Em 2012, 
por exemplo, um único toolkit, o 
Blackhole, contabilizou 41% de todos 
os ataques de toolkit baseados na 
Web.
quando acontece com você
Falar sobre vulnerabilidades em termos abstratos é fácil, 
mas o impacto dos ataques baseados na Web são muito 
reais. Você pode descobrir mais sobre a mecânica do 
malware em nosso informe oficial9 “Como o malware 
funciona”, mas alguns exemplos recentes do mundo real 
provam apenas como as vulnerabilidades podem ser 
perigosas:
• Ataques de injeção de sql. O recente Web 
Application Attack Report (WAAR) da Imperva mostra 
que, enquanto um aplicativo Web típico enfrentou 12 
dias por mês nos quais ocorreu pelo menos um incidente 
de ataque, o pior caso detectou 176 dias como esses no 
período de observação de seis meses, o que significa que 
eles foram atacados praticamente todos os dias. “A lição 
é que essas organizações devem basear as medidas de 
segurança no pior cenário, e não na média”, conclui o 
relatório10. 
• Dados não criptografados. Kashmir Hill, uma 
repórter da Forbes, conseguiu não somente encontrar 
uma lista de imóveis com uma marca específica de soft-
ware de automação doméstica, mas também conseguiu 
invadir esse software e controlar dispositivos eletrônicos 
remotamente – a partir de uma pesquisa do Google. 
Nenhum nome de usuário ou senha foi necessário para 
acessar o sistema, e a lista de clientes não foi bloqueada 
no crawling do mecanismo de busca; assim, ela achou a 
lista facilmente depois de uma rápida pesquisa11.
• Ataques de dia zero. Em maio de 2013, foi disponibi-
lizada uma exploração de dia zero do kernel do Linux, o 
que foi potencialmente desastroso para hosts da Web. 
Foram necessárias reinicializações de sistema, o que 
tirou muitos sites do ar sem aviso12.
A bATAlhA é mAiOr DO quE VOCê PENsA
p. 8
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site 
Embora as grandes empresas poten-
cialmente tenham a chave dos maio-
res cofres, isso não significa que ser 
pequeno é estar seguro. Na verdade, 
de acordo com a pesquisa sobre a 
lacuna no conhecimento de vulnera-
bilidades da Symantec, proprietári-
os de pequenas empresas são me-
nos informados sobre a segurança 
de seu site do que os proprietários 
de grandes organizações. Isso os 
coloca em risco significativo quando 
se considera que praticamente um 
terço dos ataques direcionados em 
2012 tinha como alvo empresas 
com apenas 1 a 250 funcionários13.
As pessoas e os processos representam 
uma vulnerabilidade também
Proteger-se a si mesmo contra vulnerabilidades de 
site vai além da tecnologia. Você precisa treinar toda a 
equipe quanto aos riscos de ataques de phishing ou en-
genharia social a fim de proteger o acesso a servidores 
e sistemas de gerenciamento de conteúdo. Além disso, 
você precisa de processos rigorosos de atualização de 
senhas.
A Symantec tem uma ampla gama de soluções que 
ajudam as empresas a gerenciar seus certificados SSL 
de forma eficaz. Essas ferramentas ajudam os gerentes 
de sites a manter o controle de seus certificados SSL 
e a receber avisos precisos sobre datas de expiração 
futuras. Elas também podem gerenciar a verificação de 
malware e as avaliações de vulnerabilidade automa-
tizadas discutidas neste informe (dependendo do tipo 
de certificado que você usa). A Symantec também tem 
ferramentas como o Certificate Intelligence Center que 
ajudam a monitorar e automatizaro gerenciamento 
de certificados em empresas que tenham um grande 
número de certificados SSL.
NãO há COmO sE EsCONDEr ATrás 
DO sEu TAmANhO
251 a 500
501 a 1.000
1.001 a 1.500
1.501 a 2.500
1 a 250 funcionários
quase um terço dos ataques direcionados
de 2012 tinha como alvo empresas com 
apenas 1-250 funcionários.
1 a 250 funcionários
quase um terço dos ataques direcionados
de 2012 tinha como alvo empresas com 
apenas 1-250 funcionários.18%
em 2011
13%
de aumento
31%31%
9%
3%
2%
5%
2012
p. 9
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site 
Seus clientes e os visitantes do site 
podem não estar totalmente infor-
mados quanto às vulnerabilidades 
do site, mas eles sabem que os sites 
representam riscos significativos para 
seus dados e dispositivos pessoais. 
Eles estão em busca de sinais de que 
você conhece os perigos e está fazen-
do tudo o que pode para protegê-los.
Os certificados Extended Validation (EV) SSL, por exem-
plo, conduzem você e o seu site por um rigoroso procedi-
mento de autenticação que prova que você é quem diz 
que é. Os visitantes do site veem prova disso na forma de 
uma barra de endereços verde em seu site. Esse pequeno 
sinal de garantia pode significar muito: sites protegidos 
por EV informam aumentos de 10% ou mais em taxas de 
cliques de comprador14.
O WSTR da Symantec também concluiu que, em 2012, 
mais consumidores visitaram sites com marcas de 
segurança como o selo Norton Secured, que é a marca de 
segurança mais reconhecida na Internet15. Tirar vantagem 
da tecnologia Symantec Seal-in-Search significa que os 
visitantes podem ter certeza da segurança de seu site 
antes de chegarem nele, pois os mecanismos de busca 
exibirão o selo Norton Secured ao lado do nome de seu 
site nos resultados de pesquisa. Assim, as pessoas veem o 
seu site como mais confiável antes mesmo de clicar para 
visitá-lo. 
O parceiro certo soma forças com você
Quando se trata de vulnerabilidades de site, certamente 
conhecimento é poder. Escolher o parceiro de segurança 
certo para proteger e monitorar essas vulnerabilidades é o 
que agrega esse valor extra contra os criminosos ciberné-
ticos. 
A Symantec oferece uma ampla gama de Website Security 
Solutions, incluindo o EV, uma seleção de algoritmos de 
criptografia diferentes e a verificação de vulnerabilidades 
e de malware. A prova do nosso poder está nos altos 
padrões que temos para a nossa própria segurança: por 
exemplo, temos processos de autenticação auditados 
pela KPMG e data centers de nível militar para a nossa 
infraestrutura SSL e PKI.
O Web Site Malware Scanning da Symantec adiciona uma 
segunda linha de defesa e uma verificação externa útil. 
Tudo isso fará parte do serviço se você escolher os cer-
tificados Symantec SSL, e você poderá evitar a surpresa 
desagradável de ser incluído inesperadamente na lista 
negra de um mecanismo de busca.
Com a Symantec, você tem um parceiro de segurança 
conhecido e bem equipado que pode manter o seu site e 
os negócios por trás dele seguros e confiáveis.
Para saber mais sobre as Symantec Website Security 
Solutions, visite www.symantec.com/pt/br/ssl
CONhECimENTO é PODEr PArA 
O sEu CliENTE TAmbém
Identified by Norton
p. 10
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site 
1.	 	Avaliação	de	vulnerabilidades	da	Symantec	–	você	se	sente	vulnerável?	Você	deveria,	
https://www.symantec-wss.com/campaigns/14601/ptbr/assets/VA-WhitePaper-PTBR.pdf
2. 	 The	Internet	then	and	now	(A	Internet	antes	e	depois)	por	WhoIsHostingThis?
	 http://www.whoishostingthis.com/blog/2013/06/17/internet-then-and-now/#.
3.		 Avaliação	de	vulnerabilidades	da	Symantec	–	você	se	sente	vulnerável?	Você	deveria,	
	 https://www.symantec-wss.com/campaigns/14601/pl/assets/VA-WhitePaper-PTBR.pdf
4. 	 Relatório	da	Symantec	sobre	ameaças	de	segurança	de	sites	em	2013,
	 https://www.symantec-wss.com/ptbr
5.		 Avaliação	de	vulnerabilidades	da	Symantec	–	você	se	sente	vulnerável?	Você	deveria,	
	 https://www.symantec-wss.com/campaigns/14601/ptbr/assets/VA-WhitePaper-PTBR.pdf
6. 	 Synthesis,	“WP	Sites	Under	Attack	Across	the	Globe!!!”	(Synthesis,	Sites	WP	sob	ataque	em	todo	o	mundo!)	
	 http://websynthesis.com/wp-bruce-force-protection/
7. 	 http://www.symantec.com/connect/blogs/2013-first-quarter-zero-day-vulnerabilities
8.		 “Facebook	implements	Always-On	SSL”	(O	Facebook	implementa	o	Always-On	SSL)	
	 http://www.symantec.com/connect/blogs/facebook-implements-always-ssl	
9.		 http://www.verisign.com/verisigntransition101/files/MalwareSecurityReport.pdf
10. 	 “Retailers	Suffer	2X	More	SQL	Injection	Attacks	than	Other	Industries;	One	Application	Attacked	an	Average	of	26	Times	per	Minute”	(O	varejo		
	 sofre	duas	vezes	mais	ataques	de	injeção	de	SQL	do	que	outros	setores;	um	aplicativo	atacado	em	uma	média	de	26	vezes	por	minuto)	
	 http://www.cso.com.au/mediareleases/16923/retailers-suffer-2x-more-sql-injection-attacks/
11.		 Hacking	Smart	Homes	(Invadindo	domicílios	inteligentes),	http://www.symantec.com/connect/blogs/hacking-smart-homes	
12. 	 Synthesis,	“How	We	Kept	You	Safe	During	Yesterday’s	Zero-Day	Security	Emergency”	(Synthesis,	Como	mantivemos	você	seguro	durante	a		
	 emergência	de	segurança	de	dia	zero	de	ontem)	
	 http://websynthesis.com/zero-day-linux-exploit/	
13.		 Relatório	da	Symantec	sobre	ameaças	de	segurança	de	sites	em	2013,
	 https://www.symantec-wss.com/ptbr
14.		 Online	Trust	Alliance,	https://otalliance.org/resources/EV/index.html	acessado	em	10	de	setembro	de	2013
15.		 Pesquisa	internacional	sobre	o	consumidor	online	do	Symantec	WSS:	Estados	Unidos,	Alemanha,	Reino	Unido,	julho	de	2012
rEfErêNCiAs
Symantec Website Security Solutions
Website Security Threat Report 2013
SOBRE A SYMANTEC
As Symantec Website Security Solutions incluem o gerenciamento 
de certificados SSL líderes do setor, a avaliação de vulnerabilidades 
e a verificação de malware. O Norton™ Secured Seal e a Symantec 
Seal-in-Search garantem a seus clientes que eles estão seguros ao 
pesquisar, navegar e comprar.
Mais informações disponíveis em www.symantec.com/pt/br/ssl
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
SIGA-NOS 
Para obter informações de escritórios locais 
específicos e números de contato, visite nosso site. 
Para conversar com um Especialista em Produtos, 
ligue para +1 650-436-3400 
 
symantec brasil headquarters 
Av. Dr. Chucri Zaidan, 920 - 12o andar 
Market Place Tower 
São Paulo, SP, Brasil 
www.symantec.com/pt/br/ssl