Baixe o app para aproveitar ainda mais
Prévia do material em texto
CONHECIMENTO É PODER: O GUIA DA SYMANTEC PARA PROTEGER O SEU SITE VULNERABILIDADES QUE PODEM PREJUDICAR O SEU SITE p. 2 Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site Vulnerabilidades que podem prejudicar o seu site 3 Uma falsa sensação de segurança pode trazer custos para você 4 O que você pode fazer? 5 Como uma vulnerabilidade pode prejudicar o seu site 6 A batalha é maior do que você pensa 7 Não há como se esconder atrás do seu tamanho 8 O conhecimento é poder para o seu cliente também 9 CONTEÚDO p. 3 Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site Em 2012, a Symantec realizou mais de 1.400 verificações de vulnerabi- lidade de sites todos os dias. Mais da metade dos sites verificados não tinha patches e apresentava vulnerabilidades potencialmente exploráveis. Dos sites vulneráveis, um terço estava realmente infectado com malware que poderia infectar os visitantes e fazer com que os sites ingressassem na lista negra dos me- canismos de busca. Esses números mostram que milhões de sites legíti- mos estão correndo risco de ataque e exploração graves por criminosos de Internet todos os dias. Apesar disso, um terço das empresas pesquisadas pela Symantec em “A lacuna no conhecimento de vulnera- bilidades” afirma presumir que seus sites são muito seguros, embora não tenham verificado de fato os sites em busca de vulnerabilidades ou infecções1. Você estaria tão confiante sobre a segurança de seu dinheiro se seu banco acidentalmente divulgasse os detalhes de metade das contas sob sua responsabi- lidade? O problema é que muitas empresas simplesmente não entendem o risco que seu site representa para os seus negócios e o quão vulnerável seus sites estão sem a segurança e o monitoramento apropriados. Por que as suas vulnerabilidades importam Por que criminosos atacam sites? Porque é lá que o dinheiro está. Em 2002, as vendas de e-commerce somaram US$ 72 bilhões. Dez anos mais tarde, esse número aumentou para US$ 225,5 bilhões. Em torno de 2,7 bilhões de pessoas usam a Internet em 2013, o que representa praticamente a metade da população mundial2. Corromper sites dá aos criminosos o acesso aos visitantes, bem como aos dados e ao dinheiro deles. A primeira lacuna de conhecimento com a qual você tem que lidar é compreender por que os seus negó- cios e o seu site são tão atraentes para os criminosos cibernéticos. Embora compreender as vulnerabilidades baseadas em tecnologia e processos seja importante, para proteger-se contra elas você precisa entender o risco que elas representam e a probabilidade de que eles sejam exploradas. A sua ignorância é a felicidade deles Sites não são alvos atraentes apenas pelo o que os criminosos podem ganhar. A forma como podem ganhar também importa. Os sites e os servidores que os hospedam possuem inúmeras vulnerabilidades ineren- tes, o que muitos proprietários desconhecem, e isso os torna alvos fáceis. Hospedar sites, por um lado, é muito fácil. Você paga uma empresa de hospedagem e publica o seu site. Por outro lado, trata-se de um processo muito complexo, com várias camadas de software e de hardware, e todas elas precisam funcionar corretamente para manter o seu site seguro. Como parece tão simples, presumir que tudo está funcionando bem costuma ser fácil. Como as tecnicidades são difíceis, é fácil fechar os olhos e espe- rar que outra pessoa cuide de tudo para você. VulNErAbiliDADEs quE PODEm PrEjuDiCAr O sEu siTE p. 4 Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site Uma das vulnerabilidades com maior probabilidade de ser explorada em um site é o cross-site scripting (XSS); apesar disso, as empresas pesquisadas pela Symantec a classificaram como a menos provável. A vulnerabilidade mais temida foram os ataques de força bruta, onde os hackers tentam invadir os servidores que hospedam os sites. Esse tipo de ataque é mais raro, mas é o que vemos na TV e nos filmes; portanto, eles parecem mais prováveis3. O seu site tem muito mais probabilidade de ser vítima de um botnet que verifica milhares de sites em busca de vulnerabilidades conhecidas do que de atrair um grande hacker. Informações incorretas são tão perigosas quanto a falta total de informações, já que elas não apenas disfarçam as reais vulnerabilidades mas também acarretam desperdício de dinheiro, uma vez que as empresas direcionam seus recursos para alvos errados. Onde estão os seus pontos fracos? “Uma única vulnerabilidade em um aplicativo pode representar um risco crítico para uma organização, caso seja explorada com sucesso”, de acordo com o Website Security Threat Security Report (WSTR) da Symantec4. Em 2012, havia 5.291 vulnerabilidades relatadas, acima das 4.989 de 20115. Elas não são incomuns ou raras, e cada uma é igualmente ameaçadora para os seus negócios; por isso, compreender os tipos mais comuns de vulnerabilidade que o seu site enfrenta é vital: umA fAlsA sENsAçãO DE sEgurANçA PODE TrAzEr CusTOs PArA VOCê Em 2012 5.291 vulnerabilidades foram relatadas, em comparação a 4.989 vulnerabilidades relatadas em 2011 p. 5 Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site O quE VOCê PODE fAzEr? Vulnerabilidade O que é? O que você pode fazer? servidores sem patches O índice de descoberta de novas vulnerabilidades foi de apenas 6% no último ano, mas os ataques a sites comprometidos aumentou 30%. "Resu- mindo, são vulnerabilidades mais antigas, sem patches, que comprometem a maioria dos siste- mas", de acordo com a pesquisa da Symantec. Assim como em um PC, se você não mantiver o servidor de seu site atualizado e com patches, estará correndo riscos. A verificação de vulnerabilidades automática, regular e gratuita em toda compra de certificados Symantec Extended Validation ou Pro SSL mantém você informado de vulnerabilidades sem patches. Vulnerabilidades de autorização Senhas fracas, nomes de usuário administrador comprometidos, configurações padrão não alteradas no hardware da rede e software comum deixam os sistemas abertos a ataques por pes- soas que fingem ser usuários legítimos. Imponha uma política de senha forte e controles de acesso robustos, idealmente com autenticação de dois fatores. Garanta que todas as senhas e configurações de hardware e software recentemente implantadas sejam verificadas e alteradas, se necessário. Na medida do possível, limite o acesso de administrador a pessoas confiáveis e avaliadas, de acordo com o sistema. Cross-site scripting Cross-site scripting significa injetar código de um site (que pertence aos criminosos) em outro site (que pertence a você). Isso permite que os criminosos da Internet executem seu próprio código em seu site para atacar ou infectar visitantes, ou para enganá-los para revelar informações valiosas, como senhas. Sempre mantenha o software do servidor da Web atualizado para bloquear quaisquer vulnerabilidades conhecidas contra essa forma de ataque e, quanto ao código personalizado, garanta que todas as entradas sejam validadas corretamente. Faça verificações de malware regulares em seus sites em busca de alterações e adições inesperadas. Ataques de força bruta Como indica o nome, esses ataques simples- mente tentam todas as probabilidades de senha e criptografia até quebrar o código para invadir o seu site. O pior tipo de ataque ocorre quando os hackers conseguem acesso a seus dados criptografados e não estão restritos por tentativas de login limitadas online. Esse tipo de ataque é comum, com sites grandes relatando 500 tentativas de ataques de força bruta por hora6.Mude regularmente as senhas do servidor e do sistema de gerenciamento de conteúdo e man- tenha todos os seus dados criptografados. Garanta o uso de métodos de criptografia atuali- zados, já que algoritmos antigos têm fraquezas conhecidas fáceis de ser exploradas. Se o seu site tiver um portal de login para clientes, garanta que haja um limite no número de logins que as pessoas podem tentar e bloqueie as pessoas que tentarem fazer login com muitas senhas diferentes de uma vez. O software do servidor normalmente vem com essa funcionali- dade, mas certifique-se de garantir a segurança. Explorações de dia zero Essas são vulnerabilidades que ninguém conhece até que um criminoso comece a explorá-las. O ataque começa no “dia zero” de conscientização do risco, e os números cresceram no último ano, quando 14 novas vulnerabilidades de dia zero foram expostas. Nos primeiros três meses de 2013, a Symantec observou 11 vulnerabilidades de dia zero afetando Oracle Java, Adobe Flash, Adobe Reader e Microsoft Internet Explorer7. Se você hospeda seu próprio site, precisa de procedi- mentos de resposta para minimizar o impacto de um ataque como esse. Garanta que todos os aplicativos estejam atualizados com os patches de segurança mais recentes. Embora uma exploração de dia zero não possa receber patches, as atualizações mais recentes darão proteção contra vulnerabilidades divulgadas anteriormente. A verificação de vulnerabilidades automática e regular, tal como a obtida com certificados Symantec SSL, ajudará você a identificar fraquezas o mais cedo possível, assim que forem expostas. p. 6 Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site 1. Acessar as informações e desligar seu servidor. Você tem todos os tipos de informações armazenadas no servidor de seu site, como detalhes e senhas de clientes. O poder do servidor também representa um recurso potencial de força computacional para criminosos distribuírem malware. O acesso ao seu servidor significa violações de dados, perda de confiança e a destruição dos negócios, e é por isso que a verificação regular de vulnerabilidades é tão importante. 2. Interceptar informações trocadas entre você e os seus visitantes. Informações estão constantemente sendo passadas de um lado para outro entre seus visitantes e o seu site. A menos que haja certificados SSL atualizados que criptografem essas informações, você e seus visitantes estarão em risco de ataques “man- in-the-middle”. Muitos sites, como o Facebook e o Google, implementaram o Always-On SSL, o que significa que, independentemente de seu visitante ter passado ou não por uma página de login, todas as comunicações entre o site o servidor serão criptografadas8. 3. Implantar malware nos dispositivos de seu visitante. Se um criminoso cibernético tiver conseguido injetar código JavaScript oculto ou algumas linhas de código vinculadas a outro site que possa instalar malware, todos os visitantes de seu site e o dispositivo que usam para acessá-lo estarão em risco. Esse código malicioso procura por vulnerabilidades no dispositivo do visitante e, se encontrá-las, baixará malware que registra seus pressionamentos de tecla, acessa seus arquivos, bloqueia seu sistema ou usa sua força computacional para distribuir ainda mais o malware. COmO umA VulNErAbiliDADE PODE PrEjuDiCAr O sEu siTE Seu site é um vínculo entre você e os seus clientes. Isso significa que criminosos podem explorar suas vulnerabilidades de três maneiras principais: Acessar as informações e desligar seu servidor interceptar informações trocadas entre você e os seus visitantes implantar malware nos dispositivos de seu visitante p. 7 Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site As vulnerabilidades de site são com- plexas, e tirar vantagem delas não é necessariamente simples. Entretanto, existem vários criminosos ciberné- ticos e gangues empresariais que desenvolvem e vendem toolkits. Esses toolkits incluem informações sobre vulnerabilidades conhecidas e o có- digo necessário para tirar vantagem delas, e eles são muito populares. Isso significa que um grupo muito maior de criminosos menos habilidosos tem a capacidade de explorar e atacar o seu site, simplesmente comprando ou roubando esses toolkits. Em 2012, por exemplo, um único toolkit, o Blackhole, contabilizou 41% de todos os ataques de toolkit baseados na Web. quando acontece com você Falar sobre vulnerabilidades em termos abstratos é fácil, mas o impacto dos ataques baseados na Web são muito reais. Você pode descobrir mais sobre a mecânica do malware em nosso informe oficial9 “Como o malware funciona”, mas alguns exemplos recentes do mundo real provam apenas como as vulnerabilidades podem ser perigosas: • Ataques de injeção de sql. O recente Web Application Attack Report (WAAR) da Imperva mostra que, enquanto um aplicativo Web típico enfrentou 12 dias por mês nos quais ocorreu pelo menos um incidente de ataque, o pior caso detectou 176 dias como esses no período de observação de seis meses, o que significa que eles foram atacados praticamente todos os dias. “A lição é que essas organizações devem basear as medidas de segurança no pior cenário, e não na média”, conclui o relatório10. • Dados não criptografados. Kashmir Hill, uma repórter da Forbes, conseguiu não somente encontrar uma lista de imóveis com uma marca específica de soft- ware de automação doméstica, mas também conseguiu invadir esse software e controlar dispositivos eletrônicos remotamente – a partir de uma pesquisa do Google. Nenhum nome de usuário ou senha foi necessário para acessar o sistema, e a lista de clientes não foi bloqueada no crawling do mecanismo de busca; assim, ela achou a lista facilmente depois de uma rápida pesquisa11. • Ataques de dia zero. Em maio de 2013, foi disponibi- lizada uma exploração de dia zero do kernel do Linux, o que foi potencialmente desastroso para hosts da Web. Foram necessárias reinicializações de sistema, o que tirou muitos sites do ar sem aviso12. A bATAlhA é mAiOr DO quE VOCê PENsA p. 8 Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site Embora as grandes empresas poten- cialmente tenham a chave dos maio- res cofres, isso não significa que ser pequeno é estar seguro. Na verdade, de acordo com a pesquisa sobre a lacuna no conhecimento de vulnera- bilidades da Symantec, proprietári- os de pequenas empresas são me- nos informados sobre a segurança de seu site do que os proprietários de grandes organizações. Isso os coloca em risco significativo quando se considera que praticamente um terço dos ataques direcionados em 2012 tinha como alvo empresas com apenas 1 a 250 funcionários13. As pessoas e os processos representam uma vulnerabilidade também Proteger-se a si mesmo contra vulnerabilidades de site vai além da tecnologia. Você precisa treinar toda a equipe quanto aos riscos de ataques de phishing ou en- genharia social a fim de proteger o acesso a servidores e sistemas de gerenciamento de conteúdo. Além disso, você precisa de processos rigorosos de atualização de senhas. A Symantec tem uma ampla gama de soluções que ajudam as empresas a gerenciar seus certificados SSL de forma eficaz. Essas ferramentas ajudam os gerentes de sites a manter o controle de seus certificados SSL e a receber avisos precisos sobre datas de expiração futuras. Elas também podem gerenciar a verificação de malware e as avaliações de vulnerabilidade automa- tizadas discutidas neste informe (dependendo do tipo de certificado que você usa). A Symantec também tem ferramentas como o Certificate Intelligence Center que ajudam a monitorar e automatizaro gerenciamento de certificados em empresas que tenham um grande número de certificados SSL. NãO há COmO sE EsCONDEr ATrás DO sEu TAmANhO 251 a 500 501 a 1.000 1.001 a 1.500 1.501 a 2.500 1 a 250 funcionários quase um terço dos ataques direcionados de 2012 tinha como alvo empresas com apenas 1-250 funcionários. 1 a 250 funcionários quase um terço dos ataques direcionados de 2012 tinha como alvo empresas com apenas 1-250 funcionários.18% em 2011 13% de aumento 31%31% 9% 3% 2% 5% 2012 p. 9 Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site Seus clientes e os visitantes do site podem não estar totalmente infor- mados quanto às vulnerabilidades do site, mas eles sabem que os sites representam riscos significativos para seus dados e dispositivos pessoais. Eles estão em busca de sinais de que você conhece os perigos e está fazen- do tudo o que pode para protegê-los. Os certificados Extended Validation (EV) SSL, por exem- plo, conduzem você e o seu site por um rigoroso procedi- mento de autenticação que prova que você é quem diz que é. Os visitantes do site veem prova disso na forma de uma barra de endereços verde em seu site. Esse pequeno sinal de garantia pode significar muito: sites protegidos por EV informam aumentos de 10% ou mais em taxas de cliques de comprador14. O WSTR da Symantec também concluiu que, em 2012, mais consumidores visitaram sites com marcas de segurança como o selo Norton Secured, que é a marca de segurança mais reconhecida na Internet15. Tirar vantagem da tecnologia Symantec Seal-in-Search significa que os visitantes podem ter certeza da segurança de seu site antes de chegarem nele, pois os mecanismos de busca exibirão o selo Norton Secured ao lado do nome de seu site nos resultados de pesquisa. Assim, as pessoas veem o seu site como mais confiável antes mesmo de clicar para visitá-lo. O parceiro certo soma forças com você Quando se trata de vulnerabilidades de site, certamente conhecimento é poder. Escolher o parceiro de segurança certo para proteger e monitorar essas vulnerabilidades é o que agrega esse valor extra contra os criminosos ciberné- ticos. A Symantec oferece uma ampla gama de Website Security Solutions, incluindo o EV, uma seleção de algoritmos de criptografia diferentes e a verificação de vulnerabilidades e de malware. A prova do nosso poder está nos altos padrões que temos para a nossa própria segurança: por exemplo, temos processos de autenticação auditados pela KPMG e data centers de nível militar para a nossa infraestrutura SSL e PKI. O Web Site Malware Scanning da Symantec adiciona uma segunda linha de defesa e uma verificação externa útil. Tudo isso fará parte do serviço se você escolher os cer- tificados Symantec SSL, e você poderá evitar a surpresa desagradável de ser incluído inesperadamente na lista negra de um mecanismo de busca. Com a Symantec, você tem um parceiro de segurança conhecido e bem equipado que pode manter o seu site e os negócios por trás dele seguros e confiáveis. Para saber mais sobre as Symantec Website Security Solutions, visite www.symantec.com/pt/br/ssl CONhECimENTO é PODEr PArA O sEu CliENTE TAmbém Identified by Norton p. 10 Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site 1. Avaliação de vulnerabilidades da Symantec – você se sente vulnerável? Você deveria, https://www.symantec-wss.com/campaigns/14601/ptbr/assets/VA-WhitePaper-PTBR.pdf 2. The Internet then and now (A Internet antes e depois) por WhoIsHostingThis? http://www.whoishostingthis.com/blog/2013/06/17/internet-then-and-now/#. 3. Avaliação de vulnerabilidades da Symantec – você se sente vulnerável? Você deveria, https://www.symantec-wss.com/campaigns/14601/pl/assets/VA-WhitePaper-PTBR.pdf 4. Relatório da Symantec sobre ameaças de segurança de sites em 2013, https://www.symantec-wss.com/ptbr 5. Avaliação de vulnerabilidades da Symantec – você se sente vulnerável? Você deveria, https://www.symantec-wss.com/campaigns/14601/ptbr/assets/VA-WhitePaper-PTBR.pdf 6. Synthesis, “WP Sites Under Attack Across the Globe!!!” (Synthesis, Sites WP sob ataque em todo o mundo!) http://websynthesis.com/wp-bruce-force-protection/ 7. http://www.symantec.com/connect/blogs/2013-first-quarter-zero-day-vulnerabilities 8. “Facebook implements Always-On SSL” (O Facebook implementa o Always-On SSL) http://www.symantec.com/connect/blogs/facebook-implements-always-ssl 9. http://www.verisign.com/verisigntransition101/files/MalwareSecurityReport.pdf 10. “Retailers Suffer 2X More SQL Injection Attacks than Other Industries; One Application Attacked an Average of 26 Times per Minute” (O varejo sofre duas vezes mais ataques de injeção de SQL do que outros setores; um aplicativo atacado em uma média de 26 vezes por minuto) http://www.cso.com.au/mediareleases/16923/retailers-suffer-2x-more-sql-injection-attacks/ 11. Hacking Smart Homes (Invadindo domicílios inteligentes), http://www.symantec.com/connect/blogs/hacking-smart-homes 12. Synthesis, “How We Kept You Safe During Yesterday’s Zero-Day Security Emergency” (Synthesis, Como mantivemos você seguro durante a emergência de segurança de dia zero de ontem) http://websynthesis.com/zero-day-linux-exploit/ 13. Relatório da Symantec sobre ameaças de segurança de sites em 2013, https://www.symantec-wss.com/ptbr 14. Online Trust Alliance, https://otalliance.org/resources/EV/index.html acessado em 10 de setembro de 2013 15. Pesquisa internacional sobre o consumidor online do Symantec WSS: Estados Unidos, Alemanha, Reino Unido, julho de 2012 rEfErêNCiAs Symantec Website Security Solutions Website Security Threat Report 2013 SOBRE A SYMANTEC As Symantec Website Security Solutions incluem o gerenciamento de certificados SSL líderes do setor, a avaliação de vulnerabilidades e a verificação de malware. O Norton™ Secured Seal e a Symantec Seal-in-Search garantem a seus clientes que eles estão seguros ao pesquisar, navegar e comprar. Mais informações disponíveis em www.symantec.com/pt/br/ssl Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site SIGA-NOS Para obter informações de escritórios locais específicos e números de contato, visite nosso site. Para conversar com um Especialista em Produtos, ligue para +1 650-436-3400 symantec brasil headquarters Av. Dr. Chucri Zaidan, 920 - 12o andar Market Place Tower São Paulo, SP, Brasil www.symantec.com/pt/br/ssl
Compartilhar