F5 mapeia as ameaças que atingem a América Latina e o Brasil

Views: 57
0 0
Read Time:7 Minute, 26 Second

Região já é responsável por 37% do tráfego malicioso mundial e Brasil e Venezuela são as principais fontes de ataques contra a América Latina; experts da F5 detalham tanto a origem – por meio da análise de endereços IP – como o alvo de ataques disparados no final de 2019

A F5, líder em soluções que garantem a segurança e a entrega de aplicações corporativas, anuncia os resultados da pesquisa “Regional Threat Perspectives, Fall 2019: Latin America”, levantamento realizado pelo F5 Labs a partir de eventos mapeados durante os últimos meses de 2019. Sediado em Seattle, EUA, o F5 Labs é uma divisão da F5 Networks que identifica ameaças que atingem empresas do mundo todo; o conhecimento construído pelos experts do F5 Labs é disponibilizado gratuitamente no portal https://www.f5.com/labs. O levantamento Regional Threat Perspectives, Fall 2019: Latin America foi realizado com o apoio dos profissionais da Baffin Bay Networks.

“Nossa meta é ajudar as empresas da nossa região a enfrentar com eficácia o crime digital”, explica Hilmar Becker, country manager da F5 Networks Brasil. Para isso, a pesquisa entrega aos gestores de segurança a lista os endereços IP de onde vêm os ataques e o tipo de porta de comunicação mais vulnerável a esses ataques.

O endereço IP representa um dispositivo (computador ou equipamento de rede, tradicional ou virtual) conectado à Internet. O IP de origem pode informar a localidade de onde partiu o ataque e, conforme o nível da investigação, chega a revelar o nome (razão social) da empresa de onde o malware foi disparado. A porta de comunicação, por outro lado, dá acesso a uma aplicação específica – e-mail, navegador Web etc. – que utiliza os recursos de dispositivos conectados à Internet. A porta em situação vulnerável é alvo de ataques, sendo descoberta por meio de scans.

O relatório mostra que a presença da América Latina no mapa mundial de ataques é bastante expressiva: 37% de todo o tráfego malicioso do mundo é gerado por países desta região.

O Brasil sai na frente como ponto de origem de ataques digitais contra a América Latina; em segundo lugar vêm a Venezuela, seguida pela Itália. Os outros países da região que se destacaram no levantamento da F5 são a Costa Rica (sétima posição), a Argentina (décima primeira posição) e Colômbia (décima sexta posição). “A América Latina também é alvo de ataques de outras nações: EUA, Holanda, Moldávia, China e Rússia invadem sistemas na nossa região”, diz Becker. O Brasil ataca tanto a América Latina como outros continentes. “Tráfego malicioso disparado de endereços IP do Brasil foi identificado nas redes de todos os países do mundo; isso mostra a agressividade do código dos ataques gerados no Brasil”. Venezuela e Argentina, por outro lado, somente atacam a América Latina.

Sete empresas brasileiras na lista das 50 maiores fontes de malware do mundo

A pesquisa chegou ao detalhe de identificar o nome e o país de origem das empresas donas dos endereços IPs que são a fonte dos ataques digitais. “As operadoras de Telecom, presentes em todo o contexto mapeado pelo F5 Labs, informam a razão social das empresas para quem entregam endereços IP. Essa regra traz visibilidade sobre qual seria a empresa de onde surge o ataque”, detalha Becker.

Na lista das 50 maiores fontes de ataques digitais (empresas), o Brasil tem sete organizações identificadas. A Coréia do Sul apresenta o mesmo número de empresas. Todas as empresas brasileiras da lista produzida pelo F5 Labs são identificadas como LTDA (limitada), ME ou Eirelle. Dentro da legislação brasileira, essas classificações costumam identificar empresas pequenas ou que pertencem a apenas uma pessoa. “Ainda assim, é importante ter cautela na hora de identificar os culpados pelos ataques”, ensina Becker. Os gestores das empresas onde se originam esses ataques nem sempre possuem ciência dessas atividades. É possível que a fonte de ataques seja um equipamento comprometido, sob controle de hackers. Criminosos digitais podem, ainda, mascarar o IP real de origem com o uso de proxies. Isso é feito para que apareça como responsável do ataque um IP que, na verdade, não teria nada com isso.

Criminosos buscam portas de comunicação em configuração default

O outro lado da atividade criminosa – a realização de scans para identificar portas de comunicação em situação vulnerável – também foi mapeada pela pesquisa da F5 Networks. “Há um claro foco dos criminosos digitais em identificar portas padrão SMB 445 – uma das portas mais usadas em ambientes corporativos, comum em drives de computadores e de dispositivos de rede – com falhas de segurança”, diz Becker. O grande objetivo costuma ser a extração de informações críticas como dados sobre clientes, detalhes estratégicos sobre novos produtos etc.

Muitas portas são configuradas de forma default, numa política em que se privilegia o acesso ao recurso aberto pela porta e somente num segundo momento – em alguns casos, depois de um ataque – configura-se restrições a esse acesso. “Essa política muitas vezes deixa as empresas expostas a ataques, já que toda configuração default é uma informação pública”, alerta Becker. Isso vale para identidade (user name) e senhas de acesso. “Para vencer esse desafio é fundamental rever a política de senhas de dispositivos e de gerenciamento de identidades da empresa usuária”.

Ambientes SoHo também estão sob ataque

Em ambientes SoHo (Small Office, Home Office), o alvo dos criminosos digitais são portas 8291, muito comuns em roteadores domésticos. O mesmo perfil é compartilhado pelas portas 7547, muito usadas por ISPs para gerenciar roteadores de pequeno porte. Se configurações default estão presentes no mundo corporativo, isso é ainda mais comum no universo SoHo. “Nesse segmento, o grande objetivo dos criminosos digitais é utilizar portas em situação de vulnerabilidade para organizar ThingBots”, ressalta Becker. O resultado disso são fenômenos como a BotNet Mirai, de 2016, que fez história ao escravizar milhões de dispositivos IoT e utilizá-los em um dos maiores ataques volumétricos (DDoS) da história. A Mirai segue produzindo estragos, agora em versões atualizadas. Para os experts do F5 Labs, a infraestrutura IoT é um dos alvos preferenciais dos criminosos digitais na América Latina.

O relatório mostra, ainda, que uma das portas mais visadas é a MySQL 3306, presente tanto em ambientes com grandes bases de dados (de aplicações tradicionais às milhares de Web Applications sendo lançada no mercado) como em dispositivos IoT.

“Grandes portais Web – de Internet Banking e e-Commerce a portais de notícias –, são alvo de ataques em que portas vulneráveis permitem o acesso a bases de dados SQL, algo que produz estragos muito grandes”, diz Becker. O uso das portas MySQL 3306 por criminosos é prejudicial para os negócios porque as empresas desejam que seus negócios digitais estejam acessíveis para os clientes; dentro deste contexto, a filtragem do tráfego pode ser desafiadora.

Web Application Firewalls: segurança sem o bloqueio massivo de portas

Essa vulnerabilidade segue presente mesmo quando a empresa usuária utiliza firewalls de rede tradicionais, que tendem a bloquear a porta para evitar acessos. Isso pode deixar do lado de fora clientes, investidores etc. Uma solução para esse impasse é utilizar WAFs (Web Application Firewalls) como o F5 ASM. Essa tecnologia usa inteligência artificial para “ler” as demandas da aplicação que suporta o negócio, identificar o que é um acesso válido – dando vazão a isso – e bloquear o que é um ataque. “O acesso à base de dados SQL passa a acontecer a partir de um critério mais refinado, sem que portas de acesso sejam bloqueadas de forma massiva”, explica Becker.

Trata-se de uma gestão caso a caso em que entra em cena, também, o F5 IP Intelligent Service, um serviço que mapeia a internet 24x7x365, classificando IPs em diferentes categorias de risco. Isso é feito com base em atividades maliciosas geradas a partir desses IPs. A integração entre o F5 IP Intelligent Service e o F5 ASM produz uma abordagem de segurança inteligente, em que o acesso à porta não é bloqueado, mas, mesmo assim, a integridade dos dados está garantida.

A inteligência F5 também atua no centro da nuvem – os grandes datacenters – protegendo o acesso a portas que dão vazão a milhões de acessos e transações por segundo. Isso é feito com o firewall F5 Advanced Firewall Management (AFM), que também usa o F5 IP Intelligence Service para estar atualizado. “A soma dessas tecnologias e serviços garante a continuidade da economia digital, algo crítico para o crescimento do Brasil em 2020”, resume Becker.

Sobre a F5

A F5 garante que aplicações ofereçam as melhores experiências de usuário, com a máxima performance e segurança. Isso é feito ao longo de todo o ciclo de vida da aplicação, desde a fase de desenvolvimento até os mais variados ambientes multinuvem. Nossos clientes são corporações, grandes Services Providers como as operadoras de Telecom, governos e as maiores marcas do mercado consumer. Para saber mais sobre a F5, nossos parceiros e nossa tecnologia, visite www.f5.com. Você pode, também, nos seguir no @f5networks (Twitter), ou nos visitar no LinkedIn e no Facebook.

FONTE: SEGS

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *