O risco cibernético em evolução é uma preocupação constante para as empresas no Brasil e no mundo. De modo geral, o cenário de segurança cibernética brasileiro tem evoluído positivamente, como indicam muitas pesquisas recentes sobre o assunto. Uma das mais recentes, publicada em 12 de setembro pela União Internacional de Telecomunicações (UIT), é o Índice Global de Segurança Cibernética 2024 (Global Cybersecurity Index – GCIv5). O Brasil aparece em segundo lugar em maturidade cibernética nas Américas, subindo do 6º lugar em 2018 e do 3º em 2021. No entanto, apesar desses avanços, ainda há muito o que fazer, já que as ameaças cibernéticas estão em constante evolução, exigindo que organizações mantenham suas equipes treinadas e conscientes dos riscos e soluções.
Os riscos são de duas ordens: diretamente contra máquinas e diretamente contra pessoas. Contra as máquinas, as grandes categorias são:
• Ataques de Negação de Serviço
• Vulnerabilidades não corrigidas
Já contra as pessoas, as grandes categorias de risco são:
• Phishing
• Falta de conhecimento
A evolução dos ataques de negação de serviço
A primeira categoria de risco é a dos ataques de negação de serviço, sendo um exemplo claro de como o risco cibernético em evolução afeta as organizações. Esses ataques existem há quase 30 anos, e desde então as empresas vêm mitigando-os com uma variedade de técnicas e ferramentas, muitas vezes implantadas até mesmo nos roteadores. Os serviços de rede utilizam bloqueio de IPs, desvio de tráfego e análise de pacotes, entre outras medidas, para impedir que milhões de solicitações maliciosas sobrecarreguem os servidores e bloqueiem o atendimento das solicitações legítimas dos usuários.
No entanto, hackers a serviço do mal cada vez mais desenvolvem novas técnicas para derrubar serviços e servidores, causando prejuízos e ameaçando as organizações com a persistência dos ataques. Muitas vezes, esses malfeitores exigem um valor como resgate para suspenderem os ataques. Em muitos outros casos, os ataques são de hacktivistas a serviço de uma causa, igualmente prejudicando serviços e seus usuários.
HTTP/2, um vetor com grande poder
Nos últimos anos, várias técnicas surgiram para uso em ataques de negação de serviço, das quais destacamos duas que abusam do protocolo HTTP/2. Esse protocolo é uma atualização — na verdade, a primeira nova versão, publicada em 2015 — do protocolo HTTP. No entanto, suas qualidades têm sido abusadas para degradar o funcionamento dos servidores com dois tipos de ataques.
Primeiro, temos o HTTP/2 Rapid Reset. Nesse ataque, são enviadas solicitações HTTP/2 inválidas, mas projetadas para causar um reset de conexão inesperado e brusco no servidor, levando a uma sobrecarga e, eventualmente, a uma negação de serviço. Para mitigar esse ataque, as empresas podem adotar as seguintes práticas:
- Filtragem de solicitações,
- Limitação de conexões,
- Monitoramento e resposta, e
- Configuração correta.
Outro tipo de ataque relacionado ao HTTP/2 é o HTTP/2 Continuation Frame. Nessa técnica maliciosa, o atacante inicia um pedido HTTP/2 legítimo com um frame de cabeçalho. Em seguida, ele injeta frames de continuação contendo dados não autorizados ou maliciosos. Como resultado, o servidor interpreta esses frames como parte do pedido original, mas essa sequência pode levar a comportamentos inesperados e instabilidade do servidor. Para mitigar esse tipo de ataque, as seguintes ações são recomendadas:
- Validação rigorosa dos frames,
- Limitação do tamanho dos frames, e
- Monitoramento contínuo do tráfego.
Novas ameaças em ataques de negação de serviço
Outros dois tipos de ataques de negação de serviço têm sido observados pelas empresas de telecomunicações e rede, como a Huge Networks. Primeiramente, o Loop DoS. O atacante, geralmente, procura por vulnerabilidades específicas no sistema que deseja atingir e que possam ser exploradas para criar um loop infinito de solicitações, desencadeando respostas inesperadas ou incorretas, e assim, degradando o serviço. Para mitigar esse tipo de ataque, as empresas recorrem a:
- Atualizações de segurança regulares,
- Configurações de firewall adequadas e atualizadas,
- Limitação das solicitações, e
- Monitoramento com resposta rápida.
Além disso, temos o DNSbomb. Nesse tipo de ataque, o atacante localiza um servidor DNS crítico para a organização e, em seguida, envia um grande número de consultas, normalmente utilizando nomes de domínio inexistentes ou inválidos. O excesso de consultas resulta no esgotamento dos recursos e, eventualmente, na interrupção dos serviços. Para mitigar esse risco, as principais alternativas têm sido:
- Limitação do número de consultas por IP,
- Uso de serviços DNS redundantes com balanceamento de carga.
Vulnerabilidades e o crescimento das ameaças cibernéticas
Os ataques contra as máquinas fazem parte do risco cibernético em evolução, pois costumam tirar partido de vulnerabilidades bem conhecidas ou até mesmo desconhecidas – nesse caso, chamadas de “zero days”, porque estão na fase em que têm “zero dias desde sua primeira localização”. Serviços de espionagem de estados-nação às vezes exploram essas vulnerabilidades desconhecidas durante anos antes de localizá-las. Em muitos casos, pesquisadores de segurança e as próprias empresas que fabricam as soluções de software costumam fazer as descobertas dessas vulnerabilidades. Assim que publicam as correções para essas falhas, as empresas devem aplicá-las em todas as soluções em uso imediatamente para evitar que hackers as localizem e abusem delas. A partir desse momento, elas deixam de ser “zero days”. Infelizmente, porém, muitas falhas permanecem sem correção e ficam disponíveis para qualquer um que as descubra navegando na Internet.
Phishing e a evolução dos ataques contra pessoas
Entre as grandes categorias de risco contra as pessoas, o phishing é sem dúvida uma das mais perigosas. O risco cibernético em evolução também engloba malfeitores do mundo inteiro que disparam, diariamente, milhões de mensagens de correio eletrônico transportando documentos contaminados ou links que levam a páginas ou documentos igualmente contaminados.Nesse caso, os malfeitores copiam páginas e sites falsificados, logotipos e fotografias a fim de criar uma ilusão de confiança em quem navega nas páginas falsas.Consequentemente, o malware presente nesses itens contamina o computador da vítima e, ao se instalar, abre as portas para a invasão da máquina, da rede ou de ambos. Com apenas um clique, começa o trajeto potencialmente capaz de conduzir a um incidente cibernético de grandes proporções.
Para combater esse risco, as empresas investem em treinamentos, simulações e outras estratégias para manter todos os colaboradores alertas, garantindo que eles não caiam na tentação do clique, especialmente quando usam seus próprios celulares conectados ao Wi-Fi da companhia. Além disso, a falta de conhecimento representa uma ameaça crescente dentro do risco cibernético em evolução, colocando em perigo tanto os funcionários quanto as empresas quando não sabem usar senhas fortes, autenticação de dois fatores, autenticação por biometria e outras estratégias de segurança. Portanto, as empresas devem educar continuamente seus funcionários sobre os riscos cibernéticos, encarando esses programas como um investimento, e não como uma despesa.
Gostou deste conteúdo?
Se você achou este artigo útil e quer se aprofundar em mais temas relacionados à segurança, conectividade e inovações tecnológicas, explore outros artigos no blog da Huge Networks.