A realização de ciberataques está cada vez mais fácil, econômica e rápida. E esse é o principal motivo para o aumento no número de casos. Mesmo assim, um cibercriminoso ganha bem menos dinheiro do que os profissionais de segurança informática.

No post de hoje, analisamos os principais resultados do relatório Flipping the Economics of Attacks, publicado no ano passado. O documento está baseado em uma pesquisa encomendada pelo Palo Alto Networks ao Instituto Ponemon.

O Instituto Ponemon entrevistou mais de 10.000 indivíduos nos Estados Unidos, no Reino Unido e na Alemanha, que diziam ter habilidades de hacking e que haviam participado de alguns dos eventos do setor. No entanto, a amostra final do estudo consistiu em 304 entrevistas completas, ou seja, a taxa de respostas foi apenas de 2,9%.

O relatório concentra-se principalmente nos seguintes aspectos:

  • Motivação econômica para os atacantes.
  • Motivos pelos quais os ataques bem-sucedidos estão aumentando.
  • Pontos de inflexão, ou seja, o momento em que os cibercriminosos decidem cancelar o ataque.

A motivação econômica

O estudo demonstra que a motivação para 69%1 dos atacantes é o dinheiro. A pesquisa também revelou que os atacantes recebem em média 28.744 dólares ao ano, trabalhando 705 horas nos ataques. Os autores do estudo compararam essas cifras com os salários no setor de segurança e descobriram que os atacantes ganham 29% a menos que o salário médio dos profissionais de segurança informática, tanto no setor público como privado.

Os dados da pesquisa, na qual esses cálculos2 se baseiam, são bastante interessantes. Um atacante precisa de 70 horas1 para realizar um ataque contra uma infraestrutura típica de segurança informática, enquanto que no caso de uma infraestrutura com alto nível de segurança, o número mais que dobra para 147 horas.

O atacante típico faz 8.261 ataques por ano com 42%1 de êxito. Desses ataques bem-sucedidos, apenas 59%1 tem um lucro econômico diferente de zero. Se não for bem-sucedido, o ataque consome 2091 horas antes de ser cancelado. O lucro por ataque bem-sucedido é de $14.7111, enquanto que as ferramentas especializadas de hacking custam $1.3671 por ano.

Por que os ataques bem-sucedidos estão aumentando?

A pesquisa demonstrou que os atacantes estão se beneficiando com as “ferramentas de hacking automatizadas, com as quais o ataque tem mais probabilidades de dar certo”. Ao total, 68% dos entrevistados estiveram de acordo ou muito de acordo com essa afirmação. Segundo mais da metade (56%) dos entrevistados, “o tempo e os recursos que um cibercriminoso precisa para realizar um ataque bem-sucedido tem diminuído com o tempo”.

Quanto aos custos para realizar ataques cibernéticos, os valores têm sofrido um declínio de 25%, de acordo com estimativas dos entrevistados. As principais razões são: o aumento do número de exploits e das vulnerabilidades conhecidas (67% concordam ou concordam fortemente), o aperfeiçoamento das habilidades dos atacantes (52%), melhoria nas ferramentas utilizadas (46%), uma maior colaboração dentro da comunidade (22%), assim como a melhor inteligência sobre organizações específicas (20%3).

Em qual momento os cibercriminosos cancelam os ataques?

O planejamento e a execução de um ataque cibernético contra uma organização com uma infraestrutura de segurança informática típica requerem entre 1 e 24 horas, segundo 53% dos experts em ameaças que participaram da pesquisa. O segundo prazo para a montagem de um ataque, no qual 28% esteve de acordo, foi de 1 a 7 dias.

Como 42% dos ataques cibernéticos são bem-sucedidos (esse valor é extrapolado; a maioria concordou que o intervalo, em porcentagem, era entre 51% e 75%, onde 26% dos entrevistados estavam de acordo); o tempo é o principal inimigo de um atacante. A pesquisa indica que quanto mais tempo transcorre antes de que um ataque exitoso seja executado, maiores são as probabilidades de que a organização seja capaz de detê-lo.

Por exemplo, um atraso de cinco horas na realização de um ataque bem-sucedido impede 13% dos ataques1, e se a demora for de 20 horas, o percentual cresce para 36%1. Um criminoso desiste do ataque e passa a um novo alvo depois de ter trabalhado pelo menos nove dias no dito ataque sem obter êxito.

Qual é a conclusão para as potenciais vítimas dos cibercriminosos?

Essa pesquisa nos proporciona uma perspectiva única sobre as estratégias operacionais dos cibercriminosos. No entanto, a pergunta mais importante (quais tecnologias de segurança devemos utilizar para “impedir ou reduzir os ataques”?) aqui está claramente direcionada às grandes empresas (embora a resposta pareça inclinar-se para os produtos do portfólio de soluções que patrocinam o estudo). É bastante estranho ver que o “intercâmbio de informações sobre as ameaças” se encontra no pedestal das tecnologias de segurança, enquanto que as soluções para endpoints ficam muito atrás de outras soluções irrelevantes,como o uso do hacking como defesa, e de soluções óbvias, como o uso de equipamentos “honeypot” com a intenção de infectar-se para capturar malware.

É verdade que todas elas são ferramentas úteis, mas como se tratam de grandes empresas, nesse caso, os experts em ameaças entrevistados se focaram nas ferramentas menores. De acordo com o relatório, um ataque cibernético (caso tenha êxito) tem uma rentabilidade de apenas 15.000 dólares estadunidenses (valor aproximado). Esse número é muito baixo em comparação com os 3,8 milhões de dólares, que é o custo total médio de uma brecha de dados, segundo outra pesquisa do instituto Ponemon, realizada em 2015, com o título: 2015 Cost of Data Breach Study.

Além disso, as pequenas empresas também podem fazer uso do intercâmbio de informações sobre ameaças, já que existem soluções avançadas de segurança para endpoints que completam essa tecnologia. Também conhecida como Sistema na nuvem de proteção contra malware, recolhe amostras de aplicativos potencialmente maliciosos e outras possíveis ameaças para realizar teste automáticos em modo sandbox e analisar seu comportamento, o que gera a criação de assinaturas automatizadas sem ser necessário confirmar qualquer característica maliciosa. Todos os usuários que optam por utilizar essa tecnologia participam do “intercâmbio de informações sobre ameaças”.

Da mesma forma, algumas avançadas soluções de segurança para endpoints também oferecem outras tecnologias integradas que na pesquisa da Ponemon apenas são mencionadas como tecnologias autossustentáveis. Com as funções de Proteção contra ataques de rede, Bloqueio de exploits, Exploração avançada da memória, entre muitas outras, essas soluções tem deixado de ser de uma simples detecção baseada em assinaturas para transformar-se em soluções de segurança com múltiplas camadas que atendem todas as necessidades fundamentais da segurança na Internet.

Quando combinadas com eficazes soluções de criptografia, a criação de backups e a recuperação de dados, fazem com que o sistema seja (embora não impenetrável) o suficientemente seguro para que a maioria dos ataques se tornem economicamente inviáveis.

1 Esse número é um “valor extrapolado”. É semelhante a uma média, mas que se calcula por meio de intervalos de valores, ao invés de números exatos.

2 Os cálculos do relatório foram baseados em uma ampla gama de suposições. Para conhecer mais detalhes, veja o relatório.

3 Foi permitido escolher mais de uma resposta.