A Verizon acaba de lançar, hoje dia 01/05, a nova edição do tradicional
Data Breach Investigations Report (DBIR), esse que é um dos principais relatórios da indústria, com estatísticas relevantes sobre o cenário atual de ameaças, baseado em dados reais de ataques.
O relatório é bem completo e bastante útil. Além das estatísticas gerais sobre os ciberataques e suas principais características (atores, técnicas usadas, alvos, etc), eles tem três seções que trazem o detalhamento dos principais tipos de incidentes, além de um recorte do cenário de ameaças para diversas indústrias e por regiões geográficas (Ásia e Pacífico, Europa e Oriente Médio, América do Norte - neste ano eles deixaram no cantinho a América Latina... sniff...). Essa parte é muito útil pois permite analisar com detalhes os principais ataques e entender o cenário no seu segmento de atuação.
Veja alguns dos principais pontos do Verizon Data Breach Investigations Report (DBIR) de 2024:
- O uso de credenciais é a principal forma de obter acesso às organizações, seguido lá atrás pelos ataques de Phishing e exploração de vulnerabilidades (14%). Em 2023 houve um grande crescimento de grupos de ransomware apostando em ataques que exploram vulnerabilidades de dia zero ("0-day");
- Embora represente apenas 14% das violações, a exploração de vulnerabilidades como etapa inicial de acesso cresceu quase três vezes se comparado com o relatório do ano passado - alimentado em parte pela exploração da vulnerabilidade do MOVEit Transfer e várias outras explorações de dia zero usadas por grupos de ransomware;
- O Elemento Humano esteve presente em 68% das violações, seguido pelos Ransomwares (32%) e Erros (28%). As violações envolvendo terceiros e a cadeia de fornecimento de software, foram 15% das violações;
- É preciso pouco menos de 60 segundos para os usuários caírem em um email de phishing;
- 15% das violações envolveram terceiros ou fornecedores, como cadeias de fornecimento de software, infraestruturas de parceiros de hospedagem ou custodiantes de dados;
- Ransomware e outras violações de extorsão foram responsáveis por quase dois terços dos ciberataques com motivação financeira nos últimos três anos (entre 59% e 66%). 62% em 2023. Um quarto dos ataques envolveram a técnica de pretexting (24% e 25% nos últimos dois anos);
- O valor médio dos resgates de ransomware ficou em US$ 46 mil;
- A proporção entre o valor inicialmente solicitado pelo resgate e a receita da empresa foi de 1,34%, em média;
- 65% das violações foram causadas por atores externos e 35% por atores internos à organização;
- 31% de todas as violações nos últimos 10 anos envolveram o uso de credenciais roubadas;
- A principal motivação é financeira, seguida por espionagem com apenas 5%;
- A maioria dos atores está associada ao crime organizado (Figura 13);
- As principais ações relacionadas a violações são: credenciais vazadas (24%), ransomwares (23%), seguidos por "misdelivery”, backdoor ou C2, pretexting e phishing. Nos casos de incidentes, prevalecem os ataques de negação de serviço (DoS), em 59% dos casos;
- Neste ano tem uma seção bem legal sobre vulnerabilidades:
- Apenas 15% dos patches são aplicados em até 30 dias depois de descoberta a vulnerabilidade e lançado o patch - considerando apenas as vulnerabilidades consideradas críticas, que constam no Known Exploited Vulnerabilities Catalog da CISA;
- São necessários cerca de 55 dias para as empresas remediarem 50% das vulnerabilidades
- Após um ano, cerca de 8% das vulnerabilidades continuam sem ter sua correção aplicada;
- Em média, os atores começam a escanear por vulnerabilidades críticas 5 dias após terem sido reveladas;
Dois gráficos muito tradicionais do DBIR são justamente aqueles que indicam a evolução dos principais padrões de ataques nos incidentes e nas violações no decorrer do tempo. O gráfico deste ano mostra a evolução desde 2017:
O relatório DBIR também apresenta as técnicas mais relevantes do MITRE ATT&CK e os respectivos controles críticos de segurança do Centro de Segurança da Internet (CIS) para diversos desses padrões, o que ajuda no compartilhamento de boas práticas para a proteção das empresas. São analisados a intrusão de sistemas, engenharia social, atraques básicos em aplicações web, erros diversos, DoS, roubo ou perda de ativos, abuso de privilégios.
Para esta edição, foram analisados 30.458 incidentes de segurança do mundo real, ocorridos entre 1º de novembro de 2022 e 31 de outubro de 2023, dos quais 10.626 foram violações de dados confirmadas, com vítimas abrangendo 94 países. A Apura Cyber Intelligence foi a primeira empresa brasileira a participar da elaboração do Verizon Data Breach Investigations Report, o principal relatório de investigação sobre vazamentos de dados do mundo. Temos participado, como "contributor", nos últimos seis anos (2019, 2020, 2021, 2022, 2023 e 2024).
Veja mais:
PS: Pequena atualização em 02/05.
