O documento discute a importância de uma plataforma avançada de detecção e resposta a incidentes em ambientes OT/IOT. Apresenta dados sobre os setores mais atacados em 2021, com a manufatura em primeiro lugar. Também analisa as principais ameaças, vetores de ataque e regiões impactadas para os setores de manufatura, energia e transporte.
CLASS 2022 - Roberto Engler Jr. (IBM) - Gestão e monitoramento de alto nível para IOT E OT
1. A IMPORTÂNCIA DE UMA PLATAFORMA
AVANÇADA DE DETECÇÃO E RESPOSTA
A INCIDENTES EM UM AMBIENTE DE
OT/IOT.
Aprensentado por Roberto Engler Jr
IBM Security Country Leader at IBM Brazil
3. TENDÊNCIAS DOS SETORES
3
Análise dos ataques nos 10 principais setores, 2021 x 2020
(Fonte: IBM Security X-Force)
5.7%
7.9%
4.0%
5.1%
6.6%
10.2%
11.1%
8.7%
23.0%
17.7%
2.5%
2.8%
2.8%
4.0%
5.1%
7.3%
8.2%
12.7%
22.4%
23.2%
0.0% 5.0% 10.0% 15.0% 20.0% 25.0%
2021 2020
Manufatura
Finanças e Seguros
Serviços Profissionais e
Comerciais
Energia
Atacado e Varejo
Saúde
Transporte
Governo
Educação
Mídia
Manufatura #1
Experimentou a maioria dos ataques dentre todos os
setores
Pela primeira vez desde 2016, finanças e seguros não foram o setor
mais atacado. Em 2021, a manufatura foi a principal atacada, subindo
do número 2 em 2020, e do número 8 há três anos. O ataque de
ransomware e BEC contribuíram para essa mudança.
Finanças e Seguros #2
Fazendo a segurança correta
A queda do setor financeiro do primeiro lugar sugere que o setor de
serviços financeiros está fazendo a segurança correta. Além disso, os
ambientes de nuvem híbrida são dominantes nas organizações de
serviços financeiros, permitindo melhor visibilidade e gerenciamento
de dados confidenciais.
Atacado fortemente impactado
Mais impactado que varejo no último ano
Esses setores foram o 5ª mais visados no ranking de 2022 da X-Force.
Desses ataques, 35% foram no varejo e 65% no atacado, ressaltando a
forte ênfase que os agentes de ameaças colocam nas organizações
atacadistas, possivelmente devido ao papel crítico que desempenham
nas cadeias de suprimentos.
4. AMEAÇAS À CADEIA DE
SUPRIMENTOS, MANUFATURA,
OT E IOT
4
Indústrias OT visadas, 2021
Detalhamento dos ataques contra seis setores de tecnologia operacional,
conforme observado pelo X-Force IR, 2021 (Fonte: IBM Security X-Force)
#1
Ranking de manufatura nas principais indústrias
atacadas
A manufatura foi o setor mais atacado em 2021, representando 23,2%
dos ataques. Subiu do segundo lugar em 2020, superando finanças e
seguros pela primeira vez em cinco anos. A exploração de
vulnerabilidades foi o principal vetor de ataque inicial na manufatura,
um setor que enfrenta os efeitos das pressões e atrasos da cadeia de
suprimentos.
61%
Participação da Manufatura nos comprometimentos em
organizações conectadas por OT
Sessenta e um por cento dos incidentes em organizações conectadas
a OT no ano passado ocorreram na indústria de manufatura. Além
disso, 36% dos ataques em organizações conectadas a OT foram
ransomware
74%
Parcela de malware de IoT da Botnet Mozi
A X-Force identificou um alto volume de atividade de malware de IoT.
O Botnet Mozi compôs o volume mais significativo de malware de IoT,
com 74%.
61%
Manufatura
1%
Engenharia
Civil e Pesada
7%
Mineração
10%
Serviços de
Utilidade
Pública
10%
Transporte
11%
Óleo e Gás
5. MANUFATURA
5
A Inteligência das ameaças
- A baixa tolerância desse setor ao tempo de inatividade
provavelmente é um fator que contribui para sua alta
lucratividade para os agentes de ameaças.
- O ransomware foi o principal tipo de ataque, respondendo por
23% dos ataques em organizações de manufatura e destacando
o foco pesado dos atores de ransomware na manufatura.
- Os ataques de acesso ao servidor ficaram em segundo lugar com
12%, representando provavelmente algumas operações
malsucedidas do invasor. BEC e roubo de dados empatados em
terceiro lugar, com 10% cada. Os ataques de BEC provavelmente
estão procurando capitalizar as muitas relações de entrega que a
cadeia de manufatura organiza entre fornecedores e atacadistas
e buscam redirecionar pagamentos entre parceiros para contas
sob o controle dos atacantes do BEC.
Regiões Atacadas
A manufatura enfrentou a maioria dos ataques na Ásia (32%), América
do Norte (27%) e Europa (26%)
#1
A manufatura foi classificada
como a indústria número um
mais atacada em 2021, acima do
segundo lugar em 2020.
23.2%
de todos os ataques nos 10
principais setores, acima dos 17,7%
em 2020
16%
4%
4%
4%
6%
6%
8%
10%
10%
12%
23%
0% 5% 10% 15% 20% 25%
Other
Credential harvesting
Insider
Misconfiguration
DDoS
Fraud
Spam
Data theft
BEC
Server access
Ransomware
Principais tipos de ataque na manufatura
(Fonte: IBM Security X-Force)
6. ENERGIA
6
A Inteligência das ameaças
- É possível que, após a repercussão do ataque de
ransomware DarkSide ao Colonial Pipeline em maio de
2021, os agentes de ameaças tenham desviado o foco da
energia por medo de retaliação.
- Ransomware (25%) foi o tipo de ataque mais comum contra
organizações de energia em 2021, seguido por RATs, DDoS e
BEC, todos empatados em segundo lugar (17%).
- O Phishing foi o vetor de infecção mais comum,
representando cerca de 60% dos ataques, enquanto a
exploração de vulnerabilidades representou os outros 40%
dos incidentes
Regiões Atacadas
América do Norte (31%), Europa (28%), América Latina (17%) e
Oriente Médio e África (17%)
#4
O quarto mais atacado em 2021,
abaixo do terceiro lugar em 2020
8.2%
de todos os ataques nos 10 principais
setores, abaixo dos 11,1% em 2020
8%
8%
8%
17%
17%
17%
25%
0% 5% 10% 15% 20% 25% 30%
Botnet
Data Theft
Spam
RAT
DDoS
BEC
Ransomware
Principais tipos de ataque no setor de energia
(Fonte: IBM Security X-Force)
7. 7
#7
Sétimo setor mais atacado em 2021,
acima do nono lugar em 2020
4%
de todos os ataques nos 10
principais setores, abaixo dos 5,1%
em 2020
14%
14%
14%
14%
14%
29%
0% 5% 10% 15% 20% 25% 30%
Credential harvesting
Data theft
Ransomware
RAT
Server access
Insider
Principais tipos de ataque no setor de transporte
(Fonte: IBM Security X-Force)
A Inteligência das ameaças
- Insiders maliciosos surgiram como o principal tipo de ataque,
representando 29% dos ataques neste setor. Ransomware, RATs,
roubo de dados e coleta de credenciais chegaram a 14%.
- 50% de todos os incidentes foram causados inicialmente por um
e-mail de phishing, seguido pelo uso de credenciais roubadas em
33% e exploração de vulnerabilidades em 17%.
Regiões Atacadas
Ásia (64%), Europa (21%), Oriente Médio e África (7%) e América do
Norte (7%)
TRANSPORTE
8. 26%
24%
23%
14%
13%
25%
31%
27%
9%
9%
2021 2020
TENDÊNCIAS GEOGRÁFICAS
8
Repartição dos ataques por geografia, 2021 vs. 2020
(Fonte: IBM Security X-Force)
Ásia Europa
América
do Norte
Oriente
Médio
e África
América
Latina
Ásia
Experimentou a maioria dos ataques entre todas as
regiões
Pela primeira vez, a Ásia ficou em primeiro lugar como a região mais
atacada, recebendo 26% dos ataques observados pela X-Force em
2021. Uma enxurrada de ataques ao Japão – potencialmente
relacionados aos Jogos Olímpicos de Verão realizados no Japão em
2021 – aparecem ter contribuído para esta tendência de ataque.
Europa
Caiu do primeiro para o segundo em participação de
ataques
A Europa ficou em segundo lugar em ataques em 2021, depois de ser
a região mais atacada em 2020. O principal tipo de ataque na Europa
foi o ransomware, a exploração de vulnerabilidades foi o principal
vetor de ataque inicial e a manufatura foi o setor mais atacado.
América do Norte
Terceira região mais atacada
A América do Norte caiu da segunda para a terceira região mais
atacada. Seu principal tipo de ataque foi o ransomware, o phishing foi
o principal vetor de ataque e a manufatura foi o setor mais atacado.
9. AMÉRICA LATINA
9
#5
Quinta região mais atacada em
todo o mundo
13%
do total de ataques, acima dos 9%
em 2020 (5% em 2019)
4%
4%
4%
4%
4%
8%
21%
21%
29%
0% 5% 10% 15% 20% 25% 30% 35%
Adware
Defacement
Insider
Misconfiguration
Server access
Fraud
BEC
Credential theft
Ransomware
Principais tipos de ataque na América Latina
(Source: IBM Security X-Force)
A Inteligência da ameaça
- Ransomware foi o principal tipo de ataque, representando 29%
dos ataques, seguido por BEC (21%) e roubo de credencial (21%),
empatando em segundo lugar.
- Phishing foi o vetor de infecção mais comum, representando
47% dos ataques O alto número de ataques BEC e ataques de
ransomware entregues via phishing provavelmente está
impulsionando essa tendência. Credenciais roubadas levaram a
29% dos ataques, e essa alta porcentagem em comparação
com outras regiões sugere que o uso mais difundido de MFA
pode ajudar a reduzir incidentes de credenciais roubadas e
BEC nessa região. A exploração de vulnerabilidades levou a
apenas 18% dos incidentes na América Latina
- Manufatura foi a indústria mais visada com 22%. Varejo e
atacado (20%), e finanças e seguros (15%), ficaram em segundo
e terceiro lugar.
Países sob ataque
Brasil, México, e Peru
10. 57%
21%
22%
Malicious attack System glitch
Human factor
212
224
75
83
Destaques Globais
$4.24M
Custo total médio de
uma violação de mais
de 50 milhões de
registros
$401 milhões
Industrial industry
Global average
days to identify
Organizações industriais com
automação de segurança
totalmente implantada
Custo médio de uma violação de dados na indústria
0% diferença da média
global de US$ 4,24 milhões
21%
7º maior custo
de 17 indústrias estudadas
3 principais vetores de ataque inicial
days to contain
days to contain
Cost of Data Breach 2021
Economia de custos da
automação totalmente
implantada em relação
ao custo médio global
de uma violação
$1,34M
Compromised credentials
Phishing
Cloud misconfiguration
17%
20%
15%
days to identify
Percentage of all breaches
Custo por registro para PII
do cliente comprometido
$180
Tempo para identificar e conter
Economia média de custos com equipes de
resposta a incidentes e testes de IR X
nenhuma equipe ou teste de IR
$2,46 milhões
Principais Estatísticas Causas de uma violação de dados
11. Muito para
fazer
Reúna-se com o CIO e as partes interessadas
Pregue o risco de terceiros
Gerencie o programa GDPR com o escritório de
privacidade
Responda às perguntas dos auditores estaduais
Atualize o CEO para a reunião do conselho
Atualize projeções de orçamento
Escreva a linguagem de segurança para o contrato
do fornecedor
Faça progressos no projeto de identidade sem fim
Revisão e lista de projetos atualizada
Edite calendário de comunicação
Atualize as classificações de risco no roteiro de
segurança
Esclareça as políticas que regem os dispositivos de
armazenamento externo
Forneça direção de ferramentas de teste e
criptografia
Forneça as melhores práticas de manipulação de
dados
Ajude com nova aquisição
Reúna-se com o gerente de projeto sênior
Envie novas práticas recomendadas para as equipes
de desenvolvimento
Revise os logs de investigação de fraude em
andamento
Ajude com a descoberta de ameaças internas
Determine a localização de dados confidenciais na
nuvem
Investigue possível infecção no sistema legado
Continue o teste de caneta do novo aplicativo
móvel de negócios
Ajude os arquitetos a entender o Zero-trust
Responda a e-mails de política de segurança
Formate relatório de status de segurança para
executivos
Reúna-se com o recrutador para discutir a equipe
Escreva os requisitos do plano de teste para novos
produtos
Reunião para melhorar a segurança das instalações
Muitos
vendors
Muita
complexidade
Muitos
alertas
A SEGURANÇA TRADICIONAL NÃO CONSEGUE ACOMPANHAR O RITMO
Gerenciamento
de identidade e
acesso
Segurança
de dados
Segurança
do aplicativo
Segurança
de rede
Segurança
de Endpoint
Muitos silos
12. 60% DAS EMPRESAS USAM MAIS DE
25 PRODUTOS DE SEGURANÇA
EXCLUSIVOS E 44% SE ENVOLVEM
COM MAIS DE 10 FORNECEDORES
13. QUAIS SÃO OS OBJETIVOS E BENEFÍCIOS
DE UMA PLATAFORMA CONECTADA?
Quais os Benefícios?
• Insights de segurança conectando
todas as suas origens e silos de dados
on-prem e multi-cloud na análise de
ameaças dos ambientes de OT/IT.
• Orquestração de respostas e
automatização de ações gerando
agilidade na tomada de decisões e
eficiência operacional
• Gestão de segurança baseada em risco,
através da análise de sobre ameaças e
vulnerabilidades e utilizando uma
linguagem unificada
• Arquitetura modernizada através de
uma plataforma aberta e multicloud,
oferecendo maior flexibilidade
IBM & Bradesco - CONFIDENCIAL
Plataforma de Segurança conectada
Uma plataforma de segurança conectada habilita as empresas a ter uma detecção e resposta
a incidentes mais efetiva e rápida, melhorando a eficiência operacional e mitigando riscos de
ataques cibernéticos que podem levar a interrupção das suas atividades e ao vazamento de
dados sensíveis e regulados. Precisa ser uma plataforma aberta, preservando o investimento já
realizado, complementando e não substituindo os componentes atuais.
Qual o Objetivo?
Descubra ameaças ocultas e tome melhores decisões através de um workflow e uma console
unificada de segurança para avaliação de ameaças e respostas a incidentes de forma
orquestrada, utilizando uma arquitetura aberta e moderna.
14. 14
EXPERIÊNCIA DE USUÁRIO UNIFICADA E SEUS BENEFÍCIOS
Details Tasks Breach Notes Members Attachments Artifacts
Detecção de ameaças ocultas através de silos de
dados nos ambientes de OT/IT, utilizando uma
linguagem única.
Workflow centralizado, simplificando a triagem e
responde a ameaças
A pesquisa federada permite a investigação e a busca
de ameaças em várias ferramentas ao mesmo tempo,
sem sair do console ou mover dados
A investigação automatizada enriquece os casos,
procura atividades de ameaças relacionadas em
ferramentas conectadas e gera uma visualização de
linha do tempo das ameaças
Resposta integrada para guiar a remediação e a
colaboração da equipe durante um incidente
Preservação do investimento, complementando e não
substituindo os componentes atuais
15. 15
COMPLEXIDADE TÍPICA DO
FLUXO DE TRABALHO DOS
ANALISTAS DE SEGURANÇA
Incident
Triage and investigate incident
Respond
Perform root-cause analysis
Mitigation steps
Close incident
Choose highest priority
Review open incidents
Investigate in tool 2
Investigate in tool 3
Investigate in tool 4
Determine validity / severity
Determine response steps
Build / alter playbook
Respond in SOAR
• Priorize alertas com uma
abordagem escalável aberta
• Aproveite as ferramentas
existentes e ajude a evitar o
“vendor lock in”
• Fluxo de trabalho simplificado
e automatizado, para ajudar a
reduzir o esforço manual
• Detecção e resposta
embarcadas nativamente para
ajudar as equipes a proteger
sua organização, mesmo sem
profundo conhecimento em
segurança
Incident
Execute additional
investigation
Add relevant response
Review automated workflow
1 click to execute response
actions
Close incident
Open routed incident
Review root cause analysis
DESIGN DE FLUXO DE TRABALHO
SIMPLIFICADO USANDO UMA
PLATAFORMA CONECTADA
Source: Forrester Report, Adapt Or Die: XDR Is On A Collision Course With SIEM And SOAR, April 2021
Read the slide for data on the top attacked industries, with chart showing manufacturing was the top targeted industry
Read the content of this slide to explain threats to manufacturing. Chart shows breakdown of attacks on industries with OT.
Read the slide for data about threats in manufacturing. Chart shows top attack types in the industry.
Read the slide for data about threats in energy. Chart shows top attack types in the industry.
Read the slide for data about threats in transportation. Chart shows top attack types in the industry.
Read the slide for top trends in geographies. Chart shows the breakdown of attacks by geography, with Asia as the top attacked geography.
Read the slide for data about threats in Latin America. Chart shows top attack types in the region.
Traditional security can’t keep pace because traditional cybersecurity programs weren’t built to handle the level and complexity of the transformation that’s going on today.
Security leaders are stressed with too much to do, too many tools from too many vendors, and too much complexity; too many industry frameworks, processes, and compliance mandates, all of which lead to too many alerts with not enough skilled staff to deal with them. The 2020 (ISC)2 Cybersecurity Workforce Study1 concluded that the global cybersecurity workforce needs to grow 89% to effectively defend organization’s critical assets, while the global cybersecurity resource shortage stands at 3.1 million people!
<CLICK>
And to make matters worse, traditional security programs are still operating in silos. Sure, there are connections between the silos, and it’s a good start, but it lacks the visibility and context needed to gain critical insights to help advance business safety into this next era.
Simply put, clients need to transform their security program to keep up with their business, but with too much to do, too many vendors, too much complexity, and too many alerts, they’re having to re-think their approach. Many clients are looking to adopt a zero trust framework for building a security program based on the Principles of Least Privilege. A zero trust framework offers a clear investment blueprint, but it doesn’t come with instructions on how to apply and customize it so that it meets the unique needs of your organization.
A zero trust approach aims to wrap security around every user, every device, every connection—every time—unifying and integrating security tools to protect your organization’s most valuable assets while proactively managing threats.
The Principle of Least Privilege is a simple cybersecurity concept. It means assigning the least amount of capabilities possible to accomplish a task, while limiting the possible impact of identities and applications dynamically in order to limit risk exposure. A least-privilege model balances risk, productivity, security and privacy in environments where workloads and risks change constantly.
Our clients tell us:
They want trusted partners to take work off their plate;
They want to get more from their existing security investments and not rebuild everything from scratch;
They want to use AI and analytics to reduce the mess of too many alerts; and
They want a simple way to establish and drive security into the rest of their business.
IBM is committed to help and to change this reality. _____________________
Note to sellers
Zero trust: an approach to the design and implementation of IT systems wherein devices are not trusted by default, even if they are connected to a managed corporate network such as the corporate LAN and even if they were previously verified. Learn more: https://en.wikipedia.org/wiki/Zero_trust_security_model
More detail on Least Privilege: https://en.wikipedia.org/wiki/Principle_of_least_privilege
Reference
1https://www.isc2.org/Research/Workforce-Study
Many organizations are using dozens of tools – in fact, a March 2020 ESG research study found that 60% of companies use 25 or more unique security products, with 44% engaging more than 10 vendors.
_____________________
Source: ESG Master Survey Results, Enterprise-class Cybersecurity Vendor Sentiment, March 2020 https://www.esg-global.com/research/esg-master-survey-results-enterprise-class-cybersecurity-vendor-sentiment
Read the slide for top trends in geographies. Chart shows the breakdown of attacks by geography, with Asia as the top attacked geography.