Glossário

O que são ataques cibernéticos?

Os ataques cibernéticos são campanhas mal intencionadas que visam infraestruturas como sistemas informáticos, redes, aplicações Web ou APIs para interromper, roubar ou manipular dados.

Um ciberataque é um esforço intencional de um indivíduo ou organização para violar o sistema de informações de outro indivíduo ou organização, geralmente com a intenção de roubar dados, interromper operações ou causar danos a indivíduos, organizações ou nações.

Tipos de ataques cibernéticos

Os invasores usam uma variedade de ferramentas e técnicas sofisticadas para lançar ataques cibernéticos contra seus alvos.  Alguns dos tipos mais comuns de ataques cibernéticos incluem:

1. Ataques de malware

Malware refere-se a software malicioso projetado para se infiltrar, danificar, interromper ou acessar sistemas, redes ou dispositivos de computador sem autorização. O malware é frequentemente entregue por e-mail ou links clicáveis nas mensagens, sendo desenvolvido para infectar sistemas e comprometer sua segurança. Para mitigar o impacto do malware, instale sempre software antivírus em todos os dispositivos, tenha cuidado ao abrir e-mails ou anexos suspeitos e evite sites suspeitos.  Os tipos comuns de malware incluem:

  • Vírus: são códigos maliciosos que se anexam a softwares ou arquivos legítimos e se replicam quando são executados.
  • Worms: são malwares autorreplicantes que se espalham por redes e sistemas sem a intervenção do usuário.
  • Trojans: são malwares disfarçados de software legítimo e, uma vez instalados, executam uma série de ações maliciosas, como roubar dados ou fornecer acesso remoto a invasores.
  • Spyware: monitora as atividades dos usuários sem o seu conhecimento ou consentimento para coletar informações confidenciais, como credenciais ou números de cartão de crédito.

2. Ataque de phishing

Phishing são ataques que envolvem e-mails ou mensagens enganosas que induzem as pessoas a revelar informações confidenciais, como senhas, números de cartão de crédito ou dados pessoais. Esses ataques geralmente assumem a forma de e-mails, sites ou mensagens fraudulentos que parecem vir de fontes legítimas, mas na verdade são controlados por cibercriminosos. Uma forma mais direcionada desse ataque, conhecida como spear phishing, envolve a adaptação de mensagens a um indivíduo ou organização em particular para fazer com que a solicitação de informações pareça mais legítima. Para se proteger contra ataques de phishing, os usuários devem ter cuidado com e-mails não solicitados, especialmente aqueles que solicitam informações pessoais ou financeiras, e nunca clicar em links suspeitos ou baixar anexos de remetentes desconhecidos.

3. Ataques de DDoS

Os ataques de negação de serviço distribuído (DDoS) tornam um sistema não funcional, tornando-o indisponível para usuários legítimos. Os ataques de DDoS degradam a infraestrutura ao inundar o recurso de destino com tráfego, sobrecarregando-o até o ponto de inoperabilidade. Os ataques de DDoS envolvem várias fontes ou uma botnet, que é uma rede de computadores ou dispositivos comprometidos sob o controle de um invasor que coordena essas várias fontes e lança o ataque contra o alvo. Um ataque que se origina de uma única fonte é simplesmente chamado de ataque de negação de serviço (DoS).

Ataques volumétricos ou de inundação são um tipo de ataque de DDoS que geralmente tem como alvo as camadas 3, 4 ou 7, com a inundação de SYN sendo um ataque muito comum que pode sobrecarregar os firewalls de rede e outras infraestruturas de rede críticas. 

A proteção contra ataques de DDoS requer uma combinação de defesas para criar uma defesa em camadas composta pela filtragem de tráfego e pelos mecanismos de limitação de taxa. Eles podem bloquear o tráfego de rede malicioso e detectar anomalias nos padrões de tráfego que podem indicar um ataque de DDoS. A implementação de serviços de proteção contra DDoS baseados em nuvem pode fornecer recursos de mitigação dedicados e escaláveis para se defender contra ataques de DDoS. Ao redirecionar o tráfego por meio desses serviços, as organizações podem se beneficiar de técnicas avançadas de mitigação, inteligência de ameaças em tempo real e da experiência de provedores especializados.

4. Ataques de ransomware

O ransomware é um tipo de malware que criptografa os dados de um sistema, com o invasor exigindo pagamento (resgate) para desbloquear os dados ou fornecer a chave de descriptografia. Geralmente, um ataque de ransomware começa com uma campanha de spear phishing direcionada que engana o usuário para que clique em um link ou site malicioso, que libera o software de criptografia e bloqueia o acesso aos dados da vítima. Os invasores normalmente exibem uma nota de resgate na tela da vítima ou fornecem instruções sobre como pagar o resgate (geralmente em criptomoeda) para receber a chave de descriptografia. Tal como acontece com outros ataques de phishing, ser muito cauteloso com anexos e links de e-mail é a primeira linha de defesa contra ataques de malware. Outras proteções contra o impacto de ataques de ransomware incluem o backup de dados em sistemas remotos e seguros que não são diretamente acessíveis à rede primária, para que outra cópia não criptografada dos dados permaneça disponível. A segmentação de rede também pode ajudar a conter e isolar infecções, limitando a disseminação de malware de criptografia.

5. Ataques de engenharia social

Os ataques de engenharia social dependem de manipulação psicológica para enganar as pessoas a revelar informações confidenciais, realizar ações ou tomar decisões que comprometam a segurança. Em alguns casos, os invasores podem se passar por indivíduos confiáveis, como colegas, supervisores ou pessoal de TI, para convencer as vítimas a compartilhar dados confidenciais ou revelar nomes de usuário, senhas ou outras credenciais de autenticação. Usando essas informações, os invasores podem obter acesso não autorizado a sistemas, contas e dados confidenciais. O phishing e a engenharia social são frequentemente usados juntos para manipular as vítimas e podem ser bastante direcionados, como um e-mail de phishing seguido de um telefonema de alguém que se faz passar por um indivíduo de confiança (ou seja, de um banco ou do departamento de TI). A principal maneira de evitar ataques de engenharia social é por meio da educação do usuário e da conscientização sobre táticas de phishing e engenharia social, embora práticas de autenticação fortes, como a MFA, possam ajudar a limitar o impacto líquido dos ataques de engenharia social.

6. Ameaças internas

As ameaças internas são riscos de segurança representados por indivíduos dentro de uma organização que têm acesso aos sistemas, dados ou redes da organização. Esses indivíduos podem ser funcionários atuais ou antigos, contratados, parceiros ou qualquer pessoa com privilégios de acesso legítimos. As ameaças internas podem ser intencionais ou não intencionais e podem resultar em vários tipos de incidentes de segurança cibernética, incluindo sabotagem, roubo de dados, manuseio incorreto de dados e ataques de phishing ou engenharia social. A conscientização e o treinamento dos funcionários para reconhecer ameaças internas são importantes para evitar o risco de ameaças internas, assim como controles de acesso fortes, como o princípio de privilégio mínimo, e métodos fortes de autenticação de usuário para verificar as identidades dos usuários e proteger contra acesso não autorizado.

7. Ataques a aplicações Web

Esses ataques maliciosos são direcionados a aplicações, sites e serviços da Web, com o objetivo de explorar vulnerabilidades e comprometer sua segurança. Os esforços de modernização de aplicações e a evolução resultante de muitas aplicações Web tradicionais para sistemas baseados em API em ambientes híbridos e multinuvem aumentaram drasticamente a superfície de ameaça. 

As equipes de segurança devem considerar muitos riscos para aplicações Web e APIs, incluindo:

  • Explorações de vulnerabilidades: são fraquezas ou defeitos no software que os criminosos podem ter como alvo para comprometer a segurança, incluindo a execução de código malicioso. Geralmente são causadas por software sem suporte ou sem patches, bugs de software ou configurações incorretas. 
  • Ameaças automatizadas: referem-se a ataques mal-intencionados realizados por bots, scripts ou kits de ferramentas de hackers, e não por humanos. Essas ameaças podem explorar vulnerabilidades inerentes a aplicações Web e APIs, levando a violações de segurança, roubo de dados, account takeover, fraude e outras consequências prejudiciais.
  • Abuso de lógica de negócios: ocorre quando os invasores manipulam o comportamento esperado de uma aplicação Web para atingir objetivos maliciosos, muitas vezes usando automação. Isso pode implicar a manipulação de fluxos de trabalho de uma aplicação para obter acesso a áreas restritas ou para realizar transações não autorizadas ou acessar dados confidenciais.
  • Contorno dos controles de autenticação e autorização: podem ocorrer quando a aplicação insuficiente dos controles de acesso e autorização permite que os invasores obtenham acesso a funcionalidades ou dados não autorizados.
  • Ataques do lado do cliente: são ameaças que visam software ou componentes nos dispositivos do usuário, como um navegador da Web ou aplicações instalados. Uma forma comum de ataque do lado do cliente é o Cross-Site Scripting (XSS), no qual os invasores injetam scripts maliciosos do lado do cliente, como JavaScript, em páginas da Web visualizadas por outros usuários. Isso pode resultar no roubo de informações confidenciais, como credenciais de login, dados pessoais ou cookies de sessão. As aplicações modernas geralmente têm muitas interdependências, como integrações, bibliotecas e estruturas de terceiros. As equipes de segurança podem não ter visibilidade de todos esses componentes que são executados no lado do cliente, e isto abre um vetor de ameaça para que os invasores executem scripts maliciosos e extraiam dados diretamente de um navegador da Web.
  • Configuração incorreta de segurança: quando os invasores tentam encontrar falhas sem patches, endpoints comuns, serviços sendo executados com configurações padrão inseguras ou arquivos e diretórios desprotegidos para obter acesso não autorizado a um sistema. A configuração incorreta de segurança é um risco crescente à medida que a arquitetura continua sendo descentralizada e se torna distribuída em ambientes multinuvem.

Objetivos do ciberataque

Os ataques cibernéticos podem ter vários objetivos, com base nos motivos e objetivos dos atores de ameaça que lançam os ataques.

O ganho financeiro é um motivo comum para os ataques cibernéticos, como ataques de ransomware e fraudes, assim como o roubo de dados, que podem ser facilmente monetizados na Dark Web. Os dados confidenciais que podem ser oferecidos para venda incluem propriedade intelectual, segredos comerciais, credenciais e informações financeiras. A espionagem é outro motivo para os ataques cibernéticos, com atores do estado-nação e espiões cibernéticos operando para coletar inteligência e informações confidenciais para servir a interesses nacionais ou políticos. Os ataques cibernéticos também podem ser usados para interromper o fluxo normal das operações ou interferir na infraestrutura fundamental, provocando tempo de inatividade e perda de receita.

Alvos de ciberataques

Os cibercriminosos são muito bons em detectar e ter como alvo fraquezas e vulnerabilidades tecnológicas para fazer ataques cibernéticos em todos os vetores de ataque. Vulnerabilidades comuns incluem software desatualizado ou sem patches, que os invasores podem explorar para obter acesso não autorizado, comprometer dados ou executar código malicioso. Mecanismos de autenticação fracos também podem permitir que indivíduos ou invasores não autorizados obtenham acesso a sistemas e informações confidenciais ou comprometam contas. O design inseguro de aplicações também pode contribuir para ataques cibernéticos, introduzindo vulnerabilidades que os invasores podem explorar, como configurações incorretas de segurança, gerenciamento de sessões com falhas ou APIs projetadas de forma insegura.

Os invasores também têm como alvo vulnerabilidades de rede. Isso inclui redes Wi-Fi não seguras, que permitem que os invasores interceptem ou manipulem a comunicação entre duas partes, potencialmente roubando informações confidenciais ou injetando conteúdo malicioso. Configurações de rede fracas também podem criar brechas de segurança que os invasores podem explorar, como regras de firewall inadequadas, listas de controle de acesso (ACLs) mal configuradas e protocolos de criptografia fracos ou desatualizados.

As vulnerabilidades relacionadas a problemas da cadeia de suprimentos também podem ser exploradas por invasores. As fraquezas em fornecedores externos ou as práticas de cibersegurança dos fornecedores podem ser exploradas pelos invasores para obter acesso à rede ou aos recursos de uma organização. Isso pode incluir medidas de segurança inadequadas, software sem patches ou hardware vulnerável. É importante avaliar as práticas de cibersegurança de fornecedores e parceiros e exigir que eles sigam os padrões de segurança e as práticas recomendadas como parte da devida diligência do fornecedor.

Os fatores humanos também podem contribuir para as vulnerabilidades cibernéticas. Além dos ataques de engenharia social, nos quais os criminosos manipulam os indivíduos para revelar informações confidenciais, o uso de senhas fracas ou a falta de conscientização de segurança por parte dos funcionários também podem criar uma abertura para um ciberataque. A negligência interna, como o download inadvertido de malware ou o manuseio incorreto de dados confidenciais, mesmo que não intencional, pode levar a ataques cibernéticos.

Como muitas outras tecnologias, a IA pode ser usada para fins legítimos e maliciosos, e é cada vez mais aproveitada por agentes mal-intencionados para conduzir ataques cibernéticos sofisticados e prejudiciais. A IA pode ser empregada para verificar vulnerabilidades em softwares e sistemas e coletar e analisar dados sobre os possíveis alvos. Ela pode então ser usada para lançar ataques quando as fraquezas são detectadas. A IA também pode acelerar o processo de descoberta de senhas usando algoritmos de aprendizado de máquina para adivinhar senhas com mais eficiência. Os deepfakes de vídeo e áudio gerados por IA podem ser usados para ataques de engenharia social, personificando executivos de alto nível ou outras figuras confiáveis dentro de uma organização para manipular os funcionários a tomar ações que comprometam a segurança. Além disso, o acesso fácil a uma IA poderosa está democratizando o cibercrime, diminuindo as barreiras de entrada para a realização de ataques cibernéticos automatizados, facilitando a participação de uma gama mais ampla de indivíduos ou grupos no cibercrime.

Vetores de ciberataque mais comuns

Os invasores evoluem continuamente suas técnicas de ciberataque, e novos vetores de ataque surgem regularmente. Além disso, ataques sustentados e direcionados frequentemente empregam mais de uma metodologia. A seguir estão exemplos dos vetores de ataque mais comuns.

  • Os ataques Man-in-the-Middle (MitM) ocorrem quando um invasor intercepta comunicações entre duas partes sem o conhecimento ou consentimento delas, permitindo que o invasor escute conversas, roube informações ou até mesmo manipule os dados que estão sendo transmitidos. Os ataques MitM podem ocorrer de várias maneiras: um invasor pode interceptar comunicações sem fio dentro de uma rede Wi-Fi pública ou pode se envolver em sequestro de sessões, quando os invasores roubam cookies ou tokens de sessão para se passar por usuários e obter acesso não autorizado a aplicações Web.
  • Os ataques de injeção ocorrem quando os invasores inserem dados não confiáveis ou hostis em linguagens de comando ou consulta, ou quando os dados fornecidos pelo usuário não são validados, filtrados ou higienizados pela aplicação, levando à execução de comandos maliciosos. Os ataques de injeção incluem ataques NoSQL, comando OS, LDAP e ataques de injeção de SQL, e também Cross-Site Scripting (XSS), no qual os invasores injetam scripts maliciosos do lado do cliente, como JavaScript, em páginas da Web visualizadas por outros usuários. Isso pode resultar no roubo de informações confidenciais, como credenciais de login, dados pessoais ou cookies de sessão.
  • O roubo de credenciais envolve o roubo de nomes de usuário e senhas, geralmente por meio de técnicas como keylogging, credential stuffing e pulverização de senhas (usando senhas comuns em muitas contas de usuário). As credenciais comprometidas podem levar ao acesso não autorizado à conta, violações de dados e movimentação lateral dentro de uma rede. Os invasores frequentemente têm como alvo senhas fracas ou reutilizadas, tornando as práticas de autenticação robustas fundamentais. O credential stuffing aumentou drasticamente as taxas de account takeover (ATO) e fraude em todos os setores, particularmente em comércio eletrônico e serviços financeiros.
  • Os sites mal-intencionados são intencionalmente desenvolvidos para realizar ações prejudiciais, comprometer a segurança dos dispositivos dos visitantes ou se envolver em atividades ilícitas. Sites mal-intencionados podem explorar vulnerabilidades em navegadores da Web, plugins ou sistemas operacionais para baixar e instalar malware silenciosamente em dispositivos sem o consentimento ou conhecimento do usuário, uma exploração muitas vezes referida como Drive-By Downloads. Os sites mal-intencionados também podem hospedar anúncios clicáveis que contêm códigos ou links maliciosos.
  • O software comprometido permite que os invasores obtenham acesso não autorizado a sistemas ao explorar vulnerabilidades conhecidas em software sem patches ou por meio de malware injetado em atualizações ou downloads de software.

Para se proteger contra esses tipos de vulnerabilidades, certifique-se de implementar controles de autenticação e acesso fortes, como senhas ou frases de acessos fortes, e habilitar a MFA para adicionar uma camada extra de segurança. Empregar o princípio do privilégio mínimo e revisar e atualizar regularmente os controles de acesso garante que os usuários tenham apenas as permissões necessárias para executar suas funções. Além disso, certifique-se de manter o software e os sistemas com os patches e atualizados e realize avaliações de vulnerabilidade e testes de penetração para identificar e corrigir os pontos fracos. Os fatores humanos podem ter um grande impacto no risco de ataques cibernéticos. Portanto, certifique-se de fornecer treinamento e educação sobre cibersegurança a todos os funcionários e usuários. A cibersegurança é uma responsabilidade compartilhada que envolve não apenas profissionais de TI, mas também todas as pessoas dentro de uma organização.

Impacto dos ataques cibernéticos

Os ataques cibernéticos podem ter consequências significativas e abrangentes para indivíduos e organizações. Os impactos mais imediatos podem ser perdas financeiras, seja por fraude ou roubo de acesso não autorizado às contas de um indivíduo; ou perda de receita, honorários advocatícios e multas regulatórias sofridas por uma organização após um ciberataque. As organizações também podem sofrer danos à reputação e interrupção operacional após um ataque. Também podem enfrentar o roubo de propriedade intelectual que afeta a competitividade e a posição no mercado. No caso de ataques de ransomware, as organizações podem enfrentar a difícil decisão de pagar um resgate para recuperar dados criptografados, especialmente porque o pagamento de resgate não garante a recuperação de dados e pode incentivar novos ataques.

Como os exemplos a seguir deixam claro, a ameaça de ataques cibernéticos está presente em uma ampla gama de setores e tipos de negócios.

  • No final de 2022, os invasores manipularam uma API na T-Mobile e violaram 37 milhões de contas de usuários para obter nomes de clientes, endereços de faturamento, endereços de e-mail, números de telefone, números de conta e datas de nascimento. O invasor, que teve acesso não autorizado aos sistemas da T-Mobile por mais de um mês antes que a violação fosse descoberta, não foi identificado.
  • Em março de 2023, hackers russos lançaram campanhas de engenharia social direcionadas a políticos, empresários e celebridades dos EUA e da Europa que denunciaram publicamente a invasão da Ucrânia por Vladimir Putin. Os hackers persuadiram as vítimas a participar de chamadas telefônicas ou de vídeo, dando instruções enganosas para obter frases de efeito pró-Putin ou pró-Rússia. Eles publicaram os materiais para desacreditar as declarações anti-Putin anteriores das vítimas.
  • Em junho de 2023, um ataque de DDoS provocou uma interrupção dos serviços do Microsoft 365, incluindo Outlook, Teams, OneDrive e a plataforma de computação em nuvem Azure, por mais de 8 horas. A Microsoft disse que o ataque foi orquestrado por um grupo conhecido como Storm-1359, que tem acesso a uma coleção de botnets e ferramentas que permitem que o agente de ameaças lance ataques DDoS a partir de vários serviços em nuvem e infraestruturas de proxy abertas. O ataque teve como alvo a camada de aplicação (camada 7) da pilha de rede, em vez das camadas 3 ou 4 mais frequentemente visadas.

Como a F5 lida com os ataques cibernéticos?

À medida que as ameaças à cibersegurança se tornam mais avançadas e persistentes, e à medida que as consequências dos ataques cibernéticos se tornam mais catastróficas, as organizações devem se afastar do uso de ferramentas de segurança fragmentadas e baseadas em pontos e seguir para uma abordagem abrangente e integrada à preparação para a cibersegurança que se estende por toda a superfície de ataque. Uma nova abordagem de segurança é necessária para proteger identidades, dispositivos, redes, infraestrutura, dados e aplicações em um ambiente dinâmico e multinuvem que aproveita arquiteturas modernas, cargas de trabalho de borda baseadas em microsserviços e integrações de terceiros. 

A F5 oferece um conjunto de soluções integradas de cibersegurança que maximizam a proteção e reduzem o risco em aplicações herdadas e modernas, além de automatizar políticas de segurança em todos os ambientes. Impulsionadas por IA e ML, as soluções de segurança da F5 permitem medidas de segurança mais adaptáveis e responsivas para aprimorar a detecção de ameaças, automatizar a resposta a incidentes e analisar vastos conjuntos de dados para identificar padrões e anomalias indicativas de violações cibernéticas e se defender contra ameaças emergentes.

As soluções de segurança da F5 mitigam vulnerabilidades e ameaças cibernéticas com controles de segurança abrangentes, uma política uniforme e observabilidade, incluindo a implantação e gerenciamento simplificados da segurança de aplicações em todos os ambientes. Com a F5, as organizações podem aproveitar a segurança generalizada, incluindo Web Application Firewall (WAF), mitigação de negação de serviço distribuído (DDoS), segurança de APIs e defesa contra bots, a partir de uma única plataforma criada para esse fim, que pode ser facilmente dimensionada em ambientes multinuvem e de borda. Uma estratégia de governança holística e um painel de controle centralizado reduzem a complexidade operacional, otimizam o desempenho da aplicação e aumentam a eficácia da segurança de seus investimentos, observando o tráfego e os eventos de aplicações de ponta a ponta.