Os altos riscos da inovação: tendências de ataque em serviços financeiros
Editorial e comentário adicional de Cheryl Chiodi
Resumo executivo
Os ataques a aplicativos da web e APIs no setor de serviços financeiros cresceram 65% na comparação entre o segundo trimestre de Q2 2022 e o segundo trimestre de Q2 2023, representando 9 bilhões de ataques em 18 meses. Isso foi impulsionado, em parte, pela busca ativa dos grupos de criminosos cibernéticos por vulnerabilidades de dia zero e de um dia como caminhos para a invasão inicial.
Os serviços financeiros continuam a ver um aumento nos Ataques de DDoS das Camadas 3 e 4 e superou os jogos como a vertical superior. Esse aumento parece ter sido causado pelo aumento drástico do poder das botnets de máquinas virtuais e do hacktivismo pró-russo motivado pelo conflito Rússia-Ucrânia.
A região da Europa, Oriente Médio e África (EMEA) é responsável por 63,52% dos eventos de DDoS de Camada 3 e Camada 4, dando continuidade à tendência de "mudança regional" observada no ano passado. O número de ataques contra essa região foi quase o dobro do número da região imediatamente superior. Supomos que isso se deve às motivações político-financeiras dos grupos agressores contra os bancos europeus. Além disso, demonstra quão facilmente os adversários podem rapidamente mudar sua atenção.
Embora a indústria de serviços financeiros tenha menos scripts de terceiros do que outras indústrias (30%), ela está suscetível a ataques como o roubo de informações em sites web skimming. No entanto, as instituições de serviços financeiros estão começando a adotar soluções para atender aos novos requisitos do Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) v4.0.
O número crescente de solicitações de bots maliciosos (1,1 trilhão de dólares), com um aumento de 69%, exemplifica os contínuos ataques contra clientes de serviços financeiros e seus dados com ataques como aquisições de contas e riscos impostos por agregadores financeiros.
O relatório Estado da Internet (SOTI) para serviços financeiros de 2023 não apenas reafirmou as tendências de ameaças familiares observadas ao longo da pesquisa de segurança deste ano, mas também forneceu algumas percepções setoriais exclusivas. O relatório é baseado no tráfego de ameaças que defendemos e nas melhores práticas que aprendemos com nossos clientes.
Tendências notáveis: Ataques da web em ascensão
Uma mudança notável que observamos é o ranking da indústria de serviços financeiros em ataques de negação de serviço (DDoS) distribuída . Este ano, a indústria de serviços financeiros ficou em primeiro lugar em ataques de DDoS, embora ela permaneça em terceiro lugar para ataques a aplicações web e APIs e em primeiro para phishing.
Pela primeira vez neste relatório, dividimos os serviços financeiros em subverticais (Figura 1). Este exame mais profundo de ataques contra a aplicações da web e API em serviços financeiros revelou que os bancos estão sofrendo o impacto dos ataques na web (58%), seguidos por outras empresas de serviços financeiros, como fintech, mercados de capitais, seguros de propriedades e acidentes e empresas de pagamentos e empréstimos (28%).
As companhias de seguros representam 14% do tráfego de aplicações web e APIs nas subverticais de serviços financeiros. Esses aumentos gerais originam-se de um aumento nas vulnerabilidades de aplicações web disponíveis publicamente, que estão prontas para exploração e abuso. Nosso relatório SOTI anterior, Invasão pelas brechas na segurança, destacou que 2022 foi um ano recorde em ataques contra aplicativos da Web e APIs devido ao surgimento de falhas críticas de segurança, como a vulnerabilidade ProxyNotShell (CVE-2022-41040).
Fig. 1: Os bancos são fortemente afetados por ataques na web devido ao tipo de dados que possuem; no entanto, outras organizações de serviços financeiros, como fintech, mercados de capitais e outras, também são significativamente afetadas
Ataques DDoS: uma crescente preocupação com a segurança
Os ataques DDoS da Camada 7 são um problema crescente para aplicações financeiros. Os cibercriminosos estão estabelecendo novos registros e fazendo esforços sem parar para elevar as operações de ataque, redes e táticas, técnicas e procedimentos (TTPs) para combater defesas mais fortes. Algumas das caraterísticas mais comuns que observamos de muitos ataques DDoS em grande escala incluem:
IP/sub-rede e países altamente distribuídos
Fontes de ataque abundantes, incluindo provedores de serviços de nuvem infetados/alugados, nós de saída Tor, nós de proxy anônimos/abertos
Inundações GET
URLs não armazenáveis em cache, como página inicial, URLs aleatórios, pontos de extremidade de login
Falsificação de IP por ataques avançados que criam botnets em ISPs residenciais, redes de operadoras móveis ou redes universitárias.
Golpes dinâmicos e adaptativos, baseados nas respostas dos defensores
Para ataques DDoS das camadas 3 e 4, os serviços financeiros ultrapassaram a indústria de jogos se tornam a vertical mais atacada, representando 29,25% dos eventos de ataque. Os ataques DDoS são, há muito tempo, as armas mais poderosas dos criminosos cibernéticos armas mais poderosascapazes de causar grandes interrupções de serviços, perdas financeiras catastróficas e interrupções nos recursos e nas operações de uma rede a qualquer momento.
Os ataques contra clientes de serviços financeiros continuam
Neste SOTI, analisamos uma tendência que relatamos em 2022 mostrando o foco dos invasores ao buscar clientes. Percebemos que a apropriação indevida de contas No ano passado, mais de 50% dos IPs direcionados a serviços financeiros neste ano estão relacionados a raspadores da web (Figura 2). Essas ferramentas automatizadas são usadas para coletar informações de sites e criar réplicas exatas deles para phishing enganando os usuários a divulgar suas informações confidenciais.
Fig. 2: Distribuição da plataforma de inteligência Akamai Client Reputation mostrando vetores de ameaça que estão direcionando os serviços financeiros verticais em um período de 90 dias
Em relação à conformidade, é essencial destacar o Regulamento de resiliência operacional digital (DORA, na sigla em inglês), um regulamento global da UE que impõe obrigações ao setor financeiro europeu e a alguns dos prestadores de serviços terceiros. Como aconteceu com o quadro de proteção de dados da UE (o Regulamento Geral sobre a Proteção de Dados), o DORA pode se tornar um exemplo de regulamentação de resiliência que outros países, incluindo os Estados Unidos, devem considerar ao desenvolver regras para o setor financeiro.
Medidas de segurança
A ameaça de APIs obscuras e os ataques de bypass de controle de acesso são um desafio crítico decorrente da inovação para oferecer suporte aos clientes. A indústria deve:
Detectar rapidamente APIs não autorizadas, seja elas voltadas para o cliente ou internas
Monitorá-las contra ataques ou abusos
Estabelecer processos para investigar incidentes
Automatizar as políticas de mitigação
As mesmas recomendações de visibilidade e resposta se aplicam a problemas relacionados a aquisição de contas, agregadores financeiros, raspagem da web e phishing; esses problemas voltados para a borda são uma ótima área para aproveitar OWASP Top 10 e MITER ATT&Estrutura CK para desenvolver treinamento, medições de linha de base de maturidade e planos de teste para equipes vermelhas/grupos de teste de penetração.
As instituições financeiras também podem usar a ferramenta &de navegador CK ATT como modelo para executar um exercício da equipe roxa baseado em uma ameaça específica como CL0P. (Equipes roxas realizam ataques de simulação para encontrar fraquezas de segurança no perímetro de uma organização com o objetivo de melhorar sua segurança.)
Defesas atualizadas
Como o DDoS continua a ser um grande vetor de ameaças, o setor de serviços financeiros deve garantir que ele tenha planos atualizados para ataques das Camadas 3 e 4 (infraestrutura) e da Camada 7 (web). Exercícios valiosos incluem validar playbooks e acompanhar as tendências de ataque para tamanho e velocidade para avaliar o risco com base nas capacidades atuais.
Além disso, é aconselhável determinar um gatilho para a realização de exercícios técnicos. Por exemplo, se você não experimentou um ataque nos últimos três trimestres, deve realizar um exercício ao vivo.
Detectar e responder prontamente aos scrapers da web que estão colhendo informações de clientes ou sites para fins de criação de sites de phishing fraudulentos é crucial. Há uma série de ferramentas e serviços para isso, e é importante colaborar com a equipe de prevenção de fraudes ao desenvolver seu processo/solução.
Os serviços financeiros se preparam para o novo requisito do PCI DSS
Por fim, as instituições financeiras devem abordar o aumento da atenção de cibercriminosos e reguladores em torno de ambientes JavaScript. Embora essa área não tenha sido tão importante para os registradores de risco no passado, você deve agir com antecedência para implementar os controles corretos e cumprir a recém-lançada PCI DSS v4.0 para evitar uma crise.
Faça também uma parceria com o departamento jurídico para atualizar políticas que abordam os regulamentos emergentes em áreas como resiliência.
Saiba mais
O relatório completo inclui instantâneos regionais e informações técnicas que não foram abordadas neste artigo. Esperamos que esses insights permitam que você converse com seus parceiros sobre ROI e risco, e que os dados lhe forneçam abordagens táticas eficazes para defender sua instituição financeira e seus clientes contra ameaças.
Fique por dentro de nossas pesquisas mais recentes verificando nosso hub de pesquisa de ameaças.
