Como as empresas podem obter uma visão antecipada e de adaptação aos ataques cibernéticos?
Prof. Dr. Antonio Celso Ribeiro Brasiliano, CEGRC, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela
Université Paris – Est (Marne La Vallée, Paris, França); presidente da Brasiliano INTERISK.
26/08/2021
A detecção de sintomas de ataques cibernéticos a sistemas empresariais, abrangendo tanto TI (Tecnologia da Informação – Nível Corporativo) quanto TO (Tecnologia Operacional – Nível Industrial e Operações de Negócio) a tempo de as empresas acionarem suas defesas e em paralelo realizarem a análise de como o ataque poderá ser materializado, aí incluída uma projeção dos prováveis impactos, de modo a reduzi-los mediante um eficaz gerenciamento dos incidentes, passou a ser um desafio estratégico para os gestores da segurança cibernética, informação e privacidade - CIP.
As empresas necessitam ser resilientes às ameaças cibernéticas e para isso necessitam estruturar respostas adequadas ao perfil de ataques que poderão sofrer. Isso significa que a percepção de sintomas de que há algo anormal nas redes e sistemas é um fator crítico de sucesso. Mediante uma antecipação bem-sucedida, as empresas podem estruturar muito mais assertivamente suas defesas cibernéticas e também gerenciar as respostas adequadas aos incidentes. Um Plano de Resposta a Incidentes bem estruturado, com o emprego de cenários prospectivos de ataques cibernéticos é o grande diferencial para mitigar consequências.
Hoje, as empresas encontram-se submetidas a pressões intensas, tanto oriundas da área externa quanto da área interna: da área externa, as ameaças crescem de forma exponencial, incidindo sobre um perímetro estendido (sem fronteira definida, na verdade), perpetradas por hackers cada vez mais capacitados; já as pressões vindas da área interna devem-se principalmente à insuficiência orçamentária (resultado da não conscientização da alta gestão) e da carência de recursos humanos capacitados, o que redunda na falta de agilidade de antecipação e de resposta.
Na verdade, a segurança cibernética deve estar à frente dos hackers para poder prevenir e mitigar os ataques. Esse é o grande desafio. Na figura a seguir, demonstramos graficamente essas pressões.
Figura 1: Pressões da Segurança Cibernética
Fonte: Metodologia da Brasiliano INTERISK – Construção de Cenários de Ataques Cibernéticos
Para fazer face a ameaças cada vez mais sofisticadas, a empresa deve dispor de uma capacidade muito forte de detecção, visando entender como os ataques cibernéticos podem ser materializados, bem como a estratégia empregada e o vetor de ataque utilizado. Para isso, deve entender muito bem suas próprias vulnerabilidades e saber qual o perfil de um possível agressor. Deve também identificar, sob a ótica do hacker, que tipo de vantagem sobre a empresa ele (hacker) poderá ter, caso o ataque obtenha sucesso. O diagrama de causa e efeito a seguir mostra as perguntas que devem ser respondidas pelos gestores da CIP (Cibernética, Informação e Privacidade), de modo a obter a visão antecipada do evento.
Figura 2: Diagrama de Causa e Efeito para ataques cibernéticos
Fonte: Metodologia da Brasiliano INTERISK – Construção de Cenários de Ataques Cibernéticos
Portanto, antes de pensar em tecnologia as empresas devem pensar em antever os modi operandi do agressor, bem como o seu perfil.
Desta maneira, a empresa, para ter resiliência cibernética com muita agilidade, deve percorrer três fases em seu processo de atuação preventiva e mitigatória. São elas:
Figura 3: As fases dos ataques cibernéticos
Fonte: Metodologia da Brasiliano INTERISK – Construção de Cenários de Ataques Cibernéticos
1. DETECÇÃO
É a capacidade das organizações de prever e detectar ameaças cibernéticas. As organizações precisam realizar um trabalho de inteligência com foco nas ameaças cibernéticas e nas medidas de defesa ativa para prever quais ataques estão sendo orientados em sua direção e detectá-los quando eles estiverem próximos, antes que sejam bem-sucedidos. As empresas precisam ter dados sobre o que vai acontecer e para isso devem contar com um trabalho de inteligência analítica sofisticada que lhes proporcione um alerta antecipado quando situações anômalas estiverem ocorrendo no tráfego da rede ou no sistema.
2. DEFESAS E SEGURANÇA
Os mecanismos de defesa de segurança formam basicamente o escudo de defesa, a muralha que o hacker tentará vencer. Tudo começa com a determinação do grau de risco que a empresa está preparada para enfrentar, tendo em vista o levantamento e a avaliação de cenários de ataques cibernéticos de toda a sua superfície de ataque. Em seguida emprega as três linhas de defesa:
Primeira Linha: encarregada de executar medidas de controle nas operações do dia a dia;
Segunda Linha: responsável por implantar funções de monitoramento contínuo pelo SOC – Security Operation Center (Centro de Operações de Segurança), incluindo o SIEM – Security Information and Events Management (Gerenciamento de Segurança da Informação e Eventos), em toda a infraestrutura de TI da empresa, aí incluídos os sistemas de segurança, controles internos e Cyber Security Risks Assessment (Avaliação dos Riscos e Cenários Cibernéticos);
Terceira Linha: Responsável por exercer uma forte e independente auditoria interna.
3. REAÇÃO
Caso a Detecção não funcione (a organização não percebeu a chegada da ameaça) e haja uma falha na Defesa de Segurança (as medidas de controle não eram fortes o suficiente), as empresas precisam estar preparadas para lidar com a provável interrupção das operações e para gerenciar a crise, devendo dispor de uma pronta capacidade de resposta a incidentes.
Elas também precisam estar preparadas para preservar provas de maneira segura, do ponto de vista forense, e, em seguida, investigar a violação, a fim de satisfazer partes interessadas cruciais, como clientes, reguladores, investidores, autoridades policiais e o público em geral, qualquer uma das quais poderia mover ações por perdas e danos ou por descumprimento de obrigações. Caso as partes responsáveis pelo incidente sejam identificadas, a empresa poderá mover processos contra elas.
Finalmente, elas também precisam estar preparadas para retornar à rotina de negócios o mais rapidamente possível, ou seja, recuperar o quanto antes o costumeiro ritmo das operações. Aprender com o incidente é crucial para que a empresa não volte a cometer as mesmas falhas, daí a necessidade de registrar todas as ações realizadas e o grau de eficácia nelas obtido no sentido de conter, erradicar e recuperar.
Figura 4: Fases dos ataques cibernéticos – Visão Esquemática
Fonte: Metodologia da Brasiliano INTERISK – Construção de Cenários de Ataques Cibernéticos
Em função disso, é cada vez mais importante correlacionar as informações e, assim, garantir a segurança dos negócios, através da inteligência analítica.
De acordo com o Daniel Lima, em seu artigo “Como tratar milhares de informações e garantir a segurança do seu negócio?”:
Mas como fazer isso na mesma velocidade em que aparecem novas ameaças e um turbilhão de informações para serem gerenciadas? A resposta é adotar plataformas de segurança inteligente. Elas se tornaram um elemento fundamental na estratégia de segurança das áreas da Cibernética, Informação e Privacidade – CIP para gerenciar estes desafios, possibilitando detecção e respostas automáticas e emitindo dashboards e relatórios que permitirão às empresas identificar, realizar a triagem e atuar de forma mais eficaz durante os incidentes.
Porém, adotar uma nova ferramenta e ter uma abordagem prospectiva impõe desafios aos líderes das empresas. Para enfrentar esses desafios, ou pelo menos os mais importantes dentre eles, cumpre à Alta Administração responder às seguintes perguntas:
• Como manter os especialistas da empresa atualizados e motivados?
• Como garantir a nova plataforma rodando de forma plena?
• A empresa faz uso de todo o potencial da nova plataforma? Ou usa apenas parte do seu potencial?
• Adianta a empresa ter visibilidade das ameaças e não ter um time 24×7 atuando nos incidentes?
• A empresa acompanha de forma direta os novos modi operandi dos hackers em outros países?
• A empresa está adicionando inteligência ao seu sistema de segurança CIP e aos seus processos?
Todas essas dúvidas nos mostram que essas plataformas, por si sós, não atingem os resultados necessários para garantir a proteção dos dados. É preciso contar com um parceiro especializado em segurança CIP que forneça serviços do tipo SOC, agregando processos e conhecimentos maduros, além de um time de especialistas nessa tecnologia, com analistas de segurança que atuem 24 horas por dia, 7 dias por semana, assegurando que nenhum incidente de segurança identificado pela solução passe despercebido ou deixe de ser triado e tratado.
A detecção de ameaças e de violações de conformidade em tempo aceitável e a capacidade de gerenciar incidentes com o mínimo de impacto certamente farão diferença no desempenho do negócio.
Garantir segurança para o negócio não pode ser um mero exercício de especulações. Se não tiver consciência plena de quais são as Joias da Coroa (aquilo que é crítico, relevante e essencial) do negócio e não concentrar o foco na proteção ao redor delas, a empresa poderá pagar o preço por cenários de ataques cibernéticos que não estão no radar. A consequência será massiva, prejudicando os setores operacional, legal e financeiro, além da imagem da empresa.
Possuir a visão de antecipação e adaptação é o grande desafio para os líderes empresariais neste século XXI.