As crises que se desenrolam na Ucrânia expuseram novas facetas dos conflitos entre Estados-nação que têm impactos muito além da região geográfica imediata. Como uma empresa global, temos uma tremenda empatia por todos que são prejudicados, deslocados ou impactados negativamente pelos ataques em andamento, incluindo muitos de nossa extensa família F5. Sem ignorar os aspectos muito reais e humanos do conflito Rússia-Ucrânia, os clientes também nos pediram para fornecer orientações sobre os tipos de ataques cibernéticos que eles podem ver mais nos próximos dias, à luz dos eventos recentes. Dessa forma, o artigo abaixo pretende abordar essas questões de maneira direta, respeitosa e prática.
O papel dos ataques cibernéticos em conflitos entre Estados-nação deu origem a novas preocupações com a segurança cibernética em uma escala diferente daquela com que muitas organizações lidam tradicionalmente, destacando ainda mais a importância de se defender contra ataques sofisticados por meio de uma estratégia proativa de segurança cibernética.
Com a evolução da Internet, as operações comerciais globais mudaram tremendamente. A transformação digital está acontecendo em escala exponencial, estimulando avanços tecnológicos e sofisticação de ataques cibernéticos em igual medida. Paralelamente, as organizações de hoje ainda estão lidando com invasores tradicionais que são motivados financeiramente, mas também com estados-nação e atores baseados em causas que têm objetivos mais amplos. É claro que, com o aumento da sofisticação dos ataques cibernéticos, as proteções correspondentes também precisam evoluir regularmente. Na economia atual, é muito mais provável que você encontre atores estatais-nação que estejam desenvolvendo explorações para vulnerabilidades conhecidas (e desconhecidas).
Na prática, isso leva atores de estados-nação a desenvolverem explorações que têm como alvo a infraestrutura de Internet (e serviços críticos) de outras nações de forma contínua. Embora os cenários mais imediatos que vêm à mente sejam conflitos geopolíticos entre Estados-nação, muitos dos mesmos princípios devem agora ser amplamente aplicados às práticas tradicionais de segurança empresarial, especialmente porque os Estados-nação frequentemente atacam uma combinação de recursos governamentais e do setor privado da Internet como um meio de desestabilização. Consequentemente, ataques cibernéticos direcionados representam uma ameaça significativa tanto à integridade das nações quanto àqueles que tentam conduzir quaisquer esforços comerciais relacionados com (ou dentro de) uma geografia alvo. Isso levou à segurança cibernética proativa e contínua como uma necessidade crescente para todos os tipos de organizações.
Em termos gerais, os adversários do estado-nação lançam ataques cibernéticos direcionados para diminuir severamente a infraestrutura dos estados-nação e interromper a funcionalidade de seus sistemas de Internet, o que por sua vez pode impactar a infraestrutura financeira e militar. A Figura 1 destaca um exemplo de um ataque direcionado (neste caso, phishing) em ação.
Figura 1: Ataque de phishing direcionado em ação
Ataques cibernéticos direcionados são executados usando código malicioso projetado para conduzir operações furtivas. Alguns exemplos de código malicioso são exploits (exploração de vulnerabilidades), rootkits (violação do kernel e do modo de usuário para operações não autorizadas), Remote Administration Toolkits (gerenciamento de sistemas comprometedores), Wipers (destruição dos Master Boot Records do sistema), ransomware (criptografia de dados confidenciais e solicitação de resgate) e muitos outros. Embora geralmente sejam chamados de ataques cibernéticos, essas táticas individuais podem ser consideradas como “armas digitais”.
Os adversários realizam uma grande variedade de ataques durante conflitos entre Estados-nação, com ameaças digitais junto com aquelas de natureza física tradicional. Os estados-nação de hoje são bem versados na execução de vários conjuntos de ataques cibernéticos, com exemplos importantes discutidos abaixo:
Relacionado, aqui está uma rápida análise de ataques cibernéticos notáveis que provavelmente serão usados como “armas digitais” em conflitos entre Estados-nação:
Tipo de ataque cibernético | Nome de código malicioso (“Arma Digital”) |
Características |
---|---|---|
Negação de serviço distribuída (DDoS) | Botnet Desconhecido | Negação de serviço: Impactando a disponibilidade de infraestrutura crítica, como portais web de instituições financeiras, militares, etc. |
Distribuição de malware | Portão do Sussurro | Destruição de dados e bloqueio do sistema: Corrompendo o Master Boot Record (MBR) dos sistemas comprometidos e criptografando arquivos confidenciais |
Distribuição de malware | Limpador hermético | Destruição de dados e bloqueio do sistema: Corromper e apagar arquivos confidenciais em sistemas comprometidos |
Tabela 1: Código malicioso provavelmente será usado em ataques cibernéticos lançados durante conflitos entre Estados-nação
Usando as armas digitais listadas acima, os agentes do Estado-nação podem lançar um tremendo conjunto de ataques para impactar severamente a infraestrutura de propriedade de governos e organizações. Isso geralmente faz parte de uma estratégia maior para prejudicar a capacidade do estado-nação de se comunicar livremente e interromper os sistemas financeiros e militares ao contornar a integridade, a disponibilidade e a confidencialidade dos sistemas ativos na infraestrutura.
Novamente, embora isso possa parecer mais imediatamente relevante para Estados-nação em conflito, há um risco maior quando as ferramentas e explorações usadas nesses ataques chegam ao cenário de ameaças mais amplo. (Um exemplo histórico disso é o bug NotPetya de 2017.)
A segurança cibernética proativa se tornou a abordagem necessária predominante. Embora os governos sejam geralmente responsáveis por garantir que a infraestrutura crítica (incluindo portais militares, sites de instituições financeiras, incluindo infraestrutura SCADA) seja continuamente monitorada e protegida contra ataques cibernéticos, as linhas entre a segurança do setor público e privado tornaram-se muito mais sutis. Olhando para o quadro geral, proteger a infraestrutura de rede e os aplicativos implantados é essencial para contornar ataques de rede, como DDoS e código malicioso distribuído pela rede, para preservar a integridade dos recursos de infraestrutura sem impactar a disponibilidade. Mais importante ainda, é necessário proteger também os aplicativos críticos contra ataques HTTP. A parte mais importante é garantir que a comunicação pela Internet permaneça ininterrupta. Para isso, as organizações precisam garantir que sua infraestrutura esteja equipada com mecanismos de segurança para combater ataques cibernéticos.
O ritmo acelerado da transformação digital resultou na adoção de aplicativos modernos por governos e organizações para alcançar eficiência operacional. No entanto, essas aplicações exigem proteção contra ataques cibernéticos avançados, que podem ser direcionados ou generalizados. Torna-se ainda mais relevante em tempos de conflito entre Estados-nação garantir que aplicativos críticos possam ser mantidos disponíveis. Governos e todas as organizações devem permanecer vigilantes com os seguintes pontos-chave a serem considerados:
Construir uma postura de segurança cibernética forte e robusta deve incluir disponibilidade, ou seja, ainda é possível usar aplicativos críticos se eles estiverem sob ataque. Alcançar a segurança com resiliência e disponibilidade ininterrupta são os parâmetros da segurança cibernética proativa, com o entendimento de que as ameaças (e mitigações) nunca deixarão de evoluir.