BLOG | ESCRITÓRIO DO CTO

A Necessidade Evolutiva de Segurança Cibernética Proativa

Miniatura de Aditya Sood
Aditya Sood
Publicado em 28 de fevereiro de 2022

As crises que se desenrolam na Ucrânia expuseram novas facetas dos conflitos entre Estados-nação que têm impactos muito além da região geográfica imediata. Como uma empresa global, temos uma tremenda empatia por todos que são prejudicados, deslocados ou impactados negativamente pelos ataques em andamento, incluindo muitos de nossa extensa família F5. Sem ignorar os aspectos muito reais e humanos do conflito Rússia-Ucrânia, os clientes também nos pediram para fornecer orientações sobre os tipos de ataques cibernéticos que eles podem ver mais nos próximos dias, à luz dos eventos recentes. Dessa forma, o artigo abaixo pretende abordar essas questões de maneira direta, respeitosa e prática.

O papel dos ataques cibernéticos em conflitos entre Estados-nação deu origem a novas preocupações com a segurança cibernética em uma escala diferente daquela com que muitas organizações lidam tradicionalmente, destacando ainda mais a importância de se defender contra ataques sofisticados por meio de uma estratégia proativa de segurança cibernética.

Com a evolução da Internet, as operações comerciais globais mudaram tremendamente. A transformação digital está acontecendo em escala exponencial, estimulando avanços tecnológicos e sofisticação de ataques cibernéticos em igual medida. Paralelamente, as organizações de hoje ainda estão lidando com invasores tradicionais que são motivados financeiramente, mas também com estados-nação e atores baseados em causas que têm objetivos mais amplos. É claro que, com o aumento da sofisticação dos ataques cibernéticos, as proteções correspondentes também precisam evoluir regularmente. Na economia atual, é muito mais provável que você encontre atores estatais-nação que estejam desenvolvendo explorações para vulnerabilidades conhecidas (e desconhecidas).

Na prática, isso leva atores de estados-nação a desenvolverem explorações que têm como alvo a infraestrutura de Internet (e serviços críticos) de outras nações de forma contínua. Embora os cenários mais imediatos que vêm à mente sejam conflitos geopolíticos entre Estados-nação, muitos dos mesmos princípios devem agora ser amplamente aplicados às práticas tradicionais de segurança empresarial, especialmente porque os Estados-nação frequentemente atacam uma combinação de recursos governamentais e do setor privado da Internet como um meio de desestabilização.  Consequentemente, ataques cibernéticos direcionados representam uma ameaça significativa tanto à integridade das nações quanto àqueles que tentam conduzir quaisquer esforços comerciais relacionados com (ou dentro de) uma geografia alvo. Isso levou à segurança cibernética proativa e contínua como uma necessidade crescente para todos os tipos de organizações.

Ataques cibernéticos direcionados

Em termos gerais, os adversários do estado-nação lançam ataques cibernéticos direcionados para diminuir severamente a infraestrutura dos estados-nação e interromper a funcionalidade de seus sistemas de Internet, o que por sua vez pode impactar a infraestrutura financeira e militar. A Figura 1 destaca um exemplo de um ataque direcionado (neste caso, phishing) em ação.

Diagrama de Ataque de Phishing Direcionado em Ação
Figura 1: Ataque de phishing direcionado em ação

Ataques cibernéticos direcionados são executados usando código malicioso projetado para conduzir operações furtivas.  Alguns exemplos de código malicioso são exploits (exploração de vulnerabilidades), rootkits (violação do kernel e do modo de usuário para operações não autorizadas), Remote Administration Toolkits (gerenciamento de sistemas comprometedores), Wipers (destruição dos Master Boot Records do sistema), ransomware (criptografia de dados confidenciais e solicitação de resgate) e muitos outros. Embora geralmente sejam chamados de ataques cibernéticos, essas táticas individuais podem ser consideradas como “armas digitais”.

Atacantes de Estados-nação visando infraestrutura: Armas digitais em ascensão

Os adversários realizam uma grande variedade de ataques durante conflitos entre Estados-nação, com ameaças digitais junto com aquelas de natureza física tradicional. Os estados-nação de hoje são bem versados na execução de vários conjuntos de ataques cibernéticos, com exemplos importantes discutidos abaixo:

  • Lançar ataques de negação de serviço distribuída (DoS) de várias localizações geográficas na Internet para derrubar infraestrutura crítica e portais de comunicação é uma estratégia operacional bem pensada durante conflitos entre estados-nação. Por exemplo, adversários podem estar determinados a afetar sites militares usados para lidar com assuntos internos para interromper comunicações oficiais. Os portais web das instituições financeiras também são geralmente direcionados para impactar as operações bancárias e financeiras.
  • Desencadeando ataques de destruição de dados por meio da distribuição de código malicioso avançado por meio de ataques de download drive-by. O código malicioso é hospedado nos portais da web comprometidos ou anexado a e-mails de phishing (de natureza direcionada) e, usando engenharia social, os usuários visados são forçados a interagir com o portal da web ou e-mail de phishing para instalar o código malicioso nos sistemas visados. Uma vez instalado, o código malicioso tem a capacidade de destruir sistemas completos, excluindo dados e tornando o sistema inútil.
  • O roubo de Propriedade Intelectual (PI) durante um conflito de tempo também é um dos principais alvos dos adversários do Estado-nação. O raciocínio geralmente é o seguinte: Se a infraestrutura de um estado-nação já estiver comprometida, pode haver uma oportunidade de roubar propriedade intelectual que poderá ser usada para diversos propósitos mais tarde.

Relacionado, aqui está uma rápida análise de ataques cibernéticos notáveis que provavelmente serão usados como “armas digitais” em conflitos entre Estados-nação:

Tipo de ataque cibernético Nome de código malicioso
(“Arma Digital”)
Características
Negação de serviço distribuída (DDoS) Botnet Desconhecido Negação de serviço: Impactando a disponibilidade de infraestrutura crítica, como portais web de instituições financeiras, militares, etc.
Distribuição de malware Portão do Sussurro Destruição de dados e bloqueio do sistema: Corrompendo o Master Boot Record (MBR) dos sistemas comprometidos e criptografando arquivos confidenciais
Distribuição de malware Limpador hermético Destruição de dados e bloqueio do sistema: Corromper e apagar arquivos confidenciais em sistemas comprometidos

Tabela 1: Código malicioso provavelmente será usado em ataques cibernéticos lançados durante conflitos entre Estados-nação

Usando as armas digitais listadas acima, os agentes do Estado-nação podem lançar um tremendo conjunto de ataques para impactar severamente a infraestrutura de propriedade de governos e organizações. Isso geralmente faz parte de uma estratégia maior para prejudicar a capacidade do estado-nação de se comunicar livremente e interromper os sistemas financeiros e militares ao contornar a integridade, a disponibilidade e a confidencialidade dos sistemas ativos na infraestrutura.

Novamente, embora isso possa parecer mais imediatamente relevante para Estados-nação em conflito, há um risco maior quando as ferramentas e explorações usadas nesses ataques chegam ao cenário de ameaças mais amplo. (Um exemplo histórico disso é o bug NotPetya de 2017.)

Protegendo a infraestrutura crítica

A segurança cibernética proativa se tornou a abordagem necessária predominante. Embora os governos sejam geralmente responsáveis por garantir que a infraestrutura crítica (incluindo portais militares, sites de instituições financeiras, incluindo infraestrutura SCADA) seja continuamente monitorada e protegida contra ataques cibernéticos, as linhas entre a segurança do setor público e privado tornaram-se muito mais sutis.  Olhando para o quadro geral, proteger a infraestrutura de rede e os aplicativos implantados é essencial para contornar ataques de rede, como DDoS e código malicioso distribuído pela rede, para preservar a integridade dos recursos de infraestrutura sem impactar a disponibilidade.  Mais importante ainda, é necessário proteger também os aplicativos críticos contra ataques HTTP. A parte mais importante é garantir que a comunicação pela Internet permaneça ininterrupta. Para isso, as organizações precisam garantir que sua infraestrutura esteja equipada com mecanismos de segurança para combater ataques cibernéticos.

Os primeiros passos para alcançar a segurança cibernética proativa

O ritmo acelerado da transformação digital resultou na adoção de aplicativos modernos por governos e organizações para alcançar eficiência operacional. No entanto, essas aplicações exigem proteção contra ataques cibernéticos avançados, que podem ser direcionados ou generalizados. Torna-se ainda mais relevante em tempos de conflito entre Estados-nação garantir que aplicativos críticos possam ser mantidos disponíveis. Governos e todas as organizações devem permanecer vigilantes com os seguintes pontos-chave a serem considerados:

  • Aplicativos web e APIs são comuns no cenário digital atual. Protegê-los contra abusos e ataques é fundamental para manter uma postura de segurança positiva. Serviços e soluções como Web App and API Protection (WAAP) não apenas fornecem proteção contra ataques baseados na web, mas também incluem recursos de segurança nativos.
  • Exploração e abuso não são os únicos meios de ataque. Ataques de negação de serviço podem impedir o acesso a ativos críticos. Uma estratégia proativa de segurança cibernética também deve incluir a capacidade de contornar ataques DoS baseados em aplicativos para garantir que aplicativos críticos permaneçam disponíveis.
  • Ser proativo também requer a capacidade de identificar sinais de um possível ataque. A maioria das organizações não consegue detectar ataques precocemente devido à visibilidade incompleta de todos os aplicativos, infraestrutura e ambientes. A saúde dos ativos digitais é determinada por sinais digitais e é um componente fundamental para a segurança cibernética proativa. Uma estratégia de observabilidade que permite a detecção precoce de possíveis ataques oferece a capacidade de responder e neutralizar rapidamente um ataque.

Construir uma postura de segurança cibernética forte e robusta deve incluir disponibilidade, ou seja, ainda é possível usar aplicativos críticos se eles estiverem sob ataque. Alcançar a segurança com resiliência e disponibilidade ininterrupta são os parâmetros da segurança cibernética proativa, com o entendimento de que as ameaças (e mitigações) nunca deixarão de evoluir.