Recentemente, li um artigo sobre um dos mais recentes ataques de ransomware, neste caso com a empresa de saúde Lehigh Valley Health Network (LVHN). Por mais preocupante que seja ver criminosos cibernéticos tomando os sistemas e dados de uma organização como reféns, esse ataque cibernético foi especialmente preocupante. Como o jornal The Register descreve o incidente:
“[cybergang] BlackCat (também conhecido como ALPHV) invadiu uma das redes de médicos da Lehigh Valley Health Network (LVHN) nos EUA, roubou imagens de pacientes em tratamento de oncologia por radiação, juntamente com outros registros de saúde confidenciais... A LVHN se recusou a pagar o resgate e, no início deste mês, a BlackCat começou a vazar informações de pacientes, incluindo imagens de pelo menos duas pacientes com câncer de mama, nuas da cintura para cima.”
Embora cada tentativa de extorsão possa criar um renovado senso de propósito para proteger melhor redes e dados confidenciais, o fato de que ransomware e todas as formas de ataques cibernéticos podem causar danos duradouros e traumas psicológicos a indivíduos deve ser um grande alerta para qualquer organização que ainda não esteja embarcando em uma jornada de segurança de confiança zero. Qualquer setor ou organização de infraestrutura crítica encarregada de informações pessoais confidenciais deve integrar os princípios básicos de um modelo de confiança zero.
Provavelmente nem é preciso dizer que se não estivermos pensando alguns passos à frente de onde estamos hoje com a segurança de aplicativos, ficaremos rapidamente para trás na corrida contra os cibercriminosos e suas táticas de ameaças emergentes. Então, nunca é cedo demais para nos perguntarmos: o que o futuro reserva com a confiança zero? Como ele evoluirá para lidar não apenas com um cenário de ameaças em constante mudança, mas também com a natureza em constante mudança do nosso mundo digital e dos próprios aplicativos?
Para ajudar a responder a essas perguntas, conversei com dois especialistas em segurança aqui na F5: Engenheiro Distinto, Ken Arora; e Diretor Sênior de Desenvolvimento de Produtos, Mudit Tyagi.
Essa violação do LVHN realmente me fez pensar sobre como as organizações estão implementando os princípios do ZT. É quase como um momento de acerto de contas, em que um ano de monitoramento de crédito gratuito não será mais suficiente para os consumidores afetados por uma violação. Você diria que os riscos são muito maiores hoje para as empresas?
Mudou: É evidente que os riscos são maiores. Especialmente com hackers patrocinados pelo estado que têm financiamento e recursos técnicos, bem como tempo, para pesquisar e lançar ataques altamente direcionados contra corporações e outras nações. Sem mencionar a perturbação do estado geral de estabilidade social. Lembramos do incidente Aurora de 2010, quando a propriedade intelectual foi roubada do Google e de outras corporações dos EUA. Uma década depois, em 2020, o ataque à cadeia de suprimentos da SolarWinds foi usado como um mecanismo para entrar em muitas redes confidenciais. O potencial de impacto de "alto risco" levou a Casa Branca a emitir uma Ordem Presidencial exigindo que todas as agências governamentais sigam os princípios de confiança zero.
Ken: Concordo que o escopo da exposição só aumentará com o tempo. E isso não ocorre apenas porque mais dados estarão disponíveis on-line, mas também porque novas classes de comprometimento serão expostas à medida que avançamos em direção à adoção de IA em escala. Gostaria de ressaltar que a governança social em torno do gerenciamento dos riscos de qualquer nova tecnologia sempre leva tempo. Por exemplo, demorou alguns anos para que as empresas, especialmente em setores regulamentados, tivessem responsabilidade legal. Vimos isso com a Experian e a T-Mobile, totalizando mais de US$ 1 bilhão. Mais recentemente, vemos como indivíduos como o CSO da Uber estão sendo responsabilizados pessoalmente por negligência em casos em que houve negligência significativa. Este exemplo também é paralelo ao da assistência médica. Acredito que esses desenvolvimentos tornam ainda mais importante que os profissionais de segurança sigam as melhores práticas e que o sistema jurídico crie diretrizes de porto seguro.
Dado o cenário atual, o que você acha que está no horizonte com confiança zero?
Mudou: Historicamente, o Google introduziu a Beyond Corp após os ataques Aurora como uma das primeiras encarnações da confiança zero, embora a ideia seja ainda mais antiga. Hoje, surgiram ofertas como ZTNA e SASE, aplicando princípios de confiança zero ao acesso de usuários e dispositivos. No entanto, mais esforços devem ser feitos para aplicar os princípios de confiança zero dentro da própria rede, onde as cargas de trabalho interagem entre si para permitir processos de negócios e experiências do usuário. Consideramos essa relação de carga de trabalho para carga de trabalho como confiança zero. Simplificando, as abordagens relacionadas ao acesso tentam impedir que uma violação aconteça, enquanto a confiança zero no nível da carga de trabalho se concentra em minimizar o impacto de uma violação em andamento.
A indústria luta para implementar controles que sigam o princípio de confiança zero de “assumir violação”. Para lidar com cenários pós-violação, as cargas de trabalho exigem “identidades”, assim como usuários e dispositivos. E essas cargas de trabalho devem ser monitoradas continuamente para evitar que malware que já esteja dentro da rede cause danos. Isso é especialmente crítico devido à força de trabalho móvel e aos ambientes de infraestrutura atuais, onde os aplicativos são distribuídos entre nuvens privadas e públicas, além de sistemas legados.
Como a confiança zero requer uma mentalidade de “assumir violação”, ela exigirá medidas de segurança muito além do controle de acesso.
Ken: Exatamente. Também devemos incluir inteligência de ameaças, informações de segurança e gerenciamento de eventos, diagnóstico e mitigação contínuos, e assim por diante. A natureza mutável dos aplicativos e o tráfego cada vez maior impulsionado pela IA exigem que não apenas tenhamos uma abordagem holística à confiança zero, mas que apliquemos esses princípios a novas áreas da infraestrutura, como as próprias cargas de trabalho.
Como Mudit destacou, os princípios básicos da confiança zero são conhecidos e internalizados pelos profissionais de segurança há muito tempo — e quero dizer segurança em geral, não apenas segurança cibernética. A encarnação mais recente, ZTNA, trata fundamentalmente da aplicação dos princípios de “sempre verificar” e “monitorar e avaliar continuamente” à identidade de usuários e dispositivos que desejam acessar uma rede.
Acredito que os próximos passos lógicos na evolução da confiança zero aplicada à segurança cibernética serão: 1) evolução do acesso à rede para o acesso ao aplicativo, o que significa usar abstrações e proteções da camada de aplicativo, não da camada de rede; e 2) estender a aplicação dos princípios de confiança zero além dos usuários e dispositivos para cargas de trabalho.
Por que a carga de trabalho é tão crítica? E se formos tão fundo, aplicamos também os princípios de confiança zero às próprias práticas de desenvolvimento (pensando em repositórios de código e coisas do tipo)?
Ken: A resposta curta é: as cargas de trabalho são críticas porque são a nova ameaça interna.
Considere que a maior parte do código em aplicativos nativos da nuvem é desenvolvida fora do controle da organização do proprietário do aplicativo, em um ambiente de código aberto. A maturidade das práticas de software usadas para desenvolver esse código geralmente é mal regulamentada e mal documentada. Os testes realizados para esse código, depois que ele é importado, são principalmente funcionais e relacionados ao desempenho, com pouca atenção dada às avaliações de segurança. Como resultado, a maioria dos códigos de aplicativos é “implicitamente confiável”, que é exatamente o comportamento que a confiança zero está tentando dissuadir. E isso pressupõe fornecedores de código bem-intencionados. Se considerarmos ainda que há adversários ativos tentando usar código-fonte aberto como backdoor, isso surge como uma superfície de ameaça de primeira classe. A propósito, muitos dos ataques mais recentes que ganharam manchetes: log4j, SolarWinds e 3CX são todos exemplos de ataques à cadeia de suprimentos, que estão fora do escopo do ZTNA e das soluções de segurança baseadas em identidade do usuário.
Vamos nos concentrar nesse último ponto por um momento: como o código-fonte aberto pode ser usado como um backdoor. Isso nos remete ao seu ponto anterior sobre a confiança zero, que exige medidas como inteligência de ameaças, gerenciamento de informações e eventos de segurança, diagnósticos contínuos e assim por diante.
Mudou: Sim. É importante considerar como pensaríamos sobre segurança se começássemos com “assumir violação”. Os controles centrados na rede desempenham alguma função; eles podem procurar comunicações para comandar e controlar. No entanto, o objetivo é impedir que o malware que entrou cause danos com sucesso. Quando o malware faz seu trabalho, ele precisa se revelar. Quando observamos todas as cargas de trabalho e entendemos suas características, temos uma chance muito melhor de detectar a carga de trabalho nefasta relacionada às atividades do malware.
Pesquisadores do MITRE fizeram um grande favor ao mundo da segurança ao criar uma taxonomia com a qual podemos entender a maioria dos ataques em termos de uma combinação de Táticas, Técnicas e Procedimentos (TTPs) descritos no MITRE ATT&CK Framework. Eles também descrevem um conjunto de contramedidas que ajudam a detectar os TTPs no MITRE D3FEND Framework. Uma parte importante dessa estrutura são as análises de processo que exigem a aplicação de princípios de confiança zero nesse nível de carga de trabalho.
É muito importante que o código que constitui a carga de trabalho seja verificado quanto a vulnerabilidades pelas ferramentas Static Application Security Test (SAST) e Dynamic Application Security Test (DAST) durante o ciclo de desenvolvimento. Também é possível se preparar para implementar a confiança zero no nível da carga de trabalho construindo uma linha de base de características de carga de trabalho de baixo nível, como "chamadas de sistema", durante o ciclo de desenvolvimento. Com essa linha de base, fica mais fácil detectar e analisar anomalias à medida que a carga de trabalho é executada na produção. A estrutura D3FEND sugere um conjunto de contramedidas focadas no reforço que devem acontecer durante o ciclo de desenvolvimento.
Vamos abordar o papel da IA para a segurança em geral e a confiança zero especificamente. Quais desafios e oportunidades de segurança a IA criará? Além disso, o ChatGPT tem aparecido em todos os noticiários. Vi projeções de que 90% do tráfego da Internet será gerado por IA até 2026. Isso mudará a segurança? Se sim, como?
Mudit: Já é muito difícil se defender de ataques automatizados. O atacante pode continuar se transformando e mudando o ataque, o que cria muito barulho para o SOC. Os defensores já usam automação para combater esses ataques automatizados. Mesmo quando aprendemos as assinaturas dos ataques automatizados, os falsos positivos são um grande problema. Com a IA, será muito mais fácil imitar usuários normais do que com os ataques automatizados de hoje. Isso dificultará a detecção de anomalias e exigirá uma análise contextual muito sofisticada para minimizar falsos positivos.
Ken: Acredito que a IA continuará tendo um grande impacto na segurança. Para começar, isso claramente tem um grande impacto em como os bandidos executam seus ataques e como os defensores irão detectar e remediar esses ataques. Em resumo, o jogo de gato e rato persistirá, com a IA sendo um representante exponencialmente mais rápido e ágil do que os humanos poderiam fazer manualmente.
Quando se trata especificamente do ChatGPT, acho que o mantra de confiança zero de não confiar cegamente será usado aqui. Assim como a premissa do ZTNA é "não confiar cegamente em usuários e dispositivos", e isso deve ser estendido às cargas de trabalho, acredito que a geração de conteúdo de IA nos levará a não confiar cegamente no conteúdo. De muitas maneiras, isso é uma volta completa em relação ao funcionamento da sociedade: o nível de confiança que damos a um conteúdo específico depende de onde ele vem. Por exemplo, eu poderia confiar mais em uma declaração sobre a integridade de um cheque emitido pelo meu banco do que em uma declaração semelhante de uma pessoa aleatória na rua. Resumindo, a atribuição de dados é importante. E, à medida que a IA gera mais conteúdo, veremos essa ideia — que existe no mundo real há muito tempo — emergir como uma consideração fundamental no mundo digital.
Dado o ritmo acelerado em que novas ameaças estão surgindo, a discussão sobre o futuro da confiança zero está prestes a permanecer relevante, especialmente quando se trata de minimizar o impacto de ameaças internas e aplicar os princípios de confiança zero à carga de trabalho. À medida que mais material gerado por IA inunda a internet, a abordagem do setor à confiança zero necessariamente evoluirá, e apresentaremos mais perspectivas no futuro. Obrigado por se juntar a nós.
____
Para aqueles interessados em explorar mais sobre “assumir violação”, leia o último artigo de Ken aqui .