Guerra da Rússia na Ucrânia: 3 lições de segurança cibernética para empresas

Ações cibernéticas ofensivas são parte integrante do conflito armado moderno. A invasão russa da Ucrânia não foi exceção.

A Rússia já havia mostrado que poderia prejudicar a democracia nascente por meio da guerra cibernética. Desde pelo menos 2013, os supostos ataques russos contra a Ucrânia incluíram ataques contra infraestruturas nacionais críticas. Por exemplo, o worm destrutivo NotPetya de 2017, que continua sendo o ataque cibernético mais destrutivo da Ucrânia.

Desde a invasão, tem havido um ataque contínuo de ataques contra os setores público e privado – mas as organizações têm conseguido repeli-los. Isso demonstra que com planejamento, preparação e os recursos necessários, os ataques conduzidos até pelos invasores mais sofisticados e persistentes podem ser derrotados.

A Cisco tem orgulho de apoiar o povo da Ucrânia, tanto por meio de assistência humanitária quanto pela segurança de sistemas. Trabalhando em conjunto com as autoridades ucranianas, fornecemos inteligência e recursos para ajudar a derrotar ataques cibernéticos contra o país há mais de seis anos. Desde a invasão, Talos formou um Centro de Operações de Segurança (SOC) para caçar agressivamente ameaças que afetam a Ucrânia. Também está defendendo diretamente mais de 30 infraestruturas críticas e organizações governamentais ucranianas.

Desenvolvidas a partir de nossas experiências, temos três dicas para ajudar as organizações a se defenderem:

Personalize a segurança e as defesas contra ameaças e ataques

Uma defesa proativa personalizada para seu ambiente torna os ataques mais difíceis de conduzir e mais fáceis de detectar.

Sistemas de proteção

Remova conexões de rede, serviços, aplicativos e sistemas que não são mais necessários. Mantenha apenas aqueles críticos para o negócio. Se sua empresa tiver muitos aplicativos que fornecem funcionalidades semelhantes, concorde com um e remova o restante. Se determinados aplicativos forem necessários, mas raramente usados, restrinja o acesso aos poucos que os utilizam.

Da mesma forma, restrinja o acesso a dados confidenciais apenas a quem realmente precisa. Muitas funções podem ser melhor atendidas com acesso restrito a subconjuntos ou agregados de dados, em vez de acesso total a tudo.

Defenda suas joias da coroa

Saiba onde residem seus dados e sistemas mais preciosos. Esses são os sistemas que causariam mais danos às suas organizações se estivessem comprometidos ou indisponíveis. Certifique-se de que o acesso seja limitado a esses sistemas e que haja proteção adequada para mitigar as ameaças. Importante, certifique-se de que os dados críticos não sejam apenas backups regulares, mas que as equipes sejam capazes de restaurar os dados em casos de danos.

Vigilância ativa

Como qualquer atividade criminosa, os ataques cibernéticos deixam evidências na cena do crime. Mesmo os invasores mais sofisticados deixam rastros que podem ser descobertos e podem optar por usar ferramentas comuns para perpetrar sua atividade.

Não despriorize ou subestime a descoberta de uma ferramenta maliciosa relativamente comum ou pouco sofisticada ou software de dupla utilização. Os invasores frequentemente estabelecem um ponto de apoio dentro de uma organização usando ferramentas comuns antes de usar técnicas mais sofisticadas.

Se a evidência de uma violação for detectada, acione o processo de resposta a incidentes para remediar rapidamente a incursão. Identifique quais sistemas o invasor conseguiu acessar, onde o invasor conseguiu persistir e, o mais importante, como o invasor conseguiu penetrar nas defesas. Corrija quaisquer deficiências antes que o invasor aprenda e melhore suas ações.

Lembre-se de que ninguém pode vigiar todos os sistemas o tempo todo. Priorize o monitoramento de seus dados e sistemas mais preciosos para que qualquer desvio do comportamento normal possa ser rapidamente identificado e investigado. Realize exercícios regularmente e ensaie a resposta a possíveis incidentes para que as equipes estejam bem cientes das etapas necessárias e das várias equipes com as quais precisam coordenar no caso de um incidente genuíno.

Caça proativamente

Traços de incursão serão encontrados nos logs do sistema e da rede. Agregar esses logs para que possam ser consultados permite que as equipes procurem ativamente possíveis sinais de comprometimento. Isso permite que os ataques sejam identificados antecipadamente, antes que o invasor tenha a chance de cumprir seus objetivos ou causar algum dano.

Use a inteligência de ameaças para melhorar a segurança

Preste atenção aos relatórios de como os invasores conduziram os ataques. Considere como as técnicas e procedimentos maliciosos usados ​​em ataques anteriores podem ser descobertos em seu sistema e nos logs de rede. Procure ativamente por essa evidência de possível incursão.

Cace e investigue o comportamento anômalo. Procure sistemas que estão se comportando de forma diferente dos outros. Na maioria dos casos haverá uma explicação inocente, mas mais cedo ou mais tarde você descobrirá algo que precisa ser retificado.

Pense como um atacante

Ninguém conhece seus sistemas e redes melhor do que as equipes que os mantêm e operam. Envolva as equipes de operações na busca de ameaças, pergunte sobre possíveis pontos fracos ou como os usuários contornaram as restrições. Use seu conhecimento para melhorar as defesas e criar novas estratégias de caça a ameaças.

Normalmente, os invasores procuram fazer o mínimo necessário para atingir seu objetivo. Se um invasor descobrir que suas tentativas de violar sua organização falham ou são detectados rapidamente, eles serão tentados a passar para um alvo mais fácil.

Um modelo de resiliência de segurança contra ameaças

A defesa passiva não é suficiente para combater a complexidade, sofisticação e persistência das ameaças de segurança atuais. A equipe de segurança deve procurar proativamente ameaças ocultas, mesmo com sistemas de segurança instalados.

Lembre-se, a segurança cibernética depende da dedicação e habilidade dos profissionais de segurança. Invista na formação e bem-estar das suas equipas. A defesa contra ataques é uma atividade 24 horas por dia, 7 dias por semana, mas os defensores são humanos e precisam ter um tempo de inatividade adequado para descansar e se recuperar para ter agilidade mental para detectar incursões sofisticadas.

A Ucrânia resistiu à tempestade da agressão cibernética russa porque os defensores se prepararam bem, caçaram ativamente ataques e aprenderam com incidentes anteriores como melhorar sua postura de segurança e técnicas de caça.

Esses aprendizados fornecem um modelo útil que sua empresa pode aplicar para aumentar sua resiliência de segurança:

• Defesas personalizadas: Fortaleça os sistemas e identifique os principais sistemas.
• Vigilância Ativa: Responda a todos os incidentes, por menores que sejam.
• Caça proativamente: Procure evidências de incursão.

Os ataques cibernéticos são realizados por criminosos com uma ideia clara do que desejam alcançar. Prevenir e detectar ataques não é uma atividade aleatória a ser realizada de ânimo leve. Com o foco e os recursos certos, até os ataques mais sofisticados e persistentes podem ser derrotados.

Martin Lee é líder técnico de pesquisa de segurança na Talos, a organização de pesquisa e inteligência de ameaças da Cisco.