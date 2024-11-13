Adversários dos Estados-nação estão mudando sua abordagem, passando da destruição de dados para priorizar a furtividade e a espionagem. De acordo com o Relatório de Defesa Digital de 2023 da Microsoft, “ataques baseados em Estados-nação estão aumentando seus investimentos e lançando ataques cibernéticos mais sofisticados para evitar a detecção e atingir prioridades estratégicas”.
Esses atores representam uma ameaça crítica à infraestrutura e aos dados protegidos dos Estados Unidos, e comprometer qualquer um dos Recursos pode colocar os cidadãos em risco.
Felizmente, há um benefício nesses esforços maliciosos: informação. Ao analisar as táticas dos Estados-nação, as agências governamentais e as empresas privadas estão melhor preparadas para rastrear, gerenciar e mitigar esses ataques.
A Agência de Segurança Cibernética e de Infraestrutura (CISA) identifica quatro atores prolíficos de Estados-nação: o governo chinês, o governo russo, o governo norte-coreano e o governo iraniano. Cada um desses atores usa vários métodos para comprometer a segurança e obter acesso às redes das vítimas.
Segundo Jermaine Roebuck, diretor associado de caça a ameaças da CISA: "Isso inclui phishing, uso de credenciais roubadas e exploração de vulnerabilidades não corrigidas e/ou configurações incorretas de segurança. Eles realizam um extenso reconhecimento pré-comprometimento para aprender sobre a arquitetura de rede e identificar vulnerabilidades. Com essas informações, esses agentes patrocinados pelo estado exploram vulnerabilidades em dispositivos edge e aproveitam as configurações incorretas do sistema para obter acesso inicial. Eles costumam usar códigos de exploração disponíveis publicamente para vulnerabilidades conhecidas, mas também são hábeis em descobrir e explorar vulnerabilidades de dia zero. Depois que obtêm acesso às redes de vítimas, os agentes avançados usam técnicas de vida fora da terra (LOTL) para evitar a detecção."
Ao compreender as técnicas e táticas utilizadas pelos agentes da ameaça, as organizações ficam mais bem preparadas para alocar recursos de segurança limitados onde serão mais eficazes. "Conhecer essas táticas permite que os defensores apliquem conceitos de segurança específicos e classes de tecnologias para mitigar os agentes adversários e se concentrar em propriedades e valores de dados claramente definidos para detectar suas táticas", diz Roebank.
Em outras palavras, quanto mais empresas e agências aprenderem sobre os métodos de ataque aos Estados-nação, melhor.
Embora as ações de cada estado-nação ofereçam insights protetores para a cibersegurança americana, há outro componente na defesa eficaz: voltar ao básico.
Essas abordagens não são mutuamente exclusivas — por exemplo. Ao mesmo tempo, as agências governamentais precisam identificar e desmantelar campanhas de desinformação. É igualmente fundamental garantir que os sistemas incluam autenticação multifator (MFA) resistente a violações para reduzir o risco de comprometimento.
De acordo com Roebank, outras recomendações da CISA incluem:
“As organizações devem realizar sessões regulares de treinamento sobre como reconhecer tentativas de phishing e praticar uma boa higiene cibernética”, diz ele. "De acordo com fontes confiáveis de Inteligência de código aberto (OSINT), 75% das invasões eram 'sem malware'. Isso significa que os agentes maliciosos "entraram pela porta da frente" com contas válidas obtidas por meio de phishing e engenharia social. Os usuários precisam ser bem treinados para identificar técnicas de engenharia social e e-mails de phishing.
Para limitar as preocupações com credenciais, a Roebank recomenda que todas as contas tenham senhas fortes e exclusivas e sugere que as empresas alterem as credenciais padrão. "Senhas fortes e exclusivas impedem o acesso não autorizado, tornando o acesso não autorizado muito mais difícil, limitam os danos ao garantir que os agente da ameaça não possam acessar facilmente outras contas, reduzem ataques comuns direcionados a senhas padrão ou fracas, protegem informações confidenciais e melhoram a segurança geral."
A natureza coordenada dos ataques entre Estados-nação significa que nenhuma empresa ou agência governamental é uma ilha. Em vez disso, são os esforços de cooperação das organizações que possibilitam a segurança aprimorada.
A CISA também está fazendo a parte dela para ajudar. A Roebank aponta para o comunicado conjunto da agência sobre a República Popular da China (PRC), que oferece ações recomendadas para detectar, mitigar e remediar ameaças emergentes. "Sabemos, no entanto, que agentes sofisticados de ameaças de Estados-nação evoluem constantemente seus TTPs", diz ele. "Portanto, a CISA tem uma parceria sólida com agências do governo, parceiros comerciais e de infraestrutura crítica para fornecer informações praticáveis para combater atividades cibernéticas maliciosas em evolução, como a RPC."
A CISA também publicou recentemente o plano Alinhamento Operacional de Cibersegurança (FOCAL) do Poder Executivo Civil Federal (FCEB), que oferece um roteiro para ajudar organizações dos setores público e privado a melhorar a coordenação em cibersegurança e a defender-se melhor contra ameaças de Estados-nação.
Em última análise, o conselho de segurança de Roebank é simples: "Para se proteger contra o aumento da prevalência de agentes maliciosos, implemente e mantenha uma solução eficaz para detectar intrusões e eliminar invasores o mais rápido possível."
