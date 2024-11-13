Segurança

Vantagem adversarial: usando a análise de ameaças dos Estados-nação para fortalecer a cibersegurança dos EUA

Mapa topográfico mundial na projeção de Kavraisky VII. Incluindo rios e linhas precisas de longitude/latitude.

Autores

Doug Bonderud

Writer

Adversários dos Estados-nação estão mudando sua abordagem, passando da destruição de dados para priorizar a furtividade e a espionagem. De acordo com o Relatório de Defesa Digital de 2023 da Microsoft, “ataques baseados em Estados-nação estão aumentando seus investimentos e lançando ataques cibernéticos mais sofisticados para evitar a detecção e atingir prioridades estratégicas”.

Esses atores representam uma ameaça crítica à infraestrutura e aos dados protegidos dos Estados Unidos, e comprometer qualquer um dos Recursos pode colocar os cidadãos em risco.

Felizmente, há um benefício nesses esforços maliciosos: informação. Ao analisar as táticas dos Estados-nação, as agências governamentais e as empresas privadas estão melhor preparadas para rastrear, gerenciar e mitigar esses ataques.

Conheça seu inimigo: os Estados-nação em ação

A Agência de Segurança Cibernética e de Infraestrutura (CISA) identifica quatro atores prolíficos de Estados-nação: o governo chinês, o governo russo, o governo norte-coreano e o governo iraniano. Cada um desses atores usa vários métodos para comprometer a segurança e obter acesso às redes das vítimas.

Segundo Jermaine Roebuck, diretor associado de caça a ameaças da CISA: "Isso inclui phishing, uso de credenciais roubadas e exploração de vulnerabilidades não corrigidas e/ou configurações incorretas de segurança. Eles realizam um extenso reconhecimento pré-comprometimento para aprender sobre a arquitetura de rede e identificar vulnerabilidades. Com essas informações, esses agentes patrocinados pelo estado exploram vulnerabilidades em dispositivos edge e aproveitam as configurações incorretas do sistema para obter acesso inicial. Eles costumam usar códigos de exploração disponíveis publicamente para vulnerabilidades conhecidas, mas também são hábeis em descobrir e explorar vulnerabilidades de dia zero. Depois que obtêm acesso às redes de vítimas, os agentes avançados usam técnicas de vida fora da terra (LOTL) para evitar a detecção."

Ao compreender as técnicas e táticas utilizadas pelos agentes da ameaça, as organizações ficam mais bem preparadas para alocar recursos de segurança limitados onde serão mais eficazes. "Conhecer essas táticas permite que os defensores apliquem conceitos de segurança específicos e classes de tecnologias para mitigar os agentes adversários e se concentrar em propriedades e valores de dados claramente definidos para detectar suas táticas", diz Roebank.

Em outras palavras, quanto mais empresas e agências aprenderem sobre os métodos de ataque aos Estados-nação, melhor.

De volta ao básico: o outro lado da moeda da segurança

Embora as ações de cada estado-nação ofereçam insights protetores para a cibersegurança americana, há outro componente na defesa eficaz: voltar ao básico.

Essas abordagens não são mutuamente exclusivas — por exemplo. Ao mesmo tempo, as agências governamentais precisam identificar e desmantelar campanhas de desinformação. É igualmente fundamental garantir que os sistemas incluam autenticação multifator (MFA) resistente a violações para reduzir o risco de comprometimento.

De acordo com Roebank, outras recomendações da CISA incluem:

  • Implementação de autenticação forte: a autenticação multifatorial fornece uma camada adicional de segurança para as organizações. "A MFA melhora a segurança porque mitiga os riscos de credenciais comprometidas, reduz o impacto de ataques de phishing, protege dados confidenciais, aprimora a conformidade e se adapta às ameaças de segurança em evolução", diz Roebank.
  • Atualizando e aplicando patches regularmente: os ataques contra Estados-nação estão em constante evolução. Se a cibersegurança permanecer estática, as organizações estarão em risco. As atualizações e correções regulares do sistema oferecem benefícios importantes de segurança, como maior estabilidade do sistema, maior conformidade de segurança e redução do risco de vulnerabilidade.
  • Educação dos funcionários: a Roebank deixa claro que a educação dos funcionários é um componente crítico para uma cibersegurança eficaz.

“As organizações devem realizar sessões regulares de treinamento sobre como reconhecer tentativas de phishing e praticar uma boa higiene cibernética”, diz ele. "De acordo com fontes confiáveis de Inteligência de código aberto (OSINT), 75% das invasões eram 'sem malware'. Isso significa que os agentes maliciosos "entraram pela porta da frente" com contas válidas obtidas por meio de phishing e engenharia social. Os usuários precisam ser bem treinados para identificar técnicas de engenharia social e e-mails de phishing.

  • Uso de soluções antivírus e antimalware: de acordo com Roebank, as ferramentas antivírus e antimalware atuam como “sentinelas digitais”, mantendo-se em guarda contra ameaças em evolução. As vantagens dessas soluções incluem detecção precoce de ameaças, redução da disseminação de malware e proteção em tempo real para dados críticos.
  • Reforçar credenciais: as credenciais são um ponto de compromisso popular para atacantes de Estados-nação. Se os agentes mal-intencionados obtiverem credenciais de usuário legítimas, geralmente poderão comprometer os sistemas corporativos sem serem detectados.

Para limitar as preocupações com credenciais, a Roebank recomenda que todas as contas tenham senhas fortes e exclusivas e sugere que as empresas alterem as credenciais padrão. "Senhas fortes e exclusivas impedem o acesso não autorizado, tornando o acesso não autorizado muito mais difícil, limitam os danos ao garantir que os agente da ameaça não possam acessar facilmente outras contas, reduzem ataques comuns direcionados a senhas padrão ou fracas, protegem informações confidenciais e melhoram a segurança geral."

  • Monitoramento e registro de atividades: também é fundamental que as empresas monitorem e registrem todas as atividades de rede. Roepack recomenda que as empresas estabeleçam um gerenciamento centralizado de registros e revisem regularmente esses registros em busca de atividades suspeitas. Ele observa que a centralização facilita a detecção de atividades suspeitas e a tomada de ações imediatas, além de melhorar a capacidade das organizações de realizar análises forenses para identificar a origem e descobrir o escopo do ataque.
  • Proteção do acesso remoto: o acesso remoto tornou-se comum à medida que as organizações adotam a necessidade de operações ágeis. Os pontos de acesso, no entanto, são alvos tentadores para invasores de Estados-nação. Ao usar configurações seguras para serviços remotos e limitar o acesso a endereços IP confiáveis, as empresas podem minimizar os riscos de acesso remoto. "A implementação de configurações seguras e limitações de IP para serviços remotos são fundamentais para minimizar a superfície de ataque, prevenir acessos não autorizados, reduzir a exposição a ameaças, aprimorar o monitoramento e cumprir os padrões de segurança", diz Roebuck.

Um esforço de equipe: navegando na nova realidade dos ataques aos Estados-nação

A natureza coordenada dos ataques entre Estados-nação significa que nenhuma empresa ou agência governamental é uma ilha. Em vez disso, são os esforços de cooperação das organizações que possibilitam a segurança aprimorada.

A CISA também está fazendo a parte dela para ajudar. A Roebank aponta para o comunicado conjunto da agência sobre a República Popular da China (PRC), que oferece ações recomendadas para detectar, mitigar e remediar ameaças emergentes. "Sabemos, no entanto, que agentes sofisticados de ameaças de Estados-nação evoluem constantemente seus TTPs", diz ele. "Portanto, a CISA tem uma parceria sólida com agências do governo, parceiros comerciais e de infraestrutura crítica para fornecer informações praticáveis para combater atividades cibernéticas maliciosas em evolução, como a RPC."

A CISA também publicou recentemente o plano Alinhamento Operacional de Cibersegurança (FOCAL) do Poder Executivo Civil Federal (FCEB), que oferece um roteiro para ajudar organizações dos setores público e privado a melhorar a coordenação em cibersegurança e a defender-se melhor contra ameaças de Estados-nação.

Em última análise, o conselho de segurança de Roebank é simples: "Para se proteger contra o aumento da prevalência de agentes maliciosos, implemente e mantenha uma solução eficaz para detectar intrusões e eliminar invasores o mais rápido possível."
