Os diretores executivos de segurança da informação (CISO) têm um trabalho sob medida no atual cenário de ameaças. Conforme as estratégias de ataque e infecções tornam-se mais complexas e difíceis de prever, os CISOs comerciais precisam garantir que os recursos de informações mais críticos da empresa e os sistemas que dão suporte às operações estejam seguros.
A fim de criar padrões de proteção mais coesos e universais, o National Institute of Standards and Technology (Instituto Nacional de Padrões e Tecnologia – em tradução livre) estabeleceu sua Estrutura para Aperfeiçoamento da Cibersegurança de Infraestrutura Crítica. Esta estrutura inclui cinco funções principais e categorias associadas a serem seguidas pelos CISOs e seus colaboradores.
Nas Partes 1 e 2 desta série, examinamos a primeira função, Identificação, bem como Proteção. Hoje, olharemos com maior atenção a Detecção, a terceira dessa estrutura, bem como quais responsabilidades têm os CISOs segundo esta etapa na Estrutura de Cibersegurança do NIST.
Detecção: Definição do NIST
As primeiras duas funções da estrutura englobam o entendimento adequado da infraestrutura atual, bem como os riscos que esses sistemas sofrem. A partir daí os CISOs devem executar as proteções necessárias para dar suporte à entrega contínua dos serviços críticos.
O colaborador do Compass IT Compliance, Geoff Yeagley, observou que a função Identificação pode ser considerada como a fundação, com a Proteção servindo como estruturação.
“Uma vez que sua casa está construída, você precisa colocar alguns itens nela para alertá-lo sobre quaisquer perigos ou ameaças”, afirma Yeagley. “Estes itens podem ser coisas como detectores de fumaça, de monóxido de carbono e alguns sistemas de alarme. Usando essa mesma analogia de construção de uma casa, essa poderia ser a função Detecção do núcleo.”
O NIST define a função Detecção como o desenvolvimento e implementação das atividades “para identificar a ocorrência de um evento de cibersegurança”, com foco no suporte à descoberta oportuna e tempestiva de tais eventos.
Categorias sob Detecção
Como muitos especialistas, incluindo Yeagley, observaram, esta função é relativamente simples. Ao mesmo tempo que não a torna menos importante que as outras funções da estrutura, a Detecção inclui, de fato, menos categorias associadas. Vamos dar uma olhada:
- Anomalias e eventos: os CISOs e suas equipes devem ser capazes de detectar atividade considerada anormal. Ela está ou deveria estar associada a um incidente de cibersegurança e deveria ser detectada a tempo. Os CISOs também devem se esforçar para entender o impacto potencial desta atividade anormal, e estabelecer os limites do alerta do incidente.
- Monitoramento contínuo: também é chamada de monitoramento end-to-end dos sistemas e recursos de TI e aponta os problemas de segurança e aciona as proteções estabelecidas como parte da função Proteção. A atividade da rede, ambientes físicos, usuário e provedor de serviço devem ser monitorados e scans de vulnerabilidades executados nos sistemas protegidos.
- Processos de detecção: Aqui os CISOs e seus colaboradores trabalham na manutenção de todos os processos e procedimentos relacionados à detecção de atividade anormal e proteções contra eventos de cibersegurança. Isto inclui definir papéis e responsabilidades envolvidos na detecção, e também garantir que essas atividades estejam alinhadas às necessidades do compliance industrial e que sejam testadas e continuamente aperfeiçoadas.
É importante ter em mente que não se trata somente de detectar o tipo de atividade suspeita que poderia indicar uma infecção ou ataque, mas também fazê-lo de maneira oportuna e tempestiva. Atualmente, os hackers são capazes de passar despercebidos por mais de 100 dias antes de serem localizados, com alguns desses eventos durando mais de 400 dias. Isto permite a eles tempo de sobra para infectar áreas isoladas do negócio e sair do sistema com recursos de dados roubados. Assim, é fundamental que os CISOs dediquem atenção e esforço adequados para a função Detecção e mantenham o foco na tempestividade.
Detecção no mundo real: malware sem arquivo
No ambiente de ameaça atual, a capacidade de detectar rapidamente uma atividade suspeita é absolutamente fundamental. Um exemplo recente que mostra esta importância crítica aparece na forma de malware sem arquivo, que foi colocado em funcionamento em ransonware e uma diversidade de outros tipos de ataques.
O relatório sobre malware sem arquivo em 2017 explicou que, de forma similar a outros ataques, o malware sem arquivo parece se aproveitar das vulnerabilidades do sistema, mas é criado com outro propósito: operar em segundo plano e ser indetectável para as medidas de segurança do sistema. Desta maneira, os hackers são capazes de diminuir a duração do ataque e potencialmente invadir e roubar plataformas e recursos de dados cada vez mais sensíveis.
“As soluções de segurança atuais detectam uma invasão com base nas características de assinatura do arquivo do malware”, declarou a Trend Micro no seu blog Simply Security. “No entanto, devido aos malwares sem arquivo não terem um arquivo de carga útil para infectar um sistema, os aplicativos de segurança não sabem o que procurar. Além disso, esta ameaça usa os próprios comandos do sistema para executar o ataque, o que pode não ser considerado nos esforços de monitoramento de tráfego e comportamento.”
Uma das campanhas mais notáveis de promoção do malware sem arquivo impactou mais de 100 bancos e provedores de serviços financeiros em todo o mundo — em um caso, a infecção foi descoberta somente quando uma equipe de segurança do banco investigou a memória física do seu controlador de domínio da Microsoft. Em adição aos sistemas bancários internos, os hackers também liberaram o ataque de malware sem arquivo em oito caixas eletrônicos russos, permitindo que os criminosos assumissem o controle das capacidades destas máquinas e roubassem mais de $ 800.000.
Lições de detecção do malware sem arquivo
Uma das maiores lições aprendidas com o malware sem arquivo é que ele não carrega mais arquivos maliciosos escritos ou baixados forçando a execução de uma carga útil dentro dos discos locais infectados — os hackers podem, em vez disso, atacar a memória ou registro do sistema, injetando a carga útil ali ou executando scripts dentro de um aplicativo autorizado para possibilitar um ataque. Em casos como estes, os hackers utilizam a legitimidade das ferramentas como PowerShell® dentro do framework .NET devido ao seu escopo, acessibilidade e capacidade de acessar virtualmente diferentes APIs.
CISOs: promovam uma estratégia de Detecção proativa
Apesar de difícil, não é impossível estar seguro de ameaças avançadas, como o malware sem arquivo — no entanto, isto exige uma abordagem proativa que pode ser usada junto e alinhada com os padrões da função Detecção. Como observado pelo pesquisador da Trend Micro, Marvin Cruz, a segurança proativa deve incluir medidas como:
- Uma estratégia robusta de patch que trabalhe para garantir que todos os sistemas críticas e aplicativos estejam atualizados;
- Privilégios com base no usuário devem ajudar a reduzir o risco de exposição;
- Monitoramento avançado de comportamento que pode ajudar a identificar atividade anormal.
- Segurança sólida para todos os pontos de entrada;
- Eliminação e desabilitação de ferramentas e componentes desnecessários e não utilizados;
- Sistema proativo e amplo monitoramento da rede.
“Estamos em uma corrida cibernética global”, diz Ed Cabrera, Diretor de Cibersegurança da Trend Micro. “O crescimento explosivo da inovação e automação criminosa exige uma resposta agressiva dos CISOs e suas equipes. Acelerando a detecção de qualidade por meio de uma defesa contra ameaças conectadas em camada é prioridade.”
Por meio da identificação inteligente de riscos, implementação de medidas de segurança para garantir funções críticas e detecção tempestiva das ameaças, as empresas podem melhorar consideravelmente as proteções dos seus recursos de TI mais críticos. Mas os esforços não acabam por aí — veja posteriormente as próximas partes da nossa série em que discutiremos as funções Resposta e Recuperação.