Como os profissionais de cibersegurança devem tomar melhores decisões
Computação

Como os profissionais de cibersegurança devem tomar melhores decisões

Redefinir, dentro das organizações, o conceito de risco cibernético é parte do processo que leva os analistas a tomarem decisões mais acertadas. Mas não é só isso.

Vivemos hoje em uma constante batalha contra as ameaças cibernéticas. Enquanto isso, cada vez mais, o outro lado da força, incorpora inteligência e inovação em ataques capazes de transpassarem as mais modernas tecnologias implementadas. Nos últimos anos, tenho tido a oportunidade de conversar com executivos de empresas, profissionais de cibersegurança de diferentes especialidades, e militares de vários países da América Latina.  O assunto comum a todos é a preocupação cada vez maior sobre como devem ser tomadas as melhores decisões durante essa batalha cibernética.

Os militares já consideram que dentre as suas dimensões tradicionais como Ar (Força Aérea), Terra (Exército), Água (Marinha), existe também uma nova dimensão, a Digital (Cibernética), e por este reconhecimento e entendimento, os investimentos de governos em segurança cibernética são cada vez maiores, cientes de que um incidente em uma infraestrutura crítica de uma nação poderá afetar milhares de pessoas.

Um exemplo para ilustrar, e muito bem documentado no livro “Cyber War: The next threat to national security and what to do about it” dos autores Richard A. Clarke e Robert K. Knake, ocorreu em 2009, quando pesquisadores canadenses descobriram um software altamente sofisticado, apelidado de “GhostNet” que havia invadido aproximadamente 1300 computadores em embaixadas de vários países ao redor do mundo e tinha a capacidade de ligar remotamente a câmera e o microfone de um computador sem alertar o usuário, enviando imagens e sons para servidores na China.  Os principais alvos do software eram escritórios relacionados a organizações não governamentais que trabalhavam com questões tibetanas.  A operação durou cerca de 22 meses até ser descoberta e, no mesmo ano, a inteligência dos EUA deixou vazar para a imprensa que hackers chineses tinham invadido a rede elétrica do país e instalado ferramentas que poderiam ser usadas para derrubar a rede.  Outros exemplos como este aparecem quase todos os dias nas mídias e ainda existem aqueles que não são divulgados por questões de segurança nacional até que sejam solucionados e endereçados.

Nesta batalha constante, a uso imediato de inteligência de ameaças é crítico e pode orientar as equipes de operações de segurança na direção de melhores decisões, mas essas equipes de operações de segurança também são a fonte de algumas de suas melhores inteligências.

Descobrimos que muitas equipes de operações têm ferramentas que são boas em ingerir e aproveitar a inteligência de ameaças, no entanto, elas carecem significativamente da capacidade de fornecer orientação quando se trata de utilizar a própria informação. Há uma diferença entre ferramentas de segurança que simplesmente ingerem inteligência de ameaças e aquelas que são inteligentes o suficiente para apresentar informações aos analistas de segurança de uma maneira que eles possam usar para tomar decisões que ajudam durante a análise, investigação e resposta.

Como o exemplo anterior ao ataque em 2009 — “GhostNet” —, não é segredo que ameaças novas e mais sofisticadas estão surgindo em um ritmo mais rápido do que nunca. No entanto, felizmente, uma nova inteligência de ameaça complementar também está se tornando disponível com a mesma rapidez para ajudar os analistas de segurança a tomarem decisões mais assertivas.

Um cuidado que devemos ter aqui é considerar que ter toda essa inteligência disponível não torna os analistas de segurança mais eficazes, se eles não têm um contexto compartilhado entre os incidentes que estão investigando e como esta inteligência é consumida alinhada às missões de cada organização, sejam elas particulares, públicas ou militares. Então, as ferramentas de segurança devem ser capazes de:

  1. Apresentar inteligência contextual para analistas de segurança de onde eles estão realizando análise, vinculando-as aos casos;
  2. Validar a confiabilidade de partes específicas de inteligência para determinar quais informações oferecem inteligência de alta qualidade. Isso permite que os analistas de segurança concentrem seu tempo e esforços usando as fontes mais precisas de informações relativas;
  3. Entregar contexto adicional em torno dos artefatos ou evidências em um caso para determinar rapidamente o quão crítico o caso é e se ele está provavelmente associado a um falso positivo.

Tomando esses três pilares fundamentais como base, os passos para uma melhor tomada de decisão que as operações de segurança deverão considerar seguir são:

Ligando casos e inteligência:

Os analistas querem ser capazes de entender se existem investigações anteriores ou abertas relacionadas ao caso em que estão trabalhando. Possibilitar ver todos os casos que a equipe investigou relacionados a um adversário para entender se é algo que já foi visto dentro da organização, é o primeiro passo para uma tomada de decisão.

Os usuários podem entender relacionamentos, sejam eles definidos por usuários ou feitos automaticamente por um processo de orquestração entre casos e inteligência dentro do sistema. Isso deve ser feito no mesmo momento em que a análise inicial do adversário é executada, o que economiza tempo e frustração causados por constantes trocas de contexto impostas pelas circunstâncias de um possível ataque.

Considerar relatórios colaborativos de vários lugares ou fontes

Os analistas precisam ser capazes de avaliar a confiabilidade de um determinado pedaço de inteligência de ameaça. Isso requer a capacidade de determinar quais fontes estão fornecendo inteligência de alta qualidade para que os analistas possam concentrar seu tempo e esforço nas fontes mais precisas.

Com os boletins colaborativos de muitas fontes, todos os usuários podem ter acesso a fontes que mostram confiabilidade e exclusividade da inteligência.  Isso ajuda a avaliar a eficiência e a precisão de fontes abertas e assinadas e usa esses dados para determinar como avançar com inteligência específica durante o processo de análise ou investigação.

Com que frequência esta fonte de inteligência relata um falso positivo? Quão oportuno é esta fonte em comparação com outros disponíveis? Esta fonte fornece uma amplitude de informações que vai além de um único tópico? Os indicadores nesta fonte tendem a ser mais críticos/maliciosos do que outros?

Contexto acionável

Ao examinar artefatos ou evidências de um caso, os analistas precisam entender o contexto adicional. Simplesmente saber que ele existe e que está relacionado ao caso não é suficiente. Os analistas precisam considerar centenas de artefatos de um caso, tornando difícil entender quais têm mais peso. A expansão da quantidade de contexto fornecida ao visualizar artefatos de caso é fundamental para que os analistas de segurança equipados com inteligência relevante possam tomar decisões, analisando detalhes e indicadores sobre o artefato, que por sua vez, podem ser classificados de acordo com sua criticidade para o contexto de uma organização.

Determinar seu “apetite de risco cibernético”

À medida que as empresas se esforçam para melhorar o desempenho, muitos dos movimentos fundamentais que empreendem as expõem a novos riscos cibernéticos. Como as organizações não podem voltar no tempo com a globalização, a terceirização, a extensão de suas redes de terceiros e a mudança para a nuvem, elas precisarão realinhar seu pensamento sobre o risco, portanto, organizações precisam de um processo sistemático para definir e categorizar de forma abrangente as fontes de risco cibernético, alinhadas as fontes de inteligência que comentamos anteriormente, uma nova contabilidade das principais partes interessadas e proprietários de risco e uma nova maneira de calcular o apetite pelo risco cibernético.

Primeiro, as organizações precisam redefinir o termo “risco cibernético”. O termo se estende além de hacks — ataques planejados a sistemas de informação. Embora os hacks sejam uma parte importante da equação, o risco cibernético abrange uma gama mais ampla de eventos que levam ao potencial de perda ou dano relacionado à infraestrutura técnica do uso da tecnologia dentro de uma organização.

Para avaliar com eficácia seu apetite pelo risco cibernético, organizações devem criar um inventário abrangente desses riscos cibernéticos, quantifiquem seu impacto potencial e os priorizem. As organizações precisam fazer as perguntas certas, como quais perdas seriam catastróficas e quais informações absolutamente não podem cair nas mãos erradas ou se tornar públicas. Eles precisam priorizar o risco de acordo com o impacto, classificando os sistemas essenciais para a missão e os negócios à frente de facetas como infraestrutura central e ecossistema estendido (por exemplo, aplicativos de gerenciamento da cadeia de suprimentos e portais de parceiros) e pontos de interação externos ao público. A priorização precisa ser um processo contínuo envolvendo avaliação e reavaliação constantes.

Em nossas vidas, decisões são tomadas a cada instante desde o momento que levantamos da cama todas as manhãs, mas não basta somente decidir, é também necessário agir.


Este artigo foi produzido por Marcos Nehme, Vice-presidente da RSA Security para América Latina e Caribe, e colunista da MIT Technology Review Brasil.

Nossos tópicos