Construindo uma proteção educada contra ameaças: conheça seu inimigo, seu campo de batalha e a si mesmo
Publicados: 2021-12-28
No cenário recente de ameaças cibernéticas, compreender de onde os ataques prováveis podem vir e como eles podem atingir sua empresa é mais importante do que nunca.
O crime cibernético em todo o mundo cresceu para gerar cerca de um trilhão de dólares no estado financeiro do planeta – um número mais substancial do que o PIB da Bélgica.
Com as empresas digitalizando a maior parte de suas informações e procedimentos, todos esses recursos eletrônicos agora têm uma chance concentrada de ter uma área de ataque maior do que em qualquer outro momento.
Produtividade, conforto e desempenho foram os motores da revolução eletrônica, moldando um mundo em que estamos todos interconectados e o on-line combina perfeitamente com o off-line. O ataque de ransomware do oleoduto colonial no início deste ano foi um lembrete gritante de como um ataque cibernético pode afetar o planeta físico ao eliminar a fonte de gasolina na costa leste dos Estados Unidos.
Os gurus da segurança já alertaram que os hackers podem se concentrar em marca-passos, bombas de insulina ou automóveis vinculados. Endpoints estão se tornando cada vez mais diversificados e dispersos. Eles não são mais apenas PCs e servidores, mas também telefones, câmeras, alternativas de HVAC, impressoras, relógios, alto-falantes inteligentes e muito mais. O risco de ransomware agora é endêmico. E o aumento das criptomoedas apresentou as indicações para os cibercriminosos realizarem transações anônimas e sem riscos.
Tudo isso tomado coletivamente tornou provável um ecossistema de perigo catastrófico. Os ataques cibernéticos estão se tornando cada vez mais desafiadores para se recuperar e têm repercussões ainda maiores. as empresas precisarão se tornar mais inteligentes e agir mais rapidamente para lidar proativamente com as ameaças com as quais estão lutando.
O investimento em tecnologias de segurança não é suficiente. Atualmente, observamos um despertar de 'assumir violação' entre as empresas - uma transformação na direção de aumentar os recursos de resposta e recuperação, além dos planos regulares de proteção cibernética. Estando ciente de que um ataque não é um assunto de 'se', mas 'quando', as organizações precisam ter uma reação confiável a incidentes, gerenciamento de crises e planos de recuperação de desastres.
Estar em posição de determinar, proteger, detectar de forma tão eficaz quanto reagir e se sair melhor das ameaças é imperativo: esses recursos são os blocos de configuração de um sistema abrangente de resiliência cibernética. Mas a resiliência cibernética também significa diminuir as ameaças – entender quais atividades de segurança cibernética teriam os efeitos mais significativos em seus negócios e priorizar suas medidas de proteção adequadamente. Você precisa ter um conhecimento muito bom de seus possíveis invasores e suas técnicas para estabelecer um plano de segurança com conhecimento de ameaças e dependente de ameaças.
Seja campo de batalha cibernético tudo pronto
O acaso é um jogo de probabilidade e efeitos adversos. Uma função que é extremamente provável de se materializar, mas tem efeitos mínimos, oferece consideravelmente menos possibilidades totais do que uma função que não é provável, mas levaria à lesão principal.
Consequentemente, as empresas querem, em primeiro lugar, avaliar quais de suas propriedades têm maior probabilidade de permanecer atacadas e, em segundo lugar, o quanto esses ativos são valiosos para elas. Você só pode reconhecer totalmente sua área explorável se compreender a probabilidade de ser atacado usando um vetor de ataque individual. Estudar seu adversário e como ele funciona é, consequentemente, uma seção crucial dessa abordagem baseada principalmente em ameaças.
Você precisará conhecer seu inimigo, seu campo de batalha e por conta própria. As empresas precisam analisar cuidadosamente seu estoque individual - informações, métodos e pessoas em seu campo de batalha - a comunidade e seus invasores de oportunidades.
Perceber o inimigo é a parte mais difícil. Quem são os atores perigosos que fascinam sua corporação e por que eles estão vendo você como um alvo atraente? Quais são suas motivações e objetivos? Como eles fazem o trabalho – que métodos, abordagens e tratamentos (TTPs) eles usam e como eles são aplicáveis ao seu ambiente natural individual? Exatamente onde eles atacariam mais provavelmente e como eles comprometeriam sua empresa ou seus consumidores?
Depois que uma organização se familiarizar com esse conhecimento profundo, ela pode decidir sobre as prioridades modificadas por ameaças para os controles e investimentos de segurança corretos. Antecipar o que o invasor pode fazer ajudará a identificar lacunas em suas defesas e a decidir o local para aumentar a segurança. Por outro lado, é extremamente difícil construir um software produtivo de resiliência cibernética se você nunca compreender os métodos que os invasores usarão contra você.
Assumir uma postura ofensiva começa com a compreensão do seu inimigo
Então, como você identifica e se familiariza com seu possível invasor? As ferramentas de Threat Intelligence geralmente garantem a entrega das soluções, mas quando podem desempenhar uma parte crítica em qualquer sistema de segurança, acabam sendo respostas reativas baseadas principalmente em indicadores de comprometimento. Eles tendem a conter muitas informações não filtradas, com indicadores de ameaças mudando constantemente. Estudar os TTPs de um adversário, por outro lado, deve ser um curso de ação proativo e direcionado. Felizmente, existem vários recursos de código aberto acessíveis para ajudar as empresas a entender como os agentes de ameaças operam.
Os bancos de dados MITRE ATT&CK são uma boa posição inicial, como uma biblioteca bastante acessível de formas e estratégias de adversários reconhecidas. Ele inclui detalhes sobre a conduta dos adversários cibernéticos, refletindo as diferentes fases do ciclo de vida de um ataque e as plataformas que eles reconhecem como alvo, e fornece uma estrutura que é comumente usada por caçadores de perigo, equipes vermelhas e defensores para classificar e avaliar ataques.
O ThaiCERT fornece uma enciclopédia útil diferente de atores de perigo. No entanto, não há um único estoque abrangente de todos os invasores – e os adversários podem frequentemente funcionar sob disfarces distintos.
Para obter alguns dos insights mais atuais, os fornecedores de proteção monitoram os atores e publicam essas informações. Por exemplo, os perfis de ameaças são oferecidos gratuitamente no fórum de discussão cibernética da administração de perigos da Datto, onde sua equipe de gerenciamento de ameaças compartilha perfis de perigo, assinaturas e detalhes sobre ameaças que se concentram na comunidade local MSP e seus clientes SMB. A maioria não muito tempo atrás perfis adicionais envolvem a equipe de hackers patrocinada pelo estado russo APT29, também considerada como Cozy Bear e Darkish Halo, os entes queridos do LockBit do ransomware e do infame grupo de crimes cibernéticos Wizard Spider.
Cada perfil inclui uma visão geral do ator, seus motivos, TTPs, mitigações ou defesas viáveis, opções de detecção e ativos adicionados. Os cientistas também mapearam os atores de volta para a estrutura MITRE ATT&CK e CIS Vital Protection Safeguards para tornar as informações facilmente acionáveis.
Coloque os adversários cibernéticos em sua área: compreenda, priorize, proteja, teste
No momento em que você obtiver os insights necessários sobre quais atores de risco podem estar à espreita, a simulação de seus métodos ajudará você a descobrir onde você tem a maior chance de publicidade em sua corporação – e o que você pode fazer para mitigar esse risco. Ao fazer engenharia reversa de suas violações anteriores, você pode priorizar e executar com confiança os controles de segurança mais eficientes em oposição a atores distintos.
Para ajudar a examinar suas configurações, há uma variedade de instrumentos gratuitos de código aberto que emulam adversários específicos, como Caldera (que aproveita o produto ATT&CK) ou Atomic Pink Group da Pink Canary.
A emulação do adversário é diferente do teste de caneta e da equipe crimson, pois usa um cenário para testar os TTPs de um adversário único. As técnicas de pessoas podem ser prevenidas ou detectadas em seu entorno? É importante investigar o conhecimento tecnológico e os processos tão bem quanto as pessoas para reconhecer com certeza como todas as suas defesas funcionam juntas. Repita este sistema até que finalmente esteja preparado para vencer a batalha contra este adversário.
As PMEs devem fazer isso no mínimo quando um ano civil ou toda vez que houver uma nova ameaça principal, corporações muito maiores e MSPs trimestralmente, embora para as empresas, um programa de defesa informado sobre ameaças seja um esforço contínuo e trabalho árduo.
Além disso, qualquer empresa precisa cumprir os CIS Vital Security Controls – no mínimo, gastando tempo suficiente nos controles do Grupo de Implementação 1 (IG1) para limpeza cibernética crucial.
O fator principal é apenas começar. Não há necessidade de se sentir confuso pela empresa. Comece com uma avaliação passo a passo para o CIS IG1: Investir uma hora a 7 dias em uma solução baseada em riscos e ameaças ajudará a aumentar sua estabilidade geral.
Uma boa familiaridade com os atores pobres no perfil de risco de uma empresa é vital para configurar um software de segurança produtivo orientado a ameaças que garanta a resiliência cibernética. À medida que as empresas começarem a se sentir mais como hackers, elas estarão prontas para tomar decisões com conhecimento de riscos muito melhores e serão melhor equipadas para se protegerem sozinhas.
Ryan Weeks, CISO, Datto