.png)
Protegendo ativos do governo australiano em 2020: Parte 1
Compreendendo a postura de segurança cibernética em toda a Commonwealth
A Australian Signals Directorate (ASD) publicou recentemente o relatório The Commonwealth Cyber Security Posture em 2019, destacando o número e o tipo de incidentes respondidos, bem como alguns dos programas que foram implementados para ajudar a melhorar a segurança das entidades da Commonwealth. Independentemente do discutível aumento da pressão política por maior transparência em departamentos individuais, os dados agregados e anônimos do relatório ilustram claramente a necessidade de uma melhor proteção dos dados dos cidadãos. Com o recente anúncio do Primeiro Ministro e do Ministro da Defesa sobre organizações dos setores público e privado alvo de um ator cibernético sofisticado e apenas pequenos ganhos evolutivos obtidos com base nos critérios medidos atuais, elevar o nível pode exigir uma mudança revolucionária.
Aqui na Illumio, temos orgulho de fazer parte de discussões estratégicas e programas de segurança trabalhando diretamente na Austrália e na Nova Zelândia com agências e departamentos, bem como com os integradores de sistemas de segurança e provedores de serviços gerenciados, como a Cirrus Networks, que geralmente são a sala de máquinas dessas equipes de TI.
Apesar de a maioria das entidades agora declarar que é capaz de identificar com precisão o número de “eventos e incidentes de segurança cibernética” que sofreram por dia ou semana (geralmente centenas por dia), 73% das entidades não corporativas da Commonwealth relatam apenas níveis ad hoc ou em desenvolvimento de maturidade para disciplinas básicas de segurança em resposta a essas ameaças.
Os relatórios feitos nos últimos sete anos deixam bem claro que, mesmo com melhorias, nossos sistemas do governo federal estão vulneráveis a ameaças cibernéticas — e — é necessário trabalho adicional para que as entidades da Commonwealth alcancem uma postura de segurança cibernética madura e resiliente que atenda ao ambiente de ameaças em evolução.
Conforme relatado nessas descobertas, uma grande variedade de incidentes e cenários de TI em evolução exigem avaliação e ajuste constantes da segurança. Continuar com uma abordagem de solução pontual para proteger uma agência contra ataques exige uma infinidade de ferramentas, habilidades e pessoal. Em muitos casos, as organizações se beneficiariam de uma abordagem arquitetônica mais holística da resiliência cibernética, como a Zero Trust. Ganhar um impulso significativo nos departamentos federais dos EUA não se concentra apenas em pensar em assumir e planejar além da violação, incutindo princípios de menor privilégio nas disciplinas de segurança mais amplas, mas ajuda por meio de uma estratégia abrangente para reduzir as “despesas em profundidade” de ferramentas e equipes isoladas. Ganhando um impulso significativo nos departamentos federais dos EUA, essa abordagem não se concentra apenas em assumir e planejar além de uma violação, mas também instila princípios de menor privilégio nas disciplinas de segurança mais amplas para reduzir a “despesa profunda” de ferramentas e equipes isoladas.
Como o mundo corporativo descobriu, os municípios devem se concentrar em estratégias de contenção preventiva que reduzam o impacto ou o raio de explosão quando ocorrem violações. Isso é particularmente importante porque os departamentos continuam elevando seus níveis básicos de segurança esperados e quando há evidências de adversários motivados e sofisticados atacando deliberadamente a Austrália para obter informações sobre: capacidades de defesa; pesquisa australiana de ponta; propriedade intelectual valiosa; e as informações pessoais e financeiras de residentes australianos e funcionários do governo.
Um item que se destacou e representa uma constatação consistente na maioria das empresas, agências estaduais e federais é que os órgãos da Commonwealth têm visibilidade inadequada de seus sistemas de informação e dados. Com a maioria das equipes de TI das agências precisando e progredindo na modernização de suas tecnologias de data center por meio de abordagens como rede definida por software (SDN), virtualização e conteinerização em camadas com plataformas de automação e orquestração para alcançar um desenvolvimento de aplicativos mais ágil, não é de se admirar que continue sendo exponencialmente mais difícil para as equipes de operações e segurança acompanharem o ambiente dinâmico de aplicativos e os pontos cegos de segurança existentes.
Impedir a execução de macros não verificadas e não confiáveis do Microsoft Office, o fortalecimento de aplicativos nas estações de trabalho dos usuários, a autenticação multifatorial nas sessões do RDS e a correção de servidores voltados para a Web são táticas de higiene importantes, e é bom ver melhorias significativas nessas áreas. No entanto, esses são apenas alguns dos muitos vetores de ameaças que os atacantes usam, incluindo outros ataques do tipo copiar e colar em vulnerabilidades conhecidas, bem como outras ameaças de dia zero que continuam sendo encontradas e exploradas. Evitar os danos causados pelas violações quando elas ocorrem (e inevitavelmente ocorrerão) exige entender como o invasor poderia então passar lateralmente da posição estabelecida, independentemente de como a estabeleceu, para os sistemas que gerenciam dados confidenciais nas centenas e milhares de servidores que cada departamento administra.
Somente quando você entender quais são seus aplicativos, onde estão hospedados e como estão interagindo entre si, você poderá começar a assumir o controle desses ativos e definir e implantar a postura de segurança mais eficaz.
Andrew Weir, CTO da Cirrus Networks, concorda que “os clientes regularmente perguntam a ele como eles poderiam obter mais visibilidade do que está acontecendo nos aplicativos em seus sistemas e redes. Freqüentemente, esses aplicativos eram desenvolvidos em sistemas legados e, posteriormente, integrados à nova infraestrutura. Para departamentos de TI maiores, validar e gerenciar a eficiência e a segurança dos aplicativos pode ser difícil. Entender o que seus aplicativos e usuários estão fazendo em seu ambiente é crucial para uma boa tomada de decisão. Sem essa visibilidade, é difícil determinar onde recursos limitados devem ser gastos.”
Com a segurança de rede tradicionalmente focada no tráfego Norte-Sul através do perímetro, as agências estão sendo avaliadas para impedir que o estabelecimento de comando e controle ocorra, mas ainda não estão incorporando as oito disciplinas de segurança do Essential Oito. Os invasores que violam com sucesso o firewall externo geralmente não têm mais restrições quando estão dentro da rede. Em outras palavras, os hackers podem escolher seu caminho a dedo e, em seguida, ficam livres para se mover lateralmente pela rede até atingirem seus alvos.
Apesar de não estar no Essential Eight, é uma recomendação “excelente” no conjunto mais amplo de Limitar a extensão dos incidentes cibernéticos. A segmentação de rede eficaz para o data center moderno e as estratégias de contenção que estão no centro do Zero Trust estão se tornando (e devem continuar sendo) priorizadas como uma peça vital e fundamental da estratégia de segurança contínua de cada departamento. Isso ajudará a aumentar a resiliência à medida que os baixos níveis básicos da marca d'água forem atingidos.
Atualmente, a forma como as agências são solicitadas a avaliar e relatar sua postura de segurança impulsiona medidas qualitativas e, em última análise, abordagens ou produtos que as tornam “mais compatíveis, melhoram sua segurança ou fornecem uma maneira melhor de detectar ameaças”. Dito isso, “mais”, “melhorar” e “melhor” são todas medidas qualitativas e predominantemente autoavaliadas. Essas iniciativas fornecem, e podem ser vinculadas a, uma melhoria quantitativa na resiliência dos sistemas de TI contra ataques maliciosos, sejam eles de um estado-nação ou do sempre popular ransomware de cibercriminosos?
Bem escolhida, a microssegmentação não apenas garante que você aumente drasticamente a dificuldade dos invasores de acessar e extrair dados valiosos — com benefícios quantitativos comprovados — mas também sem precisar de pessoal adicional ou do esforço e da carga financeira das iniciativas tradicionais de segurança em grande escala que este relatório destaca como os obstáculos comumente relatados.
Mas mais sobre isso na parte 2 desta série.
Embora detalhes específicos de ataques específicos não tenham sido mencionados e a fonte do recente aumento no volume de ataques não tenha sido atribuída publicamente a ninguém, o recente comunicado de imprensa do primeiro-ministro Morrison certamente deve ser interpretado pelos departamentos e empresas do governo australiano como um alerta, tanto quanto talvez seja um aviso aos responsáveis para dizer: “sabemos o que você está fazendo”.
Se você ainda não estiver envolvido, entre em contato com Illumio e Cirrus e confira na próxima edição como você pode seguir o conselho do Ministro da Defesa: “tome medidas para proteger sua própria rede” e planeje além das recomendações táticas para os vetores de ataque recentes para limitar a oportunidade e o impacto de futuras violações.
.webp)
