Diante do aumento exponencial de ataques cibernéticos, a pergunta fundamental é: Como posso me proteger para reduzir as chances de um ataque, e, como me preparo para no caso de um ataque conseguir me recuperar sem a necessidade de pagar o resgate?
A evolução do crime
O bom e velho crime de extorsão não ficou de fora da revolução tecnológica dos últimos 50 anos. Ele evoluiu também. Agora chama-se “Ransomware”. Criminosos estão migrando de atividades pouco rentáveis para outras mais rentáveis. Por exemplo, assalto a banco não é mais rentável como era nos anos 80, 90. Além da mudança de rentabilidade, quem comete crimes cibernéticos possui uma sensação de impunidade, de que vai conseguir se sair livre da situação e na esmagadora maioria dos casos, conseguem.
Basta analisar a quantidade de notícias que se vê sobre ataques cibernéticos (1 a cada 11 segundos, segundo especialistas da Cybersecurity Ventures) e a quantidade de notícias reportando a identificação, processo judicial e prisão dos criminosos.
Precisamos estar preparados para nos recuperar de um ataque cibernético, mas existe um porém. Pense comigo: se um criminoso consegue penetrar a sua rede, encripta seus dados, mas permite que você execute a recuperação de dados através de um “restore”, esse criminoso não vai atingir seu objetivo de pedir resgate pelos seus dados, logo, é um criminoso incompetente!
O que normalmente acontece é que entre o “breach” e o efetivo ataque, passam-se até 240 dias. Chamamos esse período de “Dwell Time”. O criminoso passa todo esse tempo espreitando a sua rede, roubando credenciais, se movimentando lateralmente e o mais importante: Identificando workloads críticas, que serão os principais alvos.
Outra atividade executada durante o “Dwell Time” é a determinação de como você se protege. Não se engane: Por mais avançada que seja sua solução de proteção de dados, ela será a primeira “workload” a ser atacada. Para o criminoso, isso é uma questão de sobrevivência. Se ele não destruir a sua capacidade de recuperação, ele não atinge o seu objetivo.
A solução que não resolve
Tenho visto a proliferação de dezenas, senão centenas de soluções de hardware, de software que prometem impedir “breaches”, detectar o atacante em seus primeiros movimentos. Quando empresas investem enormes somas de dinheiro para adquirir essas tecnologias, treinar pessoas etc., isso dá a elas uma tremenda percepção de estarem preparadas. De certa forma, estão. O que precisamos ter em mente é que os invasores estão sempre um passo à frente das ferramentas de detecção.
Outra coisa assustadora é que grande parte dos crimes acontece com credenciais válidas, roubadas dos usuários através de diferentes técnicas, como phishing e engenharia social. A detecção de um ataque onde o golpista usa credenciais válidas fica mais difícil. Tem que partir para a análise de comportamento. Os criminosos conhecem as técnicas de detecção e, portanto, conseguem “voar abaixo do radar”.
Lições que vem do mar
Da mesma forma que Amyr Klink cita em seu livro 100 Dias Entre Céu e Mar, ao invés de construir um barco que não emborca (vira), é mais fácil projetar um barco capaz de desemborcar. Essa é a ideia por trás da resiliência: a capacidade de se recuperar de uma situação adversa.
Como podemos aplicar essa analogia à Resiliência Cibernética? Impedir um ataque com 100% de sucesso é praticamente impossível, portanto, vamos criar um ambiente de TI que seja resiliente: Uma TI capaz de se recuperar.
A Resiliência Cibernética em ação
A seguir, algumas técnicas que considero imprescindíveis para aumentar a Resiliência Cibernética e ser capaz de reduzir as chances de um ataque, e em caso de ataque, que permita que a empresa não só sobreviva, mas seja capaz de se recuperar sem precisar pagar o resgate:
Técnica 1 – Proteção: Utilização de soluções de “Enhanced Identity Governance”: Essa abordagem para desenvolver ZTA usa a identidade dos atores como componente chave da criação da política. Se não fosse por sujeitos solicitando acesso aos recursos da empresa, não haveria necessidade da criação de políticas de acesso. Neste caso, as políticas de acesso aos recursos da empresa são baseadas na identidade e atributos assinalados. O principal requerimento para acesso aos recursos é baseado nos privilégios de acesso atribuídos a um determinado sujeito.
Técnica 2 – Contenção e Sobrevivência: Implementação de Micro Segmentação Baseada no Servidor (Zero Trust) como camada adicional de proteção: Além de reduzir as chances de ataque, a Micro Segmentação isola ambientes críticos, eliminando a possibilidade de movimentação lateral. Dessa forma, se um ambiente é atacado, o atacante não consegue se propagar para os demais sistemas. É uma forma de reduzir o raio da explosão de um ataque. Um ambiente micro segmentado tem maior chances de sobrevivência e possibilita uma recuperação pontual de um micro segmento ao invés de um ambiente inteiro, ou seja, um ambiente micro segmentado facilita a Técnica 3.
Técnica 3 – Preparação e Recuperação: Essa técnica envolve a criação de um IRE – Isolated Recovery Environment, também chamado de Cyber Recovery Vault, off-line backup ou “clean room”. Esse ambiente é constituído por uma cópia off-line dos backups diários através de um “Air-Gap” para um dispositivo de armazenamento imutável (WORM). Essas cópias ficam à disposição dos administradores do ambiente para fins de recuperação. Outra vantagem do IRE é o fato de você passar a possuir um ambiente onde pode testar periodicamente a qualidade dos seus dados e o nível de preparação do seu time para recuperar “workloads” críticas.
