Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security..
Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security.
retornar
POR:
Federico Pacheco
(Gerente de R+D+i)
COMPARTILHAR
Referências
[1] Katagiri N. From cyber denial to cyber punishment:
What keeps Japanese warriors from active defense
operations? Asian Security, 17(3):331-48,
Septiembre 2 2021.
[2] Lee R. M., “The Sliding Scale of Cyber Security”,
SANS Institute, 2015.
[3] Rose S., Borchert O., Mitchell S., Connelly S.,
“Zero trust architecture”.
National Institute of Standards and Technology;
Agosto 11, 2020.
DNS Sinkholing a partir de uma perspectiva activa II
Em busca de uma definição
Uma forma actual de interpretar a dinâmica da segurança cibernética é como uma série de conflitos entre uma parte defensora e uma parte atacante, em que a primeira deve estar sempre certa para manter a estabilidade esperada, enquanto a segunda só precisa de estar certa uma vez para ser bem sucedida. Por conseguinte, diz-se que os atacantes têm uma vantagem assimétrica. A ciberdefesa activa (doravante CDA) permite ultrapassar esta assimetria, utilizando técnicas semelhantes às dos atacantes, e uma mudança na abordagem.
A protecção ciber-segurança tradicional requer não só medidas técnicas, mas também uma gestão de risco que permita relacionar probabilidades com potenciais impactos, através de cálculos qualitativos e quantitativos, permitindo priorizar as protecções de acordo com o valor dos activos. A defesa activa baseia-se em actividades dirigidas pelo homem, com um aspecto automatizado, que tentam impedir os ataques aumentando a diversidade, complexidade ou variabilidade dos sistemas e redes, limitando a capacidade do atacante de recolher informação ou reduzindo a sua utilidade. Esta abordagem defensiva centra-se na recolha de informação sobre os atacantes, quer atraindo-os para armadilhas instrumentais, quer patrulhando e monitorizando sistemas e redes para os localizar.
O mercado da cibersegurança carece até agora de soluções CDA comerciais generalizadas, e embora existam produtos de finalidade geral, as organizações devem adaptar-se ao que está disponível ou desenvolver o seu próprio esquema de serviço interno personalizado. O CDA enquanto tal, dado que implica acções, tem o seu aspecto reactivo e proactivo, embora neste estudo nos refiramos ao proactivo, onde não se espera pela ocorrência de um ataque, mas actua antecipadamente tanto no domínio cibernético como no cognitivo.
Quando o conceito se generalizou no início dos anos 2000, a sua interpretação era diferente da de hoje, e estava bastante relacionada com o chamado "hack back" (também "hacking retaliatório" ou "contra-medidas ofensivas"). Esta conotação implica tecnicamente a violação da lei, e a sua aplicação só é discutida em contextos onde a segurança nacional está em risco, ou nos sistemas de infra-estruturas críticas de um país, o que por sua vez depende da postura de segurança de cada nação. Um exemplo são os Estados Unidos, que admite a possibilidade de contra-ataque preventivo, enquanto no outro extremo está o Japão, que não utiliza esta abordagem, mas sim uma estratégia de negação de ataques por métodos defensivos, de acordo com a natureza do sistema jurídico japonês[1].
É geralmente aceite que o CDA só deve ser empregado quando ético e legal, e sob os princípios da autoridade, imunidade de terceiros, necessidade, proporcionalidade, envolvimento humano e liberdades civis. Um risco de incumprimento do acima exposto seria que um adversário fingisse que um ataque vem de actores legítimos (não maliciosos) para que sejam erradamente aplicadas contramedidas contra eles.
Neste e nos cargos subsequentes, consideramos a defesa cibernética como o conjunto de medidas e estratégias defensivas relacionadas com qualquer organização, e não no seu sentido militar originalmente relacionado com a defesa nacional. A fim de fornecer o contexto, começaremos por analisar as instâncias de defesa, e depois centrar-nos-emos no CDA, e nas suas abordagens teóricas e práticas, em postos futuros.
As 5 instâncias de defesa
A ciberdefesa pode ser analisada como uma série de actividades e decisões de concepção a serem tomadas em diferentes fases do ciclo de vida de um sistema organizacional. Estas actividades podem ser discretizadas ao longo dos seguintes eixos: arquitectura, defesa passiva, defesa activa, inteligência, e defesa ofensiva [2]. 2] Faz sentido estratégico iniciar o investimento em segurança cibernética começando pela primeira categoria antes de atribuir recursos significativos às outras. Esta abordagem foi sistematizada por Robert M. Lee em 2015, e embora não tenha recebido formalmente validação académica, é uma abordagem muito adequada para compreender as instâncias em que as actividades defensivas podem ser concebidas no contexto da indústria.
Arquitectura
A arquitectura é a primeira instância de defesa, e refere-se ao planeamento, estabelecimento e manutenção de sistemas, tendo em mente a segurança desde a concepção. Embora existam várias arquitecturas de defesa tradicionais que há muito provaram a sua eficácia, tais como o modelo de defesa em profundidade, as tecnologias modernas permitiram o desenvolvimento de abordagens mais avançadas, tais como o modelo de confiança zero, que é actualmente o mais sofisticado [3].
Defesa passiva
A segunda instância de defesa são sistemas implementados na arquitectura definida para fornecer protecção contra ameaças e uma visão das ameaças sem interacção humana contínua. Embora a abordagem das medidas estáticas tenha funcionado bem durante décadas, os seus mecanismos perderam eficácia contra adversários persistentes e com grande intensidade de recursos. Na mesma linha, também provou que apenas pessoal altamente treinado pode neutralizar adversários altamente treinados.
Defesa activa
Segundo o Departamento de Defesa dos EUA, a defesa activa refere-se à utilização de acções ofensivas e contra-ataques limitados para negar a um adversário uma posição contestada[4], e inclui a capacidade sincronizada e em tempo real de descobrir, detectar, analisar e mitigar ameaças e vulnerabilidades. Além disso, envolve acções pró-activas, antecipatórias, e reaccionárias contra o adversário. Uma das suas chaves é a capacidade de consumir inteligência, que lhe permite não esperar pela ocorrência de um ataque, mas agir antecipadamente, incluindo interceptar, perturbar ou dissuadir um ataque ou preparar-se para um ataque, e pode ser feito de forma preventiva ou em autodefesa para limitar ou eliminar a capacidade operacional do adversário. Muitas vezes referido como defesa de alvos móveis (MTD), é utilizado de forma análoga à abordagem proactiva, e envolve o controlo da mudança em múltiplas dimensões de um sistema, a fim de aumentar a incerteza e a aparente complexidade dos atacantes, reduzir a janela de oportunidade e aumentar o custo dos seus esforços. O BAT é frequentemente visto como um subconjunto do CDA centrado na diversidade ou mutação da superfície de ataque.
Inteligência
Neste contexto, a inteligência refere-se ao ciclo contínuo de recolha, processamento e exploração de dados, análise e produção de informação a partir de fontes para produzir conhecimento. As ferramentas que produzem inteligência são derivadas da chamada inteligência accionável, e criar inteligência accionável depende da capacidade dos analistas e não das ferramentas. O consumo de informação requer uma compreensão do ambiente, do negócio e da tecnologia que pode ser afectada [5]. A geração de inteligência é uma acção da equipa de inteligência enquanto a consome é a tarefa da Defesa Activa.
Defesa ofensiva
A última instância da defesa refere-se a contramedidas legais e acções de contra-ataque contra um adversário fora dos seus próprios sistemas ou sistemas amigáveis, para efeitos de autodefesa. Estas operações implicam a execução prévia de todas as instâncias anteriores. As organizações civis não podem envolver-se em tais acções, uma vez que os motivos baseados em vingança ou retaliação são ilegais ao abrigo do direito internacional e não podem envolver actos de autodefesa.
Conclusões
A defesa cibernética activa faz parte de uma abordagem defensiva da segurança cibernética, que convida a uma mudança de abordagem na forma como é pensada, sem ser exclusiva das formas tradicionais de abordagem. Assim, cada instância de defesa continua a ter o seu próprio lugar, e pode ser complementada por abordagens cada vez mais modernas. Paradoxalmente, levanta a possibilidade de melhorar a segurança cibernética através do aumento da complexidade, o que à primeira vista não parece fazer sentido conceptual. Em futuras publicações, analisaremos algumas das abordagens teóricas e práticas da defesa cibernética activa, que no futuro se combinarão para permitir a criação de modelos de trabalho, conduzindo a produtos e serviços para a indústria.