0
0
Quão longe é longe demais para um hacker? No início deste ano, a organização de ransomware como serviço Lockbit pediu desculpas e forneceu um decodificador gratuito após um ataque de ransomware em um hospital infantil em Toronto – culpando um “afiliado desonesto” por ir contra as regras e visar uma organização onde havia um risco Para a vida.
Essa autorregulação (de certa forma) não impede que outros grupos tenham como alvo a infraestrutura nacional crítica (CNI): hospitais, redes elétricas e oleodutos foram todos afetados e todos colocaram vidas em risco. Os EUA já haviam visto o primeiro processo em que um ataque cibernético foi responsabilizado pela morte de uma criança.
O Reino Unido incentivou os provedores de CNI a melhorar sua segurança, mas a frequência dos ataques continua aumentando.
Proteger a CNI é uma tarefa difícil, devido a uma combinação de falta de profissionais qualificados, sistemas legados e falta de investimento em segurança que os deixa vulneráveis a ataques. Para permanecerem operacionais, essas organizações devem ter a capacidade de monitorar continuamente as ameaças em tempo real. Para fazer isso, muitos sistemas atuais usam uma abordagem baseada em agente. Mas, como as abordagens baseadas em agentes exigem tempo de inatividade para serem instaladas e atualizadas, deixando a organização vulnerável, elas não são adequadas para o propósito.
Como chegamos aqui?
A CNI está constantemente sob ameaça. Isso ocorre em parte porque tudo está sob maior ameaça de ataque. Mas a natureza do ransomware é que ele é mais eficaz em sistemas que simplesmente não podemos perder. O ataque WannaCry, por exemplo, atingiu 34% dos NHS Trusts e quase 600 consultórios médicos, resultando no cancelamento de 19.000 operações e consultas. Embora os governos tenham tentado reunir padrões e leis exigindo requisitos mínimos de segurança, muitas organizações ficam confusas sobre o quanto essas leis se aplicam a elas.
Embora se possa supor que esses sistemas devam executar as medidas de segurança mais recentes e melhores, devido à sua natureza sensível, muitos desses sistemas operam em máquinas legadas que não podem ser redefinidas e corrigidas. Em 2021, o Conselho Econômico Digital informou que mais de £ 2 bilhões em gastos relacionados a TI pelo governo do Reino Unido são dedicados a simplesmente “manter as luzes acesas” e não atualizar ou substituir sistemas legados desatualizados. No passado, os gerentes de TI podiam confiar no sigilo e na obscuridade para proteger seus sistemas, mas agora qualquer sistema conectado de alguma forma à Internet corre o risco de ser atacado. Mesmo as lacunas de ar podem ser superadas – relógios inteligentes e pendrives carregados de malware provaram ser uma maneira eficaz de invadir esses sistemas.
Proteja a infraestrutura crítica: segurança em camadas
Um dos métodos preferidos para manter o CNI seguro é revestir o perímetro com várias paredes de proteção. A ideia é que, se uma parede for violada, o hacker tem tempo limitado para causar qualquer dano real antes de ser detectado. Se as redes estiverem isoladas ou segmentadas, o ransomware que infecta a rede terá dificuldade para se mover lateralmente. Depois que o malware é detectado, as equipes de segurança podem implantar rapidamente os patches relevantes, garantindo que o malware seja resolvido.
Além de firewalls e ACLs (listas de controle de acesso), outra camada de controle que essas empresas devem certificar-se de empregar são políticas mais rígidas de confiança zero. Como o nome sugere, trata cada indivíduo dentro da organização como não confiável, exigindo que eles autentiquem quem são antes de acessar qualquer coisa.
Ter esse tipo de política em vigor incentiva controles de acesso de identidade mais rígidos e limita a quantidade de dados que podem se mover dentro de uma empresa, mitigando possíveis danos. No entanto, mesmo com esses controles em vigor, a empresa deve ser capaz de detectar e monitorar onde ocorreu uma invasão. Se isso não for possível em tempo real, coloca o atacante de volta no comando.
Uma abordagem diferente
Abordagens baseadas em agente sem agente são muito mais adequadas para CNI. Isso envolve monitorar e proteger sistemas e redes sem a necessidade de instalar agentes de software. Em vez disso, tecnologias como análise de tráfego são usadas para detectar e prevenir ameaças cibernéticas em tempo real. Não há necessidade de paradas para instalação ou atualizações, vitais para as organizações CNI que precisam manter operações contínuas. Também elimina a necessidade de manter e atualizar agentes de software em cada sistema individual, o que pode consumir muito tempo e causar interrupções adicionais.
Uma abordagem sem agente também pode ser mais eficaz na detecção de ataques APT sofisticados . Os grupos APT geralmente comprometem um único sistema e o usam como ponto de apoio, permanecendo ocultos enquanto coletam informações para um ataque futuro. Como os sistemas sem agente não precisam ser instalados em cada sistema individual, eles podem fornecer uma visão mais abrangente da atividade da rede e são mais capazes de detectar e prevenir ataques APT que podem passar despercebidos pelos sistemas de segurança tradicionais.
Embora o nível de ameaça permaneça alto, as organizações que mantêm a CNI precisarão intensificar sua postura de segurança. Uma abordagem sem agente é recomendada, fornecendo uma abordagem confiável para monitoramento em tempo real, mas não é suficiente por si só. Deve fazer parte de uma estratégia de segurança abrangente com várias camadas de proteção dentro da rede.
FONTE: HELPNET SECURITY