0
0
A segurança cibernética é um dos campos mais dinâmicos do direito. Há muito tempo são os dias em que as organizações poderiam confiar inteiramente em medidas defensivas dentro de seus próprios ambientes para proteção: inteligência eficaz de ameaças e programas de caça a ameaças podem levar a luta por trás do firewall diretamente para os próprios adversários – com advogados desempenhando um papel crucial na linha de frente.
O uso de inteligência de ameaças (informações coletadas de fontes externas sobre ameaças ativas ou emergentes a uma organização) e a caça a ameaças (encontrar adversários à espreita dentro de uma organização) estão rapidamente se tornando pilares de programas eficazes de cibersegurança, e este foi um tema central discutido na recente Cúpula de Cibersegurança da Fundação ACC. No entanto, quando a inteligência de ameaças acionável é combinada com as habilidades e poderes de advogados tecnicamente sofisticados, isso pode ser um multiplicador de força, pivotando a postura de cibersegurança de uma organização de ser reativo e defensivo para ativo e agressivo.
A inteligência de ameaças e a caça de ameaças dependem de tipos semelhantes de dados, muitas vezes referidos como indicadores de ataque ou indicadores de compromisso. Esses conjuntos de dados incluem coisas como hashes (ou seja, impressões digitais) de arquivos maliciosos, endereços IP, nomes de host e nomes de domínio, todos conhecidos por fazerem parte do arsenal de um invasor.
No lado puramente defensivo, o aviso avançado de um próximo ataque pode ser a diferença entre uma postura defensiva bem sucedida ou um incidente prejudicial e caro. Com essa inteligência em mãos, as organizações podem criar regras em um gateway de e-mail ou firewall para impedir efetivamente que o e-mail de phishing dos invasores chegue às caixas de entrada dos funcionários ou bloqueie a capacidade de um funcionário navegar até um link malicioso.
De fato, um de nossos colegas advogados em Nova York usou um sistema de inteligência de ameaças sob medida que ele desenvolveu para identificar e ajudar a neutralizar os domínios que hospedaram um próximo ataque cibernético à Organização Mundial da Saúde no início da crise do Coronavirus em março de 2020. Essa inteligência sob medida identificou uma combinação de domínio e subdomínio que permitiu ao nosso colega (i) validar os dados e estabelecer que ele havia de fato identificado uma ameaça ativa à OMS e (ii) comunicar esses dados a partes confiáveis, incluindo a aplicação da lei, permitindo que contramedidas defensivas fossem colocadas em prática. Este foi um exemplo de como o advogado pode desempenhar um papel nas funções críticas do dia-a-dia das operações de segurança.
Indo ainda mais longe, os advogados podem desempenhar um papel cada vez mais importante no contexto da inteligência de ameaças – fora do mandato habitual de negociar contratos com fornecedores de inteligência de ameaças ou estabelecer apêndices de acordo que dizem respeito a direitos de privacidade ou violações de dados. Eles podem, em paralelo com os profissionais de cibersegurança, tomar medidas afirmativas para desmantelar a infraestrutura avançada de um adversário cibernético antes, ou mesmo durante um ataque cibernético.
Por exemplo: Examinar os registros NS, MX e Whois de um nome de domínio suspeito pode produzir dados sobre o host da Web, a localização do servidor de e-mail e as informações de contato de abuso do registrador. Pivotar nesses dados pode identificar outros indicadores de ataque, como subdomínios maliciosos ou outros domínios hospedados na mesma sub-rede IP que poderia ser usada para personificação ou phishing. Por meio de pedidos cuidadosamente elaborados, os advogados podem desativar componentes da cadeia de ataque de um adversário cibernético, sem o qual o ataque falhará.
Esse tipo de abordagem agressiva aos adversários é peculiarmente a província de advogados, pois a maioria dos anfitriões, provedores de serviços de correio ou registradores, não reagirá simplesmente a um pedido de ajuda na antecipação de um ataque cibernético. O que esses provedores normalmente solicitarão é alguma forma de evidência de que um ataque ocorreu, o que essencialmente discute qualquer movimento preventivo que uma organização planeja tomar.
Em quase todas as instâncias, no entanto, nos Termos de Uso, Políticas de Uso Aceitável ou outros acordos padrão, a maioria dos prestadores de serviços indica que a violação dos direitos de propriedade intelectual de terceiros pode ser motivo para encerrar os serviços. Este crossover de propriedade intelectual e segurança cibernética é fundamental: ser capaz de demonstrar que um domínio ou subdomínio infringe os direitos de marca de uma organização pode ser a diferença entre o provedor de serviços de um ator de ameaças ignorando ou cumprindo uma solicitação de retirada.
Se executadas corretamente, essas solicitações fornecem ao adversário a notificação de que a organização que eles estão atacando está sobre eles, é sofisticada e, portanto, o adversário corre o risco de ser detectado. Nessa observação, combinar pedidos de preservação de dados com avisos de retirada pode ser uma técnica poderosa para proteger evidências sobre um adversário de serem destruídas.
Devemos salientar, no entanto, que mesmo pedidos de retirada bem elaborados podem cair em ouvidos surdos se um prestador de serviços estiver localizado dentro de uma jurisdição que muitas vezes protege atores de ameaça ou se mantém como um hospedeiro à prova de balas. No entanto, para evitar a detecção baseada em geografia, adversários avançados têm confiado mais frequentemente em infraestrutura para seus ataques localizados no Reino Unido e nos Estados Unidos. Aqueles provedores de serviços nos quais os adversários cibernéticos dependem são todas fontes férteis de evidências e atribuições que um advogado experiente pode obter através dos mecanismos do processo legal.
À medida que os fundamentos da cibersegurança evoluem, o papel do profissional jurídico também evolui. O próprio conceito de defesa em profundidade de uma organização cibernética madura deve agora envolver os advogados, tanto internos quanto externos, como atores-chave e até colecionadores de inteligência. Alimentar-se de uma organização que a inteligência que os advogados podem extrair pode ajudar com o problema perene de atores de ameaça de atribuição, poderia contribuir para uma melhor compreensão da motivação de um adversário, podendo diminuir a superfície de ataque ou uma organização; e esses dados podem até formar a base de parcerias mais frutíferas com a aplicação da lei ou a base de um encaminhamento criminal.
FONTE: HELPNET SECURITY