0
0
Definição ISAC e ISAO
[Nota do editor: Este artigo, publicado originalmente em 3 de julho de 2019, foi atualizado com um diretório de ISACs e ISAOs.]
Um Centro de Compartilhamento e Análise de Informações (ISAC) é uma organização específica do setor que reúne e compartilha informações sobre ameaças cibernéticas à infraestrutura crítica. Os ISACs também facilitam o compartilhamento de dados entre grupos do setor público e privado.
Os ISACs foram estabelecidos sob uma diretiva presidencial em 1998 para permitir que proprietários e operadores de infraestrutura crítica compartilhem informações e melhores práticas sobre ameaças cibernéticas. Além de ser específico do setor, a maioria dos ISACs é composta por grandes empresas com um conjunto de prioridades e desafios diferentes da grande maioria de organizações e entidades menores, de acordo com Michael Echols, CEO da International Association of Certified ISAO’s (IACI) no Kennedy Space Centro.
Muitos ISACs têm bons recursos, vêm com taxas de associação e possuem infraestrutura e centros de operações de segurança completos para monitorar ameaças em escala global. O Conselho Nacional de ISACs lista atualmente 21 ISACs membros, incluindo aqueles para os setores de base industrial financeiro, automotivo, energia, aviação, comunicação e defesa.
As Organizações de Compartilhamento e Análise de Informações (ISAOs) são o resultado de uma diretiva da Casa Branca para promover o compartilhamento voluntário de informações sobre ameaças cibernéticas nos setores da indústria. Em fevereiro de 2015, o presidente Obama assinou uma ordem executiva orientando o Departamento de Segurança Interna dos EUA (DHS) a incentivar o desenvolvimento de ISAOs para empresas privadas, organizações sem fins lucrativos, departamentos governamentais e agências estaduais, regionais e locais.
A ordem executiva estabeleceu proteções de responsabilidade limitada para organizações que compartilham voluntariamente inteligência de ameaças entre si e com o governo por meio desses locais. Em outubro de 2015, a Universidade do Texas em San Antonio (UTSA) foi encarregada de identificar um conjunto de padrões e diretrizes para criar e operar ISAOs sob uma doação.
Desde que a diretiva foi assinada, várias organizações em vários setores criaram voluntariamente ISAOs para compartilhar informações e melhores práticas sobre ameaças cibernéticas e mitigação. No entanto, o amplo e difundido compartilhamento de informações entre organizações de todos os tamanhos e em todos os setores que foi originalmente previsto ainda não aconteceu por vários motivos.
Por que os ISAOs são necessários
O objetivo de promover ISAOs era facilitar o compartilhamento de informações sobre ameaças para todas as organizações e não apenas para aquelas pertencentes a ISACs, diz Echols, que na época era diretor do Cyber Joint Program Management Office do DHS e liderou a implementação do ordem executiva.
A evolução do IACS tem sido um tanto excludente, diz Echols. “Havia muitas grandes organizações que participavam do compartilhamento de informações e que tinham acesso ao governo, enquanto muitas outras empresas nem sabiam que essas práticas existiam”, diz ele. “A ideia por trás do ISAOs era promover e permitir que qualquer grupo de empresas ou organizações ou entidades trabalhassem juntos para compartilhar informações.”
Especialistas em segurança há muito observam que o compartilhamento de informações sobre ameaças pode permitir uma melhor consciência situacional e ajudar as organizações de todos os setores a identificar ameaças comuns e maneiras de lidar com elas com muito mais rapidez. “Por outro lado, os hackers de uma maneira muito documentada já estão se unindo e compartilhando informações sobre novas abordagens e oportunidades para agregar mais valor”, diz Echols.
Nos mais de quatro anos desde que a ordem executiva da ISAO foi assinada, algum progresso foi feito no sentido de um compartilhamento mais amplo de informações entre empresas privadas. Vários ISAOs foram estabelecidos e estão atualmente envolvidos em atividades de compartilhamento de informações relativamente robustas, semelhantes ao que está acontecendo dentro dos ISACs, diz Echols. Alguns exemplos dos grupos mais ativos incluem as ISAOs de Metal e Mineração e Segurança Marítima e Portuária, diz ele.
As Organizações de Padrões ISAO na UTSA, em colaboração com ISACs existentes, organizações de infraestrutura crítica, agências e partes interessadas públicas e privadas, identificaram padrões e diretrizes voluntárias para estabelecer e operar ISAOs. Isso inclui exemplos de acordos contratuais, processos de negócios, especificações técnicas e procedimentos operacionais que qualquer organização pode usar para estabelecer uma ISAO. A IACI oferece o que chama de ISAO in a Box que oferece orientação passo a passo da organização sobre o planejamento, construção e operação de uma IASO.
Alguns ISAOs veem grandes vitórias
Christy Coffey, vice-presidente de operações da ISAO de Segurança Marítima e Portuária (MPS-ISAO), diz que o compartilhamento de informações do tipo permitido pela ordem executiva é fundamental. “Precisamos acelerar o compartilhamento de informações do setor privado e acredito que a ISAO é o veículo”, diz ela.
O próprio MPS-ISAO foi fundado em 2016 e seu serviço de inteligência de segurança cibernética e compartilhamento de informações foi lançado no verão de 2017. Os membros do ISAO incluem portos, operadores de embarcações e operadores ferroviários, além de organizações que fornecem serviços e produtos para o setor marítimo.
Nos dois anos em que a ISAO está operando, o foco tem sido fornecer o que Coffey descreve como inteligência acionável e identificação de grupos maliciosos visando portos e atividades marítimas. As informações compartilhadas no grupo incluem desde e-mails e endereços IP não autorizados até práticas recomendadas e vulnerabilidades de equipamentos.
“Tivemos algumas vitórias incríveis que são o resultado do compartilhamento de informações do cliente, apoiados por análises de qualidade”, diz Coffey. Alguns exemplos recentes incluem identificar ransomware em um email compartilhado e notificar outras pessoas no ISAO em minutos e desenvolver uma lista de bloqueio de IPs compartilhados por clientes que reduziram as tentativas de login não autorizadas em mais de 99%. “Sem o compartilhamento de informações não haveria insight”, diz ela.
Os níveis de atividade entre os ISAOs variam
A ISAO Standards Organization atualmente lista mais de 70 grupos que descreve como envolvidos em algum nível de atividade de compartilhamento de informações. A lista inclui tanto ISACs específicos do setor quanto os ISAOs mais recentes que podem ser baseados em fé, geografia ou funções, como diretores e executivos corporativos.
Greg White, diretor executivo da organização de padrões da UTSA, diz que o nível de atividade entre esses grupos tende a variar. “Alguns deles são muito capazes e outros que funcionam minimamente na capacidade de compartilhamento de informações”, diz ele. “O que uma ISAO faz depende de seus membros e qual é o seu propósito.”
As proteções de responsabilidade disponíveis para os membros das ISAOs ajudaram muito as empresas privadas a superar as preocupações sobre o compartilhamento de informações com outras pessoas, diz White. Alguns ISAOs compartilham pouco mais do que listas de e-mail, enquanto na outra extremidade do espectro existem alguns ISAOs que lidam com essas informações confidenciais que possuem os chamados protocolos de semáforo para garantir que as informações sejam tratadas adequadamente. “O compartilhamento de informações não é mais específico do setor. Cada cidade e comunidade do país deveria ter uma ISAO”, observa ele.
Falta de confiança, financiamento limitam o crescimento das ISAOs
Chegar lá pode demorar um pouco. Muitas organizações que tentaram lançar uma ISAO enfrentaram problemas sobre como financiá-la, como continuamente mostrar valor aos executivos e saber em quem confiar, diz Echols. Para que as organizações se envolvam no verdadeiro compartilhamento de informações, é necessário que haja um alto grau de confiança entre elas. Eles precisam saber que qualquer informação sobre ameaças que compartilharem em uma ISAO será tratada adequadamente. Esse tipo de confiança pode ser difícil de obter ao estabelecer uma nova ISAO.
Quando você começa a reunir dezenas e centenas de organizações onde as pessoas não se conhecem, a organização de compartilhamento de informações precisa agir como um corretor confiável, diz Jonathan Couch, vice-presidente sênior de estratégia da ThreatQuotient. “Eles têm que proteger o anonimato de cada organização que está compartilhando informações e devem fornecer o filtro pelo qual as informações compartilhadas são específicas e relevantes para o setor da indústria.”
O governo deve desempenhar um papel de liderança na promoção da confiança entre as empresas privadas, observa Echols. Pode ser algo tão simples como estabelecer requisitos básicos de segurança para vetar entidades que desejam ingressar em uma ISAO ou exigir o registro oficial de um órgão da ISAO, diz ele
Outra questão é a falta de conscientização sobre as ISAOs e o valor que elas podem trazer em termos de segurança cibernética aprimorada. “Gastamos muito tempo educando muitas empresas e organizações”, observa Echols. O próprio governo pouco fez para promover as ISAOs em nível nacional, estadual ou regional. A eliminação de um papel de coordenador cibernético dentro da Casa Branca exacerbou o problema, diz ele. A maioria das organizações nunca ouviu falar de uma ISAO. Eles raramente ouviram falar de um ISAC, diz ele.
“Se o desenvolvimento de ISAOs não acontecer agora, em algum momento terá que acontecer”, diz ele. “Tudo o que estamos fazendo no momento é perder tempo.”
ISACs e ISAOs específicos do setor
Abaixo está uma lista de alguns dos ISACs e ISAOs focados no setor, muitos dos quais atendem a uma base internacional de membros:
Automotivo
Automotive ISAC : Fundada em 2014, a comunidade Auto ISAC compartilha e analisa informações sobre riscos emergentes de segurança cibernética de veículos para aprimorar os recursos de segurança cibernética de veículos em toda a indústria automotiva global.
Aviação
Aviation ISAC : O Aviation ISAC é uma organização internacional de compartilhamento de ameaças para ajudar a indústria a se preparar para ameaças cibernéticas, vulnerabilidades e incidentes.
Infraestrutura crítica
WaterISAC : Esta organização, fundada em 2002, atende o setor de água e esgoto dos EUA como uma fonte de informações de segurança de compartilhamento de ameaças.
Defesa
Defesa Nacional ISAC : O ND-ISAC fornece a entidades e fornecedores da indústria de defesa informações e serviços para melhor usar dados de segurança, ferramentas e melhores práticas.
Educação
K12 Six : Esta organização é uma comunidade de compartilhamento de melhores práticas e inteligência de ameaças para membros da comunidade educacional de ensino fundamental e médio dos EUA, comprometida em prevenir e responder a ameaças cibernéticas.
Redes de Pesquisa e Educação ISAC : A REN-ISAC atende mais de 700 instituições membros da comunidade de ensino superior e pesquisa, promovendo proteções e respostas operacionais de segurança cibernética.
Energia
Eletricidade ISAC : O E-ISAC atende o setor elétrico norte-americano com compartilhamento de informações e análise de riscos de segurança física e cibersegurança.
Energy Analytic Security Exchange : EASE é uma comunidade de compartilhamento de inteligência de ameaças de segurança física e cibernética para ajudar a defender as redes, instalações, funcionários e reputação do setor de energia.
Petróleo e Gás Natural ISAC: A ONG-ISAC, fundada em 2014, fornece inteligência compartilhada sobre incidentes cibernéticos, ameaças, vulnerabilidades e melhores práticas do setor.
Serviços financeiros
Serviços Financeiros ISAC : FS-ISAC é uma comunidade global de compartilhamento de inteligência que oferece aos membros uma plataforma de inteligência, recursos de resiliência e uma rede de especialistas.
National Credit Union ISAO : NCU-ISAO auxilia os membros no compartilhamento de informações, inteligência de ameaças, orientação operacional e educação da força de trabalho.
Assistência médica
Saúde ISAC : H-ISAC é uma organização global para as partes interessadas da área da saúde para coordenar, colaborar e compartilhar inteligência e melhores práticas sobre ameaças físicas e cibernéticas.
Dispositivos Médicos ISAO : MedISAO ajuda os membros da comunidade de dispositivos médicos a melhorar a segurança de dispositivos médicos por meio de educação, conscientização e defesa.
Jurídico
Serviços Jurídicos ISAO : Fundada em 2015, a LS-ISAO compartilha informações acionáveis sobre ameaças cibernéticas e vulnerabilidades de sistemas entre escritórios de advocacia para prevenir e responder a incidentes, proteger IP e proteger dados de clientes.
Setor público
Public Safety Threat Alliance : Fundada pela Motorola Solutions, a PSTA ISAO é um hub para a comunidade global de segurança pública para colaborar e compartilhar inteligência de ameaças e outras informações.
Imobiliária
Real Estate ISAC : O RE-ISAC, gerenciado pela Real Estate Roundtable, é um canal específico do setor para compartilhar informações sobre possíveis ameaças e vulnerabilidades físicas e de segurança cibernética para ajudar a proteger instalações comerciais e as pessoas que as utilizam.
Varejo e Hotelaria
NRF Cyber Risk Exchange : Operada pela National Retail Foundation, a NRF Cyber Risk Exchange é uma ISAO dedicada a compartilhar informações de segurança cibernética no setor de varejo.
Varejo e Hospitalidade ISAC : O RH-ISAC oferece canais de compartilhamento de informações estratégicas e táticas, briefings de ameaças de rotina, uma conferência anual e workshops e webinars.
Esportes
Esportes ISAO : Esta organização, um programa do Instituto de Resiliência Cibernética, fornece um fórum seguro e controlado para membros da comunidade esportiva discutirem questões de segurança cibernética.
Tecnologia
CompTIA ISAO : Para membros da Computing Technology Industry Association, esta ISAO ajuda a personalizar a inteligência de ameaças e a análise acionável para fornecedores de tecnologia, provedores de serviços gerenciados (MSPs), provedores de soluções, integradores, distribuidores, consultores de tecnologia de negócios e seus clientes.
Tecnologia da Informação ISAC : IT ISAC, fundado em 2000, permite a colaboração e o compartilhamento de informações relevantes e acionáveis sobre ameaças cibernéticas, políticas de segurança eficazes e práticas para o benefício do setor de TI.
Transporte
Segurança Marítima e Portuária ISAO : Fundada em 2016, a MPS-ISAO atende a infraestrutura crítica de transporte marítimo global com recursos, ferramentas e tecnologias de segurança cibernética e orientação operacional específica do setor e educação da força de trabalho.
ISACs de Transporte Público, Ônibus Rodoviário e Transporte Terrestre : PT-ISAC, OTRB-ISAC e ST-ISAC compartilham um site que serve como uma câmara de compensação para informações sobre ameaças, vulnerabilidades e soluções para segurança de infraestrutura física e cibernética.
FONTE: CSO ONLINE