"O que posso fazer?" Nos últimos dias, todos nós nos fizemos alguma versão dessa pergunta e procuramos maneiras de tornar a nós mesmos, nossas famílias, empresas e aliados um pouco mais seguros.
Também ouvimos essa pergunta de nossos parceiros e clientes: como uma organização que ajuda a proteger algumas das organizações mais sensíveis à segurança do mundo há décadas, entendemos a urgência desse momento e o usamos para conversar, fazer investimentos e agir.
Porque cada um de nós pode ajudar a criar uma Internet mais segura hoje e a longo prazo. Todos nós devemos nos sentir capacitados para proteger nossa infraestrutura e identidades digitais. Mais do que capacitados, devemos nos sentir responsáveis por isso.
A Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA está compartilhando recursos que indivíduos, organizações e líderes corporativos podem adotar para se proteger. Também elaboramos as cinco recomendações a seguir para desenvolver a resiliência cibernética agora e no futuro:
- Prepare-se hoje para os efeitos duradouros de amanhã
- Concentre-se nos fundamentos: implemente a autenticação multifatorial
- Desenvolva a confiança zero com privilégios mínimos, autenticação contextual e segurança baseada em exceções
- Priorizar a lacuna de habilidades de segurança cibernética
- Desconfie de golpes do tipo "Ajude a Ucrânia
Abaixo, seguem etapas adicionais sobre cada um desses pontos.
Cada uma dessas cinco etapas representa os fundamentos básicos da segurança cibernética que antecedem a crise atual e que perdurarão depois dela.
É importante que os líderes se lembrem disso: embora não haja "ameaças cibernéticas específicas ou confiáveis aos EUA" no momento, de acordo com a lei, a ameaça cibernética pode ser uma ameaça para os EUA. CISA, e nenhuma "ameaça específica atual às organizações do Reino Unido", de acordo com a Centro Nacional de Segurança Cibernética, Se a crise geopolítica de hoje resultar nos desafios de segurança cibernética de amanhã, a crise geopolítica de hoje poderá resultar nos desafios de segurança cibernética de amanhã.
"Há o risco de que quaisquer ferramentas cibernéticas que a Rússia use na Ucrânia não permaneçam na Ucrânia", disse o presidente da Câmara de Inteligência dos EUA, Adam Schiff, apontando para o novo Malware "limpador" FoxBlade que apaga os dados do computador.
Em termos gerais, quando um malware direcionado a "um determinado alvo é liberado na natureza", ele pode "assumir vida própria". Portanto, podemos ser vítimas de um malware russo que foi além de seu alvo pretendido", disse Shiff.
O senador Mark Warren, que lidera o Comitê de Inteligência do Senado, observou que as sanções poderiam levar a "ataques cibernéticos diretos contra países da OTAN" ou "ataques de ransomware em grande escala".
Uma das mudanças de maior valor para ambos os indivíduos e As organizações podem fazer é implementar autenticação multifatorial (MFA) em todas as contas.
A CISA explica que adicionar uma segunda camada de autenticação - incluindo "uma mensagem de texto ou e-mail de confirmação, um código de um aplicativo de autenticação, uma impressão digital ou Face ID ou, melhor ainda, uma chave FIDO" - torna menos provável que um indivíduo seja hackeado.
As organizações também precisam de MFA: A CISA aconselha que as empresas confirmem que "todo acesso remoto à rede da organização e o acesso privilegiado ou administrativo exigem autenticação multifator".
Essa etapa está se tornando mais crítica com cada dispositivo IOT e IIOT que fica on-line, pois esses dispositivos inteligentes representam alvos prováveis de ransomware. No ano passado, o sindicato russo de ransomware DarkSide violou a rede da Colonial Pipeline usando uma conta VPN que não estava mais em uso e não estava protegida por MFA.
Janeiro memorando de segurança nacional com base no Ordem Executiva 14208 e orientou os órgãos federais a começar a desenvolver uma arquitetura de confiança zero.
"Confiança zero" é a palavra da moda mais espumosa que existe em segurança cibernética. A parte importante é a máxima fundamental: nunca confie, sempre verifique. Isso significa que as equipes de segurança devem encontrar e eliminar qualquer confiança ou privilégio implícito em todos os usuários, contas, aplicativos e dispositivos. Nada e ninguém deve ter passe livre: seu sistema de segurança deve autenticar todas as solicitações de acesso que chegarem a ele.
Mas não deixe que o perfeito seja inimigo do bom: a confiança zero é uma aspiração de longo prazo, não um estado final imediato. Qualquer passo que as organizações possam dar para encontrar e minimizar a confiança é valioso.
Instituir o privilégio mínimo - fornecendo o conjunto mínimo de direitos que um usuário precisa para fazer seu trabalho - é uma excelente maneira de as organizações reduzirem sua superfície de ataque e darem um passo importante em direção à confiança zero.
Depois de ter dado esse primeiro passo, continue sua jornada de confiança zero: contexto ou autenticação baseada em risco pode ajudar seu sistema de segurança a tomar decisões de segurança mais inteligentes, mais rápidas e mais bem informadas. Se um determinado usuário fizer login todos os dias às 9h do Pacífico no mesmo dispositivo Apple e solicitar o mesmo conjunto de aplicativos, meu sistema de segurança deverá ser capaz de tratar as solicitações de acesso dentro desses parâmetros com um alto grau de confiança.
Outra medida de alto valor que as organizações podem tomar é definir políticas sólidas de governança de identidade e desenvolver uma segurança baseada em exceções. Se o usuário X tiver 150 direitos e se 120 desses direitos forem compartilhados com todos os outros usuários de uma organização, minha equipe de segurança deverá se concentrar nas 30 credenciais exclusivas desse usuário específico.
Os problemas atuais de segurança cibernética vêm se formando há anos. De fato, não são problemas estritamente tecnológicos - são problemas de pessoas também. Temos observado uma escassez de habilidades em segurança cibernética nos últimos cinco anos, e, em maio passado, havia mais de 460,000 posições de segurança cibernética abertas somente nos EUA.
Como setor, não temos feito nenhum favor a nós mesmos: temos sido muito exclusivos ao contratar e treinar, quando deveríamos ter sido inclusivos. Enterramos o que fazemos em camadas de jargões e acrônimos que impedem os candidatos e obscurecem a importância do que fazemos.
Precisamos tornar a segurança cibernética acessível e importante para todos. Isso significa dar às crianças habilidades básicas de segurança cibernética no jardim de infância e, em seguida, fazer com que a segurança cibernética se torne uma opção de carreira viável (e importante) à medida que elas avançam na escola.
Os criminosos cibernéticos se aproveitam de qualquer crise. Vimos isso quando a pandemia começou e estamos vendo isso agora, com golpistas que usam a invasão como um pretexto para pedir "doações" de criptomoedas para ajudar a Ucrânia.
Fintas de engenharia social como essa sempre resultarão de grandes interrupções - espero que vejamos táticas semelhantes, phishing e spear-phishing resultantes da invasão. Os líderes de segurança cibernética devem instruir suas equipes a ficarem atentas e lembrar seus usuários de não clicar em links que pareçam bons demais para ser verdade.
NPR e Navegador de Caridade listaram várias instituições de caridade legítimas que ajudam a Ucrânia.
Participe de nosso webinar gratuito na quarta-feira, 16 de março, às 14h (horário de Brasília) para saber mais.
