Ataques Híbridos e Segurança da Informação

Frequentemente, criminosos recorrem ao antiquado método de arrombamento para inserir um dispositivo físico na rede interna e, algum tempo depois, atacam o sistema de dentro, ignorando completamente as proteções impostas na fronteira da rede. Muitas vezes, contam com uma ajuda interna de funcionários descontentes ou profissionais de segurança patrimonial física, para inserir tais dispositivos no ambiente corporativo. Quando estamos falando de ataques direcionados, e o alvo é uma organização específica ao invés de qualquer computador vulnerável, os invasores costumam tomar proveito destes vetores de ameaças físicas para contornar os controles digitais ou, até mesmo, o contrário.

Cenário

Violações de segurança cibernética estão se tornando mais comuns do que nunca. Com o custo médio dos danos por violação de dados girando em torno de US$ 4,5 milhões. Neste cenário, não é de se admirar que diversas organizações estejam lutando para tentar proteger suas redes (internas, externas e mistas) e impedir que invasores tenham acesso a seus ativos digitais. Com agentes maliciosos cada vez mais bem equipados e amplamente capazes de invadir, espionar, falsificar e aplicar diversas técnicas de engenharia social para acessar credenciais de usuário, dados corporativos e de clientes, esses ataques estão se tornando contribuindo para o desgaste das equipes envolvidas. 

Enquanto esses incidentes estão escalando sensivelmente, muitos profissionais focados em segurança de dados acabam não dando a devida atenção aos diversos métodos utilizados para atacar a segurança física de uma organização. Não importa o grau do esforço despendido pela equipe de TI para implementar todos os antivírus, firewalls, VPNs e SIEMs que desejar, pois, no fim do dia, nenhuma dessas iniciativas impedirá que alguém invada as instalações físicas e conecte um dispositivo, ou coloque a mão nos equipamentos da empresa.

Conectando o Real ao Virtual com Segurança

Ao trabalhar com operações híbridas, é necessário ter um bom entendimento sobre segurança de dispositivos IoT, por exemplo, mas conhecimentos sobre infraestrutura, camadas de rede e aplicações é essencial pois é justamente neste ponto que mora o problema. Além de ser um dos pilares da transformação digital, a infraestrutura é o pano de fundo da superfície de ataque, com muitas partes expostas à Internet pública. Praticamente o mapa de uma rede mas, muitas vezes, mais exposto ao mundo do que gostaríamos.

Assim como uma teia de aranha, onde cada ponto onde um fio da trama se cruza com outro representa um nó, uma rede física usa este desenho como a base de sua arquitetura. São nesses nós que são conectados os diversos ativos cibernéticos que constituem as redes locais, de longo alcance e até mesmo a Internet.

A exemplo disso, a sigla “WWW” (World Wide Web) significa “Teia de Alcance Mundial”, em tradução livre, pois a própria Internet é uma rede de alcance mundial, resultado da união de diversas redes em formato de teia. Tais redes do tipo WAN (Wide Area Network) são redes de largo alcance compostas, originalmente, por redes acadêmicas e militares do tipo LAN (Local Area Network). Da mesma forma, organizações têm em sua infraestrutura redes que seguem a mesma lógica e, muitas vezes, redes dentro de redes.

Atualmente as redes virtuais do tipo VPN (Virtual Private Network), que emulam no meio virtual uma estrutura física para manter os protocolos de segurança, são um tipo muito difundido, comentado e conhecido. Esta prática tornou-se muito comum após a pandemia de COVID-19 devido ao imenso fluxo de dados entre redes corporativas e domésticas, como resultado de uma enorme fatia dos profissionais trabalhando fora dos ambientes corporativos.

Afinal, por que esse monte de siglas e onde entra a segurança de ativos do tipo phygital? É justamente essa, a questão. Tais ativos híbridos operam em diversos níveis dessas redes e entender onde estão (e porque), é essencial para avaliar o risco que cada um traz, mitigar as vulnerabilidades conhecidas o quanto antes e buscar, constantemente, novas vulnerabilidades na infraestrutura, física e lógica.

Antecipar os riscos e estar à frente das ameaças depende de uma compreensão abrangente dessa superfície de ataque, em seus mais variados níveis. A parte mais complicada é que, além dos riscos inerentes ao fato de ser um ativo cibernético, os ativos híbridos também carregam consigo riscos decorrentes de sua realidade física: estão ao alcance físico de eventuais agentes maliciosos, ao contrário de ativos digitais escondidos atrás de camadas e mais camadas de segurança cibernética.

Quando os riscos cibernéticos se somam aos riscos físicos, o que passa a operar dentro do conceito de phygital são as ameaças, tornando o desafio ainda mais complexo para as equipes de Segurança da Informação. Ataques híbridos, que unem estratégias físicas e digitais com o objetivo de invadir determinado alvo, geralmente, têm maior probabilidade de sucesso que ataques físicos ou ataques cibernéticos isolados, 

Isto não é um Roteiro de Filme

Em um cenário em que uma empresa tem um servidor com dados sensíveis sobre a operação (por exemplo, segredos industriais e dados financeiros) e, ao mesmo tempo, todos os dados sobre seus clientes e fornecedores. Essa empresa investe em firewall, backup, VPN, anti-spyware, anti-malware, regras de domínio, permissões de usuário, treinamentos de conscientização e campanhas de phishing. Um belo dia, um caminhão de lixo roubado entra de ré na parede do prédio, derrubando a única barreira física entre o mundo exterior e seus dados mais preciosos, e alguém leva o computador inteiro embora, junto com os discos de backup e os sequestradores passam a enviar mensagens exigindo uma quantia em dinheiro para devolver o acesso aos dados. Parece roteiro de filme, mas isto é apenas uma analogia para um ataque físico de exfiltração de dados seguido de pedido de resgate, o já conhecido ransomware.

Traçando um paralelo com o mundo real, isso ocorreu com ninguém menos que as autoridades britânicas. Na cidade de Sevenoaks, condado de Kent (região metropolitana de Londres), um servidor usado por uma empresa que trabalha junto com a polícia para rastrear os movimentos de suspeitos de terrorismo foi roubado de escritórios particulares. A Forensic Telecommunication Services (FTS), uma das empresas privadas que ajuda a polícia a monitorar redes de telefonia móvel para rastrear suspeitos de terrorismo confirmou que um servidor foi (fisicamente) roubado de dentro de seu escritório.

Apesar da FTS argumentar que os dados foram criptografados, e por isso sem risco, o secretário do Interior, David Davis, disse ao periódico The Mail que o governo considerou o caso “extremamente sério”. O volume de trabalho de computação forense realizado rotineiramente é tão grande que a FTS é apenas uma das muitas empresas usadas pelo governo britânico para cumprir tal demanda, cabe lembrar que além dela estão as forças policiais, empresas privadas e vários outros órgãos públicos.

Da mesma forma, 11 criminosos foram presos na Islândia por roubar servidores de data centers islandeses, responsáveis por operações envolvendo a moeda digital bitcoin. Cerca de 600 computadores usados ​​para mineração de bitcoin e outras moedas virtuais foram levados de data centers no país, no que a polícia local diz ser a maior série de roubos já registrada na nação insular do Atlântico Norte. Aparentemente, algo muito mais fácil que quebrar os protocolos de segurança envolvidos na implementação de tais serviços e servidores associados a eles. Entre os presos havia um guarda de segurança privada.

Diversos líderes do setor de Segurança da Informação vêm dizendo, repetidamente e há muito tempo, que as brechas de segurança no acesso físico sempre superaram os controles digitais. Ou seja, quando um invasor tiver acesso físico aos seus dispositivos, o jogo acabou. Apesar dos lembretes contínuos, a segurança física costuma ser um dos pontos mais fracos em estratégias de proteção de dados em empresas ao redor do mundo.

Segurança Cibernética vs. Ataques Físicos

Em ações mais elaboradas e ousadas, cibercriminosos realizam um reconhecimento prévio e trabalho preparatório na frente digital antes de executar o ataque pessoalmente. Em vez de tentar obter acesso total a um determinado sistema, um invasor pode querer abrir algumas brechas estratégicas com o objetivo de facilitar um ataque físico.

Embora os filmes de ação errem continuamente, em muitos aspectos, o clássico clichê de um hacker dentro de uma van, convertida em centro de operações móvel, não é totalmente impreciso. Muitas vezes um agente malicioso se mantém a uma distância segura do alvo, desligando a rede ou sistemas de segurança enquanto seu parceiro invade o prédio.

Veja, a seguir, alguns exemplos de como as vulnerabilidades cibernéticas podem enfraquecer uma defesa física ou ter efeitos no mundo real:

• O invasor desliga as câmeras de segurança conectadas à Internet, permitindo que uma invasão não seja detectada, excluindo imagens etc.
• O sistema de acesso por cartão-chave (visível para a Internet) está comprometido, permitindo que um invasor conceda ou remova o acesso físico ao prédio.
• Os sistemas de manufatura conectados à rede podem ser atacados e desligados, causando perda de produtividade ou um incidente de segurança.
• Um malware que gera uso intensivo de CPU pode ser carregado em um cluster de servidor que aumenta o consumo de energia, resultando em superaquecimento, quedas de energia ou perda total de energia.
• Um ataque de ransomware em uma rede hospitalar pode impedir que os médicos acessem os registros dos pacientes e forneçam os cuidados necessários.

Contudo, como essas vulnerabilidades cibernéticas podem permitir ou facilitar uma ameaça física? Com o objetivo final de obter acesso físico a sistemas que contenham dados confidenciais, um invasor pode abrir a porta para um envolvimento pessoal, alterando ou desativando controles físicos por meio de uma vulnerabilidade cibernética. A corrida para controles físicos interconectados e baseados em nuvem fez com que as organizações criassem vulnerabilidades inadvertidamente, sem saber a quais riscos adicionais estavam se expondo, e assim, aumentando sua superfície de ataque e abrindo seus controles para ataques baseados em rede.

Esse tipo de ataque digital é especialmente perigoso para os setores da indústria e logística, onde os sistemas de controle de equipamentos conectados à rede, tais como os controladores lógicos programáveis, utilizados em larga escala, ​​estão em vigor para governar a fabricação automatizada há anos. Embora esses sistemas tenham sido, tradicionalmente, implementados em configurações de circuito fechado (ou nem mesmo em uma rede), o aumento da automação e processos definidos por software empurraram tais sistemas para redes corporativas e até mesmo, nos piores casos, para a Internet pública. Quando um invasor pode obter o controle de máquinas pesando milhares de quilos, capazes de uma destruição incrível quando usadas de forma inadequada, o bem mais valioso de uma organização está em jogo: a vida humana.

Ataques Físicos vs. Segurança Cibernética

O outro lado dessa história também existe, quando um agente malicioso faz uso de ataques físicos para diminuir a eficiência de controles cibernéticos. Muitas vezes, o acesso a uma determinada instalação é tudo o que um criminoso precisa para preparar o terreno para uma invasão futura que terá mais chances de sucesso se determinados passos complementares forem tomados previamente. Listamos, abaixo, alguns exemplos comuns de como a engenharia social e os vetores de ameaças físicas podem comprometer a segurança cibernética:

• Um criminoso finge ser um funcionário e conta com a cortesia de um colaborador real para segurar a porta e entrarem juntos.
• Um agente interno olha por cima do ombro de um engenheiro de sistema enquanto este insere suas credenciais administrativas em determinado sistema.
• Uma unidade USB infectada  é plantada em um estacionamento, saguão, etc., para que um funcionário desavisado pegue o dispositivo e o conecte na rede.
• Um criminoso invade uma sala de servidores e instala dispositivos não autorizados que capturam dados confidenciais diretamente na fonte ou no tráfego de rede.
• A conexão com a Internet é acessível de fora do escritório (via Wi-Fi ou mesmo cabo físico), permitindo que um invasor intercepte dados ou corte o acesso completamente.

Afinal, quais são as implicações reais desses ataques? Em primeiro lugar, vale ressaltar que, em todos os casos, o invasor provou que existe uma fraqueza na segurança física, quer essa fraqueza se manifeste como uma falha nos controles (bloqueios, leitores de cartão, exposição da infraestrutura) ou no treinamento de segurança dos funcionários. Com essas informações em mãos, o autor da ameaça pode replicar o ataque inúmeras vezes, obtendo acesso físico ao prédio sempre que necessário. Outra forma, que é ainda pior, são vários ataques sucessivos podem minar a suspeita dos funcionários, ao reconhecer alguém que já viram antes.

Além do acesso físico à infraestrutura de rede ou a eventual captura de algum dado sensível por parte de agentes internos, as consequências de ataques físicos aos ativos digitais podem ser ainda mais graves. Por exemplo, se um invasor obtiver acesso a uma sala de servidores, ele pode substituir completamente a maioria dos controles digitais em vigor e, posteriormente, inserir mídias infectadas, inicializar um servidor utilizando um sistema operacional malicioso, conectar um monitor de tráfego a uma porta de firewall aberta ou até mesmo derrubar toda a rede.

Isso é um fenômeno decorrente de uma falha grave inerente aos dispositivos de segurança: eles assumem que alguém que pode acessá-los fisicamente tem permissão para fazê-lo e geralmente entregará acesso total a quem estiver na frente deles. Para piorar o cenário, as credenciais de acesso geralmente são apenas “admin”, tanto para o usuário quanto para a senha, pois ninguém parece se preocupar com acessos físicos indevidos a tais ativos.

Na verdade, um invasor nem precisa entrar em uma sala de servidores para causar danos. Se conseguirem entrar no prédio e acessar um computador pertencente aos RH, por exemplo, poderão acessar arquivos e copiar registros de funcionários contendo informações altamente confidenciais. Um computador pertencente ao departamento de Contas a Pagar pode ser usado para transferir dinheiro da empresa, ou um pertencente a um executivo de alto escalão pode ser usado para acessar arquivos confidenciais que descrevem os planos de negócios da empresa. Embora todos esses dispositivos possam ter amplos controles digitais e proteção de segurança cibernética, uma fraqueza na segurança física pode permitir que um invasor os ignore completamente.

Como Mitigar os Efeitos de Ataques Híbridos

Vamos ser realistas. A discussão não é mais sobre se a empresa vai ser atacada ou não, mas sobre quando isso vai acontecer. Estar preparada para este incidente não é mais do que a obrigação de qualquer organização séria nos dias de hoje. Mas o que isso quer dizer, de fato?

Tudo isso pode parecer muito complexo, mas tal nível de preparo se resume a alguns simples passos que vamos abordar a seguir. Em resumo, a defesa contra ataques híbridos sofisticados pode parecer assustadora, digna de roteiro de um filme do James Bond, mas existem vários métodos muito práticos e diretos para proteger a operação de seu negócio. É claro que convém contar com uma equipe especializada em Segurança da Informação, bem como com um robusto Sistema de Gestão de Segurança da Informação, mas nem sempre isso é possível. Seja esta a realidade em sua organização ou não, é sempre interessante adicionar essas abordagens à estratégia de defesa.

SEGREGAÇÃO

Quando possível, o ideal é não conectar seus controles de segurança física a uma rede ou nuvem e, principalmente, à Internet pública. Obviamente, isso terá um custo de conveniência e funcionalidade, e é por isso que esse método deve ser avaliado e aprovado com o negócio antes da execução. Se os edifícios não exigem um sistema de acesso baseado em rede complexo, não se deve implementar um; se as câmeras não precisarem ser acessadas de fora do prédio, não há razão para que sejam colocadas na internet; se apenas algumas pessoas precisarem acessar a sala do servidor, deve ser considerado o bloqueio com uma chave tradicional ou cadeado de combinação em vez de um sistema de crachá que pode ser comprometido.

AUTENTICAÇÃO

Implementar a autenticação multifator (MFA) sempre que for razoável fazê-lo. Isso inclui conexões WiFi (ou 802.1X para dispositivos com fio), acesso a e-mail de fora do prédio ou em um novo dispositivo e login em sistemas de produção, tanto no local quanto na nuvem. Mesmo que um invasor obtenha acesso físico ao prédio e inicialize um computador, a MFA impedirá que eles façam login no sistema e, na melhor das hipóteses, gerará um alerta que pode ser encaminhado à equipe de resposta de segurança.

REMOÇÃO

Criar e aplicar uma política exigindo que os funcionários levem seus laptops para casa todas as noites. Essa estratégia reduzirá a probabilidade de roubo e acesso não autorizado, além de minimizar o impacto no caso de um desastre noturno no escritório. Até criamos, internamente, um acrônimo internamente para a situação inversa, o TODH (Take Our Device Home). Ao contrário da política do BYOD (Bring Your Own Device), onde é permitido aos funcionários utilizar seus próprios computadores nas redes corporativas, esta situação inversa ocorre quando estes levam os dispositivos corporativos para casa.

DESCONEXÃO

Se o negócio pertencer ao setor industrial, devem ser analisados e avaliados os planos para conectar equipamentos a uma rede antes da execução e isso não deve ser feito a não ser que seja absolutamente necessário. Caso seja impreterível, deve-se considerar a possibilidade de manter uma rede física interna segregada, desconectada da Internet, apenas para funções operacionais produtivas. Caso seja impossível por causa de necessidades específicas como, por exemplo, atualização de sistemas e firmware de equipamentos, é preciso certificar-se de que qualquer necessidade e justificativa para fazer isso traga benefícios que superem (e muito) o risco considerável de colocar esses sistemas em uma rede exposta.

Resumindo, é fundamental fazer da segurança física uma parte importante do plano de defesa cibernética. Ao realizar avaliações de risco e projetos de controle, é preciso considerar um cenário em que um invasor obteve acesso físico ao prédio e está na frente do sistema ou dispositivo. Como compensar isso? Embora não impeçam todos os ataques concebíveis, controles como desabilitar entradas e portas não utilizadas, bloquear servidores em racks (e manter os racks aparafusados ​​ao chão), lista permissão de endereços MAC e pesquisas de redes sem fio não exigem muito esforço e permitem novas maneiras de adicionar camadas complementares a uma estratégia de defesa.

Evitando Ataques Híbridos com Automação

Uma operação estará mais protegida de agentes maliciosos que tentem uma invasão deste tipo se conhecerem melhor sua superfície de ataque e a dos terceiros com quem se relaciona regularmente. Uma boa solução para isso é o GAT Security Score, que coleta dados disponíveis publicamente na Internet (de forma discreta e não intrusiva) para dar uma perspectiva externa da postura de Segurança da Informação nas empresas, a mesma visão que um agente malicioso mal intencionado teria. O cadastro é gratuito e você recebe, de graça e automaticamente, o score de segurança de seu domínio.

Também é possível consultar o score de outros domínios, bastando informar o endereço para que o algoritmo atribua, automaticamente, uma nota para o nível de segurança cibernética na camada externa, com base na análise da superfície de exposição dos ativos da empresa à Internet pública, sujeitos a ataques cibernéticos. O sistema entrega uma avaliação do nível de segurança em forma de rating, contendo apontamentos de riscos da empresa, de seus fornecedores e terceiros.

Os dados são dividos em 4 diferentes fatores de risco que, juntos, formam a base para o cálculo do seu Security Score (Rating ou Pontuação de Segurança) e os resultados podem ser utilizados para a análise do nível de exposição cibernética, análise de risco em terceiros, benchmark e levantamentos para utilização em processos de Due Diligence, Cyber Underwriting e Seguro Cyber, entre outros. Não espere uma invasão, comece a proteger sua operação agora mesmo!