Ciberguerra de bastidores para a segurança dos negócios

Diz o ditado popular que ‘depois de casa roubada, trancas à porta’. A metáfora que ilustra a necessidade de garantir a segurança física de um local retrata uma certa cultura empresarial nacional que ainda olha da mesma forma para a segurança dos seus ativos digitais. Não podendo generalizar, a verdade é que muitas organizações continuam a ver a cibersegurança como um custo e não como um investimento, ou convictas de que os ataques informáticos só atingem as grandes empresas. “As pequenas organizações tinham a ideia de que não possuíam nada de interessante para terceiros, que ninguém iria querer atacar, mas com o aumento do ransomware o paradigma mudou”, acredita David Marques, Cybersecurity Manager da DRC. E, a par com esta tendência, a pandemia, e o consequente aumento de exposição dos sistemas empresariais devido ao trabalho remoto, veio demonstrar o contrário, reforçando a consciencialização da importância de estar protegido.

Ao longo do último ano, as estatísticas demonstram que os ataques informáticos aumentaram drasticamente em todo o mundo, incluindo Portugal, o que fez disparar os alarmes dentro das organizações. “Temos sentido uma crescente preocupação por parte das organizações que nos contactam para saber o que lhes poderá acontecer caso um grupo de hackers criminoso decida que serão o seu próximo alvo”, revela Miguel Freitas, Security Auditor na S21sec. Contudo, acreditam os especialistas, continua a haver um longo caminho a percorrer até que a maturidade das organizações ao nível da segurança seja uma realidade.

Avaliar a maturidade em cenário de 'guerra'

A maturidade de uma empresa face aos ciberriscos mede-se, entre muitos fatores, pelo conhecimento dos grupos atacantes que operam no seu setor e geografia. Conhecer as técnicas, táticas e procedimentos usados por estes grupos dará um conhecimento valioso para a aplicação dos melhores procedimentos na resposta a incidentes de cibersegurança.

Uma das formas de fazer esta avaliação é através de uma estratégia de red teaming. Ou seja, uma abordagem que implica o recurso a uma equipa de ataque, preferencialmente externa à empresa – Red Team –, e a uma equipa de defesa (interna) – Blue Team. Trata-se de um processo de wargaming, uma espécie de simulação militar que imita uma situação real que, neste caso, avalia o nível de preparação e de resposta de uma empresa no contexto da cibersegurança. “A vantagem de ter uma estratégia baseada em equipas dedicadas, sejam elas da Red Team ou da Blue Team - que é muito mais abrangente no seu trabalho de proteção de uma organização - é o foco”, garante David Marques. E existindo foco, as organizações aumentarão o seu nível de maturidade de cibersegurança, “que hoje sabemos que, para a maioria das organizações, é relativamente baixo, e a grande razão é esta falta de dedicação”.

Esta abordagem ainda não é, contudo, muito utilizada em Portugal. Para António Ribeiro, Cybersecurity Manager da Claranet Portugal, isto acontece por duas razões. Por um lado, pela falta de budget de muitas organizações e, por outro, pela falta de recursos humanos. “Para que as empresas possam fazer uma ação deste tipo necessitam de ter uma equipa interna que atua como Blue Team, o que muitas vezes não acontece”. Uma opinião partilhada por José Gomes, IT Operations, Cloud & Security na Noesis. “Há um nicho muito pequeno de empresas que estão, de facto, a olhar para este tema, porque diria que só as grandes organizações é que têm capacidade de ter equipas, estrutura e dinheiro para o fazer”.

Apesar de reconhecer que o conceito ainda não está muito presente em Portugal, Miguel Freitas revela que na S21sec a procura por serviços de Red Team tem vindo a aumentar. Com o aumento dos ataques informáticos nos últimos tempos, alguns convertidos em casos mediáticos, “temos sentido um aumento da consciencialização para riscos de segurança de informação”, diz o Security Auditor que acredita que a aplicação de serviços de Red Team mantenha uma tendência crescente, alargando o conhecimento sobre o conceito a cada vez mais empresas.

Com uma perspetiva distinta, David Marques acredita que falta também conhecimento e divulgação deste tipo de estratégias. “Aquilo que cada uma destas equipas faz, na prática já existe. Se alterarmos o termo Blue Team, e falarmos em equipa de monitorização de segurança, talvez seja mais fácil de entender o conceito”. Para o Cybersecurity Manager da DRC, é importante compreender o papel destas equipas, que devem trabalhar em conjunto para um benefício comum: a postura de segurança da organização.

Sendo a maturidade de segurança nas empresas um tema essencial, José Gomes acredita que ainda não é tratado com a importância devida. “O tema Red Team e Blue Team é precisamente uma das formas de endereçá-lo e de chegar a conclusões ou de, pelo menos, entender e fazer um diagnóstico”. A partir destas conclusões, reforça o especialista da Noesis, as organizações devem estabelecer uma implementação de ferramentas de segurança, que podem passar por soluções de cibersegurança, mas também por toda uma panóplia alargada de soluções de segurança. “Deveria ser uma estratégia tão importante como a implementação de uma solução cloud”, reforça.

Atacar, mas com ética

Mas quais são, afinal, os benefícios de recorrer a este tipo de estratégias? Miguel Freitas simplifica: “esta é uma abordagem que permite fazer uma avaliação realista dos mecanismos de defesa de uma empresa face a um cenário de ataque informático que, por natureza, tende a ser furtivo e difícil de detetar”. No fundo, um exercício de Red Team facilita a criação e realização de um cenário feito ‘à medida’ para o setor de negócio da empresa em questão. Do mesmo modo que uma equipa de hackers criminosos tentará atacar com o objetivo de atingir a infraestrutura mais crítica do seu alvo, este tipo de estratégias aplica as mesmas técnicas e metodologias, para que seja possível avaliar a preparação e capacidade de resposta das organizações a cenários de ataque reais. A diferença aqui reside na ética do profissional que, apesar de conhecer as formas de ataque, age de maneira ética, recorrendo aos seus conhecimentos e capacidades para ajudar as empresas a descobrir vulnerabilidades. É, por isso, fundamental que os elementos das Red Team tenham as certificações de Ethical Hacker exigidas pelo mercado, nomeadamente da EC Council, da mesma forma que as Blue Team devem ser Certified Security Analyst, pela mesma entidade.

Mais recentemente, e como explica José Gomes, começou a falar-se de um outro conceito – Purple Team -, que trabalha em sinergia com as Red e Blue Teams. “A sua missão passa por alcançar um nível ainda maior de segurança dentro da organização, explorando ao máximo rotinas de ataque e defesa, pensando em como reforçar táticas, técnicas e procedimentos (TTP) de defesa”, explica. No fundo, acrescenta David Marques, “a conjugação destas duas equipas garante que o fluxo e os canais de comunicação e de trabalho conjunto entre elas existem e servem para contribuir para o aumento da maturidade em segurança das organizações, para que não tenhamos duas equipas completamente distintas que raramente falam uma com a outra”.

Esta é precisamente a abordagem feita pela S21sec. “No final de cada exercício, promovemos comunicação aberta entre a equipa de atacantes e a equipa defensora da empresa alvo, para que possam ser identificadas e mitigadas as fraquezas exploradas durante os ataques realizados”, explica Miguel Freitas. O processo começa com uma equipa de ‘atacantes’ cujo único objetivo é obter acesso privilegiado a sistemas ou informação confidencial, evitando sempre a deteção, por parte das equipas de defesa da empresa. “Nesta primeira fase, vale quase tudo”, acrescenta o Security Auditor. E exemplifica: desde a clonagem à distância de um cartão de acesso aos escritórios do cliente-alvo para colocação de um implante físico numa tomada de rede, ao envio de correio eletrónico armadilhado com malware de controlo remoto. “Quando a equipa de ‘atacantes’ consegue um acesso inicial à rede da empresa, dedica-se à escalada de privilégios na rede, para culminar no acesso completo aos sistemas e assim simular o furto de informação confidencial”, reforça.

Já no que se refere às ameaças mais detetadas neste tipo de exercícios, António Ribeiro destaca todas as que estão relacionadas com o ‘elo mais fraco’: as pessoas. Miguel Freitas acrescenta: “É frequente que os colaboradores utilizem o seu endereço de correio eletrónico corporativo para se inscreverem em websites que nada têm a ver com o seu trabalho, tais como lojas online, redes sociais, ou sites de classificados”. Baseados neste pressuposto, uma das estratégias primárias, executada pela S21sec, é a pesquisa em leaks de credenciais de websites conhecidos, pelo nome da empresa com quem está a realizar o exercício. “Na grande maioria das vezes, conseguimos encontrar pares de ‘e-mail – senha’ de colaboradores, que são válidos dada a tendência de reutilização de senhas”. Com a obtenção das credenciais de um colaborador é possível, por exemplo, aceder à rede interna via ligação VPN e explorar outros vetores de ataque mais críticos.

O ransomware e o phishing são também ameaças “muito fáceis de detetar”. Para David Marques, quando existem equipas dedicadas, como as Blue Team, estes problemas podem ser mais facilmente prevenidos pois as equipas mantêm uma atitude proativa em explicar aos utilizadores o que é o phishing, ajudando-os a entender o que devem fazer perante esta situação. Já em casos de ransomware, o especialista da DRC acredita que o grande benefício de ter equipas dedicadas a estes temas passa pela redução do período necessário para uma correção de uma vulnerabilidade tecnológica, o que significa que a superfície de exposição ao ataque diminui de forma exponencial.

O tamanho não importa

Com a transformação digital a acontecer a um ritmo cada vez mais acelerado, a componente de segurança continua a ganhar peso nas organizações, independentemente da sua dimensão. “Este tipo de serviços – Blue Team e Red Team – é útil para qualquer organização que queira avaliar a sua postura de segurança perante tentativas de ataque informático semelhantes àquelas que temos observado a serem executadas pelos grupos criminosos de hackers”, acredita Miguel Freitas. E o valor que uma empresa mais pequena vai retirar deste tipo de informação é, de igual modo, importante para a aplicação de melhorias na sua postura digital, em comparação com uma empresa de maiores dimensões. Uma opinião partilhada por David Marques que, acrescenta: “seja uma empresa grande ou pequena, ambas dependem dos seus ativos, mas logicamente que, quanto maior for a organização, mais ativos terá e maior será a sua exposição a ataques, o que torna mais necessários estes serviços de uma forma muito mais continuada”.

Já na opinião de José Gomes, quando falamos em estratégias de Red e Blue Team, 99% das empresas não terão a capacidade de fazê-lo dentro da sua estrutura. A solução, aponta, será recorrer a parceiros especializados nesta área, que as ajudem a perceber o seu ponto de partida, a sua maturidade e o seu estado face a ameaças. Outra solução, acredita António Ribeiro, passa pelo recurso a outro tipo de ferramentas de deteção de ameaças, tais como pentesting ou vulnerability tests com ferramentas automáticas de profiling, que representam um investimento menor por parte das organizações.

A verdade é que, acreditam os especialistas contactados pela IT Security, a mensagem a passar a todas as organizações é que apostem numa postura pró-ativa em relação a estes temas, por forma a tentar antecipar os tipos de ataques mais frequentes ao seu setor tanto quanto possível melhorando, em simultâneo, as capacidades de deteção e de resposta para mitigar os danos e reduzir os impactos. “As organizações têm de ter consciência de que, mais tarde ou mais cedo, vão ser atacadas”, afirma Miguel Freitas que, acrescenta: “a grande maioria das empresas em Portugal ainda não está consciencializada para a necessidade de ter um plano de cibersegurança que é testado periodicamente”.