Ciberesiliência - estar preparado para tudo!

Ciberesiliência - estar preparado para tudo!

É cada vez mais comum ouvir-se falar de ciberesiliência no domínio da cibersegurança. A ideia de resiliência não é, nem de longe, uma ideia inovadora

Podemos identificar comportamentos de resiliência na natureza, nos exemplos mais simples, como o dobrar de uma árvore perante a força do vento, que depois regressa à posição inicial, mas também em organismos bem mais complexos, como o corpo humano, que tem a capacidade de resistir e se adaptar quando atacado por um vírus. As próprias organizações, também elas sistemas das nossas sociedades, em especial aquelas que têm operações de gestão de infraestruturas críticas e que prestam serviços essenciais, há muito que compreendem a necessidade de manter operacionais os seus ativos físicos e humanos face a eventos adversos, como no caso de ocorrência de más condições climatéricas ou mesmo uma situação pandémica.

A ciberesiliência trata, portanto, de trazer este conceito de resiliência para o mundo digital. Existem muitas definições para ciberesiliência. Uma, particularmente interessante, porque une as principais capacidades atribuídas à ciberesiliência com a ideia da construção de sistemas em engenharia, é a seguinte: “A capacidade de construir sistemas capazes de antecipar e contornar acidentes, sobreviver a interrupções através da aprendizagem apropriada e adaptação, e recuperar de interrupções retornando o mais próximo possível ao estado anterior à interrupção”(1). Na prática a ciberesiliência é a capacidade de estar preparado para tudo o que possa ocorrer no espaço digital, através do desenho, construção e operação de sistemas, segundo os princípios de engenharia, sendo a resiliência uma das propriedades dos sistemas!

Compreender a necessidade de adotar ciberesiliência nas nossas organizações não requer grandes raciocínios ou reflexões. A realidade atual mostra- -nos, por um lado, que os ciberataques são cada vez em maior número e sofisticação, com consequências também elas mais gravosas, enquanto que, por outro, decorrente do progresso, a nossa dependência tecnológica vai crescendo e os sistemas evoluindo, abrindo espaço para o surgimento de mais vulnerabilidades, assim como as motivações para a exploração das mesmas por agentes mal-intencionados. Trata-se, portanto, de ter a coragem de assumir que os sistemas modernos são complexos e muito interligados e, como tal, os ambientes operacionais onde funcionam, assim como as cadeias de fornecimento, sempre terão falhas e fraquezas que os adversários poderão explorar, porque não existe risco zero e segurança absoluta capaz de proteger de todas as ameaças.

Cibersegurança e "confiança zero" (zero trust)

É importante aqui observar que adotar uma abordagem de ciberesiliência não significa a substituição da cibersegurança por outro conceito ou que esta deixa de fazer sentido, ao contrário do que se pode subentender, perigosamente, em alguns artigos sobre o tema. A cibersegurança é uma disciplina muito abrangente, incontornável para a sobrevivência das organizações e das sociedades modernas, tendo como objetivos a integridade, autenticidade, confidencialidade e disponibilidade dos recursos de informação, assentes nas capacidades de prevenir, detetar, responder e recuperar. A ciberesiliência complementa e aumenta o alcance dos objetivos da cibersegurança, potenciando algumas medidas implementadas por esta, para alcançar o seu próprio objetivo primordial, que é o de assegurar uma continuidade operacional das funções críticas da organização, nomeadamente, perante a ocorrência de eventos adversos.

Mesmo quando nos referimos a abordagens de “confiança zero” (zero trust), estamos a falar de uma estratégia de cibersegurança normalmente assente em 3 princípios, a saber: privilégios mínimos (least privilege), verificação constante (always verify) e assunção de compromisso dos nossos ativos (assume breach). Efetivamente, assumir o comprometimento dos recursos, curiosamente o único princípio que é realmente novo porque os outros dois sempre existiram na cibersegurança, é o princípio comum com a ciberesiliência. Todavia, como já referido, esta tem um outro foco que é o de assegurar a missão crítica do negócio em situações adversas.

Capacidades e princípio da ciberesiliência

Para melhor compreendermos a ciberesiliência podemos recorrer ao referencial NIST(2), que identifica, de forma muito clara, as capacidades que são necessárias assegurar para uma organização ciberesiliente: antecipar, resistir, recuperar e adaptar.

De forma muito resumida, por antecipar entende- se a capacidade de manutenção de um estado de informação, preparação e alerta, que integre uma resposta planeada a eventos de segurança (ex: o alerta e resposta perante a descoberta de vulnerabilidades ou o comprometimento da cadeia de valor, ilustrado no Log4Shell, mas que poderia ser outra vulnerabilidade menos mediatizada proveniente de Threat Intelligence). No que diz respeito ao atributo da resistência, esta revela-se na faculdade de manter em funcionamento as operações e os serviços essenciais na ocorrência de um ataque (ex: utilização de técnicas como segmentação de redes), consistindo a recuperação nas atividades de restabelecimento das funções de negócio após terem sido impactadas por um incidente (ex: técnicas de redundâncias como backups de segurança). Finalmente, a adaptação reflete a mudança de configuração da organização ou sistemas perante a perceção de alterações nos domínios tecnológicos, operacionais ou de cenários de ameaça à organização (ex: técnica de reposta adaptativa, como o bloqueio automático, com base em Threat Intelligence, de IPs que exploravam a vulnerabilidade Log4Shell).

No que diz respeito aos princípios que fundamentam esta abordagem de ciberesiliência, convém referir que estes podem, e devem, ser aplicados nos diversos níveis da organização, desde as camadas de serviços de negócio, aos processos que os suportam, até aos diferentes níveis lógicos e físicos da construção e operação dos seus sistemas. Os princípios orientadores antes formulados devem ter por foco os ativos essenciais, a capacidade de assumir o comprometimento dos recursos pelos atacantes e que estes, de forma dinâmica, estão continuamente a fazer evoluir o nível das suas ameaças. Para fazer face a este cenário é necessário garantir a redução da superfície de ataque, assim como a adoção de uma atitude ágil e garantir o suporte de arquiteturas adaptativas.

Conclusão

A evolução de uma visão centrada apenas na cibersegurança para um paradigma de ciberesiliência assume-se como um caminho incontornável para podermos criar uma confiança digital que sustentará um desenvolvimento social e económico assente na tecnologia. Contudo, é importante perceber que a ciberesiliência não se adquire num produto ou se conquista num projeto. Ela constitui um princípio base, que deve estar sempre presente e orientar as decisões das organizações ao mais alto nível. Quando se desenha o serviço de um negócio, ou mesmo o processo que o suporta, nos dias de hoje inevitavelmente dependentes de tecnologia, deverá sempre ser considerado o seu desenho levando em linha de conta os princípios da engenharia de ciberesiliência que, fundamentalmente, nos dizem que … devemos estar preparados para tudo!

 

(1) Madni, Azad M. and Jackson, Scott, “Towards a Conceptual Framework for Resilience Engineering.” IEEE Systems Journal, Vol. 3, No. 2, June 2009.
(2) NIST: National Institute of Standards and Technology.

Paulo Moniz

Paulo Moniz

Digital Global Unit Security & IT Risk
EDP

Digital Global Unit Security & IT Risk da EDP, Membro da Direção da CIIWA e Membro da Direção da eurodefense.pt

Outros artigos deste autor


REVISTA DIGITAL

IT SECURITY Nº5 Abril 2022

IT SECURITY Nº5 Abril 2022

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.