Por uma doutrina ativa de sobrevivência em cibersegurança: a dimensão humana

WannaCry, NotPetya e "dois em um"...

Os ciber ataques WannaCry(1) de 12 de maio e o NotPetya(2) de 27 de junho de 2017 foram apenas dois exemplos do que passou a ser um novo normal: ciber ataques agressivos viabilizados pelo acesso a sofisticadas tecnologias de ciber espionagem alegadamente roubadas à NSA, indiscutivelmente a agência, com capacidades de espionagem digital, mais poderosa do mundo. Tecnologias especialmente desenvolvidas para penetrar redes corporativas comuns, explorando múltiplas vulnerabilidades nelas existentes. Muitas provavelmente ainda desconhecidas do público e dos próprios fabricantes e, por isso, ainda sem remediação (zero-day(3)). Quais os principais “INIBIDORES” deste tipo de ataque? “Security patching” e “anti-virus/malware” continuamente atualizados, uma elevada sensibilização face a ataques de phishing por parte de todos os colaboradores e, finalmente, boas práticas de descoberta e mitigação contínua de vulnerabilidades de segurança. Em suma… uma elevada “ciber higiene”. Exposta à Internet, interna e dos utilizadores (dimensão humana).

Em 2019 e 2020 começou a surgir um novo tipo de ataque, a que apelidei de “Dois em Um”, agora especificamente dirigido a empresas e organismos com capacidade financeira e aversão a exposição legal, regulamentar e pública, perante a exfiltração de informação sensível. “Dois em Um” porque este novo tipo de ataque caracteriza-se por uma fase de exfiltração de informação sensível, sem ser detetada, seguida do lançamento de ransomware agressivo a toda a infraestrutura IT, incluindo a MS Active Directory (AD) e os sistemas de backup. O resgate que depois é pedido inclui a não divulgação da informação sensível exfiltrada e a entrega da chave de desencriptação para reposição dos sistemas de ficheiros encriptados. Este tipo de ataque já induziu, inclusive, um ecossistema de negócio nos EUA envolvendo escritórios de advogados especializados na intermediação do valor de resgate e empresas IT especializadas na rápida reposição da infraestrutura encriptada pelo ransomware. Quais os principais “INIBIDORES” deste tipo de ataque? A existência de controlos adequados de segurança e de recuperabilidade dos ecossistemas Microsoft Active Directory e seus respetivos Domain Controllers assim como controlos rigorosos no acesso a contas com privilégios de administração. Estes últimos requerem tipicamente “multifactor authentication” e a intermediação de uma plataforma tipo CyberArk(4), …. É essencial garantir que o ecossistema AD seja seguro, resiliente e rapidamente recuperável e que eventuais “roubos” de credenciais de utilizadores com privilégios de administração (especialmente o caso dos “domain admins”) sejam inconsequentes.

O aumento da probabilidade de ocorrência deste novo tipo de ataques, simultaneamente sofisticados e agressivos e que podem efetivamente pôr em causa a sobrevivência operacional de uma organização, levam-nos a sugerir uma evolução da doutrina de cibersegurança apresentada em 3 artigos publicados em 2017(5,6), que também minimize a probabilidade a) de a AD ser comprometida ou contas com direitos de “Domain Admin” serem usurpadas, b) de um ataque de PHISHING ser efetivo em termos de perigosidade e c) de um “malware outbreak” ser viável. E, finalmente, d) caso a AD seja comprometida existirem garantidas as condições para a sua recuperabilidade em tempo útil.

Por uma doutrina ativa de cibersegurança

Para uma organização gerir e minimizar riscos de cibersegurança e saber reagir de forma efetiva a eventuais incidentes, recomendamos uma doutrina ativa de cibersegurança assente em cinco pilares complementares em que uma forte e clara governança é essencial. Esta doutrina inclui 5 pilares em 3 categorias diferentes: no centro a sua Governança Ativa, suportada em métricas concretas, que deve garantir o compromisso de todos os “stakeholders” relevantes a começar na gestão de topo, dois pilares orientados à INIBIÇÃO ATIVA da oportunidade para incidentes se materializarem (Prevenção Ativa) ou progredirem (Proteção Ativa), um focado em detetar e rapidamente mitigar exceções/incidentes que acabem por se materializar (Deteção & Resposta Ativa) e, finalmente, um último para garantir que caso tudo corra mal e o ataque se materialize e tenha sucesso, a organização tem condições de recuperação mais rápida (Recuperabilidade Ativa).

Governança Ativa que deverá ser baseada em indicadores diários confiáveis, transparentes e que sejam parte integrante da avaliação do desempenho dos diferentes stakeholders. Deverá ainda garantir a interligação de responsabilidades entre a hierarquia de stakeholders, a começar na Comissão Executiva com a atribuição do orçamento e meios necessários à área de cibersegurança.

Os quatro pilares restantes são essenciais para garantir uma Governança Ativa:

B) Prevenção Ativa: Este pilar visa inibir a oportunidade de um ataque sequer ter início. Exige uma ciber higiene em profundidade, cobrindo exposição à Internet, infraestrutura interna e recursos humanos (internos e externos). Exige ainda cadastros atualizados. Só se pode proteger o que se conhece;

C) Proteção Ativa: Este pilar visa inibir um ataque de progredir mesmo depois de já se ter materializado. Implica uma ciber defesa em profundidade de todos os perímetros e infraestruturas tecnológicas relevantes, não esquecendo a MS Active Directory, sistemas de backup, bases de dados críticas, endpoints, …;

D) Deteção & Resposta Ativa: Este pilar é reativo na sua essência e está focado em rapidamente detetar e mitigar incidentes em início e/ou já em progresso. Tipicamente, como é o nosso caso, exige um serviço de Cyber Security Operations Center (Cyber SOC) com capacidade efetiva de deteção de incidentes e de contrarresposta rápida aos mesmos;

E) Recuperabilidade Ativa: Finalmente, e, como último reduto, este pilar visa garantir mecanismos confiáveis de recuperação da Active Directory e dos serviços de backup. Se tudo correr pelo pior pelo menos temos de garantir a rápida recuperabilidade da AD e dos dados mais críticos. Um sólido plano de “Business Continuity” fará parte integrante deste pilar.

Nesta versão do artigo vamos abordar em mais detalhe o pilar inibidor B) da Prevenção Ativa e, em particular, a sua dimensão humana, a ciber higiene dos recursos humanos face ao PHISHING.

Prevenção ativa

O pilar da Prevenção Ativa inclui 4 dimensões complementares: a) qualidade dos cadastros de IT e rede e também de todos as entidades (humanas ou não) com acesso aos ativos informáticos da organização, b) a Ciber Higiene Externa (e.g., exposta à Internet), c) Ciber Higiene Interna (Endpoints, Servidores, Bases de Dados, Equipamentos de Rede e Segurança) e, finalmente, d) a Ciber Higiene dos recursos humanos em termos da sua sensibilidade face a diferentes questões de segurança como o PHISHING (a chamada firewall humana). Uma boa Prevenção Ativa contribui em muito para a minimização da probabilidade de um ataque ter oportunidade de se materializar. É, por isso, um importante INIBIDOR na nossa doutrina ativa de cibersegurança.

A dimensão humana ("firewall humana"): ciber higiene das pessoas

De acordo com um estudo da IBM, 95% dos incidentes de segurança envolvem alguma forma de falha humana(7), sendo a mais prevalente alguém clicar, por distração ou por ingenuidade, num anexo infetado ou num web link malicioso que leva ao carregamento e execução de um MALWARE DROPPER. Malware esse que poderá ter sido especificamente desenvolvido para uma organização alvo (e.g., ESPIONAGEM INDUSTRIAL) ou de carácter genérico (e.g., RANSOMWARE). PHISHING é o nome dado a este tipo de ataque tipicamente envolvendo emails dirigidos e com uma mensagem atrativa como engodo. Outra forma de contaminação comum é via DRIVE BY, i.e., pela simples visita a um Web Site, tipicamente temático, se houver interesse do atacante nesse setor específico, ou popular se o objetivo for agnóstico.

O PHISHING é um risco cada vez mais endémico, difícil de evitar e o principal vetor de ataque no roubo de credenciais e na injeção de malware/ ransomware. As tecnologias de filtragem de emails sendo essenciais, são infelizmente insuficientes. Assim, na Altice Portugal implementámos dentro da dimensão PREVENÇÃO ATIVA da sua doutrina a iniciativa PHISHFighting! que visa dotar a Altice Portugal de um sistema integrado de combate proativo a este crescente e perigoso fenómeno, numa aproximação holística em que se reconhece que o elo mais fraco é o utilizador e a sua ingenuidade, “clickando” em “links” que não deve. Os utilizadores deverão ser continuamente treinados a detetarem emails maliciosos e os mais experientes deverão poder, via “crowd voting”, “marcar” emails maliciosos que tenham ultrapassado os filtros tecnológicos a montante. Finalmente, a iniciativa visa a monitorização end-to-end e a otimização contínua de toda a pipeline de filtragem com atuação automática na afinação dos filtros das plataformas tecnológicas, reduzindo a taxa geral de falsos negativos.

A iniciativa PHISHFighting!, que venceu o OpenAwards 2020 da Altice Portal na área de TECNOLOGIA, integra vários projetos em 4 dimensões complementares:

I. OTIMIZAÇÃO TECNOLÓGICA: Otimização contínua da eficácia (redução de falsos negativos) das tecnologias de filtragem da responsabilidade operacional do IT: AnubisNetworks (SPAM/Phishing comum), CheckPoint SandBlast (malware, links maliciosos), Office/Outlook365 (SPAM, links maliciosos) e zScaler (links maliciosos);

II. OTIMIZAÇÃO DA FIREWALL HUMANA: treino contínuo de todos os utilizadores na arte de deteção de PHISHING;

III. INOVAÇÃO APLICADA: implementação de um “add-in” Outlook365 suportado por um robot RoboPHISH envolvendo algoritmos inovadores de “crowd voting”, “user expertise rating as PHISHING detectors”, e sistema de automação dos processos de melhoria das regras de filtragem das plataformas tecnológicas (Anubis, SandBlast, Office/ Outlook365 e zScaler) com objetivo de se reduzirem falsos negativos;

IV. GESTÃO CENTRALIZADA END-TO-END: um sistema holístico de métricas e KPIs orientado à monitorização end-to-end do processo e sua melhoria contínua envolvendo também um steering com reunião trimestral de avaliação e afinação de todo o processo.

Otimização da firewall humana

De um ano a esta parte, a Altice Portugal tem vindo a treinar os seus colaboradores, tanto internos como externos, para que estes se tornem uma “firewall humana” mais eficiente. Infelizmente, os utilizadores são o elo mais fraco e por isso mesmo o primeiro ponto de ataque à empresa. Este treino contínuo recorre à plataforma CybeReady(9), especializada em cyber awareness, e envolve o envio mensal, a cada um dos utilizadores, de 1 email simulando PHISHING, de uma serie de 12 disponíveis em cada campanha trimestral, com um grau de dificuldade crescente. Todos estes testes são enviados de forma distribuída no tempo, incluindo dentro da mesma direção Altice. Numa mesma direção, os utilizadores recebem emails diferentes em períodos diferentes, por forma a evitar padrões facilmente detetáveis. A cada trimestre as campanhas de testes são diferentes. Nunca se repetem!

Faz parte do treino, para quem falhe o teste, a visualização automática de um pequeno vídeo (eLearning) a explicar como deveria ter detetado que o email era malicioso. Este sistema integrado de teste e formação, sem intervalos temporais desnecessários, é algo essencial na nossa estratégia de treino contínuo.

Os resultados são bastante satisfatórios e já superam os valores de referência no mercado. No início a taxa de falha no teste (“click rate”) era de 27% e está agora abaixo dos 12,6%! O nosso objetivo é, contudo, manter de forma sustentável este valor abaixo dos 10%. A taxa de denúncia (i.e., “marcação” de emails como maliciosos por parte dos utilizadores) também aumentou, encontrando-se agora nos 4%. Com a disponibilização do “add-in/botão”(10) (RoboPHISH) de marcação de emails suspeitos (SPAM ou PHISHING) a todos os utilizadores com Outlook365 esperamos que rapidamente essa taxa de denúncia suba significativamente. Até porque esse “botão” está disponível para os seguintes “Outlook365 clients”: Windows, MacOS, Android e iOS.

Finalmente, para os eventuais “serial clickers”(11) implementámos meios de formação direta e, caso estes persistam, outros mecanismos foram desenvolvidos para retirar esses colaboradores de funções onde um ataque de PHISHING possa causar graves prejuízos. Os “serial clickers” são um perigo para a cibersegurança de uma empresa. Especialmente aqueles com privilégios de administração de sistemas ou de rede. O roubo das credenciais destes põe toda a empresa em risco imediato!

Em termos gerais a componente do RoboPHISH está a contribuir para a redução dos falsos positivos em pelo menos 1%, i.e., emails que não são filtrados a montante do utilizador. Pensamos ser um resultado muito positivo! Além disso, conseguimos ter agora uma visão integrada end-to-end de toda a cadeia tecnológica envolvida na segurança dos emails que a Altice Portugal recebe, com ênfase no potencial PHISHING. Conseguimos ganhos significativos em cada uma das plataformas tecnológicas de filtragem.

Finalmente, consideramos essencial implementar uma boa solução de Entity/User Behavior Analytics como forma de se detetar e endereção desvios anómalos no comportamento de todas as entidades, incluindo utilizadores, nos acessos a ativos críticos da organização.

Conclusão

Mesmo organizações com bons níveis de Ciber Higiene Externa (Internet) e Interna estão potencialmente vulneráveis a ataques por Engenharia Social (PHISHING, Drive By, …) caso não tenham também um nível elevado de Ciber Higiene Humana essencial para que os seus utilizadores tenham, na sua relação com a tecnologia, os cuidados “salutares” necessários para evitarem cair em engodos ou visitar web sites perigosos.

E a melhor forma de se treinarem colaboradores para saberem detetar ataques de PHISHING é pela prática, através de um serviço contínuo de treino ativo tal como ilustrado na figura 4 anterior. Ataques simulados periódicos deverão ser executados cobrindo todos os utilizadores, mas não em simultâneo, e caso um utilizador caia no engodo simulado levá- -lo a um módulo explicativo do que deveria ter sido detetado e porquê. E para uma Ciber Governança 360º este processo de melhoria contínua da Ciber Higiene dos Utilizadores tem de ter métricas e acordos de partilha hierárquica de responsabilidades que induzam essa melhoria contínua.

(1) Internet Ransomware Worm – https://en.wikipedia.org/wiki/WannaCry_ransomware_attack

(2) Wiper NotPetya – https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/

(3) https://en.wikipedia.org/wiki/Zero-day_(computing)

(4) https://www.cyberark.com/

(5) Artigo do autor na revista INGENIUM da Ordem dos Engenheiros de Maio/Junho de 2017, com o título “Por uma nova doutrina de cibersegurança ao nível empresarial Proteção adicional contra ataques agressivos de malware”. https://www.scribd.com/document/355874264/159-ingenium- portal-5246321135979d2b7849b9-pdf.

(6) Artigo do autor em 2017, em duas partes e em formato digital na IT Insight: “Por uma doutrina de sobrevivência em ciber segurança”: https://www.itinsight.pt/news/seguranca/por-uma-doutrina-de-sobrevivencia-em-ciber-seguranca- -parte-i e https://www.itinsight.pt/news/seguranca/por-uma-doutrina-de-sobrevivencia-em-ciber-seguranca- -parte-ii

(7) https://www.ibm.com/developerworks/library/se-cyberindex2014/

(8) Baseado em BluePrism (https://www.blueprism.com), uma tecnologia de Robotic Process Automation (RPA, https://en.wikipedia.org/wiki/Robotic_process_automation).

(9) https://cybeready.com/

(10) Add-in Outlook365.

(11) Colaboradores que falham os testes de PHISHING mais do que “x” vezes.