Monitorização de segurança: o novo normal

Para além da necessidade urgente de mudança para modelos de trabalho remoto ou híbrido, verificou-se ainda por força das circunstâncias uma aceleração drástica na digitalização de processos de negócio realizada em muitas circunstâncias com principal preocupação na rápida operacionalidade, e quase sempre sem a disciplina da cibersegurança (que assegura por exemplo avaliação prévia e realista de riscos e determinação de medidas de tratamento dos mesmos) envolvida nestas decisões.

Adicionalmente, e ainda que se tenha verificado um incremento global dos incidentes de cibersegurança fruto do contexto geopolítico em 2022, vários países Europeus foram conotados em plataformas da Darkweb como frágeis em termos de investimento em cibersegurança, tornando-se em alvos especialmente apetecíveis. Em consequência, os incidentes de cibersegurança com impacto significativo aumentou consideravelmente em Portugal, tirando partido das fragilidades inerentes à falta de maturidade nestes processos de digitalização e, muitas vezes, centrados nas maiores fragilidades: o colaborador, a passividade em termos de tratamento de eventos de cibersegurança bem como a falta de maturidade das organizações em termos de cibersegurança (ações de sensibilização, processos, controles, políticas). Utilizando a experiência internacional de vários anos em termos de resposta a incidentes de cibersegurança, participei como elemento ativo em atividades de recuperação desde o início de 2022, tendo verificado uma alteração significativa tanto em termos de padrão de comportamento como em termos de vetores de ataque.

O phishing (os emails enviados por atacantes externos, aparentemente legítimos mas que têm como objetivo obter credenciais, informações, acessos ou privilégios), a par da utilização de credenciais (obtidas seja pela tentativa em larga escala de adivinhar credenciais ou pela obtenção de  credenciais armazenadas nos repositórios de código e configurações das organizações com processos de criação/desenvolvimento de infraestruturas como código, tipicamente utilizando em plataformas cloud) foram especialmente explorados como vetor inicial de intrusão. A inexistência de múltiplos fatores de autenticação acabaram por ser determinantes na agilidade com que atacantes – em algumas circunstâncias durante semanas ou meses – atacam sistemas até obterem credenciais ou privilégios sem que ninguém se aperceba (bastaria que para além do tradicional login + password fosse necessário inserir um código temporário, recebido por meio de SMS ou de uma aplicação para o efeito, para tornar inviáveis estes ataques).

Depois da intrusão inicial (em algumas circunstâncias em serviços tão simples como o email, mecanismo de acesso remoto ou backoffices de aplicações de negócio), foram utilizados os tradicionais mecanismos de exploração de vulnerabilidades de software para movimentação lateral, aumentando a superfície de ataque ou os privilégios com que se leva a cabo um ataque muitas vezes concretizado na forma de ransomware ou de forma totalmente destrutiva (já existe uma família de soluções cujo objetivo é apenas e só destruir totalmente a informação de uma organização). Na prática, depois de uma brecha, e uma vez que de certa forma o atacante já está “dentro da nossa casa”, utiliza técnicas para aumentar o número de sistemas a que tem acesso e/ou os privilégios que conseguiu obter inicialmente.

Durante a intrusão, e ainda antes de se darem a conhecer, os atacantes realizam algumas atividades: copiam volumes de dados (pessoais, confidenciais, sensíveis), o que lhes permitirá pedir dois resgates: o primeiro será um resgate para comprar a chave que permite decifrar os dados nos nossos sistemas, e o segundo – tipicamente algumas semanas depois – é o resgate para não tornar públicos os dados pessoais/sensíveis que roubaram. Para além do dano reputacional da organização, poderão ainda estar em causa potenciais multas (por exemplo provenientes da CNPD, como consequência de falhas na conformidade com o RGPD ou de clientes/parceiros, fruto de quebra de confidencialidade que deveria ter sido assegurada a todo o custo).

Os sistemas informáticos guardam registos de atividade: o colaborador 1 acedeu ao email no dia X, Y horas, a partir da origem Z e acedeu também via acesso remoto a recursos da organização no mesmo dia X, W horas a partir da origem A. Estes registos existem, e em quase todas as circunstâncias existem e são guardados por omissão, ou seja, não é necessário ativá-los. Com elevadíssima probabilidade, os sistemas das organizações de toda a gente que ler este artigo mantêm registos de atividade; seria necessário ter trabalho (às vezes bastante) para assegurar que os registos não são guardados. São precisamente estes registos os utilizados em muitas circunstâncias para perceber precisamente onde foi o ponto de entrada de um ataque, quais foram os passos seguintes, quais foram as credenciais utilizadas, quais os sistemas explorados, na fase de pós-intrusão/análise forense (quando o mal está feito...).

Num cenário hipotético, um utilizador legítimo utilizou as suas credenciais para ler email e/ou para aceder remotamente à rede da organização via VPN e em simultâneo um atacante utilizou as mesmas credenciais para aceder, muitas vezes a partir de redes estrangeiras, exatamente aos mesmos serviços. Como é que é possível um colaborador aceder, legitimamente, em simultâneo de dois locais diferentes (às vezes países ou continentes) ao seu email ou a outros serviços da organização? Embora haja circunstâncias específicas em que isto seja possível, são a exceção e não a regra. Se estes comportamentos, como referimos acima, são registados.... as organizações já têm informações suficientes para, pelo menos, se aperceberem que uma intrusão aconteceu ou está prestes a acontecer!

Temos chegado repetidamente à mesma conclusão: existem tipicamente múltiplas evidências de tentativas de intrusão ao longo do tempo, sendo que as tentativas com sucesso são seguidas de exploração de vulnerabilidades e obtenção de privilégios crescentes que permanecem ignoradas até que, semanas ou meses depois, se concretiza o expoente máximo do ataque. Estas evidências estão tipicamente espalhadas por vários sistemas das organizações: proteção de fronteira (firewalls); os sistemas de acesso remoto; plataformas centrais de autenticação/domínio; as firewalls aplicacionais; os backoffices das aplicações e os webservices aplicacionais; os sistemas de email; os registos das plataformas antivírus/malware e as próprias instâncias de serviços. Falta “apenas” que a organização utilize em seu benefício os dados que já são guardados, todos os dias, nos seus próprios sistemas, realizando uma atividade de monitorização de segurança (que tem mais componentes para além de apenas analisar estes eventos).

Um serviço de monitorização de segurança recolhe, agrega, analisa e correlaciona estas fontes de dados, cruza-as com fontes de inteligência de cibersegurança; analisa em permanência eventuais vulnerabilidades em infraestruturas, emite alertas e elabora atividades de remediação, utilizando muitas vezes tecnologia como complemento às competências especializadas das equipas de cibersegurança, o que permite que as organizações adotem uma postura proactiva e defensiva (ao invés da habitual reativa e quase sempre após se verificarem danos). Esta é, nos dias que correm, a baseline mínima para as organizações que dependem da tecnologia como parte integrante do seu negócio.

Por fim, uma palavra importante para o Centro Nacional de Cibersegurança, que elaborou (com base na sua experiência e em referenciais internacionais certamente) o Quadro Nacional de Referência para a Cibersegurança, um importante referencial que as organizações podem utilizar para definir as suas políticas e controles, bem como o recente estabelecimento do Regime Jurídico de Segurança do Ciberespaço em Português de Portugal e no contexto da nossa Legislação.