Protegendo ativos do governo australiano em 2020: Parte 1

Compreendendo a postura de segurança cibernética em toda a Commonwealth

A Australian Signals Directorate (ASD) publicou recentemente A postura de segurança cibernética da Commonwealth em 2019 relatório destacando o número e o tipo de incidentes respondidos, bem como alguns dos programas que foram implementados para ajudar a melhorar a segurança das entidades da Commonwealth. Independentemente do discutível aumento da pressão política por maior transparência em departamentos individuais, os dados agregados e anônimos do relatório ilustram claramente a necessidade de uma melhor proteção dos dados dos cidadãos. Com o recente anúncio do Primeiro Ministro e Ministro da Defesa em organizações dos setores público e privado alvo de um ator cibernético sofisticado e apenas pequenos ganhos evolutivos obtidos com base nos critérios medidos atuais, elevar o nível pode exigir uma mudança revolucionária.

Aqui na Illumio, temos orgulho de fazer parte de discussões estratégicas e programas de segurança trabalhando diretamente na Austrália e na Nova Zelândia com agências e departamentos, bem como com integradores de sistemas de segurança e provedores de serviços gerenciados, como Redes Cirrus, que geralmente são a sala de máquinas dessas equipes de TI.

Apesar da maioria das entidades agora afirmam que são capazes de identificar com precisão o número de “eventos e incidentes de segurança cibernética” que sofreram por dia ou semana (geralmente centenas por dia) — 73 por cento das entidades não corporativas da Commonwealth relatam apenas níveis de maturidade ad hoc ou em desenvolvimento para disciplinas básicas de segurança em resposta a tais ameaças.

Os relatórios feitos nos últimos sete anos deixam bem claro que, mesmo com melhorias, nosso Os sistemas do governo federal são vulneráveis a ameaças cibernéticas — e — é necessário trabalho adicional para que as entidades da Commonwealth alcancem uma vida madura e resiliente. postura de cibersegurança que atenda ao ambiente de ameaças em evolução.

Conforme relatado nessas descobertas, uma grande variedade de incidentes e cenários de TI em evolução exigem avaliação e ajuste constantes da segurança. Continuar com uma abordagem de solução pontual para proteger uma agência contra ataques exige uma infinidade de ferramentas, habilidades e pessoal. Em muitos casos, as organizações se beneficiariam de uma abordagem arquitetônica mais holística da resiliência cibernética, como Confiança zero. Ganhar um impulso significativo nos departamentos federais dos EUA não se concentra apenas em pensar em assumir e planejar além da violação, incutindo princípios de menor privilégio nas disciplinas de segurança mais amplas, mas ajuda por meio de uma estratégia abrangente para reduzir as “despesas em profundidade” de ferramentas e equipes isoladas. Ganhando um impulso significativo nos departamentos federais dos EUA, essa abordagem não se concentra apenas em assumir e planejar além de uma violação, mas também instila princípios de menor privilégio nas disciplinas de segurança mais amplas para reduzir as “despesas em profundidade” de ferramentas e equipes isoladas.

Como o mundo corporativo descobriu, os municípios devem se concentrar em estratégias de contenção preventiva que reduzam o impacto ou o raio de explosão quando ocorrem violações. Isso é particularmente importante quando os departamentos continuam elevando seus níveis básicos de segurança esperados e quando há evidências de adversários motivados e sofisticados. visando deliberadamente a Austrália a fim de obter informações sobre: capacidades de defesa; pesquisas australianas de ponta; propriedade intelectual valiosa; e as informações pessoais e financeiras de residentes australianos e funcionários do governo.

Um item que se destacou e representa uma constatação consistente na maioria das empresas, agências estaduais e federais é que Os órgãos da Commonwealth têm visibilidade inadequada de seus sistemas de informação e dados. Com a maioria das equipes de TI das agências precisando e progredindo na modernização de suas tecnologias de data center por meio de abordagens como rede definida por software (SDN), virtualização e conteinerização em camadas com plataformas de automação e orquestração para alcançar um desenvolvimento de aplicativos mais ágil, não é de se admirar que continue sendo exponencialmente mais difícil para as equipes de operações e segurança acompanharem o ambiente dinâmico de aplicativos e os pontos cegos de segurança existentes.

Impedir a execução de macros não verificadas e não confiáveis do Microsoft Office, o fortalecimento de aplicativos nas estações de trabalho dos usuários, a autenticação multifatorial nas sessões do RDS e a correção de servidores voltados para a Web são táticas de higiene importantes, e é bom ver melhorias significativas nessas áreas. No entanto, esses são apenas alguns dos muitos vetores de ameaças que os atacantes usam, incluindo outros ataques no estilo copiar e colar em vulnerabilidades conhecidas, bem como outras dia zero ameaças que continuam sendo encontradas e exploradas. Evitar os danos causados pelas violações quando elas ocorrem (e inevitavelmente ocorrerão) exige entender como o invasor poderia então passar lateralmente da posição estabelecida, independentemente de como a estabeleceu, para os sistemas que gerenciam dados confidenciais nas centenas e milhares de servidores que cada departamento administra.

Somente quando você entender quais são seus aplicativos, onde eles estão hospedados e como eles estão interagindo uns com os outros, você pode começar a assumir o controle desses ativos e definir e implantar a postura de segurança mais eficaz.

Andrew Weir, CTO da Cirrus Networks, concorda que os clientes “perguntam regularmente como eles podem obter mais visibilidade do que está acontecendo nos aplicativos em seus sistemas e redes. Freqüentemente, esses aplicativos eram desenvolvidos em sistemas legados e, posteriormente, integrados à nova infraestrutura. Para departamentos de TI maiores, validar e gerenciar a eficiência e a segurança dos aplicativos pode ser difícil. Entender o que seus aplicativos e usuários estão fazendo em seu ambiente é crucial para uma boa tomada de decisão. Sem essa visibilidade, é difícil determinar onde recursos limitados devem ser gastos.”

Com segurança de rede tradicionalmente focadas no tráfego Norte-Sul através do perímetro, as agências estão sendo avaliadas para impedir que o estabelecimento de comando e controle ocorra, mas ainda não estão incorporando as oito disciplinas de segurança essenciais. Os invasores que violam com sucesso o firewall externo geralmente não têm mais restrições quando estão dentro da rede. Em outras palavras, os hackers podem escolher seu caminho a dedo e, em seguida, ficam livres para se mover lateralmente pela rede até atingirem seus alvos.

Apesar de não estar no Essential Eight, é uma recomendação “excelente” no conjunto mais amplo de Limitar a extensão dos incidentes cibernéticos. Eficaz segmentação de rede para as estratégias modernas de data center e contenção no centro da Confiança zero estão se tornando (e devem continuar sendo) priorizados como uma peça vital e fundamental da estratégia de segurança contínua de cada departamento. Isso ajudará a aumentar a resiliência à medida que os baixos níveis básicos da marca d'água forem atingidos.

Atualmente, a forma como as agências são solicitadas a avaliar e relatar sua postura de segurança impulsiona medidas qualitativas e, em última análise, abordagens ou produtos que as tornam “mais compatíveis, melhoram sua segurança ou fornecem uma maneira melhor de detectar ameaças”. Dito isso, “mais”, “melhorar” e “melhor” são todas medidas qualitativas e predominantemente autoavaliadas. Essas iniciativas fornecem, e podem ser vinculadas a, uma melhoria quantitativa na resiliência dos sistemas de TI contra ataques maliciosos, sejam eles de um estado-nação ou do sempre popular ransomware de cibercriminosos?

Bem escolhido, microsegmentação não só garante que você esteja aumentando drasticamente a dificuldade dos invasores alcançarem e extraírem dados valiosos, como comprovado benefícios quantitativos — faz isso sem precisar pessoal adicional ou o esforço e a carga financeira das iniciativas tradicionais de segurança em grande escala que este relatório destaca são os obstáculos comumente relatados.

Mas mais sobre isso na parte 2 desta série.

Embora detalhes específicos de ataques específicos não tenham sido mencionados e a fonte do recente aumento no volume de ataques não tenha sido atribuída publicamente a ninguém, a recente comunicado de imprensa certamente deve ser interpretado pelos departamentos e empresas do governo australiano como um alerta, por mais que talvez seja um aviso aos responsáveis para dizer: “sabemos o que você está fazendo”.

Se você ainda não está envolvido, entre em contato com Illumio e Cirrus e confira na próxima edição como você pode seguir o conselho do Ministro da Defesa:”tome medidas para proteger sua própria rede” e planeje além das recomendações táticas para os vetores de ataque recentes para limitar a oportunidade e o impacto de futuras violações.

E para obter mais informações sobre como a microssegmentação com o Illumio funciona, visite https://www.illumio.com/products/illumio-core