Profissionais de segurança, cientistas políticos, profissionais de forças policiais e outros especialistas de vários países se reuniram em Varsóvia, Polônia, em maio deste ano, para discutir como os setores público e privado estão lidando com os riscos de cibersegurança após a invasão da Rússia à Ucrânia em 2022.
Antes do evento, chamado de ESET European Cybersecurity Day (EECD), conversamos com Robert Lipovsky, Principal Threat Intelligence Researcher na ESET, para discutir os desafios de segurança enfrentados pelos sistemas de infraestrutura crítica, e o que a ESET faz para ajudar a proteger sistemas e serviços essenciais em todo o mundo. Confira a entrevista completa:
Nos últimos anos, mas principalmente desde o início da guerra na Ucrânia, temos visto diferentes países trabalhando em novas legislações para fortalecer suas capacidades de defesa cibernética. O que realmente está em jogo?
De fato, acredito que tanto empresas públicas quanto privadas estão levando os riscos cibernéticos mais a sério e sentem a necessidade de abordar essa questão. No entanto, enquanto a maioria das organizações precisa proteger sua infraestrutura, endpoints, rede e todas essas "coisas" típicas, os governos e empresas privadas que gerenciam infraestruturas críticas têm responsabilidades diferentes. Um ataque a infraestruturas críticas pode derrubar uma rede elétrica, comprometer o funcionamento normal de hospitais, impactar o setor financeiro ou a segurança dos nossos sistemas de transporte.
Com infraestruturas críticas, os riscos são maiores - tanto do ponto de vista das instituições quanto da ESET. É por isso que a responsabilidade de protegê-las é maior, não apenas para uma organização governamental específica, mas também para a ESET.
Neste contexto, como você percebe a disposição dos governos para colaborar com o setor privado e empresas como a ESET para lidar com essas ameaças?
Pelo que vejo, a situação tem melhorado nos últimos anos, e os profissionais responsáveis pela cibersegurança nessas organizações estão levando as coisas mais a sério. A situação na Ucrânia também tem fomentado a colaboração entre o setor público e privado; eles podem ver quais são as possíveis consequências de um ciberataque e, ao mesmo tempo, a Ucrânia também demonstrou como a cibersegurança e a defesa podem ser feitas corretamente. Portanto, muitos desses ataques foram impedidos - e muitos deles poderiam ter sido muito piores se não fosse o esforço conjunto de fornecedores de cibersegurança como a ESET, os defensores do país, os profissionais de SOC e os CERTs.
Essa tendência também é visível em todo o mundo. Por um lado, houve um aumento nas ameaças cibernéticas, e, por outro lado, a ESET tem desempenhado um papel importante ao conscientizar sobre os riscos por meio de nossa pesquisa e threat intelligence. Mas a cibersegurança é sempre uma jornada contínua, não apenas uma atividade única de "marcar todas as opções" e pensar "ok, terminei, protegi minha organização". É um esforço contínuo: é o software, a threat intelligence, a educação dos funcionários... sempre há espaço para melhorias, assim como nas empresas privadas.
A ESET é responsável pela cibersegurança de organizações em todo o mundo. Como a ESET gerencia as informações sensíveis que coleta para fornecer threat intelligence?
Nós compilamos muita threat intelligence que não publicamos; em vez disso, divulgamos as informações mais relevantes em nossos Relatórios de Threat Intelligence. Embora esses relatórios não contenham informações confidenciais que comprometeriam a vítima, eles fornecem informações técnicas adicionais e detalhes.
No entanto, algumas informações podem se tornar públicas, e certos detalhes podem ser comunicados apenas ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança (CERT) local. É comum, por exemplo, que o CERT da Ucrânia divulgue algumas dessas informações, possibilitando-nos, posteriormente, publicar nossas pesquisas. Também existem várias exigências legais que nossos clientes precisam considerar, portanto, cabe a eles decidir quais informações podem ser divulgadas e como.
Você mencionou organizações privadas. Um dos desafios é que a infraestrutura crítica de todos os tipos depende de redes de pequenas e médias empresas (SMBs) e outras organizações menores para suprir suas necessidades. A ESET detectou esse tipo de ataque?
De fato, grande parte do trabalho de resiliência depende da capacidade e habilidade de uma equipe dedicada e de um orçamento para a defesa cibernética, por isso é mais provável que organizações maiores possuam Centros de Operações de Segurança (SOC) e possam absorver a threat intelligence fornecida por vários fornecedores, como nós. Organizações menores têm menos recursos e, portanto, dependem mais de fornecedores de serviços gerenciados (MSP).
No entanto, grupos APT não atacam apenas usinas de energia ou oleodutos. O que vemos é que grupos APT patrocinados por estados também miram em empresas menores na cadeia de suprimentos se souberem que isso afetará o alvo principal no final da cadeia. Portanto, proteger a infraestrutura crítica é uma questão complexa. Não se trata apenas de proteger a própria organização, mas também de ter em mente que vários fornecedores também podem ser comprometidos. A ESET tem detectado um número crescente de ataques à cadeia de suprimentos, principalmente na Ásia. Essa é uma tendência sobre a qual já alertamos em 2017, quando o ransomware NotPetya se espalhou através do mesmo esquema de ataque e causou o incidente cibernético mais destrutivo da história.
A ESET publicou recentemente seu primeiro relatório público de atividades APT (Advanced Persistent Threat). Qual é o diferencial deste relatório?
Publicamos nosso primeiro APT Activity Report em novembro de 2022, porque acreditamos que, devido ao grande número de ataques em curso, é importante aumentar a conscientização pública sobre essas ameaças. No entanto, esses relatórios fornecem apenas uma fração da inteligência de cibersegurança oferecida em nossos relatórios privados de APT, oferecendo uma visão geral do que vemos acontecer no ambiente digital.
Os demais relatórios contêm informações detalhadas sobre os ataques e são compilados para fornecer inteligência de ameaças acionável. Eles têm uma dupla função: informar nossos clientes sobre as ameaças atuais, detalhar as atividades específicas de grupos APT e também fornecer indicadores de comprometimento, mapeando as táticas, técnicas e procedimentos dos atacantes para as tabelas MITRE ATT&CK ou outras informações relevantes. Essas informações podem ser usadas pelas organizações para buscar ameaças conhecidas e identificadas em seus sistemas, permitindo que as detectem e respondam a elas.
Como a ESET atribui um ataque a um grupo específico?
Nós agrupamos as APTs (Ameaças Persistentes Avançadas) de acordo com diferentes nações, e fazemos isso em duas etapas. Com base nas descobertas técnicas de nossas pesquisas, tentamos atribuir os ataques a um grupo APT específico, como o notório grupo "Sandworm". Isso é seguido por uma atribuição geopolítica, com base nas informações de agências de inteligência de vários países - como Estados Unidos, Reino Unido, Ucrânia ou Holanda. Uma vez que combinamos as atribuições técnicas e geopolíticas, podemos concluir com algum grau de confiança que um ataque foi perpetrado, por exemplo, pelo grupo "Sandworm" - uma unidade da agência de inteligência militar russa GRU.
Essas sinergias entre os setores público e privado surgem como uma reação muito necessária ao crescente número de ameaças cibernéticas que vemos diariamente. Como funciona esse fluxo de informações entre a ESET e as instituições governamentais?
Eu destacaria os relacionamentos que temos mantido com diversos CERTs (Equipes de Resposta a Incidentes de Segurança Cibernética), que essencialmente atuam como centros para garantir que as informações cheguem aos lugares certos e de forma eficiente. Esses relacionamentos foram construídos ao longo dos anos. Eu diria até que toda a indústria de cibersegurança é baseada em confiança, e é essa confiança que tem sido a força motriz para manter essas colaborações.
Embora nossa responsabilidade primária seja proteger nossos clientes, quando colaboramos com os CERTs, também expandimos essa responsabilidade ao ajudar outras organizações que não são nossos usuários. E casos assim têm acontecido em várias ocasiões. Por exemplo, um CERT encarregado de investigar uma intrusão cibernética pode nos procurar para obter suporte. Do ponto de vista oposto, podemos iniciar o contato se identificarmos um ataque em andamento, mesmo que não tenhamos tido nenhum contato prévio com a empresa-alvo.
Além dos CERTs, também estabelecemos parcerias de longa data em todo o mundo e, mais recentemente, nos tornamos Parceiros Confiáveis da Agência de Cibersegurança e Segurança de Infraestrutura (CISA) por meio do Joint Cyber Defense Collaborative, que desempenha um papel importante na defesa da infraestrutura crítica dos Estados Unidos. Estamos sempre abertos a colaborações e iniciativas semelhantes que tornem o ciberespaço mais seguro e protegido para todos.
A pesquisa tem sido o cerne do trabalho da ESET desde sua fundação; como ela ajuda a melhorar nossa tecnologia?
Somos muito orientados para a pesquisa; está em nosso DNA aprofundar os estudos. É a informação com a qual treinamos nossos modelos que faz a diferença. Nossa posição como uma empresa dominante em muitos países europeus nos dá uma vantagem muito boa na detecção de ameaças cibernéticas. As informações observadas são então retroalimentadas em nossos sistemas para melhorar nossas capacidades ou usadas como base para o desenvolvimento de novas camadas de detecção, auxiliando-nos na identificação de ataques futuros e no treinamento de nossos modelos de detecção.
Não se trata apenas de processar ataques em massa, mas de conhecer o que os ataques são e entender como os atacantes evoluem. Podemos, então, aproveitar esse conhecimento e oferecer aos nossos clientes e assinantes serviços de inteligência de ameaças de alta qualidade que aprimoram a proteção de sua cibersegurança.
Além disso, também publicamos nossas pesquisas no WeLiveSecurity e no @ESETresearch no Twitter. O conteúdo lá costuma se concentrar em uma campanha específica ou em uma única peça de malware. E além dos Relatórios de Atividade de Ameaças da ESET, também publicamos regularmente Relatórios de Ameaças da ESET, que são uma ótima maneira de compilar diferentes tipos de ameaças que identificamos em cada período.
Uma das dificuldades com as ameaças cibernéticas é que elas frequentemente são invisíveis, ainda mais se as defesas cibernéticas em funcionamento mitigarem todas as consequências visíveis. Como podemos conscientizar sobre a necessidade desse trabalho contínuo sobre o qual você fala?
Um bom exemplo disso é toda a indústria comentando recentemente sobre o desenvolvimento da ciberguerra na Ucrânia. É verdade que os atacantes não se mostraram tão habilidosos como as pessoas esperavam, e eles cometeram erros em várias ocasiões, mas causaram danos reais. Houve vários ciberataques que não podem ser ignorados nem subestimados. Ao mesmo tempo, a razão pela qual não houve um impacto mais severo é a resiliência dos defensores cibernéticos da Ucrânia e porque tanto a ESET quanto outros parceiros da indústria têm fornecido a eles inteligência de ameaças e outras formas de assistência. Além disso, precisamos lembrar que a Ucrânia tem sido alvo de intensos ciberataques pelo menos desde 2013, então eles vêm desenvolvendo suas capacidades e resiliência ao longo dos anos, o que me traz de volta ao meu ponto inicial: a cibersegurança é um esforço contínuo e a Ucrânia está liderando o caminho nessa área, inspirando outros países.
Você pode assistir às palestras e discussões do EECD sobre os desafios de segurança enfrentados pelos sistemas de infraestrutura crítica em todo o mundo ao se cadastrar aqui.
LEIA MAIS: