Os cibercriminosos preferem atacar as organizações em momentos delicados, como durante uma fusão ou divulgação de resultados
À medida que uma investida de ataques de ransomware se acelera, as organizações cibercriminosas estão demonstrando níveis crescentes de sofisticação e malícia. Mais recentemente, o FBI revelou que alguns hackers têm como alvo organizações que enfrentam situações financeiras sensíveis para maximizar a influência sobre suas vítimas. Esses eventos incluem lançamentos de relatórios de lucros planejados, bem como fusões e aquisições (M&A).
Vendo como as gangues de ransomware estão cada vez mais operando como empresas (embora de maneira distintamente criminosa), só faz sentido que elas procurem melhorar sua posição de negociação aplicando pressão sobre suas contrapartes nos momentos mais inoportunos. Devido às enormes somas potenciais que podem ser extorquidas, essa ameaça continuará a gerar metástases.
Esse tipo de comportamento tem um lado positivo, pois está se tornando mais previsível e, portanto, – em alguns aspectos – mais facilmente defendido. Os próprios eventos que aumentam a influência dos hackers criminosos contra suas vítimas irão, ao mesmo tempo, tornar previsível o momento de seus ataques.
O papel do Zero Trust e seus mecanismos de política
Os modelos de acesso de Zero Trust (ZTA) estão cada vez mais em voga como um método de proteção contra uma ampla gama de ameaças, incluindo ransomware. Embora os princípios de Zero Trust sejam amplamente aplicáveis, à luz das novas ameaças que as organizações enfrentam – especificamente de atores motivados financeiramente que se envolvem em extorsão – é necessária atenção especial para os mecanismos de política no coração dos sistemas ZTA.
Um mecanismo de política é o “cérebro” de uma arquitetura baseada em ZTA, que dita o nível de escrutínio aplicado aos agentes de rede humanos e de máquina conforme eles tentam se autenticar e obter acesso aos recursos. Esses mecanismos tomam decisões sobre aprovar ou negar acesso – ou exigir fatores de autenticação adicionais – com base em diferentes fatores, incluindo geolocalização implícita, hora do dia, indicadores de inteligência de ameaças e sensibilidade dos dados acessados.
O ZTA não facilita apenas o escrutínio intensificado dos atores da rede que se comportam de maneira suspeita. Ele também permite o acesso simplificado por usuários genuínos para aumentar a produtividade e reduzir as interrupções de negócios resultantes de medidas de segurança. Assim, os sistemas de Zero Trust implementados de forma adequada alcançam o melhor dos dois mundos: segurança cibernética aprimorada e geração e entrega mais rápida de valor de negócios.
Ajustando linhas de base de Trust Zero para segurança com reconhecimento de contexto
Para tornar este modelo ainda mais poderoso em face da ameaça de ransomware em evolução, eu sugeriria que os sistemas ZTA incorporassem fatores adicionais – em conjunto com os mencionados acima – para permitir que as organizações assumam uma postura de segurança ciente do contexto. Isso poderia assumir a forma de aumentar ou diminuir o nível de referência de escrutínio aplicado aos agentes de rede com base em eventos anunciados publicamente e em eventos contemplados de forma privada.
Os dias antes da divulgação dos lucros trimestrais, uma votação crítica dos acionistas ou uma decisão importante sobre a adjudicação de um contrato são exemplos de tempos de alto risco. Durante esses períodos, as organizações podem calibrar seus mecanismos de política para serem mais “suspeitos”, gerando requisitos de autorização mais rígidos. Da mesma forma, quando uma empresa sabe confidencialmente que está em maior risco, como durante as discussões de aquisição com um potencial comprador ou depois que um importante executivo de segurança cibernética avisou sua intenção de deixar a empresa, isso também pode aumentar o nível de escrutínio aplicado pelo mecanismo de política.
Por outro lado, durante os momentos de menor risco, os funcionários experimentariam níveis reduzidos de resistência ao tentar acessar vários recursos. Isso amenizaria alguma frustração dos funcionários com os controles relacionados à segurança, tornando-os geralmente menos propensos a tentar escapar de tais medidas.
A implementação de tal modelo exigiria um investimento substancial, com certeza. Uma chave para manter uma postura de segurança com reconhecimento de contexto ajustada continuamente é a automação, que dependeria de integrações entre recursos humanos, relatórios financeiros, gerenciamento de contratos e sistemas semelhantes e o mecanismo de política. Além disso, desenvolver e ajustar os algoritmos que orientam a tomada de decisão do mecanismo de política exigirá muito tempo e pesquisa.
As organizações que implementam tais políticas orientadas ao contexto precisarão ter certeza de que não darão importância ao aprimoramento ou relaxamento das medidas de segurança. Por exemplo, se os usuários autorizados puderem detectar claramente um aumento nas medidas de segurança em um momento inesperado (por exemplo, não antes de um anúncio de ganhos programado), eles podem ser capazes de intuir que algo mais está acontecendo que eles não deveriam saber, como uma fusão planejada. Da mesma forma, um intruso não autorizado de um paciente pode ser capaz de monitorar os requisitos de segurança flutuantes e determinar qual pode ser uma conjuntura especialmente crítica para seu alvo.
Com isso dito, uma postura de segurança com reconhecimento de contexto bem projetada e bem implementada pode reduzir gradativamente a probabilidade de uma empresa sofrer um ataque cibernético devastador no pior momento possível. Também geraria valor adicional ao reduzir cargas de segurança desnecessariamente restritivas durante períodos de menor risco.
As políticas de segurança baseadas no contexto também podem ser aplicadas fora do setor privado, no governo e em campos adjacentes ao governo. O rigor das políticas de segurança de departamentos e agências federais, estaduais e locais pode aumentar antes de grandes eventos, como eleições para defesa contra ciberatores mal-intencionados que tentam influenciá-los ou interrompê-los de maneira inadequada. Além de outras medidas de segurança, as campanhas políticas podem fortalecer automaticamente suas redes na corrida para as urnas para evitar doxxing ou espionagem.
Assim como suas contrapartes corporativas, os governos precisam ter cuidado para não revelar planos ou atividades não públicas, como uma ação militar ou movimento clandestino. O Exército dos EUA está intimamente focado nos esforços de gerenciamento de assinaturas para ajudar a alcançar a vitória em futuros campos de batalha, e esses esforços devem considerar os impactos das mudanças automatizadas na postura de segurança cibernética de uma organização.
Apesar dessas advertências, os casos de uso em potencial para uma postura de segurança com reconhecimento de contexto são numerosos. Dados os danos incríveis causados por ciberatores malignos de todos os tipos – desde gangues de ransomware com fins puramente lucrativos a atores de ameaças persistentes avançadas de estado-nação – novas soluções são de extrema necessidade. Permitindo que as organizações ajustem suas defesas de segurança cibernética com base em uma gama maior de fatores, uma postura de segurança com base no contexto ajudaria a prevenir alguns dos danos massivos que continuarão de outra forma.
