Nos últimos meses, houve uma onda de ataques DDoS – método para impedir o funcionamento de sites depois de enviar diversas solicitações que excedem a capacidade da rede – , a bancos europeus, com o intuito de tirar do ar suas operações e sistemas vitais de pagamento, e à estruturas críticas, que vão desde sistemas elétricos de gás e de água até os setores bancário e financeiro, causando danos imediatos à inúmeras instituições. De acordo com especialistas da Blaze Information Security, uma das principais empresas globais especializadas em segurança ofensiva com foco em pentest, essa tendência pode estar chegando ao Brasil.
“Existe uma falsa sensação de que ataques a infraestruturas críticas são características restritas a zonas de conflito, estando distante do Brasil, mas isso não é verdade. Já ocorreram casos no país, como o ataque ao aplicativo do ConectSus e aos sistemas do SPTrans. Apesar desses exemplos não terem comprometido totalmente o funcionamento dos serviços, as motivações por trás de ataques dessa natureza são diversas e a possibilidade de que algo pior aconteça não está fora de cogitação”, afirma o especialista em cibersegurança Julio Cesar Fort, sócio e diretor de serviços profissionais da Blaze Information Security.
Como funcionam os ataques
Segundo a 4ª Pesquisa TI Safe intitulada “Panorama da Cibersegurança Industrial no Brasil”, 84 empresas dos setores de eletricidade, água, gás, indústria de transformação e extrativa apontaram a segurança cibernética como uma das preocupações que estão no topo da lista dos executivos de tecnologia.
E esse receio tem fundamento, segundo Fort. “Essas ameaças têm um poder de dano massivo, pois sabotam a infraestrutura, causando a paralisação dos serviços. Um exemplo foi a suspensão do fornecimento de energia no caso do BlackEnergy na Ucrânia, em 2015. Neste caso, um ataque feito por hackers que trabalham na inteligência militar da Rússia teve como intuito sabotar parcialmente o sistema elétrico do país no meio do inverno”, destaca.
Para Fort, os ataques podem ser realizados de várias maneiras, dependendo do objetivo do invasor, mas geralmente se dão por meio de um acesso inicial à rede corporativa, seja a partir da exploração de uma vulnerabilidade em um sistema desatualizado, phishing, engenharia social ou compra de acesso por meio de Initial Access Brokers (IABs – corretores de acesso inicial, em tradução livre).
“A partir daí, o invasor utiliza-se de técnicas de movimentação lateral para expandir acesso à rede e se infiltrar em sistemas de controle e automação industrial. Também existem formas menos sofisticadas de paralisação de sistemas, como ataques DDoS realizados por grupos como o Killnet, que tem atacado agências de governo e empresas do setor privado”, exemplifica.
Como proteger estruturas críticas
Diante desse cenário, o especialista explica como proteger esses sistemas de ataques massivos, que podem gerar inúmeros prejuízos. “Existem dezenas de maneiras diferentes, conhecidas e desconhecidas publicamente, de como esses ataques ocorrem. Apesar de não ter uma fórmula específica, a principal forma de evitar essas ameaças é interrompendo ataques por meio de equipes de defesa cibernética bem treinadas, além de uma boa estratégia e um planejamento de cibersegurança robusto”, pontua. “Treinamento com exercícios de Tabletop, que simulam crises cibernéticas e prontidão de resposta, além de ter equipes de IR (Incident Response) e Threat Hunting capazes de responder a incidentes em larga escala, são medidas assertivas nesse cenário”, completa.
De acordo com Fort, o exercício Tabletop orienta a equipe responsável por meio da simulação de um cenário preciso de um ataque direcionado, com a diferença de que leva menos tempo do que um ataque real e não tem repercussões negativas para os negócios ou membros do time, deixando o grupo preparado para enfrentar futuros desafios.
No caso de estratégias de Threat Hunting e Incident Response, ambas são técnicas que permitem que uma organização esteja de prontidão contra ameaças cibernéticas, violações de segurança e vulnerabilidades do sistema. “No primeiro caso, é uma atividade que tenta encontrar e prevenir ações maliciosas nos sistemas de informação trabalhando com a suposição de que os invasores já descobriram um meio de evitar a detecção por ferramentas e técnicas existentes e, portanto, já exploraram os sistemas essenciais da organização, exigindo um esforço ativo para erradicar as ameaças”, explica o especialista.
Já no segundo caso, de acordo com o executivo, o IR tem como objetivo minimizar os danos e fazer com que o sistema volte ao normal o mais rápido possível. “Após uma violação de segurança, ter uma estratégia de resposta a incidentes bem definida pode ajudar a limitar os prejuízos causados por ataques e economizar tempo e despesas”, ressalta.