Colocar um Red Hat e tentar entender as motivações, expectativas, comportamentos e objetivos dos malfeitores pode ser uma parte crítica de um sólido programa de segurança cibernética.
Como diretora do Grupo de Engajamento de Adversários Cibernéticos da MITRE Corp, Maretta Morovitz vê o valor de conhecer seus adversários – ela pode usar seu conhecimento sobre adversários cibernéticos para distraí-los, enganá-los, além de desenvolver estratégias para ajudar a impedir os agentes de ameaças de conseguir o que eles querem.
Isso pode significar colocar iscas e anzóis para capitalizar sua antecipação do que os invasores encontrarão quando invadirem o ambiente pela primeira vez, disse ela. Ou pode significar enganá-los deliberadamente, criando cenários que não atendem a essas expectativas. “Trata-se de executar defesas e entender o que os adversários estão realmente fazendo”, disse Morovitz, que também lidera o MITRE Engage, uma framwork de engajamento de adversários cibernéticos.
O conceito de conhecer seu oponente não é novo. Sun Tzu, um guerreiro do século VI a.C, defendeu a ideia de “conhecer a si mesmo e ao seu inimigo” em seu ainda famoso The Art of War(a arte da guerra). Seu uso em segurança cibernética não é novidade. O hacking ético, que remonta a décadas, baseia-se em parte em suas ações como agentes de ameaças que encontram pontos fracos em ambientes corporativos de TI.
Da mesma forma, os líderes de segurança corporativa há muito lutam para identificar seus prováveis adversários e o que eles podem estar procurando. No entanto, sua capacidade de se aprofundar na mentalidade do hacker é limitada pelos recursos e conhecimentos disponíveis, bem como pela estratégia tradicional de enfatizar primeiro as defesas do perímetro e, em seguida, camadas de defesa para a maior proteção dos ativos mais valiosos.
O pensamento do hacker ajuda a moldar as estratégias de segurança
Agora, especialistas em segurança – MITRE e outros – estão defendendo que os CISOs e suas equipes de segurança usem inteligência de ameaças, frameworks de segurança e habilidades de equipe vermelha para pensar como hackers e, mais importante, usar essa percepção para moldar as políticas de segurança.
Isso, dizem eles, significa considerar motivações e mentalidades que, por sua vez, influenciam o quanto eles são persistentes, os caminhos que podem seguir e o que realmente desejam – qualquer coisa que possa ser diferente ou mais ampla do que se supõe. Esse insight deve então moldar a direção da segurança de defesa em profundidade; ele deve ser usado para criar uma verdadeira estratégia de segurança orientada a ameaças.
“Se você não pensar como um hacker, não será capaz de tomar as ações corretas contra o seu ambiente. Mas quanto mais você entender sobre as ameaças, mais eficazmente poderá aplicar a tecnologia”, disse o oficial de segurança da informação Jim Tiller.
Leia também: O que é hacker ético?
A Pesquisa de Hacking Ético de 2022, a primeira pesquisa da SANS Security Training Society sobre o assunto, aborda esses pontos, com os autores dizendo que “visam entender a sofisticação de como os invasores pensam, as ferramentas que usam, sua velocidade, sua especialização. grau , seu alvo favorito, etc.”
O relatório afirma ainda: “Esses insights são essenciais para a tomada de decisões de investimento em uma superfície de ataque cada vez mais complexa e difícil de proteger. Muitas vezes vemos organizações investindo em segurança Estado aberto para mitigar várias ameaças. Os oponentes seguirão o caminho de menor resistência ou o caminho com o qual estão mais familiarizados – e muitas vezes são os mesmos. A segurança negligenciada ou assumida traz muito risco.
Beneficie-se da perspectiva de um hacker
Como Morovitz, o relatório do SANS enfatiza o valor de ter uma “visão geral de um adversário – sancionado ou não”, observando que “pode ser uma luz orientadora para analistas de segurança e formuladores de políticas”. No entanto, a pesquisa descobriu que muitas equipes de segurança não têm esse insight, nem o procuram.
“As equipes de segurança têm ideias erradas sobre como os hackers atacam nossas redes”, disse Alex Spivakovsky, vice-presidente de pesquisa da fabricante de software de segurança Pentera, que pesquisou o assunto. “Hoje, muitas equipes de segurança se concentram no gerenciamento de vulnerabilidades e correm para corrigir [vulnerabilidades e exposições comuns] o mais rápido possível, porque acabam pensando que os hackers estão procurando especificamente explorar CVEs. Na realidade, isso não reduz significativamente o risco porque é o mesmo que hackers reais Comportamento inconsistente.”
DICA: O CVE funciona como um glossário que classifica vulnerabilidades. Dessa forma, esse glossário analisa vulnerabilidades e usa o Common Vulnerability Scoring System (CVSS) para avaliar o nível de ameaça de uma vulnerabilidade.
Spivakovsky, um testador de penetração experiente que serviu na unidade das Forças de Defesa de Israel encarregada de proteger a infraestrutura crítica do estado, disse que os hackers operam como empresas, buscando minimizar os recursos e maximizar os retornos. Em outras palavras, eles geralmente querem obter o máximo benefício com o menor esforço possível.
Os hackers geralmente seguem um determinado curso de ação: uma vez que comprometem um ambiente de TI e estabelecem uma conexão ativa, eles coletam dados como nomes de usuário, endereços IP e endereços de e-mail, disse ele. Eles os usam para avaliar a maturidade da postura de segurança cibernética de sua organização. Então eles começaram a cavar mais fundo, procurando por portas abertas, áreas com pouca proteção (como sistemas em fim de vida) e recursos que não estavam sendo gerenciados adequadamente. “Agora que os hackers sabem qual sistema operacional estão executando, eles começam a ver se há algo explorável que possam usar para iniciar um hack”, disse Spivakovsky.
Leia também: O que é hacking? Entenda este universo
Os hackers são adaptáveis na busca de “higiene de segurança precária”
“Os hackers normalmente não abordam as organizações apenas para explorar um CVE ou qualquer outra tática. Em vez disso, eles estão muito sintonizados com as diferentes oportunidades que surgem ao interagir com as organizações”, disse ele. “Como um processo, o hacker se envolve em um extenso processo de descoberta e enumeração, examinando a organização em busca de indicadores de falta de higiene de segurança. Podem ser coisas como falta de firewall de aplicativo da web, muitos serviços que podem ser acessados anonimamente ou qualquer número de outros indicadores e outros fatores.”
“Se não houver nenhum elemento atraente, as chances de invasão são muito reduzidas. No entanto, se algo chamar a atenção deles, eles intensificarão o ataque a partir daí.”
É por isso que, disse Spivakovsky, as organizações não devem avaliar sua segurança corporativa de sua própria perspectiva, mas da perspectiva dos hackers.
Entenda a mentalidade e as motivações dos hackers
Outros disseram que também é importante entender por que os hackers estão atacando organizações e por que eles podem querer atacar a sua. “Você é apenas um alvo de ransomware? Ou você tem uma receita secreta para a Coca-Cola? Se eu fosse um criminoso, como usaria isso para ganhar o máximo de dinheiro possível ou causar o maior dano possível?” disse Nash Squared’s CISO Leme.
Isso leva à motivação e à mentalidade, que os líderes de segurança também podem aproveitar para refinar suas políticas de segurança.
Adam Goldstein, professor associado do Champlain College e diretor acadêmico do Leahy Center for Digital Forensics and Cybersecurity, disse que o objetivo é focar na identificação de um adversário ou grupo hostil e determinar sua intenção. “É intrusão? É ganho financeiro ou roubo de propriedade intelectual? Obter [acesso a] recursos para outros fins? Eles estão focados na missão, então continuam tentando, não importa quão fortes sejam as defesas? Ou você está procurando uma oportunidade? Ver todos Diferentes adversários e suas intenções podem ajudá-lo a identificar diferentes tipos de risco.”
Essa pesquisa é importante, disse Goldstein, porque muitas vezes desafia falsas suposições e às vezes revela aos líderes empresariais que eles são um alvo maior do que imaginam. Quase uma década atrás, tal análise teria ajudado as universidades a serem invadidas por adversários estrangeiros que visavam professores por seus laços com políticos e instituições dos EUA.
“Eles usam a tecnologia para localizar e obter comunicações – e-mails e documentos – que não têm valor monetário e não são documentos de pesquisa. É realmente focado em obter informações que podem ser potencialmente valiosas em um ambiente político internacional que tem alguns elementos de espionagem. Isso realmente pegou a comunidade de ensino superior desprevenida.” Goldstein acrescentou que também acabou mudando as políticas de segurança na comunidade de ensino superior.
Não assumir a perspectiva do hacker deixa lacunas de segurança
No entanto, apesar de tais anedotas, os especialistas em segurança dizem que muitos departamentos de segurança corporativa não estão incorporando a perspectiva de um hacker em suas estratégias e defesas. “Ainda estamos vendo ataques e violações em áreas que [as organizações] não consideraram”, disse Chris Thompson, chefe global de serviços de contramedidas da IBM X-Force Red.
Thompson disse que acredita que as organizações que fazem testes de penetração estão em conformidade, mas não entende as várias razões pelas quais elas podem ser visadas em primeiro lugar. Tomemos como exemplo uma empresa de telecomunicações, disse ele. Ele pode se tornar um alvo para hackers em busca de recompensas financeiras por meio de ataques de ransomware, o que geralmente significa que eles estão procurando alvos fáceis. Mas se a empresa de telecomunicações também oferecer suporte às comunicações policiais, ela também poderá se tornar um alvo para agentes de ameaças mais persistentes que procuram causar estragos.
“É por isso que dizemos aos nossos clientes que realmente desafiem as suposições. Que suposições você está fazendo sobre os caminhos que um invasor pode seguir? Valide-as reunindo uma equipe vermelha para desafiar essas suposições”, disse ele, acrescentando que os CISOs e suas equipes devem perceber que os hackers, como eles, “têm acesso a todos os blogs, treinamentos e ferramentas de segurança disponíveis”.
Leia também: Introdução a análise e projeto de sistemas
Implemente e aproveite o pensamento hacker
Não é de surpreender que as equipes de segurança enfrentem desafios para desenvolver a capacidade de pensar como um hacker e usar os insights obtidos com o exercício. Os líderes de segurança devem dedicar recursos a essa tarefa, e esses recursos geralmente são pessoas, e não ferramentas e tecnologias que podem ser implantadas e executadas, uma tarefa assustadora para equipes de segurança com poucos recursos e organizações de segurança em dificuldades. disse Morowitz.
Além disso, os CISOs podem ter dificuldade em obter financiamento para essas atividades porque é difícil demonstrar o retorno dessas atividades. “É difícil para as organizações se concentrar em algo sem muitos alertas. Mesmo que os alertas recebidos sejam alertas de alta fidelidade, é difícil justificar seu valor”, explicou Morovitz, acrescentando que algumas das ferramentas para apoiar essas campanhas são relativamente caro.
As equipes de segurança também podem achar difícil mudar seus conjuntos de habilidades de defesa (por exemplo, identificação e fechamento de vulnerabilidades) para ataque. Como diz Tiller, “é uma coisa muito difícil de fazer porque é uma mentalidade criminosa. As pessoas que trabalham na indústria de defesa, os chapéus brancos, nem sempre consideram [hackers] dispostos a serem discretos e lentos”.
As organizações agora também têm acesso a um número crescente de recursos para ajudá-las a fazer essa transição. Esses recursos incluem as estruturas NIST, MITRE Engage e MITRE ATT&CK. Além disso, há inteligência de ameaças de fornecedores; centros de compartilhamento e análise de informações (ISACs); e entidades acadêmicas, governamentais e similares.
Além disso, disse Morovitz, há uma classe emergente de tecnologias que oferecem suporte ao red teaming.
Morovitz observou que as organizações que trabalham neste trabalho desconfiam de suas atividades porque não querem revelar nenhuma vantagem que seu trabalho possa render, mas ela apontou para um item da agenda da conferência sobre a mentalidade do hacker como evidência de que mais equipes de segurança estão tentando pensar sobre Como os hackers, use-o como uma forma de informar suas táticas.
Há benefícios reais nessa mudança para uma mentalidade de hacker, dizem ela e outros especialistas.
“Entender os métodos dos hackers”, disse Spivakowski, “ajudará a realinhar nossas prioridades de segurança para sermos mais eficazes”.
Leia também: Quais são os diferentes tipos de API?
