Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório

Sofreu uma violação?

|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Resiliência cibernética

Compreendendo os mandatos de conformidade da UE: Telecomunicações-5G e muito mais

Editorial Illumio
,
December 3, 2020
23 leitura mínima

Em parte um Nesta série de blogs, discuti o cenário de conformidade e como cada setor tem seus próprios mandatos ou orientações sobre segurança cibernética. Isso foi seguido por uma postagem sobre regulamentação e controles de segurança no setor de Sistemas Críticos e Tecnologia Operacional, uma área na qual tenho experiência direta. A partir daí, discutimos o regulamentos de serviços financeiros presente na UE. Finalmente, GDPR e Cyber Essentials/Cyber Essentials Plus como um conjunto de diretrizes do NCSC (Centro Nacional de Segurança Cibernética do Reino Unido) sobre segurança cibernética.

Hoje, vou me concentrar em uma área de segurança em rápido desenvolvimento: telecomunicações e as plataformas de comunicação que elas constroem. 5G é o foco atual, é claro, mas as diretrizes de segurança e as leis que estão sendo implementadas hoje também definem o cenário para o futuro além do 5G.

O setor de telecomunicações

Nos últimos anos, houve uma mudança significativa de foco no setor e no governo para analisar as implicações da fraca segurança no negócio cada vez mais importante de telecomunicações. Parte disso diz respeito a implicações de alto nível do tipo estado-nação. Por exemplo, o uso de equipamentos de rede de fornecedores ou países específicos no “núcleo de pacotes”, a plataforma base pela qual as chamadas e os dados são roteados. Isso mostra a importância que essas redes têm para o futuro do mundo — qualquer potencial comprometimento ou backdoor que tenha o menor potencial de existir tem ramificações abrangentes.

Isso também leva a um foco em sistemas periféricos, organizações e fornecedores. O NCSC no Reino Unido, por exemplo, concentrou-se primeiro na cadeia de suprimentos do setor de telecomunicações antes de passar para a orientação e a legislação sobre as próprias redes 5G.

O Relatório de revisão da cadeia de suprimentos de telecomunicações do Reino Unido, publicado em julho de 2019 a partir de um revisão inicial em 2018, afirma que “a ameaça cibernética mais significativa ao setor de telecomunicações do Reino Unido vem dos estados”, mas também desaconselha a dependência de um único fornecedor para todos os sistemas de suporte. Os riscos de segurança descritos incluem:

  • Dependência nacional de qualquer fornecedor, especialmente aqueles considerados de alto risco;
  • Falhas ou vulnerabilidades em equipamentos de rede;
  • A ameaça “secreta” — a incorporação de funcionalidades malignas nos equipamentos do fornecedor; e
  • Acesso administrativo do fornecedor para fornecer suporte ao equipamento ou como parte de um contrato de serviços gerenciados.

Em seguida, o NCSC descreve a sensibilidade de segurança variável de diferentes tipos e funções de rede:

NCSC

Infraestrutura 5G

À medida que novas tecnologias de rede, como 5G, amadurecem, as maneiras pelas quais conectamos dispositivos e gerenciamos esses sistemas conectados mudam fundamentalmente. 5G é mais do que apenas aumentar a velocidade, com latência extremamente reduzida, confiabilidade e tempo de atividade amplamente aprimorados e até 100 vezes o número de dispositivos conectados em uma determinada área. O 5G permite o controle direto de dispositivos de IoT, controle remoto em tempo real de tecnologias como drones sem os problemas de latência associados a tecnologias anteriores, comunicações de veículo a veículo e muito menos dependência da conectividade fio/Wi-Fi tradicional para sistemas críticos.

Ericsson

Isso permite que os casos de uso mudem significativamente o modelo de segurança resultante.

O 5G incorpora uma série de melhorias de segurança integradas, como as descritas pela Ericsson aqui. As melhorias incluem criptografia de ponta a ponta com IMSI (International Mobile Subscriber), também conhecido como Subscription Permanent Identifier (SUPI) na linguagem 5G.

No entanto, o 5G é mais seguramente uma “infraestrutura crítica” do que as redes de telecomunicações anteriores com dados específicos. A ênfase na confiabilidade, no tempo de atividade e no controle de sistemas críticos, como os dos carros, significa que o 5G é uma peça fundamental da infraestrutura, em vez do uso mais específico de entretenimento/dados do 4G. Isso está claramente descrito no diagrama abaixo da Ericsson:

5G

A seção aprimorada de banda larga móvel, incluindo conectividade de dados de smartphones, destaca os casos de uso 5G mais óbvios, mas abaixo ilustra toda uma série de comunicações entre máquinas.

Na parte inferior, vemos sistemas industriais críticos, segurança no trânsito, etc., todos utilizando 5G para comunicação direta, em vez de redes personalizadas para cada finalidade.

Orientação — depois lei

A partir da revisão inicial da cadeia de suprimentos, o NCSC no Reino Unido mudou pela primeira vez para revisar a segurança do setor de telecomunicações do Reino Unido.

Isso descobriu que “a maioria dos vetores de ataque com maior pontuação se encaixava em uma das cinco categorias a seguir:

  • exploração por meio do plano de gerenciamento dos operadores
  • exploração através do plano de sinalização internacional
  • exploração de redes virtualizadas
  • exploração por meio da cadeia de suprimentos
  • perda da capacidade nacional de operar e proteger nossas redes (dependência)”

A partir daqui, o rápido desenvolvimento foi então o aposentadoria do anterior Telecoms Assurance Scheme - CAS (T), e a elaboração do Requisitos de segurança de telecomunicações (TSR) orientação com uma missão diferente.

Isso ainda está em rascunho, mas é conhecido por conter requisitos específicos nas seguintes áreas:

  • Entendendo a superfície de ataque dos sistemas dentro do escopo
  • Minimizar o impacto de um ataque, por meio da redução da conectividade — e, portanto, do movimento lateral
  • Forte segmentação da gestão e das áreas principais

Por fim, vimos os requisitos relacionados serem transformados em uma lei recém-criada: a Projeto de Lei de Segurança de Telecomunicações.

É muita coisa para cobrir! Conforme mencionado nesta postagem, o desenvolvimento desses novos conjuntos de diretrizes, leis e revisões está ocorrendo muito rapidamente: das revisões básicas à legislação atual em dois anos no Reino Unido.

Em toda a União Europeia, estamos trabalhando com pessoas muito mais velhas Artigo 13.o-A da Diretiva 2009/140/CE, parte do mais amplo Pacote de telecomunicações ENISA. Escrito em 2009, isso ainda não leva em conta os muitos casos de uso e cenários adicionais em torno de 4G e 5G, embora ainda inclua pontos (relativamente vagos), como:

“Os Estados-Membros devem assegurar que as empresas que oferecem redes públicas de comunicações ou serviços de comunicações eletrónicas acessíveis ao público tomem medidas técnicas e organizacionais adequadas para gerir adequadamente os riscos colocados à segurança das redes e serviços. Tendo em conta o estado da técnica, essas medidas devem assegurar um nível de segurança adequado ao risco apresentado. Em particular, medidas devem ser tomadas para prevenir e minimizar o impacto de incidentes de segurança nos usuários e nas redes interconectadas.”

Podemos esperar atualizações significativas para alinhá-lo com as orientações, como a do NCSC.

Em conclusão

A rápida escalada de análises, orientações e leis subsequentes que o processo do NCSC descreve no Reino Unido mostra a enorme superfície potencial de ataque e as implicações que uma mudança para telecomunicações apoiadas por 5G traz, juntamente com as claras vantagens em muitas áreas da vida. Vimos um número crescente de projetos relacionados no setor como resultado da rápida melhoria e das orientações específicas disponíveis.

Na Illumio, estamos envolvidos em vários projetos de telecomunicações e ajudamos com os requisitos de visibilidade e segmentação que esses ambientes complexos e críticos de infraestrutura exigem.

Para saber mais sobre a abordagem da Illumio à microssegmentação, confira:

Tópicos relacionados

Conformidade
Microsegmentação

Artigos relacionados

Como quatro líderes de cibersegurança estão pensando sobre a IA em 2024
Resiliência cibernética

Como quatro líderes de cibersegurança estão pensando sobre a IA em 2024

Saiba como os líderes de negócios e especialistas em segurança cibernética estão priorizando em 2024 em face da inovação acelerada da IA.

Leia mais
Operacionalizando o Zero Trust — Etapas 2 e 3: Determinar em qual pilar Zero Trust focar e especificar o controle exato
Resiliência cibernética

Operacionalizando o Zero Trust — Etapas 2 e 3: Determinar em qual pilar Zero Trust focar e especificar o controle exato

A proteção da carga de trabalho abrange muitos recursos de segurança, incluindo, mas não se limitando a, proteção e correção eficazes do sistema operacional e de qualquer aplicativo instalado, controles de proteção contra ameaças baseados em host, como antivírus, EDR, monitoramento da integridade de arquivos, firewall baseado em host, etc.

Leia mais
BT e Illumio: simplificando a conformidade com DORA
Resiliência cibernética

BT e Illumio: simplificando a conformidade com DORA

Saiba como aumentar a resiliência cibernética, gerenciar os riscos de TIC e preparar sua instituição financeira para o prazo de conformidade com o DORA de janeiro de 2025.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais