Como impedir as ameaças globais de segurança cibernética emergentes do conflito Ucrânia-Rússia
O conflito Ucrânia-Rússia começou quando os militares russos invadiram a Ucrânia em 24 de fevereiro.
No entanto, os elementos de cibersegurança e guerra cibernética desse conflito começaram antes da ação inicial de combate. A Ucrânia foi atingida com vários ataques cibernéticos contra seu governo e sistemas bancários antes do conflito, com especialistas culpando a Rússia pelos ataques cibernéticos. E nas primeiras 48 horas, várias agências dos EUA notaram que ataques cibernéticos de suspeitos de hackers na Rússia aumentou em mais de 800%.
Desde então, os ataques cibernéticos têm sido um elemento-chave e consistente do conflito contra a Ucrânia e seus aliados ocidentais. Em última análise, ficou claro que as organizações devem fortalecer sua segurança cibernética durante esse conflito.
Neste artigo, detalharemos:
- Por que esses ataques cibernéticos são relevantes para qualquer organização em todos os países.
- Como as organizações podem fortalecer sua segurança cibernética contra as ameaças cibernéticas específicas que surgem desse conflito.
- Como a Illumio pode ajudar as organizações a criar rapidamente os recursos de segurança cibernética de que precisam para se protegerem desses riscos.
Por que o conflito Ucrânia-Rússia é uma ameaça global à segurança cibernética?
Há várias razões para acreditar que o conflito Ucrânia-Rússia pode se transformar em uma ameaça global à segurança cibernética para nações e organizações que não estão diretamente envolvidas no conflito.
Como observou o presidente dos EUA, Biden, em uma declaração recente sobre segurança cibernética, “atividade cibernética maliciosa” é “parte do manual da Rússia”. Na mesma declaração, o presidente Biden alertou que a Rússia provavelmente poderia lançar ataques cibernéticos contra nações ocidentais em retaliação às sanções. Ele também observou que as agências de inteligência já descobriram que “o governo russo está explorando opções para possíveis ataques cibernéticos”.
Além disso, a OTAN lançou suas próprias declarações que recomendam fornecer assistência de segurança cibernética à Ucrânia. A OTAN está aumentando ativamente suas próprias “capacidades e defesas de segurança cibernética” e “fornecendo apoio mútuo em caso de ataques cibernéticos”.
Dada essa evidência, a ameaça global de segurança cibernética emergente desse conflito pode ser vasta.
Conforme observado por Da Accenture No mais recente relatório de incidentes sobre cibersegurança no conflito Ucrânia-Rússia, os operadores russos de ransomware estão ameaçando abertamente atacar a infraestrutura ocidental. As entidades da OTAN “devem esperar atividades e operações de informação potencialmente disruptivas”, incluindo ransomware e ataques cibernéticos. Vários ataques distribuídos de ransomware e negação de serviço já foram lançados contra países que impuseram sanções à Rússia.
Resumindo: mesmo que o lado físico do conflito Ucrânia-Rússia permaneça limitado à região, o aspecto de segurança cibernética do conflito já se tornou uma crise global — entre a Rússia e seus aliados e os países ocidentais respondendo às suas ações.
A resposta global de segurança cibernética ao conflito Ucrânia-Rússia
Muitos países ocidentais já montaram uma resposta de segurança cibernética e forneceram recomendações relacionadas ao conflito Ucrânia-Rússia. Centenas de milhares de hackers multinacionais se voluntariaram para lute contra os crimes cibernéticos russos. E em sua declaração citada anteriormente, o presidente dos EUA, Biden, discutiu explicitamente as ameaças cibernéticas à segurança nacional e pediu ao setor privado que “fortaleça suas defesas cibernéticas imediatamente” implementando as melhores práticas.
Muitas dessas melhores práticas foram discutidas em ordens executivas anteriores sobre segurança cibernética e reiteradas pela Agência de Segurança Cibernética e de Infraestrutura (CISA), que lançou a iniciativa Shields Up em resposta ao conflito Ucrânia-Rússia. Essa iniciativa fornece orientação às organizações sobre como elas podem reforçar suas defesas para melhorar sua resiliência e resposta a incidentes, com ênfase especial na melhoria das proteções contra ransomware.
O risco de ameaças cibernéticas e ataques cibernéticos da Rússia
O conflito Ucrânia-Rússia está forçando organizações de todo o mundo a reavaliar seus riscos de segurança cibernética, revisitar seus modelos de ameaças e criar novas capacidades em resposta a possíveis ataques cibernéticos russos a infraestruturas e serviços críticos.
Tem havido uma enxurrada de atividades nas salas de reuniões em todo o país, à medida que as empresas se esforçam para montar uma resposta eficaz a essas ameaças cibernéticas e desenvolver novas estratégias de cibersegurança e soluções.
Na Illumio, muitos de nossos clientes perguntaram o que podem fazer para evitar que ameaças se espalhem para seus sistemas de TI. Identificamos duas fontes principais de risco emergentes desse conflito — uma altamente específica para ameaças cibernéticas específicas da região e outra mais geral.
- Organizações multinacionais com escritórios na Ucrânia, Rússia ou Bielorrússia temem que agentes mal-intencionados possam comprometer suas redes de computadores nessas regiões. Isso daria aos atacantes a oportunidade de desligar ativos críticos, mover-se lateralmente e se infiltrar em redes mais próximas de casa. Essa ameaça é semelhante à Vírus NotPeya que se espalharam pela Ucrânia em 2017.
- Organizações sem presença nesta região estão preocupados com as possíveis repercussões das sanções ocidentais à Rússia. Como afirmou o aviso do presidente Biden, todas as organizações nos EUA e nos países aliados precisam se preparar para ataques cibernéticos retaliatórios. Isso é especialmente verdadeiro para organizações em infraestrutura crítica, como finanças, serviços públicos e saúde.
No restante deste artigo, descreverei como as organizações podem fortalecer sua segurança cibernética e criar resiliência em relação ao geral e ao específico. ameaças cibernéticas eles enfrentam enquanto o conflito Ucrânia-Rússia continua a se desenvolver.
Tipos de ataques cibernéticos com os quais se preocupar: concentre-se no ransomware
Muitos tipos de ameaças cibernéticas e uma ampla gama de ataques cibernéticos provavelmente ocorrerão como parte do conflito Ucrânia-Rússia. No entanto, prevemos que ransomware continuará sendo o principal padrão de ataque cibernético e o tipo de ameaça durante esse momento de crise.
Existem algumas razões para essa perspectiva.
Primeiro, o ransomware foi especificamente destacado pela CISA em sua iniciativa Shields Up como a principal ameaça para a qual eles discutem a construção de uma resposta.
Em segundo lugar, o ransomware já surgiu como a maior ameaça de cibersegurança da atualidade, e vimos isso ser implantado para interromper a infraestrutura crítica e as cadeias de suprimentos para obter lucro financeiro. O ransomware provou que pode causar grandes danos às operações de quase qualquer tipo de organização. Esperamos ver mais disso.
Em terceiro lugar, o ransomware é um padrão complexo de ataque cibernético com muitas etapas e táticas distintas, a maioria das quais é usada por outros padrões de ataque cibernético. Isso significa que, se você aumentar sua resiliência contra o ransomware, também aumentará sua resiliência contra a maioria das outras ameaças cibernéticas.
Finalmente, incidentes bem-sucedidos de ransomware destacam como arquiteturas tradicionais de cibersegurança falham para impedir novas ameaças. O ransomware deixou claro que a prevenção não é mais suficiente, que as violações agora são inevitáveis e que as ferramentas e protocolos convencionais de segurança cibernética não conseguem acompanhar a velocidade e a escala dos ataques cibernéticos atuais.
Como estabelecer uma arquitetura e um ambiente resilientes de cibersegurança que impeçam o ransomware e outros ataques cibernéticos
Para criar resiliência contra o ransomware e outras ameaças cibernéticas modernas, você deve primeiro entender como elas operam.
Vou decompor o padrão de ataque comum a maioria dessas ameaças segue e fornece etapas simples para combater esse padrão de ataque e criar uma arquitetura e um ambiente mais resilientes.
A maioria dos ataques de ransomware se baseia em três comportamentos.
- Eles exploram caminhos comuns. A maioria dos ataques cibernéticos modernos é bem-sucedida com táticas fundamentais, como explorar vulnerabilidades de software, configurações incorretas ou erros do usuário. Para fazer isso, eles examinam automaticamente a Internet em busca de portas abertas e exploráveis em uma rede. Eles normalmente têm como alvo um pequeno conjunto de caminhos de alto risco (como RDP e SMB) e seguem esses caminhos para se espalhar rapidamente por ambientes abertos.
- São campanhas em vários estágios. Freqüentemente, os ataques cibernéticos modernos precisam concluir vários estágios de ação entre violar uma rede e comprometer ativos suficientes para desligar sistemas e exigir um resgate. Para fazer isso, eles normalmente comprometem um ativo de baixo valor na violação inicial, se conectam à Internet para obter ferramentas para promover o ataque e, gradualmente, percorrem a rede para alcançar ativos de alto valor.
- Eles passam meses sem serem detectados. Depois de violar o perímetro de uma organização, eles se escondem em sua rede e passam o maior tempo possível construindo silenciosamente uma posição e aumentando sua influência. Para fazer isso, eles geralmente exploram ativos que as organizações não sabem que têm, percursos de rede de viagens que as organizações não sabem que estão abertos e deixam rastros de dados difíceis de seguir — só se revelando quando atacam.
Felizmente, criar arquiteturas e ambientes ciber-resilientes que impedem esses ataques é mais simples do que você imagina. Basta pegar o padrão de ataque acima e construir defesa cibernética capacidades para combater cada componente. Veja como.
Recursos de segurança cibernética que impedem as ameaças cibernéticas e criam resiliência
Existem três principais capacidades de cibersegurança que podem ajudar você a combater comportamentos comuns de ataque e criar resiliência contra ransomware e outras ameaças relacionadas.
Para saber mais detalhes sobre cada um desses recursos — e como desenvolvê-los rapidamente — você pode conferir nosso guia completo, Como impedir ataques de ransomware. Mas aqui está uma visão geral rápida de quais recursos podem impedir a maioria das ameaças de ransomware.
- Visibilidade abrangente dos fluxos de comunicação. Com a visibilidade certa, o ransomware e outras ameaças cibernéticas modernas não terão onde se esconder. Se você tiver visibilidade em tempo real de como seus aplicativos se comunicam entre si, terá mais chances de detectar esses ataques com antecedência suficiente para evitar danos.
Essa visibilidade também pode ajudá-lo a identificar os riscos desnecessários de segurança cibernética em seu ambiente, centralizar e correlacionar várias fontes de dados de risco em uma visão unificada de seus fluxos de comunicação e priorizar as ações a serem tomadas para fortalecer seu ambiente.
- Bloqueio de ransomware. Se você puder reduzir os caminhos óbvios de ataque dos cibercriminosos, poderá limitar o impacto e os danos de uma violação. Para fazer isso, você deve fechar proativamente o maior número possível de vias de alto risco, monitorar aquelas que precisam ser deixadas abertas e criar uma chave de contenção de emergência reativa que possa bloquear sua rede em segundos durante um incidente.
- Isolando ativos críticos. Finalmente, se você puder limitar a capacidade de um ataque se espalhar de um sistema para o outro, você pode evitar ransomware de atingir seus ativos essenciais e causar grandes danos. Para fazer isso, primeiro você precisa identificar seus ativos de maior valor e, em seguida, implementar a segmentação para isolar e proteger esses ativos em sua rede, fechando conexões externas com fontes desconhecidas e não confiáveis.
Se você desenvolver esses recursos fundamentais de defesa cibernética, melhorará rapidamente sua segurança cibernética contra os padrões de ataque que provavelmente enfrentará durante o conflito Ucrânia-Rússia.
Embora esses recursos possam parecer complexos e difíceis de desenvolver, sua capacidade de implementá-los rapidamente em seu ambiente depende principalmente de quais ferramentas de segurança e rede você decide usar. Embora a maioria das ferramentas antigas não consiga desenvolver esses recursos com rapidez suficiente para responder ao conflito Rússia-Ucrânia, tecnologias modernas como a Illumio podem oferecer essas capacidades às organizações em minutos, horas e dias.
No restante deste artigo, explorarei como o Illumio funciona e explicarei como ele pode ajudá-lo a desenvolver rapidamente esses recursos e a enfrentar os desafios específicos de segurança criados por esse conflito.
Como a Illumio interrompe os ataques cibernéticos do conflito Ucrânia-Rússia
A Illumio é uma plataforma que fornece visibilidade e controles de segmentação Zero Trust (incluindo microssegmentação) para oferecer novas camadas de resiliência cibernética contra ransomware e outras ameaças digitais modernas. A Illumio adota uma nova abordagem para segmentar redes globais em níveis amplos e granulares.
Com o Illumio, você pode criar rapidamente medidas de segurança cibernética para vários cenários relacionados ao conflito Ucrânia-Rússia. Se você tem ativos e redes em países de alto risco — como Ucrânia, Rússia e Bielorrússia — então Illumio pode ajudar de várias maneiras:
- O Illumio pode oferecer uma visibilidade rica e baseada em riscos e mapeamento de dependências de aplicativos. Ele pode fornecer uma visão clara de como seus ativos na Ucrânia, na Rússia e na Bielorrússia interagem com o resto da sua organização, destacar quaisquer conexões perigosas e ajudá-lo a decidir onde bloquear o tráfego.
- Em minutos, o Illumio pode bloquear o tráfego de e para endereços IP em execução na Ucrânia, Rússia e Bielorrússia. Você também pode escrever exceções para manter o acesso forense a esses sistemas usando o Illumio Limites de fiscalização capacidade, que pode criar um perímetro em torno desses endereços IP em minutos.
- Se você tiver o Illumio implantado em todos os seus ativos, incluindo seus ativos baseados na Ucrânia, Rússia e Bielorrússia, você pode use rótulos para obter essa mesma capacidade de bloqueio escrevendo uma política que diz: “Se os ativos estiverem localizados nesses países, bloqueie esse tráfego”. Com o Illumio, você pode fazer isso em apenas alguns minutos.
Se você não está diretamente exposto ao conflito, mas está preocupado com as ameaças cibernéticas “disseminadas”, a Illumio pode ajudá-lo a atualizar alguns dos principais recursos de segurança cibernética:
- O Illumio pode oferecer visibilidade dentro de sua infraestrutura digital. Com essa visibilidade, você pode entender melhor sua exposição ao risco e detectar melhor violações, ataques em andamento e movimentos laterais de agentes mal-intencionados.
- A Illumio pode criar defesa cibernética aplicando rapidamente restrições de acesso em grande escala, permitindo que você limite fluxos de tráfego suspeitos, bloqueie movimentos laterais e encerre chamadas de comando e controle de invasores. O Illumio pode aplicar políticas grosseiras, como bloquear portas para caminhos comuns de ransomware, como RDP e SSH — e políticas refinadas para proteger seus ativos exclusivos de alto valor.
- Se você tiver informações do feed de ameaças que identifiquem endereços IP maliciosos relacionados ao conflito, poderá usar o Illumio para bloquear esses endereços IP no perímetro e na sua rede, tudo para criar uma defesa profunda contra prováveis fontes de ataques.
A Illumio torna mais rápido, simples e fácil realizar essas ações e melhorar sua segurança cibernética contra ataques diretos relacionados ao conflito Ucrânia-Rússia e ataques indiretos que possam surgir em seu caminho.
Veja como a Illumio faz isso.
Capacidades de defesa cibernética que a Illumio fornece
A Illumio oferece uma abordagem exclusiva para criar visibilidade e segmentação baseadas em riscos — e melhorar significativamente a resiliência à segurança cibernética — em minutos, horas ou dias.
Para fazer isso, Illumio:
- Oferece visibilidade em tempo real baseada em riscos. A Illumio cria um mapa abrangente de dependência de aplicativos e uma imagem em tempo real dos fluxos de tráfego em sua infraestrutura digital híbrida. Com essa visibilidade, você verá onde se conecta a ativos e endereços IP em países de alto risco, entenderá como seus ativos de alto valor podem ser acessados e verá quais políticas de segurança cibernética você deve aplicar em cada área da sua rede.
- Executa a segmentação baseada em host. O Illumio configura os controles de firewall nativos que já existem em seus sistemas operacionais para gerenciar o tráfego entre sistemas diferentes ou entre um sistema e redes externas. Ao fazer isso, a Illumio pode segmentar rapidamente redes e sistemas em níveis amplos e granulares, sem a necessidade de reconfigurar sua arquitetura de rede.
- Segmenta ambientes diversos. A Illumio cria segmentação em ambientes multinuvem, híbridos e locais. A Illumio pode segmentar cargas de trabalho, endpoints e ativos em nuvem a partir de uma única plataforma e aplica políticas a qualquer sistema, incluindo bare-metal, máquinas virtuais, contêineres e muito mais.
- Simplifica o gerenciamento de políticas. A Illumio agiliza e simplifica a aplicação e a manutenção de políticas em ambientes de qualquer tamanho — de cinco sistemas a 500.000. O Illumio agiliza, simplifica e automatiza os principais estágios do gerenciamento de políticas de segmentação.
- Mantém a segmentação à medida que as redes evoluem. O Illumio não força você a rearquitetar sua rede ou reconfigurar manualmente suas ferramentas de segmentação toda vez que sua rede muda. Em vez disso, as políticas de segmentação da Illumio seguem automaticamente os sistemas, mesmo quando eles se movem e mudam.
Com o Illumio, você pode aprimorar suas defesas cibernéticas, obter visibilidade no nível do aplicativo, distribuir novas políticas de cibersegurança em grande escala, e responda às novas ameaças cibernéticas e desenvolvimentos no conflito Ucrânia-Rússia em minutos, horas ou dias.
Como a Illumio impede as ameaças cibernéticas no mundo real
Muitas das organizações mais inovadoras do mundo usam o Illumio para segmentar suas redes e melhorar suas defesas de segurança.
Illumio é usado por:
- Mais de 15% das empresas da Fortune 100
- 6 dos 10 maiores bancos globais
- 5 das principais seguradoras
- 3 das 5 maiores empresas corporativas de SaaS
Nosso clientes usaram o Illumio para visibilidade e segmentação em redes modernas de escala empresarial. Alguns exemplos recentes incluem:
- Um site de comércio eletrônico protege 11.000 sistemas e passa com sucesso por uma auditoria crítica
- Uma plataforma SaaS líder protege 40.000 sistemas sob total automação de DevOps, incluindo políticas e fiscalização
- Um grande banco de custódia isola 1 trilhão de dólares por dia em transações financeiras sob escrutínio regulatório federal
Veja o que os clientes dizem sobre a Illumio.
“A Illumio preencheu uma lacuna para a qual anteriormente não havia solução. Além de atender às normas de conformidade, vimos melhorias drásticas em nossa postura geral de segurança.”
— Steffen Nagel, chefe de tecnologia da informação, Frankfurter Volksbank (Leia o estudo de caso completo)
“O Illumio Core nos permite implementar alterações no firewall muito mais rápido do que antes. Anteriormente, seriam dias ou semanas. Agora são minutos ou horas.”
— Nick Venn, gerente global de colaboração e infraestrutura cibernética da QBE (Leia o estudo de caso completo)
“O Illumio Core provou ser tecnicamente superior, não apenas em termos do que oferece, mas também de sua funcionalidade e funcionamento. Foi a solução mais madura que realmente cumpre suas promessas de uma forma estável e consistente.”
— Jacqueline Teo, diretora digital da HGC Global Communications (Leia o estudo de caso completo)
Defenda-se contra ataques cibernéticos e ameaças cibernéticas do conflito Ucrânia-Rússia — hoje
Enfrentamos um futuro incerto. Não há como prever como o conflito Ucrânia-Rússia evoluirá, como terminará ou quais consequências trará para o mundo.
No entanto, sabemos uma coisa: você não pode mais esperar para melhorar suas defesas de segurança cibernética. Assistimos em tempo real como esse conflito criou implicações dramáticas de segurança cibernética para o mundo inteiro em questão de semanas. Você deve criar o máximo de resiliência cibernética possível — o mais rápido possível — para se preparar para o que vier a seguir.
Entre em contato conosco hoje para agendar uma consulta e demonstração de como a Illumio pode ajudar a fortalecer a resiliência cibernética de sua organização.
Ou saiba mais sobre como se proteger melhor contra ransomware. Baixe nosso guia Como impedir ataques de ransomware.