Os cinco pilares da cibersegurança americana (Crédito: starline/Freepik)

Por Carlos Cabral* [Documento]

Em dezembro de 2020, a FireEye/Mandiant, uma empresa de cibersegurança global adquirida pelo Google no ano passado, emitiu um relatório afirmando que seus sistemas foram atacados por um grupo estrangeiro. Para fazer isso, o adversário precisou atacar a rede de outra empresa, a SolarWinds, desenvolvedora de um popular produto chamado SolarWinds Orion.

O que aconteceu foi que os adversários comprometeram uma atualização do SolarWinds Orion, injetando nela um software malicioso de um tipo chamado backdoor, o qual permite ao atacante acessar a tecnologia quando e quantas vezes quiser. Consequentemente, empresas que atualizaram o SolarWinds Orion baixaram este backdoor escondido em meio às novas funcionalidades do produto.

Apreender o impacto deste ataque passa por entender para que serve um SolarWinds Orion e como ele funciona. Este produto é um gerenciador de TI. Ou seja, ele funciona como o mordomo de uma rede, indicando quais dispositivos estão inativos, quais precisam ser atualizados, quais estão com a performance baixa e precisam ser melhorados, dentre outras coisas. Para cumprir sua função, o SolarWinds Orion precisa ter o poder de administrador em todos esses equipamentos. Ou seja, quem dominar SolarWinds Orion, domina toda a rede.

O ataque afetou muitas empresas públicas e privadas. A fabricante chegou a limitar o incidente a 100 de seus 18.000 clientes, já o governo estadunidense contabiliza 250 organizações publicas e privadas afetadas, dentre elas, entidades críticas como o Conselho de Segurança Nacional e o Departamento de Estado.

“The SolarWinds Hack”, como o episódio passou a ser chamado, acabou se tornando um elemento de estudo essencial para que pessoas com os mais variados repertórios compreendam o impacto que um ciberataque maciço pode ter.

A administração Biden/Harris, bem como o partido democrata (que anos antes havia provado os duros efeitos que operações ofensivas no âmbito cibernético podem ter), sabiam que não podiam olhar para esse problema com os mesmos óculos de 2016. Era necessário um outro plano para lidar com cibersegurança, e essa estratégia foi publicada em 1º de março.

Estratégia de Cibersegurança Nacional

A estratégia do governo estadunidense parte do pressuposto de que o atual momento da Internet demanda um “adulto na sala” que não limite a inventividade humana, mas que, ao mesmo tempo, crie barreiras para impedir o faroeste que todos nós, sobretudo das áreas técnicas, testemunhamos diariamente.

O documento se sustenta na Declaração para o Futuro da Internet, produzida com mais de 60 países signatários (o Brasil não é um deles) e que defende que a Internet precisa ser livre, aberta, global, interoperável, confiável e segura. Partindo desses princípios, são definidos cinco pilares e 26 objetivos para o futuro.

Evento de lançamento da Declaração para o Futuro da Internet (Fonte: Departamento de Estado dos EUA)

Infraestrutura Crítica

Há algumas definições sobre infraestrutura crítica, mas, para a compreensão desse artigo, basta considerar que infra crítica é todo conjunto de tecnologias que, se indisponíveis ou debilitadas, podem ser determinantes para acelerar ou causar uma tragédia e possivelmente nos direcionar à barbárie.

Consideramos como infraestrutura crítica sistemas como o de água, energia, o sistema financeiro, dentre outros. Um exemplo de comprometimento deste tipo ocorreu em maio de 2021, quando a Colonial Pipeline sofreu um ciberataque que afetou a distribuição de diesel, gasolina e querosene de aviação em 45% da costa leste dos Estados Unidos. A interrupção no abastecimento causou a maior elevação no preço do combustível desde 2014 e os moradores dos estados afetados passaram a estocar combustível por não saber quando o insumo voltaria às bombas.

Além de modernizar as defesas tecnológicas, os objetivos que fazem parte desse pilar da estratégia consistem em atualizar os planos federais de resposta a incidentes; integrar centros federais de cibersegurança, juntando pessoas ligadas à aplicação da lei, Inteligência, diplomacia, economia e missões militares; elevar a colaboração público-privada e padronizar os requisitos de segurança de forma orientada não só para a segurança nacional e para o mercado, mas também para a segurança pública.

Derrubar Threat Actors

O termo threat actor é muito usado no âmbito de cibersegurança para que, de forma ampla, caiba nele tantos os cibercriminosos motivados financeiramente quanto os adversários públicos e privados ligados a atividades militares e de Inteligência no espaço cibernético.

Nos últimos anos, observamos uma elevação nos ataques com ransomware em todo o mundo. Nessa modalidade de ataque, o criminoso inibe o acesso da vítima aos seus dados, exigindo um resgate para que seja possível reavê-los. Em uma variação do ataque, o criminoso ainda ameaça a vítima de vazar ou vender esses dados, caso o pagamento não seja feito.

Hoje há centenas de threat actors operando de maneira profissional, com escritórios, equipes que fazem reuniões periódicas e metas a cumprir, tanto no cibercrime quanto em ações que cumprem objetivos de Estado, inclusive nos Estados Unidos. O segundo pilar da estratégia se concentra em como incapacitar os adversários do país.

Segundo o documento, isso será feito por meio de atividades de cooperação, somadas à integração de processos entre as agencias federais nas ações de desarticulação dos grupos de adversários. Destaca-se, nesse pilar, um objetivo específico que visa a derrotar quadrilhas de ransomware.

Impulso ao mercado

O terceiro núcleo da estratégia é marcado pela intenção de dar forma ao mercado, impondo limites robustos e claros para a atividade de coletar, usar, manter e transferir dados pessoais com base em padrões técnicos e melhores práticas já conhecidas. Organiza-se, assim, uma indústria que, por muito tempo, foi demasiadamente frouxa.

A forma pela qual a Cambridge Analytica abusou dos dados do Facebook em operações com o objetivo de manipular a opinião pública, sobretudo no plebiscito do Brexit e de como dispositivos do tipo Internet das Coisas (IoT) como câmeras IP podem ser abusadas para atacar outras redes ou abastecer repositórios de pornografia infantil são exemplos de que é preciso estabelecer limites.

Estabelecer limites e regras para aumentar o nível de segurança (Crédito: Freepik)

A estratégia procura lidar com esses temas, criando garantias federais e outros incentivos que elevem o nível de segurança no processo de inovação tecnológica e oferecendo seguros para organizações vítimas de ataque, mas também promete a determinação de requisitos sobre o tema e a responsabilização das fabricantes pela criação de produtos e serviços inseguros.

Futuro

A recente materialização dos sistemas de Inteligência Artificial pode parecer algo repentino, no entanto, é o resultado de décadas de pesquisas que certamente transformarão a forma como lidamos com a tecnologia. Outra sensível mudança que está sendo gestada é a computação quântica com o potencial de computar de forma tão rápida que logo tornará obsoletos os algoritmos de criptografia mais robustos.

No entanto, todas as maravilhas tecnológicas disponíveis e em construção convivem com tecnologias estruturantes, como os protocolos BGP e DNS, que estão em uso desde os primórdios da Internet e que precisam ser protegidos até que seus aprimoramentos alcancem todas as redes, ou que sejam completamente substituídos.

A Internet é uma rede de redes, e melhorias levam tempo para abranger todo esse universo, considerando-se seu custo de implementação e o fato de as entidades responsáveis por oferecerem manutenção em sua porção da estrutura nem sempre estarem nadando em dinheiro.

Um exemplo dessa fragilidade foi visto no Facebook, em outubro de 2021, quando uma mudança equivocada na configuração do BGP se propagou para todas as redes e tornou a rede social e seus servidores internos inacessíveis por um dia inteiro.

A estratégia estadunidense se dispõe a revigorar a pesquisa e o desenvolvimento federal em cibersegurança em linhas como Inteligência Artificial, sistemas industriais, proteção de infra em nuvem, criptografia e telecomunicações, contendo, inclusive, um objetivo para que o país saiba lidar com o futuro pós-quântico.

O quarto pilar ainda prevê o suporte ao desenvolvimento de um ecossistema de identidade digital; proteger o futuro da energia limpa e desenvolver uma estratégia nacional para fortalecer a força de trabalho em cibersegurança com foco em definir trilhas de ensino e melhorar a diversidade na área.

Parcerias internacionais em objetivos compartilhados

De modo geral, a estratégia exala a necessidade de cooperação e de coordenação, bem como demonstra que o status de insegurança em que vivemos é resultado da incompreensão do grau de interdependência presente na Internet e de como distúrbios nesse ecossistema podem afetar a vida das pessoas. A Internet não consiste em uma instância da vida prática, ela também é vida prática, no mundo todo.

No quinto pilar, os Estados Unidos buscam construir pontes com outros países para combater ameaças e fazer subir uma maré de melhoria na maturidade em cibersegurança que, por sua vez, eleve todos os barcos dos seus aliados, assumindo a posição de liderança nesse processo.

Segundo o documento, isso será feito criando coalizões com aliados; reforçando sua capacidade e melhorando a habilidade dos Estados Unidos em colaborar no caso de incidentes; criando espaços para a formalização de normas globais de comportamento responsável no espaço cibernético e protegendo a cadeia de suprimentos para informação, comunicação e produtos e serviços de tecnologia, sobretudo, no que se refere à tecnologia industrial de infraestrutura crítica.

Tornar a estratégia realidade demandará o enfrentamento de uma condição, na qual o multilateralismo segue lesionado, em que a liderança estadunidense em tecnologia não é mais a mesma dos tempos de quando a Internet eclodiu e em que o abuso da Internet segue muito ativo por adversários com as mais variadas intenções e capacidades. O desafio de implementar todas essas medidas é imenso, porém, seja pelos braços Estados Unidos, ou não, ele é necessário.

* Carlos Cabral é pesquisador na área de Cyber Threat Intelligence na Tempest, produz análises estratégicas a respeito de ameaças e vulnerabilidades cibernéticas apoiando organizações a usarem a perspectiva de inteligência em seu processo de tomada de decisão em cibersegurança. É host do podcast Cyber Morning Call, coorganizador do livro Trilhas em Segurança da Informação: Caminhos e ideias para a proteção de dados (Brasport, 2015) e autor de diversos artigos e palestras sobre tecnologia e segurança. Contato: cabral@proton.me.

** Revisão e edição final: Tatiana Teixeira. 1ª versão recebida em 27 mar. 2023. Este informe não reflete, necessariamente, a opinião do OPEU, ou do INCT-INEU.

*** Sobre o OPEU, ou para contribuir com artigos, entrar em contato com a editora do OPEU, Tatiana Teixeira, no e-mail: tatianat19@hotmail.com. Sobre as nossas newsletters, para atendimento à imprensa, ou outros assuntos, entrar em contato com Tatiana Carlotti, no e-mail: tcarlotti@gmail.com.

Assine nossa Newsletter e receba o conteúdo do OPEU por e-mail.

Siga o OPEU no Instagram, Twitter, Linkedin e Facebook e acompanhe nossas postagens diárias.

Comente, compartilhe, envie sugestões, faça parte da nossa comunidade.

Somos um observatório de pesquisa sobre os EUA, com conteúdo semanal e gratuito, sem fins lucrativos.