Aumente a transparência para ter mais segurança

A segurança através da obscuridade,  prática de “esconder” informações para, presumivelmente, mantê-las fora do alcance dos cibercriminosos, sempre foi um tópico controverso na comunidade infosec. E vem sendo cada vez mais contestada. Muitos a apontam como um grande erro, capaz de colocar as empresas em desvantagem diante de ataques à sua rede. A segurança cibernética se tornou importante demais para ser deixada para alguns especialistas de TI anônimos que trabalham nas entranhas de um banco, agência governamental ou hospital. 

Por outro lado, a transparência segue sendo apontada como mais benéfica para organizações que desejam proteger sua rede e responder às ameaças de forma proativa e não colocar todos em risco: a própria empresa, seus clientes e seus fornecedores. Ajuda os desenvolvedores e seus clientes a compreender os vários componentes de seu sistema e localizar problemas que podem levar a vulnerabilidades.

Vulnerabilidades de segurança imprevistas são um fato da vida no cenário tecnológico de hoje. A segurança é uma responsabilidade coletiva e compartilhada e requer cooperação entre fornecedores, provedores de sistema e usuários finais para implementar mitigações de forma rápida e eficaz. Mas sem um compromisso com a transparência — especialmente de líderes e fornecedores da indústria de tecnologia — construir a confiança do público e garantia de segurança simplesmente não é possível.

Dizem que os veículos elétricos são um bom exemplo do valor da cooperação e da transparência na segurança cibernética. Muitos modelos requerem software extremamente sofisticado que deve ser atualizado com frequência. Por exemplo, a Tesla distribui atualizações aos proprietários pelo menos uma vez por mês. 

Para fornecer atualizações, um fabricante de carros elétricos exige privilégios de acesso mundial aos computadores de bordo de seus carros. Naturalmente, os proprietários de automóveis desejam ter certeza de que isso não os expõe a hackers, roubos e fechamentos de veículos remotos ou a serem espionados enquanto dirigem. Por esse motivo, os fabricantes de veículos elétricos precisam ser extremamente abertos sobre sua segurança cibernética para que os proprietários, ou especialistas de confiança, possam avaliar se os sistemas da empresa oferecem proteção eficaz. 

Muitos fornecedores têm desenvolvido novas maneiras de atender às preocupações de governos e clientes por mais transparência. Cada vez mais, laboratórios independentes emitem certificados de segurança mundialmente reconhecidos para uma gama crescente de produtos de telecomunicações. 

Já entre os dispositivos móveis, nesse início da era 5G, o melhor que temos atualmente é o Network Equipment Security Assurance Scheme, ou NESAS. Definido em conjunto pelo 3GPP e a GSMA, esse sistema mundialmente reconhecido testa não apenas os produtos, mas também como eles são desenvolvidos e mantidos (incluindo a instalação de atualizações de firmware). O NESAS também possui um mecanismo de resolução de disputas para lidar com queixas de empresas que acreditam que seus produtos, ou de concorrentes, não foram avaliados de forma justa.

O teste dos dispositivos de rede é realizado por provedores de serviços de teste independentes com base em estruturas de avaliação e catálogos de segurança firmemente definidos. Além da segurança do produto, o aspecto da segurança ao longo de todo o ciclo de vida do produto também é auditado em procedimento complementar.

Transparência também é fundamental para a segurança dos ativos de tecnologia operacional. Em um ambiente industrial complexo é difícil ter um inventário confiável de todos os dispositivos na rede. E ninguém consegue gerenciar o que não sabe que tem. Portanto, a primeira regra de um sistema de segurança TI / OT convergente é garantir visibilidade total, que começa com alguma forma de levantamento de inventário e passa pelo monitoramento contínuo de rede, que inclui a capacidade de atualizar o inventário do mapa virtual com a adição de novos componentes ou elementos de TI e a remoção de ativos desativados. Inclui também a capacidade de rastrear todo o tráfego em todo o sistema, sinalizando qualquer atividade fora do padrão e gerando alertas conforme a gravidade do risco em cada caso.

Ao detectar novas vulnerabilidades em redes e dispositivos OT, as organizações contam com seu inventário de ativos para decidir a gravidade da vulnerabilidade, como corrigir o dispositivo e como isso afeta seus ambientes. Com um inventário de ativos automatizado, as organizações industriais aumentarão a produtividade e a eficiência de suas equipes de OT, gerenciando rapidamente os dados de seus ativos para detectar e proteger seus ambientes em um único painel.  

Como se constrói essa transparência? 

Estabelecer uma estrutura de garantia de segurança de ponta a ponta que pode ser aplicada em todo o ciclo de vida de qualquer produto pode ajudar a melhorar a transparência e fornecer melhor segurança. Investir e apoiar equipes de pesquisa de segurança ofensiva interna e apoiar as contribuições de pesquisadores de segurança externos através de programas de recompensa de bugs e bolsas de pesquisa, também. São abordagens proativas que buscam garantir que os clientes possam confiar na capacidade de uma organização de descobrir, mitigar e divulgar vulnerabilidades de forma colaborativa e confiável.

A colaboração também é fundamental para elevar a garantia de segurança. Isso envolve trabalho multifuncional entre parceiros da indústria, instituições acadêmicas e organizações de governança em políticas, padrões, atenuações e pesquisas para acelerar um entendimento compartilhado de segurança.  A cooperação aberta é a melhor maneira de garantir a segurança. 

Participar de consórcios da indústria e órgãos de padronização para ajudar a garantir que os projetos de tecnologia atendam aos padrões de segurança, privacidade e proteção em evolução é uma boa medida. Alguns exemplos incluem o Trusted Computing Group (TCG), o Confidential Computing Consortium (CCC), o 3rd Generation Partnership Project (3GPP), o National Institute of Standards and Technology (NIST) e a International Organization for Standardization (ISO).

Como a pesquisa de vulnerabilidade e os métodos de ataque continuam a se tornar mais sofisticados, também é importante apoiar a evolução dos padrões de design, garantia e gerenciamento de risco de produtos da indústria. O MITER e vários líderes do setor estão trabalhando para estender o sistema de Enumeração de Fraqueza Comum orientado pela comunidade para incluir novos pontos fracos de hardware, bem como aprimorar seus sistemas de Vulnerabilidades e Exposições Comuns (CVE) e Enumeração de Padrão de Ataque Comum e Classificação (CAPEC) . Outras oportunidades incluem esforços contínuos do Fórum de Equipes de Resposta a Incidentes e Segurança (FIRST) com foco no Sistema de Pontuação de Vulnerabilidade Comum (CVSS) e no Grupo de Interesse Especial (SIG) Equipes de Resposta a Incidência de Segurança de Produto (PSIRT).

Por fim,  líderes da indústria devem elevar o nível de transparência, disponibilizando métricas de segurança do produto no mercado. Isso deve incluir detalhes sobre ameaças identificadas interna e externamente, por exemplo.

“Prevejo que as empresas em todo o mundo vão começar a resistir à falta de transparência dos fornecedores de aplicativos quanto aos componentes que usam para entregar suas soluções. A falta de visibilidade dada a dispositivos fechados, máquinas virtuais e plataformas de aplicativos deixa as empresas no escuro quando vulnerabilidades de dia zero são descobertas nos componentes de software usados ​​para construir essas plataformas. As empresas não estão mais dispostas a esperar para ver a abordagem dos fornecedores”, diz Ron Culler, diretor sênior de tecnologia e soluções, ADT Cybersecurity.