As novas tendências dos agentes hostis no universo cyber devem atrair a atenção dos líderes de Segurança nos últimos meses do ano e no começo de 2024. Isso porque o FortiGuard Lab, setor de pesquisas de Cibersegurança da Fortinet, detectou e monitorou uma crescente cooperação entre os grupos cibercriminosos privados e as operações de espionagem cibernética de Estados-Nação.
Quem emite esse alerta é o Diretor de Threat Intelligence Avançada no FortiGuard Lab, Douglas Santos. Segundo ele, esses dois são os grandes grupos atuantes no mercado cibercriminoso dos últimos anos. Entretanto, seus objetivos e métodos de ataques sempre foram distintos, permitindo-os gerar expertises específicas para que fossem bem-sucedido nas suas operações.
Desde o começo desse primeiro semestre do ano, o laboratório de pesquisas vem detectando aproximações entre as duas partes, visando se fortalecer mutuamente e mirar alvos mais maduros em Segurança da Informação. Essa visão de futuro somente será possível se os dois grupos atuarem em concordância, como buscam fazer neste momento.
“Essas novas operações ilegais estão sendo chamadas de crimes avançados persistentes, pois ações exclusivas de espionagem movidos por Estados-Nação estão chegando às mãos dos grupos de hackers particulares. Isso tem gerado um crescimento sem precedentes de ameaças disruptivas, a partir da transformação de novas tecnologias em armas potentes contra as defesas estabelecidas”, afirmou Santos, em entrevista para a Security Report.
De acordo com o especialista, os dados que direcionam essas conclusões não foram geradas apenas pelos registros vindos de produtos ativos em clientes. Hoje, a Fortinet é parte fundadora da ONG Cyber Threat Alliance (CTA), formado por diversos vendors de Cibersegurança no mundo. Esses participantes reúnem informações coletadas em suas próprias bases de clientes e compartilham entre os membros de forma a melhor compreender as superfícies de risco e ataque.
O grande alerta movido por essa descoberta envolve a imprevisibilidade do quanto o cibercrime mundial pode se desenvolver a partir de uma aliança tácita entre cibercrime privado e organizações de Estados-Nação mal-intencionados.
Na visão do Diretor do FortiGuard Lab, unir a capacidade de reconhecimento dos grupos de ciberespionagem com os meios ofensivos dos grupos de hackers particulares pode dar origem a ameaças cujas proteções existentes podem não estar prontas para enfrentar. Entre elas há o Recon as a Service, capaz de expor backdoors e vulnerabilidades de forma mais veloz do que os times de Cyber Security são capazes de mitigar.
“Hoje, é muito difícil definir qual seria a dimensão do perigo dessa cooperação, mas certamente qualquer vertical estaria sujeita a uma ameaça desse porte. Vimos a crescente preocupação com incidentes cibernéticos de proporções mundiais, atingindo especialmente redes de infraestrutura crítica. Essas conclusões podem mostrar que, de fato, esse é um risco que não está tão distante assim” comentou Santos.
Threat Informed Defense
Para responder a ameaças cada vez mais disruptivas, o FortiGuard Lab orienta as corporações e suas equipes de SI a repensarem estratégias de proteção, baseando-se em frameworks de órgãos relevantes em Segurança, como a própria CTA ou o Centre for Threat Informed Defense (CTID), mantido pelo MITRE Engenuity. Este segundo órgão de pesquisa pretende gerar meios de mitigação e resposta a partir dos riscos e ameaças inovadoras detectadas no ciberespaço.
Esses são conceitos de Threat Informed Defense, ou defesa de infraestruturas baseadas em inteligência de ameaças. Douglas Santos conta que o objetivo dessas compreensões de Segurança é criar métodos personalizados à cada demanda diferente das diversas companhias. Através disso, é possível gerar maturidade segundo a prioridade de cada uma das verticais.
“Assim que um ataque ocorre, os times de Cibersegurança terão a possibilidade de extrair informações vitais e criar playbooks únicos para as próprias operações. Isso vai favorecer o Purple Teaming, bem como ações de caça a ameaças e engenharia de detecção. Essa abordagem permite responder a uma gama muito maior de ataques”.
Dessa maneira, o especialista em Threat Intelligence aconselha aos CISOs dar atenção ao perfil dos atacantes a partir do conhecimento adquirido pelo mercado e divulgado por essas instituições. “O próximo passo da SI é criar defesas a ameaças desenhadas sobe medida àquela operação empresarial, baseada em frameworks como os do MITRE e da CTA”, conclui Santos.