Detecção e Prevenção na Gestão da Segurança da Informação

• Ataques cibernéticos permanecem indetectáveis ​​por muito tempo
• A nova ISO/IEC 27001:2022 - principais mudanças
• Três novos controles para detecção e prevenção
• Resumo técnico
• O que a atualização significa para a sua certificação?
• ISMS de última geração com a expertise da DQS

Ataques cibernéticos permanecem indetectáveis ​​por muito tempo

O valor eminente da informação e dos dados no mundo empresarial do século XXI obriga cada vez mais as empresas e organizações a focarem-se na segurança da informação e a investirem na proteção sistemática dos seus ativos digitais. Porque? Em cenários dinâmicos de ameaças, as táticas dos invasores estão se tornando cada vez mais sofisticadas e multifacetadas, resultando em sérios danos à imagem e reputação das empresas afetadas e bilhões de dólares em perdas econômicas anuais em todo o mundo. 

Os especialistas concordam que não há mais proteção completa contra ataques cibernéticos - apenas por causa do fator humano de incerteza. Isso torna a detecção precoce de ataques potenciais e reais ainda mais importante para limitar seu vetor lateral em redes corporativas e manter o número de sistemas compromissáveis ​​o mais baixo possível. Mas ainda há muito o que fazer nessa área: pesquisas conduzidas como parte do programa "Custo de uma violação de dados 2022" estudo mostra que demorou em média 277 dias para detectar e conter um ataque em 2022.

A nova ISO 27001:2022

Para auxiliar empresas e organizações com uma estrutura padronizada contemporânea para sistemas de gestão de segurança da informação, a ISO publicou a nova norma ISMS ISO/IEC 27001:2022 em 25 de outubro de 2022. O Anexo A fornece controles/medidas que podem ser usados ​​em uma empresa específica base para lidar com os riscos de segurança da informação.

A implementação das medidas do Anexo A na versão atual é suportada pela orientação de implementação estruturada de forma idêntica da ISO/IEC 27002:2022, que já foi atualizada em fevereiro. Controles genéricos para prevenção estratégica de ataques e detecção mais rápida foram incluídos recentemente.

Três novos controles para a detecção e prevenção

As agora 93 medidas no Anexo A da ISO/IEC 27001:2022 estão agora reorganizadas sob a atualização em quatro tópicos

• Medidas organizacionais,
• Medidas pessoais,
• Medidas físicas e
• Medidas tecnológicas.

Três dos onze controles de segurança da informação recém-introduzidos estão relacionados à prevenção e detecção oportuna de ataques cibernéticos. Esses três controles são

• 5.7 Ameaça de inteligência (organizacional).
• 8.16 Atividades de monitoramento (tecnológica)
• 8.23 Filtragem da Web (tecnológica).

A seguir, veremos mais de perto esses 3 novos controles. 

Inteligência de ameaças

O controle organizacional 5.7 trata da coleta e análise sistemáticas de informações sobre ameaças relevantes. O objetivo da medida é conscientizar as organizações sobre sua própria situação de ameaça para que, posteriormente, possam tomar as medidas adequadas para mitigar o risco. Os dados de ameaças devem ser analisados ​​de forma estruturada em três aspectos: estratégico, tático e operacional.

A análise estratégica de ameaças fornece informações sobre cenários de ameaças em constante mudança, como tipos de ataque e atores, por exemplo, atores motivados pelo estado, cibercriminosos, invasores contratados, hacktivistas. Agências governamentais nacionais e internacionais (como BSI - Escritório Federal Alemão para Segurança da Informação, enisa - Agência da União Europeia para Segurança Cibernética, Departamento de Segurança Interna dos EUA ou NIST - Instituto Nacional de Padrões e Tecnologia), bem como organizações sem fins lucrativos e entidades relevantes fóruns, fornecem inteligência de ameaças bem pesquisada em todos os setores e infraestruturas críticas.

A inteligência tática de ameaças e sua avaliação fornecem avaliações dos métodos, ferramentas e tecnologias dos invasores.

A avaliação operacional de ameaças específicas fornece informações detalhadas sobre ataques específicos, incluindo indicadores técnicos, por exemplo, atualmente o aumento extremo de ataques cibernéticos por ransomware e suas variantes em 2022.

A análise das ameaças pode fornecer suporte das seguintes formas:

• Procedimentos para integrar dados de ameaças no processo de gestão de riscos,
• Tecnicamente preventivo e de detecção, por exemplo, atualizando regras de firewall, sistemas de detecção de intrusão (IDS), soluções anti-malware,
• Com informações de entrada para procedimentos de teste específicos e técnicas de teste contra a segurança da informação.

A qualidade dos dados do controle organizacional 5.7 para determinar a situação de ameaça e analisá-la afeta diretamente os dois controles técnicos para atividades de monitoramento (8.16) e filtragem da web (8.23) discutidos abaixo, que também são novos na ISO/IEC 27002.

Atividades de monitoramento

O controle de segurança da informação detectivo e corretivo 8.16 sobre monitoramento técnico das atividades tem como foco a detecção de anomalias como método de prevenção de ameaças. Redes, sistemas e aplicativos se comportam de acordo com padrões esperados, como taxa de transferência de dados, protocolos, mensagens e assim por diante. Qualquer mudança ou desvio desses padrões esperados é detectado como uma anomalia.

Para detectar esse comportamento incomum, as atividades relevantes devem ser monitoradas de acordo com os requisitos de negócios e segurança da informação e quaisquer anomalias devem ser comparadas com dados de ameaças existentes, entre outras coisas (consulte acima, requisito 5.7). Os seguintes aspectos são relevantes para o sistema de monitoramento:

• Rede de entrada e saída, sistema e tráfego de aplicativos,
• Acesso a sistemas, servidores, equipamentos de rede, sistemas de monitoramento, aplicações críticas, etc...,
• Arquivos de configuração de sistema e rede no nível administrativo ou de missão crítica;
• Logs de ferramentas de segurança [por exemplo, antivírus, sistemas de detecção de intrusão (IDS), sistema de prevenção de intrusão (IPS), filtros da web, firewalls, prevenção de vazamento de dados], 
• Logs de eventos relacionados às atividades do sistema e da rede, 
• Verificação de que o código executável em um sistema possui integridade e autorização,
• Uso de recursos, por exemplo, potência do processador, capacidade de disco, uso de memória, larguras de banda. 

Os requisitos básicos para um monitoramento funcional das atividades são uma infraestrutura de TI/OT configurada de forma limpa e transparente e redes de TI/OT funcionando adequadamente. Qualquer alteração nesse estado básico é detectada como uma ameaça potencial à funcionalidade e, portanto, como uma anomalia. Dependendo da complexidade de uma infraestrutura, a implementação dessa medida é um grande desafio, apesar das soluções relevantes dos fornecedores. A importância dos sistemas de detecção de anomalias foi reconhecida quase simultaneamente com o requisito 8.16 da ISO/IEC 27002:2022 para operadores das chamadas infraestruturas críticas. Assim, no âmbito nacional dos normativos legais relevantes, existe a obrigatoriedade de estes aplicarem eficazmente os chamados sistemas de detecção de ataques com prazos. 

Filtragem da Web

A Internet é tanto uma bênção como uma maldição. O acesso a sites duvidosos continua sendo uma porta de entrada para conteúdo malicioso e malware. O controle de segurança da informação 8.23 ​​A filtragem da Web tem o objetivo preventivo de proteger os próprios sistemas de uma organização contra a invasão de malware e impedir o acesso a recursos da Web não autorizados. As organizações devem estabelecer regras para o uso seguro e apropriado de recursos online para esse fim - incluindo restrições obrigatórias de acesso a sites indesejados ou inapropriados e aplicativos baseados na web. O acesso aos seguintes tipos de sites deve ser bloqueado pela organização: 

• Sites que possuem um recurso de upload - a menos que isso seja necessário por motivos comerciais legítimos,
• Sites maliciosos conhecidos ou mesmo suspeitos,
• Servidores de comando e controle,
• Sites maliciosos identificados como tal a partir dos dados de ameaças (ver também medida 5.7), 
• Sites com conteúdo ilegal. 

A medida de filtragem da web só funciona realmente com pessoal treinado que esteja suficientemente ciente do uso seguro e apropriado dos recursos online.

Conclusão técnica

Os novos controles de detecção e prevenção descritos aqui têm um papel fundamental a desempenhar na defesa contra o crime cibernético organizado e, com razão, encontraram seu caminho nas versões atuais do ISO/IEC 27001 e ISO/IEC 27002. Com a atualização e análise contínuas dos informações sobre ameaças, amplo monitoramento de atividades em suas próprias infraestruturas de TI e proteção de seus próprios sistemas contra sites duvidosos, as empresas estão fortalecendo de forma sustentável sua proteção contra a invasão de malware perigoso. Eles também se colocam em posição de iniciar medidas de resposta apropriadas em um estágio inicial.  

As empresas e organizações agora devem implementar os três controles/medidas apresentados de acordo e integrá-los de forma consistente em seu SGSI para atender aos requisitos de futuras auditorias de certificação. A DQS tem mais de 35 anos de experiência abrangente na área de auditorias e certificações imparciais - e tem o prazer de apoiá-lo no gerenciamento de mudanças de seu Sistema de Gestão de segurança da informação de acordo com a ISO/IEC 27001:2022. 

O que a atualização significa para a sua certificação?

A versão nova da ISO/IEC 27001 foi publicada em 25 de outubro de 2022. Isto resulta nos seguintes prazos de transição:

Última data para auditorias iniciais/recertificação de acordo com a “antiga” ISO 27001:2013

• Após 30 de abril de 2024, a DQS realizará auditorias iniciais e de recertificação apenas de acordo com a nova norma ISO/IEC 27001:2022

Transição de todos os certificados existentes de acordo com a "antiga" ISO/IEC 27001:2013 para a nova ISO/IEC 27001:2022

• Há um período de transição de 3 anos a partir de 31 de outubro de 2022 
• Os certificados emitidos de acordo com ISO/IEC 27001:2013 ou DIN EN ISO/IEC 27001:2017 são válidos até 31 de outubro de 2025, o mais tardar, ou devem ser retirados nesta data

ISMS de última geração com a expertise da DQS 

Ao fazer a transição para a nova versão da ISO/IEC 27001, as organizações ainda têm algum tempo. Os certificados atuais baseados na norma antiga perderão a validade em 31.10.2025. No entanto, é aconselhável lidar com os requisitos alterados do ISMS em um estágio inicial, iniciar processos de mudança adequados e implementá-los de acordo. 

Como especialistas em auditorias e certificações com experiência de mais de três décadas, apoiamos você na implementação da nova norma. Informe-se com nossos numerosos auditores experientes sobre as mudanças mais importantes e sua relevância para sua organização - e confie em nossa experiência. Juntos, discutiremos seu potencial de melhoria e o apoiaremos até que você receba o novo certificado. Estamos ansiosos para ouvir de você.