Detecção e Prevenção na Gestão da Segurança da Informação

• Ataques cibernéticos permanecem sem ser detectados durante demasiado tempo
• A nova ISO/IEC 27001:2022 - alterações-chave
• Três novos controlos para detecção e prevenção
• Resumo técnico
• O que significa a actualização para a sua certificação?
• ISMS de última geração com a perícia da DQS

Ataques cibernéticos permanecem sem ser detectados durante demasiado tempo

O valor eminente da informação e dos dados no mundo empresarial do século XXI está a forçar cada vez mais as empresas e organizações a concentrarem-se na segurança da informação e a investirem na protecção sistemática dos seus activos digitais. Porquê? Em paisagens de ameaça dinâmica, as tácticas de ataque estão a tornar-se cada vez mais sofisticadas e multicamadas - resultando em sérios danos para a imagem e reputação das empresas afectadas e milhares de milhões de dólares em prejuízos económicos anuais em todo o mundo.

Os especialistas concordam que já não existe protecção completa contra ataques cibernéticos - quanto mais não seja devido ao factor humano da incerteza. Isto torna ainda mais importante a detecção precoce de ataques potenciais e reais, a fim de limitar o seu vector lateral nas redes empresariais e manter o número de sistemas comprometedores tão baixo quanto possível. Mas há ainda muito a fazer nesta área: a investigação realizada no âmbito do estudo"Cost of a data breach 2022" da IBM mostra que demorou em média 277 dias a detectar e conter um ataque em 2022.

A nova ISO 27001:2022

Para ajudar empresas e organizações com um quadro contemporâneo e normalizado para sistemas de gestão da segurança da informação, a ISO publicou a nova norma ISMS ISO/IEC 27001:2022 em 25 de Outubro de 2022. O Anexo A fornece controlos/medidas que podem ser utilizadas numa base específica da empresa para abordar os riscos de segurança da informação.

A implementação das medidas do Anexo A na versão actual é apoiada pela orientação de implementação estruturada de forma idêntica da ISO/IEC 27002:2022, que já foi actualizada em Fevereiro. Estão recentemente incluídos controlos genéricos para prevenção de ataques estratégicos e detecção mais rápida.

Três novos controlos para a detecção e prevenção

As agora 93 medidas do Anexo A da ISO/IEC 27001:2022 estão agora reorganizadas sob a actualização em quatro tópicos

• Medidas organizativas,
• Medidas pessoais,
• Medidas físicas e
• Medidas tecnológicas.

Três dos onze controlos de segurança da informação recentemente introduzidos estão relacionados com a prevenção e detecção atempada de ataques informáticos. Estes três controlos são

• 5.7 Ameaça de inteligência (organizacional).
• 8.16 Actividades de monitorização (tecnológica)
• 8.23 Filtragem da Web (tecnológica).

Abaixo daremos uma vista de olhos mais atenta a estes 3 novos controlos.

Inteligência de ameaças

O controlo organizacional 5.7 trata da recolha e análise sistemática de informações sobre ameaças relevantes. O objectivo da medida é tornar as organizações conscientes da sua própria situação de ameaça, de modo a que possam subsequentemente tomar as medidas adequadas para mitigar o risco. Os dados sobre as ameaças devem ser analisados de forma estruturada de acordo com três aspectos: estratégico, táctico e operacional.

A análise da ameaça estratégica fornece informações sobre a mudança das paisagens de ameaça, tais como os tipos de ataque e os actores, por exemplo, actores motivados pelo Estado, cibercriminosos, atacantes contratados, hacktivistas. Agências governamentais nacionais e internacionais (tais como BSI - Gabinete Federal Alemão para a Segurança da Informação, enisa - Agência da União Europeia para a Segurança Cibernética, Departamento de Segurança Interna dos EUA ou NIST - Instituto Nacional de Normas e Tecnologia), bem como organizações sem fins lucrativos e fóruns relevantes, fornecem informações bem pesquisadas sobre ameaças em todas as indústrias e infra-estruturas críticas.

As informações sobre ameaças tácticas e a sua avaliação fornecem avaliações dos métodos, ferramentas e tecnologias dos atacantes.

A avaliação operacional de ameaças específicas fornece informação detalhada sobre ataques específicos, incluindo indicadores técnicos, por exemplo, actualmente o aumento extremo de ataques cibernéticos por meio de resgates e as suas variantes em 2022.

A análise das ameaças pode fornecer apoio das seguintes formas:

• Procedimentos para integrar dados de ameaças no processo de gestão de riscos,
• Tecnicamente preventiva e de detecção, por exemplo, actualizando as regras de firewall, sistemas de detecção de intrusão (IDS), soluções anti-malware,
• Com informação de entrada para procedimentos de teste específicos e técnicas de teste contra a segurança da informação.

A qualidade dos dados do controlo organizacional 5.7 para determinar a situação de ameaça e analisá-la afecta directamente os dois controlos técnicos para actividades de monitorização (8.16) e filtragem da Web (8.23) discutidos abaixo, que também são novidade para a ISO/IEC 27002.

Actividades de monitorização

Controlo de segurança de informação detectiva e correctiva 8.16 sobre o acompanhamento técnico das actividades centra-se na detecção de anomalias como método para evitar ameaças. As redes, sistemas e aplicações comportam-se de acordo com os padrões esperados, tais como a transmissão de dados, protocolos, mensagens, e assim por diante. Qualquer alteração ou desvio destes padrões esperados é detectada como uma anomalia.

A fim de detectar este comportamento invulgar, as actividades relevantes devem ser monitorizadas de acordo com os requisitos de segurança empresarial e de informação e quaisquer anomalias devem ser comparadas com os dados de ameaça existentes, entre outras coisas (ver acima, requisito 5.7). Os seguintes aspectos são relevantes para o sistema de monitorização:

• Rede de entrada e de saída, tráfego do sistema e das aplicações,
• Acesso a sistemas, servidores, equipamento de rede, sistemas de monitorização, aplicações críticas, etc
• Ficheiros de configuração de sistemas e redes a nível administrativo ou de missão crítica;
• Registos de ferramentas de segurança [por exemplo, antivírus, sistemas de detecção de intrusão (IDS), sistema de prevenção de intrusão (IPS), filtros web, firewalls, prevenção de fugas de dados],
• Registos de eventos relacionados com actividades do sistema e da rede,
• Verificação de que o código executável de um sistema tem integridade e autorização,
• Utilização de recursos, por exemplo, potência do processador, capacidade do disco, utilização de memória, largura de banda.

Os requisitos básicos para um controlo funcional das actividades são uma infra-estrutura TI/OT configurada de forma limpa e transparente e redes TI/OT a funcionar correctamente. Qualquer alteração contra este estado básico é detectada como uma potencial ameaça ao funcionamento e, portanto, como uma anomalia. Dependendo da complexidade de uma infra-estrutura, a implementação desta medida constitui um grande desafio, apesar das soluções de fornecedores relevantes. A importância dos sistemas para a detecção de anomalias foi reconhecida quase simultaneamente com o requisito 8.16 da ISO/IEC 27002:2022 para os operadores das chamadas infra-estruturas críticas. Assim, no âmbito nacional dos regulamentos legais relevantes, existe uma obrigação para estes de aplicar efectivamente os chamados sistemas de detecção de ataques com prazos.

Filtragem da Web

A Internet é tanto uma bênção como uma maldição. O acesso a sites duvidosos continua a ser uma porta de entrada para conteúdos maliciosos e malware. O controlo de segurança da informação 8.23 A filtragem da Web tem o propósito preventivo de proteger os próprios sistemas de uma organização contra a intrusão de malware e impedir o acesso a recursos não autorizados da Web. As organizações devem estabelecer regras para uma utilização segura e apropriada dos recursos em linha para este fim - incluindo restrições obrigatórias de acesso a sítios Web e aplicações baseadas na Web não desejadas ou inadequadas. O acesso aos seguintes tipos de sítios Web deve ser bloqueado pela organização:

• Websites que tenham uma função de carregamento - a menos que tal seja necessário por razões legítimas e comerciais,
• Sítios Web maliciosos conhecidos ou mesmo suspeitos,
• Servidores de comando e controlo,
• Sítios Web maliciosos identificados como tal a partir dos dados de ameaça (ver também medida 5.7),
• Sítios Web com conteúdo ilegal.

A medida de filtragem da web só funciona realmente com pessoal treinado que esteja suficientemente consciente da utilização segura e apropriada dos recursos em linha.

Conclusão técnica

Os novos controlos de detecção e prevenção aqui descritos têm um papel fundamental a desempenhar na defesa contra a cibercriminalidade organizada, e encontraram correctamente o seu caminho nas versões actuais da ISO/IEC 27001 e ISO/IEC 27002. Com a contínua actualização e análise da informação disponível sobre ameaças, a monitorização extensiva da actividade nas suas próprias infra-estruturas de TI, e a segurança dos seus próprios sistemas contra websites duvidosos, as empresas estão a reforçar de forma sustentável a sua protecção contra a intrusão de malware perigoso. Colocam-se também em posição de iniciar medidas de resposta adequadas numa fase inicial.

As empresas e organizações têm agora de implementar os três controlos/medidas apresentados em conformidade e integrá-los consistentemente no seu SGSI, a fim de satisfazer os requisitos de futuras auditorias de certificação. A DQS tem mais de 35 anos de experiência abrangente no campo das auditorias e certificações imparciais - e tem o prazer de o apoiar na gestão da mudança do seu sistema de gestão da segurança da informação de acordo com a ISO/IEC 27001:2022.

O que significa a actualização para a sua certificação?

A ISO/CEI 27001:2022 foi publicada a 25 de Outubro de 2022. Isto resulta nos seguintes prazos e prazos de transição para os utilizadores:

• Disponibilidade para a certificação à ISO/IEC 27001:2022 prevista de Fevereiro a Maio de 2023 (sujeita ao nosso organismo de acreditação DAkkS, Deutsche Akkreditierungsstelle GmbH).
• A última data para auditorias iniciais/recertificação de acordo com a "antiga" ISO 27001:2013 é 31 de Outubro de 2023 Após 31 de Outubro de 2023, a DQS realizará auditorias iniciais e de recertificação apenas de acordo com a nova norma ISO/IEC 27001:2022
• Conversão de todos os certificados existentes de acordo com a "antiga" ISO/IEC 27001:2013 para a nova ISO/IEC 27001:2022: será aplicável um período de transição de três anos a partir de 31 de Outubro de 2022. Os certificados emitidos de acordo com a ISO/IEC 27001:2013 ou DIN EN ISO/IEC 27001:2017 serão válidos até 31 de Outubro de 2025, o mais tardar, ou devem ser retirados nesta data.

ISMS de última geração com a perícia da DQS

Ao fazer a transição para a nova versão da ISO/IEC 27001, as organizações ainda têm algum tempo. Os certificados actuais baseados na antiga norma perderão a sua validade em 31.10.2025. No entanto, é bem aconselhável lidar com os requisitos ISMS alterados numa fase inicial, iniciar processos de mudança adequados e implementá-los em conformidade.

Como especialistas em auditorias e certificações com a experiência de mais de três décadas, apoiamo-lo na implementação da nova norma. Informe-se junto dos nossos numerosos auditores experientes sobre as mudanças mais importantes e a sua relevância para a sua organização - e deposite a sua confiança na nossa perícia. Juntos, discutiremos o seu potencial de melhoramento e apoiá-lo-emos até receber o novo certificado. Aguardamos com expectativa a sua resposta.