É cada vez mais comum ouvir-se falar de ciberesiliência no domínio da cibersegurança. A ideia de resiliência não é, nem de longe, uma ideia inovadora
Podemos identificar comportamentos de resiliência na natureza, nos exemplos mais simples, como o dobrar de uma árvore perante a força do vento, que depois regressa à posição inicial, mas também em organismos bem mais complexos, como o corpo humano, que tem a capacidade de resistir e se adaptar quando atacado por um vírus. As próprias organizações, também elas sistemas das nossas sociedades, em especial aquelas que têm operações de gestão de infraestruturas críticas e que prestam serviços essenciais, há muito que compreendem a necessidade de manter operacionais os seus ativos físicos e humanos face a eventos adversos, como no caso de ocorrência de más condições climatéricas ou mesmo uma situação pandémica.
A ciberesiliência trata, portanto, de trazer este conceito de resiliência para o mundo digital. Existem muitas definições para ciberesiliência. Uma, particularmente interessante, porque une as principais capacidades atribuídas à ciberesiliência com a ideia da construção de sistemas em engenharia, é a seguinte: “A capacidade de construir sistemas capazes de antecipar e contornar acidentes, sobreviver a interrupções através da aprendizagem apropriada e adaptação, e recuperar de interrupções retornando o mais próximo possível ao estado anterior à interrupção”[1]. Na prática a ciberesiliência é a capacidade de estar preparado para tudo o que possa ocorrer no espaço digital, através do desenho, construção e operação de sistemas, segundo os princípios de engenharia, sendo a resiliência uma das propriedades dos sistemas!
Compreender a necessidade de adotar ciberesiliência nas nossas organizações não requer grandes raciocínios ou reflexões. A realidade atual mostra- -nos, por um lado, que os ciberataques são cada vez em maior número e sofisticação, com consequências também elas mais gravosas, enquanto que, por outro, decorrente do progresso, a nossa dependência tecnológica vai crescendo e os sistemas evoluindo, abrindo espaço para o surgimento de mais vulnerabilidades, assim como as motivações para a exploração das mesmas por agentes mal-intencionados. Trata-se, portanto, de ter a coragem de assumir que os sistemas modernos são complexos e muito interligados e, como tal, os ambientes operacionais onde funcionam, assim como as cadeias de fornecimento, sempre terão falhas e fraquezas que os adversários poderão explorar, porque não existe risco zero e segurança absoluta capaz de proteger de todas as ameaças.
Cibersegurança e “confiança zero” (zero trust)
É importante aqui observar que adotar uma abordagem de ciberesiliência não significa a substituição da cibersegurança por outro conceito ou que esta deixa de fazer sentido, ao contrário do que se pode subentender, perigosamente, em alguns artigos sobre o tema. A cibersegurança é uma disciplina muito abrangente, incontornável para a sobrevivência das organizações e das sociedades modernas, tendo como objetivos a integridade, autenticidade, confidencialidade e disponibilidade dos recursos de informação, assentes nas capacidades de prevenir, detetar, responder e recuperar. A ciberesiliência complementa e aumenta o alcance dos objetivos da cibersegurança, potenciando algumas medidas implementadas por esta, para alcançar o seu próprio objetivo primordial, que é o de assegurar uma continuidade operacional das funções críticas da organização, nomeadamente, perante a ocorrência de eventos adversos.
Mesmo quando nos referimos a abordagens de “confiança zero” (zero trust), estamos a falar de uma estratégia de cibersegurança normalmente assente em 3 princípios, a saber: privilégios mínimos (least privilege), verificação constante (always verify) e assunção de compromisso dos nossos ativos (assume breach). Efetivamente, assumir o comprometimento dos recursos, curiosamente o único princípio que é realmente novo porque os outros dois sempre existiram na cibersegurança, é o princípio comum com a ciberesiliência. Todavia, como já referido, esta tem um outro foco que é o de assegurar a missão crítica do negócio em situações adversas.
Capacidades e princípio da ciberesiliência
Para melhor compreendermos a ciberesiliência podemos recorrer ao referencial NIST[2], que identifica, de forma muito clara, as capacidades que são necessárias assegurar para uma organização ciberesiliente: antecipar, resistir, recuperar e adaptar.
De forma muito resumida, por antecipar entende- se a capacidade de manutenção de um estado de informação, preparação e alerta, que integre uma resposta planeada a eventos de segurança (ex: o alerta e resposta perante a descoberta de vulnerabilidades ou o comprometimento da cadeia de valor, ilustrado no Log4Shell, mas que poderia ser outra vulnerabilidade menos mediatizada proveniente de Threat Intelligence). No que diz respeito ao atributo da resistência, esta revela-se na faculdade de manter em funcionamento as operações e os serviços essenciais na ocorrência de um ataque (ex: utilização de técnicas como segmentação de redes), consistindo a recuperação nas atividades de restabelecimento das funções de negócio após terem sido impactadas por um incidente (ex: técnicas de redundâncias como backups de segurança). Finalmente, a adaptação reflete a mudança de configuração da organização ou sistemas perante a perceção de alterações nos domínios tecnológicos, operacionais ou de cenários de ameaça à organização (ex: técnica de reposta adaptativa, como o bloqueio automático, com base em Threat Intelligence, de IPs que exploravam a vulnerabilidade Log4Shell).
No que diz respeito aos princípios que fundamentam esta abordagem de ciberesiliência, convém referir que estes podem, e devem, ser aplicados nos diversos níveis da organização, desde as camadas de serviços de negócio, aos processos que os suportam, até aos diferentes níveis lógicos e físicos da construção e operação dos seus sistemas. Os princípios orientadores antes formulados devem ter por foco os ativos essenciais, a capacidade de assumir o comprometimento dos recursos pelos atacantes e que estes, de forma dinâmica, estão continuamente a fazer evoluir o nível das suas ameaças. Para fazer face a este cenário é necessário garantir a redução da superfície de ataque, assim como a adoção de uma atitude ágil e garantir o suporte de arquiteturas adaptativas.
Conclusão
A evolução de uma visão centrada apenas na cibersegurança para um paradigma de ciberesiliência assume-se como um caminho incontornável para podermos criar uma confiança digital que sustentará um desenvolvimento social e económico assente na tecnologia. Contudo, é importante perceber que a ciberesiliência não se adquire num produto ou se conquista num projeto. Ela constitui um princípio base, que deve estar sempre presente e orientar as decisões das organizações ao mais alto nível. Quando se desenha o serviço de um negócio, ou mesmo o processo que o suporta, nos dias de hoje inevitavelmente dependentes de tecnologia, deverá sempre ser considerado o seu desenho levando em linha de conta os princípios da engenharia de ciberesiliência que, fundamentalmente, nos dizem que … devemos estar preparados para tudo!
02 de fevereiro de 2022
Paulo Moniz
Digital Global Unit Security & IT Risk da EDP, Membro da Direção da CIIWA e Vogal da Direção da EuroDefense-Portugal
[1] Madni, Azad M. and Jackson, Scott, “Towards a Conceptual Framework for Resilience Engineering.” IEEE Systems Journal, Vol. 3, No. 2, June 2009.
[2] NIST: National Institute of Standards and Technology.
Artigo original publicado na revista IT-Security, disponível em:
https://www.itsecurity.pt/news/expert/ciberesiliencia—estar-preparado-para-tudo