Impulsionando o Crescimento de Negócios em Tempos Turbulentos na Perspectiva do CEO da SOC Prime: Parte II
Índice:
Como a Fusão do Sigma & MITRE ATT&CK® Capacita a Defesa Cibernética Coletiva para Obter Vantagem Competitiva na Guerra Cibernética Global
Este artigo é baseado na entrevista original conduzida por AIN.UA e coberta no artigo correspondente.
Nesta segunda parte da entrevista com o Fundador, CEO e Presidente da SOC Prime, Andrii Bezverkhyi, forneceremos insights sobre como o Sigma, em combinação com o MITRE ATT&CK, molda o futuro da defesa cibernética. Para explorar mais sobre a estratégia de continuidade de negócios da SOC Prime, confira a entrevista inicial com o CISO da SOC Prime da série de artigos dedicada.
O Que São Sigma e MITRE ATT&CK — “Tabela Periódica” das Ameaças Cibernéticas
Sigma, uma linguagem comum para todos os especialistas em cibersegurança no mundo, foi criada em 2016. Naquela época, Florian Roth e Thomas Patzke fizeram o primeiro compromisso no repositório do SigmaHQ . Então, como esta linguagem funciona?
Tradicionalmente, antivírus trabalham com bancos de dados de assinaturas (a lista de indicadores) para todas as ameaças existentes. Bancos de dados de assinaturas para antivírus proprietários e seus sucessores, soluções EDR, são tipicamente fechados, então um usuário regular observa o resultado da implementação. Mas com o conhecimento do Sigma, os usuários podem criar tais assinaturas para qualquer ameaça existente ou emergente e adicionar essas assinaturas a um banco de dados aberto acessível a qualquer pessoa.
O Sigma permite expressar a assinatura comportamental para qualquer tecnologia de segurança, desde o registro de eventos locais para Microsoft Windows ou Sysmon até a telemetria AWS ou containers Docker, o que permite aos Engenheiros de Detecção identificar o problema exato e onde ocorreu. Ao utilizar o Sigma, o Administrador da empresa poderá identificar phishing via URL de e-mail, tentativas de explorar uma vulnerabilidade de dia zero descoberta no aplicativo web da organização, ou potenciais ataques de autenticação multifator (MFA) afetando o espaço de trabalho do Slack corporativo.
Os especialistas da SOC Prime estão entre os pioneiros no uso de regras Sigma para uma detecção eficaz de ameaças e defesa cibernética proativa. Além disso, a empresa foi pioneira na marcação de regras Sigma com o framework MITRE ATT&CK atuando como uma base de conhecimento acessível globalmente das TTPs de adversários utilizadas por todos os defensores cibernéticos, independentemente de seu papel na cibersegurança e da pilha tecnológica em uso. O framework foi criado pela MITRE, e assim como o Sigma, é um projeto de código aberto mantido e desenvolvido pela comunidade global de especialistas.
Regras Sigma são amplamente recomendadas como uma maneira eficaz de identificar ameaças e detectar proativamente ataques cibernéticos por organizações como o Federal Bureau of Investigation (FBI), National Security Agency (NSA), Australian Cyber Security Centre (ACSC) e Canadian Centre for Cyber Security (CCCS). A Agência de Segurança Cibernética e de Infraestrutura (CISA) refere-se ao ATT&CK como uma “base de conhecimento acessível globalmente de táticas e técnicas adversárias baseadas em observações do mundo real.”
Antes do MITRE ATT&CK, o nível de maturidade em cibersegurança era o mesmo que em física e química antes da invenção da tabela periódica. É uma base de conhecimento categorizada de todos os ataques cibernéticos emergentes globalmente. Assim, o Sigma atua como uma linguagem, e o framework ATT&CK como uma metodologia para combater ameaças cibernéticas de qualquer escala.
Andrii Bezverkhyi, Fundador, CEO e Presidente na SOC Prime
Então, como funciona na prática? No caso do infame ataque NotPetya, regras Sigma para a detecção de ameaças foram criadas por um dos inventores do Sigma, Florian Roth, e pelo especialista em cibersegurança, Tom Ueltschi. Ao mesmo tempo, a Equipe da SOC Prime estava utilizando essas regras Sigma para ajudar as vítimas do ataque NotPetya no local, fundindo Sigma com as tecnologias ATT&CK e Lockheed Martin Cyber Kill Chain (LMCKC). Foi a primeira vez no mundo em que algoritmos Sigma foram usados em combinação com ATT&CK para identificar e atribuir a verdadeira ameaça.
Durante o ataque Sandworm nas instalações de energia ucranianas em abril de 2022, a Equipe da SOC Prime identificou 9 dos 13 métodos utilizados por atores de ameaças usando as mesmas tecnologias. Notavelmente, regras Sigma para esse ataque foram desenvolvidas dois anos antes, em 2020.
A SOC Prime é um dos renomados especialistas no aproveitamento do Sigma & MITRE ATT&CK para detectar ameaças de maneira mais fácil, rápida e eficiente do que nunca. Em maio de 2022, o CEO da SOC Prime apresentou no Nono Workshop da Comunidade EU MITRE ATT&CK em Bruxelas. Durante sua apresentação, Andrii Bezverkhyi falou sobre o uso do Sigma e ATT&CK para resistir à agressão russa na linha de frente cibernética, aplicando o framework como um dos pilares chave da defesa cibernética coletiva e seu papel essencial em combater ameaças cibernéticas globais. E a partir de agora, essas tecnologias estão servindo à nação ucraniana.
Como a Combinação do Sigma e MITRE ATT&CK Ajuda a Ucrânia a Lutar contra o Inimigo
Desde o início da guerra em escala total, Andrii Bezverkhyi recorreu ao SSSCIP com uma oferta para aplicar o Sigma em conjunto com o ATT&CK como uma tecnologia já testada no campo de batalha real.
Temos o maior repositório mundial de assinaturas para detectar ataques adversários, e estamos prontos para fornecer essas assinaturas para organizações na Ucrânia. Além disso, ajudamos com instalação e configurações, educamos funcionários, e 99% disso fazemos de graça. Foi assim que começamos a trabalhar com as equipes do SSSCIP e CERT-UA.
Andrii Bezverkhyi, Fundador, CEO e Presidente na SOC Prime
A SOC Prime fornece ao Centro Estatal de Proteção Cibernética e às equipes da CERT-UA acesso gratuito às suas tecnologias de defesa cibernética e treinamento profissional sob demanda. Se representantes da infraestrutura crítica da Ucrânia (empresas de energia, empresas de transporte, provedores de serviços postais ou de comunicação, etc.) recorrerem à SOC Prime por recomendação do SSSCIP, a Equipe fornece a eles tecnologias básicas para se defenderem contra o inimigo.
O SSSCIP não corresponde à imagem típica da instituição governamental burocrática. O fluxo de trabalho e as comunicações são puramente democráticos: o Serviço aconselha, não pressiona, e sua equipe lidera, não força. E essa é provavelmente nossa maior diferença em relação aos russos. Exceto por utilizar tecnologia inovadora, atuamos como consultores. Isso é importante, pois, infelizmente, há uma grande falta de profissionais de cibersegurança nas administrações locais ou clínicas.
Andrii Bezverkhyi, Fundador, CEO e Presidente na SOC Prime
Além disso, o SSSCIP atua como regulador na área de proteção de dados e comunicações definidas pela lei. Além disso, o Serviço auxilia empresas ucranianas considerando que todos os ativos em todo o país devem estar sob proteção. É um pré-requisito importante para a resiliência cibernética do estado.
As tecnologias de ponta aplicadas pelo inimigo no ciberespaço são apenas ficção. O agressor está usando o que o mundo tem utilizado por anos. Se todas as organizações públicas e privadas usassem Sigma e ATT&CK, bloqueassem automaticamente os métodos de movimento lateral mais comuns, e compartilhassem os detalhes sobre a infraestrutura do adversário — qualquer ataque cibernético seria facilmente detectado em segundos. No entanto, é apenas uma visão de um futuro ideal possível em três ou cinco anos.
Para cumprir essa visão de futuro, a comunidade de cibersegurança deve treinar e apoiar a próxima geração de praticantes cibernéticos habilidosos em novas tecnologias. Entre as maneiras de alcançar esse objetivo ambicioso está o Programa de Recompensa por Ameaças da SOC Prime.
O passo inicial para combater uma ameaça cibernética é sua identificação. Sem isso, qualquer operação de defesa cibernética não pode ser eficiente. Por mais de 30 anos, a indústria tem oferecido recompensas monetárias (bounty) a especialistas que relatam as vulnerabilidades de segurança descobertas em redes, websites e serviços. Agora é hora dos programas recompensarem aqueles que podem identificar e descrever a lógica do ataque. É apenas o outro lado da moeda. Para defender efetivamente contra ameaças cibernéticas, o número de pessoas descrevendo a defesa não deve ser menor do que aqueles descrevendo a ofensa.
A comunidade de Recompensa por Ameaças agora conecta mais de 620 membros, e este número está constantemente crescendo. Desde o lançamento do Programa, o valor total das recompensas pagas já alcançou $377,000. Em certos casos, os pagamentos mensais de recompensa para um membro chegaram a $2,700 — o que pode ser comparado com um salário de emprego em tempo integral. Antes de a SOC Prime arrecadar o financiamento da Série A, a recompensa era paga com a renda da empresa, mas logo o investidor apoiou a iniciativa. Além disso, a SOC Prime discute com Google e Microsoft as oportunidades para sua participação como patrocinadores.
Para capacitar a defesa cibernética coletiva, a indústria requer mais especialistas habilidosos nas tecnologias de cibersegurança inovadoras e capazes de identificar e classificar quaisquer ameaças em segundos. E a demanda por tais especialistas na Ucrânia é alta, pois o país está na linha de frente da guerra defendendo em todos os domínios — do território ao ciberespaço.
Mesmo se Mordor se autodestruir amanhã, a guerra cibernética ainda continuaria. Portanto, a Ucrânia deve ser capaz de se defender. E é por isso que precisamos treinar pessoas que estarão envolvidas na defesa cibernética para garantir um futuro mais seguro.
Andrii Bezverkhyi, Fundador, CEO e Presidente na SOC Prime
