Estratégias de segurança cibernética

Para projetar e implementar um ciberespaço seguro, algumas estratégias rigorosas foram postas em prática. Este capítulo explica as principais estratégias empregadas para garantir a segurança cibernética, que incluem o seguinte -

  • Criação de um ecossistema cibernético seguro
  • Criação de uma estrutura de garantia
  • Incentivando padrões abertos
  • Fortalecimento da Estrutura Regulatória
  • Criação de mecanismos para segurança de TI
  • Protegendo serviços de governança eletrônica
  • Proteção da infraestrutura de informações críticas

Estratégia 1 - Criação de um ecossistema cibernético seguro

O ecossistema cibernético envolve uma ampla gama de entidades variadas, como dispositivos (tecnologias de comunicação e computadores), indivíduos, governos, organizações privadas, etc., que interagem entre si por vários motivos.

Essa estratégia explora a ideia de ter um ecossistema cibernético forte e robusto, onde os dispositivos cibernéticos possam trabalhar uns com os outros no futuro para prevenir ataques cibernéticos, reduzir sua eficácia ou encontrar soluções para se recuperar de um ataque cibernético.

Esse ecossistema cibernético teria a capacidade embutida em seus dispositivos cibernéticos para permitir formas seguras de ação a serem organizadas dentro e entre grupos de dispositivos. Este ecossistema cibernético pode ser supervisionado por técnicas de monitoramento atuais, onde produtos de software são usados ​​para detectar e relatar falhas de segurança.

Um ciberecossistema forte tem três estruturas simbióticas - Automation, Interoperability, e Authentication.

  • Automation - Facilita a implementação de medidas avançadas de segurança, aumenta a agilidade e otimiza os processos de tomada de decisão.

  • Interoperability- Endurece as ações colaborativas, melhora a consciência e acelera o processo de aprendizagem. Existem três tipos de interoperabilidade -

    • Semântica (ou seja, léxico compartilhado com base no entendimento comum)
    • Technical
    • Política - importante para assimilar diferentes contribuintes em uma estrutura inclusiva de defesa cibernética.

  • Authentication - Melhora as tecnologias de identificação e verificação que funcionam de forma a fornecer -

    • Security
    • Affordability
    • Facilidade de uso e administração
    • Scalability
    • Interoperability

Comparação de Ataques

A tabela a seguir mostra a comparação das categorias de ataque com os recursos desejados do ecossistema cibernético -

Estudo de caso

O diagrama a seguir foi preparado por Guilbert Gates for The New York Times, que mostra como uma planta iraniana foi hackeada pela internet.

Explanation- Um programa foi projetado para operar automaticamente a usina nuclear iraniana. Infelizmente, um funcionário que não estava ciente das ameaças introduziu o programa no controlador. O programa coletou todos os dados relacionados à planta e enviou as informações para as agências de inteligência que desenvolveram e inseriram um worm na planta. Usando o verme, a planta foi controlada por canalhas, o que levou à geração de mais vermes e, como resultado, a planta falhou completamente.

Tipos de Ataques

A tabela a seguir descreve as categorias de ataque -

Categoria de Ataque Descrição do Ataque
Atrito

Métodos usados ​​para danificar redes e sistemas. Inclui o seguinte -

  • ataques distribuídos de negação de serviço
  • prejudicar ou negar acesso a um serviço ou aplicativo
  • ataques de esgotamento de recursos
Malware Qualquer software malicioso usado para interromper a operação normal do computador e danificar ativos de informação sem o consentimento do proprietário. Qualquer execução de um dispositivo removível pode aumentar a ameaça de um malware.
Hacking

Uma tentativa de explorar intencionalmente os pontos fracos para obter acesso antiético, geralmente conduzida remotamente. Pode incluir -

  • ataques de vazamento de dados
  • ataques de injeção e abuso de funcionalidade
  • spoofing
  • ataques de estado de tempo
  • ataques de buffer e estrutura de dados
  • manipulação de recursos
  • uso de credenciais roubadas
  • backdoors
  • ataques de dicionário em senhas
  • exploração de autenticação
Táticas Sociais

Usar táticas sociais como engano e manipulação para adquirir acesso a dados, sistemas ou controles. Inclui -

  • pré-texto (pesquisas forjadas)
  • incitando phishing
  • recuperação de informações por meio de conversas
Uso impróprio (ameaça interna)

Uso indevido de direitos a dados e controles por um indivíduo em uma organização que violaria as políticas da organização. Inclui -

  • instalação de software não autorizado
  • remoção de dados sensíveis
Ação física / perda ou roubo de equipamento

Ataques dirigidos por humanos, como -

  • tokens de identidade e cartões de crédito roubados
  • manipular ou substituir leitores de cartão e terminais de ponto de venda
  • interferindo com sensores
  • roubo de um dispositivo de computação usado pela organização, como um laptop
Multiple Component Técnicas de anexação única que contêm várias técnicas e componentes de ataque avançados.
De outros

Ataques como -

  • ataques à cadeia de abastecimento
  • investigação de rede

Estratégia 2 - Criando uma Estrutura de Garantia

O objetivo desta estratégia é projetar um esboço em conformidade com os padrões globais de segurança por meio de produtos, processos, pessoas e tecnologia tradicionais.

Para atender aos requisitos de segurança nacional, uma estrutura nacional conhecida como Cybersecurity Assurance Frameworkfoi desenvolvido. Ele acomoda organizações de infraestrutura crítica e os governos por meio de ações de "habilitação e endosso".

Enablingas ações são realizadas por entidades governamentais que são órgãos autônomos e isentos de interesses comerciais. A publicação dos "Requisitos de conformidade da política de segurança nacional" e das diretrizes e documentos de segurança de TI para permitir a implementação e conformidade da segurança de TI é feita por essas autoridades.

Endorsing ações estão envolvidas em serviços lucrativos após o cumprimento dos padrões de qualificação obrigatórios e incluem o seguinte -

  • Certificação ISMS ISO 27001 / BS 7799, auditorias de sistema IS, etc., que são essencialmente as certificações de conformidade.

  • Padrão 'Common Criteria' ISO 15408 e padrões de verificação do módulo Crypto, que são a avaliação e certificação de produtos de segurança de TI.

  • Serviços para auxiliar os consumidores na implementação de segurança de TI, como treinamento de pessoal de segurança de TI.

Certificação de empresa confiável

As TI / ITES / BPOs indianas precisam cumprir os padrões internacionais e as melhores práticas de segurança e privacidade com o desenvolvimento do mercado de terceirização. ISO 9000, CMM, Six Sigma, Gestão da Qualidade Total, ISO 27001 etc., são algumas das certificações.

Os modelos existentes, como os níveis SEI CMM, destinam-se exclusivamente a processos de desenvolvimento de software e não tratam de questões de segurança. Portanto, vários esforços são feitos para criar um modelo baseado no conceito de autocertificação e nas linhas do Software Capability Maturity Model (SW-CMM) da CMU, EUA.

A estrutura que foi produzida por meio de tal associação entre a indústria e o governo compreende o seguinte -

  • standards
  • guidelines
  • practices

Esses parâmetros ajudam os proprietários e operadores de infraestrutura crítica a gerenciar os riscos relacionados à segurança cibernética.

Estratégia 3 - Encorajando Padrões Abertos

Os padrões desempenham um papel significativo na definição de como abordamos as questões relacionadas à segurança da informação em regiões geográficas e sociedades. Padrões abertos são encorajados a -

  • Aumente a eficiência dos principais processos,
  • Permitir a incorporação de sistemas,
  • Fornece um meio para os usuários avaliarem novos produtos ou serviços,
  • Organize a abordagem para arranjar novas tecnologias ou modelos de negócios,
  • Interpretar ambientes complexos e
  • Apoiar o crescimento econômico.

Normas como a ISO 27001 [3] encorajam a implementação de uma estrutura organizacional padrão, onde os clientes podem entender os processos e reduzir os custos de auditoria.

Estratégia 4 - Fortalecimento do Marco Regulatório

O objetivo dessa estratégia é criar um ecossistema cibernético seguro e fortalecer a estrutura regulatória. Um mecanismo 24X7 foi concebido para lidar com ameaças cibernéticas por meio do National Critical Information Infrastructure Protection Center (NCIIPC). A Computer Emergency Response Team (CERT-In) foi designada para atuar como uma agência nodal para o gerenciamento de crises.

Alguns destaques desta estratégia são os seguintes -

  • Promoção da pesquisa e desenvolvimento em segurança cibernética.

  • Desenvolvimento de recursos humanos por meio de programas de educação e treinamento.

  • Incentivar todas as organizações, sejam públicas ou privadas, a designar uma pessoa para atuar como Diretor de Segurança da Informação (CISO), que será responsável pelas iniciativas de segurança cibernética.

  • As Forças Armadas indianas estão em processo de estabelecer um comando cibernético como parte do fortalecimento da segurança cibernética das redes e instalações de defesa.

  • A implementação efetiva da parceria público-privada está em andamento e irá percorrer um longo caminho na criação de soluções para o cenário de ameaças em constante mudança.

Estratégia 5 - Criação de mecanismos para segurança de TI

Alguns mecanismos básicos que existem para garantir a segurança de TI são - medidas de segurança orientadas a links, medidas de segurança ponta a ponta, medidas orientadas por associação e criptografia de dados. Esses métodos diferem em seus recursos de aplicativos internos e também nos atributos da segurança que fornecem. Vamos discuti-los em breve.

Medidas Orientadas a Link

Ele oferece segurança durante a transferência de dados entre dois nós, independentemente da eventual origem e destino dos dados.

Medidas de ponta a ponta

É um meio para transportar unidades de dados de protocolo (PDUs) de maneira protegida da origem ao destino, de forma que a interrupção de qualquer um de seus links de comunicação não viole a segurança.

Medidas orientadas para a associação

As medidas orientadas para a associação são um conjunto modificado de medidas de ponta a ponta que protegem cada associação individualmente.

Criptografia de Dados

Ele define algumas características gerais das cifras convencionais e da classe desenvolvida recentemente de cifras de chave pública. Ele codifica as informações de uma forma que somente o pessoal autorizado pode descriptografá-las.

Estratégia 6 - Protegendo Serviços de Governança Eletrônica

A governança eletrônica (e-governança) é o instrumento mais precioso do governo para fornecer serviços públicos de maneira responsável. Infelizmente, no cenário atual, não há uma estrutura legal dedicada à governança eletrônica na Índia.

Da mesma forma, não há lei para a distribuição eletrônica obrigatória de serviços públicos na Índia. E nada é mais perigoso e problemático do que executar projetos de governança eletrônica sem segurança cibernética suficiente. Portanto, proteger os serviços de governança eletrônica tornou-se uma tarefa crucial, especialmente quando a nação está fazendo transações diárias por meio de cartões.

Felizmente, o Reserve Bank of India implementou medidas de segurança e mitigação de risco para transações com cartão na Índia, aplicáveis ​​a partir de 1º de outubro de 2013. Ele atribuiu a responsabilidade de garantir as transações com cartão aos bancos e não aos clientes.

"Governo eletrônico" ou governo eletrônico refere-se ao uso de Tecnologias da Informação e Comunicação (TICs) por órgãos governamentais para o seguinte -

  • Entrega eficiente de serviços públicos
  • Refinando a eficiência interna
  • Troca de informações fácil entre cidadãos, organizações e órgãos governamentais
  • Reestruturação de processos administrativos.

Estratégia 7 - Protegendo a infraestrutura de informação crítica

A infraestrutura crítica de informações é a espinha dorsal da segurança nacional e econômica de um país. Inclui usinas de energia, rodovias, pontes, fábricas de produtos químicos, redes, bem como os edifícios onde milhões de pessoas trabalham todos os dias. Isso pode ser garantido com planos de colaboração rigorosos e implementações disciplinadas.

A proteção da infraestrutura crítica contra o desenvolvimento de ameaças cibernéticas requer uma abordagem estruturada. É necessário que o governo colabore agressivamente com os setores público e privado de forma regular para prevenir, responder e coordenar os esforços de mitigação contra as tentativas de interrupções e impactos adversos na infraestrutura crítica do país.

É necessário que o governo trabalhe com proprietários de empresas e operadoras para reforçar seus serviços e grupos, compartilhando informações cibernéticas e outras informações sobre ameaças.

Uma plataforma comum deve ser compartilhada com os usuários para enviar comentários e ideias, que podem ser trabalhados juntos para construir uma base mais sólida para proteger e proteger infraestruturas críticas.

O governo dos EUA aprovou uma ordem executiva "Melhorando a segurança cibernética da infraestrutura crítica" em 2013, que prioriza o gerenciamento do risco de segurança cibernética envolvido na entrega de serviços de infraestrutura crítica. Esta estrutura fornece uma classificação comum e um mecanismo para as organizações -

  • Defina seu rumo de segurança cibernética existente,
  • Defina seus objetivos de segurança cibernética,
  • Categorizar e priorizar as chances de desenvolvimento dentro da estrutura de um processo constante, e
  • Comunique-se com todos os investidores sobre segurança cibernética.