"Os ataques cibernéticos podem surgir de qualquer lugar e passar despercebidos durante anos", afirma Peter Dempsey, da Axis Communications. Por isso, é imperativo que os centros de dados se armem com hardware de segurança resiliente para evitar violar regulamentos cada vez mais rigorosos.
Para os cibercriminosos, os centros de dados representam um prémio lucrativo e atrativo, independentemente de o objetivo do ataque ser roubar dados, perturbar sistemas críticos ou implementar ransomware. Um centro de dados representa um grande número de sistemas, processos e dispositivos de hardware, e basta uma pequena quebra na proteção de qualquer um deles. Se for possível explorá-la, será – e existem muitas potenciais vias de entrada.
Foram encontrados mais de 20.000 sistemas de Gestão de Infraestruturas de Centros de Dados (DCIM) - para serem expostos publicamente, e estes poderiam permitir que um atacante interrompesse um centro de dados alterando os limiares de temperatura e humidade. Alguns sistemas de fonte de alimentação ininterrupta (UPS) também foram considerados vulneráveis, proporcionando aos hackers acesso à energia do centro de dados. E os centros de dados estão cheios de dispositivos da Internet of Things (IoT) que podem atuar como vetores de ataque. Os centros de dados devem estar cientes da sua vulnerabilidade e esforçar-se por proteger todas as partes da sua infraestrutura.
APT31 - Preparar-se para ataques disfarçados
Muitos centros de dados já poderiam ter sido silenciosamente comprometidos. Os atacantes estão cada vez mais a implementar sofisticados ataques "living off the land" (LOTL), que tiram proveito das ferramentas nucleares dos sistemas informáticos em vez de instalarem os seus próprios ficheiros maliciosos. Este tipo de infiltração é difícil de detetar e, na realidade, pode permanecer indetetável durante anos até que o interveniente malicioso esteja pronto para atacar1.
Estes intervenientes podem ser entidades importantes. Em muitos casos, descobriu-se que existiam cargas úteis LOTL provenientes de agentes patrocinados pelo estado escondidas em redes críticas. O Centro Nacional de Cibersegurança do Reino Unido envolveu agora o grupo de piratas informáticos patrocinado pelo Estado, o APT31, na tentativa de visar um grupo de MP. Numa lista de outros alvos, a ciberameaça APT31 estende-se à economia do Reino Unido, às infraestruturas nacionais críticas e às cadeias de distribuição2.
Isto realça a necessidade de os gestores de centros de dados adotarem uma abordagem pró-ativa à segurança, que não se baseie apenas em princípios de cibersegurança conhecidos, mas que implemente uma monitorização ativa e e uma diligência devida rigorosa. E é especialmente importante no atual ambiente regulamentar.
NIS2 - Deteção de anomalias de dados em infraestruturas críticas
A Diretiva NIS2 (NIS2) e a Lei de Resiliência Cibernética reclassificam os centros de dados como uma infraestrutura crítica. Agora, inserem-se na mesma categoria que os cuidados de saúde, a energia e os transportes, e irão cumprir o mesmo nível de escrutínio relativamente à sua governação. Os operadores de centros de dados, quer estejam ou não sob a jurisdição dessa legislação, não têm outra opção senão reforçar as respetivas defesas.
O comportamento de cada peça de hardware, software e firmware dentro de uma rede deve ser analisado regularmente para detetar até a atividade invulgar mais inofensiva. Este trabalho de deteção também deve estender-se para além dos limites do centro de dados, pois a NIS2 aplica-se às atividades dos colaboradores, bem como às entidades críticas. Isto inclui os fornecedores de equipamentos e, crucialmente, cada passo da sua cadeia de distribuição.
Encontrar vulnerabilidades na cadeia de distribuição
Se um atacante não conseguir infiltrar-se num centro de dados através de meios diretos, pode tentar injetar uma carga maliciosa em equipamento que ainda não foi implementado. Os dispositivos IoT representam terra fértil para os criminosos: estão ligados à rede por predefinição e, muitas vezes, não são inspecionados com o mesmo nível de detalhe com que os vetores de ataque mais óbvios seriam. Tal como acontece com as cargas LOTL, os dispositivos de IoT maliciosos podem simplesmente esconder-se à vista, porque permitem que os atacantes se aproveitem da confiança implícita.
Os ataques à cadeia de distribuição são incrivelmente perigosos e estão a crescer, superando os ataques diretos de malware em 40%3 em 2022. Já não há forma de justificar qualquer confiança implícita: os fornecedores devem demonstrar a segurança e a pureza da sua cadeia de distribuição em detalhe e tomar medidas para garantir que não ocorrem modificações não autorizadas. Os centros de dados, por sua vez, têm de reavaliar cada relação com o fornecedor para garantir que não são apanhados.
Felizmente, a tecnologia moderna permite que os fornecedores demonstrem a legitimidade do seu hardware de forma bastante simples. O hardware do módulo da plataforma de confiança protege o firmware assinado, proporcionando confiança na integridade de um dispositivo ao longo da cadeia. O arranque seguro evita que firmware não autorizado seja executado. E alguns dispositivos podem armazenar chaves e certificados criptográficos de forma segura, reforçando as suas credenciais de segurança e simplificando o processo de gestão das respetivas defesas.
Lidar com a pressão regulamentar
Regulamentações como a NIS2 basicamente não oferecem aos centros de dados outra opção que não seja agir agora ou enfrentar multas pesadas. Os seus termos tornam os diretores de centros de dados responsáveis não só por violações internas, mas também por aquelas causadas por algumas falhas de segurança de terceiros. A segurança deve ser reavaliada de cima para baixo.
Uma forte segurança física através de câmaras, deteção térmica e por radar e controlo de acesso é claramente vital, porque um atacante nas instalações pode causar perturbações inesperadas. Mas a segurança lógica é igualmente vital para garantir que os atacantes não acedem às suas instalações de forma virtual. Cada peça de hardware e software, dentro ou fora do âmbito dos regulamentos, deve ser catalogada, analisada, priorizada e documentada regularmente.
A conformidade tem de ser comprovada com um registo limpo – e os fornecedores também têm de o fornecer. Nenhum fornecedor de qualquer valor gostaria de emitir algo que não estivesse ao mesmo nível; trabalhar com fornecedores que se preocupam com os seus produtos é o caminho para os centros de dados criarem um mundo mais inteligente e seguro.
