NIST oferece ferramentas para ajudar na defesa contra hackers patrocinados pelo Estado

A Publicação Especial 800-172 foi projetada para proteger informações confidenciais em uma variedade de sistemas eletrônicos.

Nações em todo o mundo estão adicionando a guerra cibernética a seu arsenal, empregando equipes altamente qualificadas para lançar ataques contra outros países. Esses adversários também são chamados de "ameaça persistente avançada", ou APT, porque possuem as ferramentas e recursos para perseguir seus objetivos repetidamente por um longo período, adaptando-se aos esforços dos defensores para resistir a eles.

Os dados vulneráveis ​​incluem as informações confidenciais, mas não classificadas, gerenciadas pelo governo, indústria e academia em apoio a vários programas federais. Agora, uma publicação finalizada do Instituto Nacional de Padrões e Tecnologia (NIST) fornece orientação para proteger essas “informações não classificadas controladas” (CUI) do APT. Publicação especial do NIST (SP) 800-172, Requisitos de segurança aprimorada para proteger informações não classificadas controladas:um suplemento ao NIST SP 800-171, oferece um conjunto de ferramentas projetadas para combater os esforços de hackers patrocinados pelo estado e complementa outra publicação do NIST destinada a proteger o CUI.

“Ataques cibernéticos são conduzidos com armas silenciosas e, em algumas situações, essas armas são indetectáveis”, disse Ron Ross, cientista da computação e pesquisador do NIST. “Porque você pode não‘ sentir ’os efeitos diretos do próximo hack ainda, você pode pensar que ele virá algum dia; mas, na realidade, está acontecendo agora. ”

O governo federal depende fortemente de provedores de serviços não federais para ajudar a realizar uma ampla gama de missões usando sistemas de informação - um termo que inclui computadores, mas também uma série de outras tecnologias especializadas, como sistemas de controle industrial e a Internet das Coisas. A proteção de informações federais confidenciais que residem em sistemas não federais - como aqueles usados ​​por governos estaduais e locais, faculdades e universidades e organizações de pesquisa independentes - é de suma importância, pois pode impactar diretamente a capacidade do governo federal de realizar suas operações . Um hack em 2018 que comprometia informações confidenciais inspirou diretamente o trabalho da equipe do NIST no SP 800-172.

Anteriormente numerado como SP 800-171B durante seus estágios de rascunho, o SP 800-172 oferece recomendações adicionais para lidar com CUI em situações em que essas informações apresentam um risco de exposição maior do que o normal. CUI inclui uma ampla variedade de tipos de informações, desde nomes de indivíduos ou números de previdência social até informações críticas de defesa.

“Nós desenvolvemos o SP 800-171 em resposta a grandes ataques cibernéticos na infraestrutura crítica dos EUA, e seu documento complementar SP 800-172 foi projetado para mitigar ataques de ameaças cibernéticas avançadas, como o APT”, disse Ross. “Implementar as proteções cibernéticas no SP 800-172 ajudará os proprietários de sistemas a proteger o que os hackers estaduais consideram alvos de alto valor:informações confidenciais sobre pessoas, tecnologias, inovação e propriedade intelectual, cuja revelação pode comprometer nossa economia e segurança nacional. ”

Os requisitos de segurança aprimorados devem ser implementados além daqueles em SP 800-171, uma vez que essa publicação não foi projetada para abordar o APT. Os requisitos em SP 800-172 se aplicam aos componentes de sistemas não federais que processam, armazenam ou transmitem CUI ou que fornecem proteção para tais componentes. Para estreitar ainda mais o escopo, os requisitos são aplicados apenas quando o CUI designado está associado a um programa crítico ou ativo de alto valor - a prioridade mais alta para proteção.

Desenvolvida principalmente para administradores como gerentes de programa, CIOs e auditores de sistema, a publicação aborda a proteção do CUI para componentes do sistema, promovendo arquitetura resistente à penetração, operações limitadoras de danos e projetos para obter resiliência cibernética e capacidade de sobrevivência. Suas ferramentas, divididas em 14 famílias, não se destinam a ser implementadas em massa, mas sim selecionadas de acordo com as necessidades da organização.

“Muito provavelmente uma organização que implementa esta orientação não desejará usar todos os requisitos de segurança aprimorados que oferecemos aqui”, disse Ross. “A decisão de selecionar um determinado conjunto de requisitos de segurança aprimorados será baseada em sua missão e necessidades de negócios - e então orientada e informada por avaliações de risco contínuas.”

Em resposta ao feedback recebido durante o período de comentários públicos, o rascunho final inclui diretrizes atualizadas de escopo e aplicabilidade e uma abordagem de seleção de requisitos mais flexível para permitir que as organizações personalizem suas soluções de segurança.

Ross disse que as ferramentas da nova publicação devem oferecer esperança a qualquer pessoa que pretenda se defender contra hacks, mesmo que seja uma ameaça tão intimidadora quanto a APT.

“Os adversários estão trazendo seu‘ A-game ’nesses ataques cibernéticos 24 horas por dia, 7 dias por semana”, disse ele. “Você pode começar garantindo que os danos sejam minimizados se usar as proteções cibernéticas do SP 800-172.”



Fonte original:https://www.nist.gov/news-events/news/2021/02/nist-offers-tools-help-defend-against-state-sponsored-hackers