O Estado Final Desejado do Hacker! Diferencial para a prevenção e mitigação de ataques cibernéticos!
Antonio Celso Ribeiro Brasiliano, PhD,
Doctor en Filosofía en Ciencias de la Seguridad Internacional, pela Cambridge International University, Inglaterra. Presidente da Brasiliano INTERISK. abrasiliano@brasiliano.com.br
Novembro | 2023
A Norma ISO/IEC 27005 - Segurança da informação, segurança cibernética e proteção à privacidade — Orientações para gestão de riscos de segurança da informação, publicada em maio de 2023, em seu Anexo A, trouxe uma grande novidade em termos de conhecimento da intenção do agressor. Essa novidade carrega o nome de Estado Final Desejado – EFD ou em inglês Desired End State – DES, termo emprestado da terminologia militar. Dois critérios principais estruturam essa abordagem descritiva:
-
a motivação;
-
a capacidade de agir.
A revisão da Norma 27005, com essa abordagem, deveu-se aos relatórios de empresas de pesquisa em ataques cibernéticos que destacam o crescimento impressionante de 175% em variantes exclusivas de malware nos últimos cinco anos. Esse aumento demonstra a rápida evolução das técnicas empregadas pelos invasores para evitar a detecção e explorar novas vulnerabilidades.
Em resumo, os relatórios de pesquisas demonstraram a evolução contínua e a crescente complexidade das ameaças cibernéticas que a América Latina enfrenta.
Portanto, o diferencial para combater esse crescimento geométrico de ataques cibernéticos é conhecer a fundo as intenções do hacker. Ou seja, temos que nos aprofundar na inteligência dos agressores e identificar diretamente as suas verdadeiras motivações e capacidades técnicas. Com isso mapeado, teremos condições de saber quais são seus objetivos reais, ou seja, o Estado Final Desejado pelo hacker.
As empresas precisam entender se os hackers são oportunistas e/ou predadores profissionais, necessitam criar cenários prospectivos de ataques cibernéticos para possibilitar a instalação de defesas nos locais de maior valor, de acordo com as intenções dos hackers.
O Estado Final Desejado (EFD), que nada mais é que a situação após a materialização da intenção do hacker em relação à empresa, passou assim a constituir-se na chave para o gerenciamento de riscos cibernéticos.
A partir do momento em que o hacker consegue entender adequadamente o ambiente operacional da empresa – identificar as Joias da Coroa – e o problema que elas devem enfrentar, o hacker visualiza o Estado Final Desejado (EFD) e as alternativas disponíveis para resolver o problema (como atingir suas intenções).
Essa visualização, geralmente um processo mental, é o que define a visão do hacker: a EFD e a Abordagem de Ataque, por meio da qual o ataque cibernético busca atingi-lo.
A visão do hacker fornece a base para a elaboração de planos: como ele implementará o ataque para tornar realidade as suas intenções. Ele decide: quando, o que e como fazer, de acordo com as condições existentes.
O hacker parte da situação atual e visualiza um conjunto de condições desejadas, que representam o estado a ser alcançado ao final do ataque cibernético.
A seguir, ele completa essa visualização com a Abordagem Operacional – como o ataque cibernético será implementado para que ele possa cumprir suas intenções – Estado Final Desejado – EFD.
A grande tarefa dos gestores de riscos cibernéticos é identificar as fontes desses riscos, ou seja, as suas vulnerabilidades. É preciso olhar para o passado e saber a frequência dos ataques no contexto do modus operandi dos hackers. E o terceiro e mais importante vetor é conhecer, por meio de estudos de Inteligência, o Estado Final Desejado – EFD. Teremos assim a Intenção, a Motivação e a Capacidade Técnica do hacker para adentrar o ambiente cibernético da empresa.
Ao conhecer essa tríade, a empresa certamente estará muito mais preparada para enfrentar ataques cibernéticos.
Esse conceito, originário da área de riscos cibernéticos, deve ser incluído pelos gestores de riscos corporativos como critério de análise em outras disciplinas, tais como segurança empresarial, no contexto dos desvios comportamentais que abrangem o compliance das empresas, as fraudes empresariais e outras nas quais o fator humano é um agente ativo.
O EFD, conceito presente na norma de segurança da informação, segurança cibernética e proteção à privacidade, deve ser aplicado de forma direta pelos gestores das demais categorias de riscos como metodologia de visualização do risco materializado.
Podemos citar, como exemplo prático e atual, a seguinte pergunta: O Hamas quando atacou Israel, em seu novo formato agressivo, assassino, atingiu seu Estado Final Desejado - EFD? Minha interpretação é que sim, pois fez com que Israel respondesse de forma também agressiva contra a faixa de Gaza, contra o povo palestino, tendo polarizado as opiniões do mundo inteiro. Além disso, impôs insegurança e medo nas comunidades judaicas das fronteiras, mostrou ao mundo que Israel, naquele momento, foi fraco, que as IDF não puderam dar resposta rápida e – o mais importante – impediu importantes acordos de Israel com países árabes, como a Arábia Saudita, além de congelar outras relações importantes. Portanto, suas intenções, segundo o meu ponto de vista, foram plenamente cumpridas com o ataque do dia 7 de outubro de 2023.
Daí a importância de o EFD ser plenamente entendido, para que se possa, concretamente, colocar as defesas preventivas e as ações de resposta a emergências, crises e de continuidade de negócios nos pontos considerados estratégicos.
Esse é o nosso grande desafio neste século XXI de mudanças constantes e de ameaças disruptivas.