Versão 1.0
Data de Publicação: 27.10.2022
A. Enquadramento
O início do ano ficou marcado pela ocorrência de um conjunto de ciberataques com impacto relevante e projeção mediática no nosso país. Alguns destes ataques foram reivindicados pelo coletivo Lapsus$ que se caracteriza pela ausência de ideologia política e motivação financeira, focando-se em ações de vandalismo gratuito.
Por outro lado, a recente invasão da Ucrânia por parte da Federação Russa é um acontecimento com elevado impacto no contexto internacional. Em consequência, a União Europeia e os Estados membros elevaram o seu estado de alerta e prontidão, nomeadamente no âmbito do ciberespaço.
Por conseguinte, a Rede Europeia de CSIRTs (rede europeia de equipas de resposta a incidentes de cibersegurança) e a ENISA (Agência da União Europeia para a Cibersegurança) reforçaram a partilha de informação sobre atividades maliciosas no ciberespaço e sobre indicadores de comprometimento (IoC) relacionados com este conflito. Esta partilha de informação permite definir um quadro de novas ameaças a cidadãos (e.g. o recrutamento de “guerreiros” digitais para ações ofensivas no quadro deste conflito) e a empresas e Administração Pública (e.g. a realização de ações de retaliação aos países que aplicaram sanções económicas).
Em Portugal, até à data, não foi identificado qualquer
incidente diretamente relacionado com a guerra na Ucrânia. No entanto, é importante considerar as ameaças colocadas ao ciberespaço de interesse nacional decorrentes da pertença de Portugal à NATO e à União Europeia, bem como da não neutralidade do país.
O objetivo deste documento é reunir um conjunto de recomendações para cidadãos, empresas e Administração Pública que ajude a antecipar, detetar, reagir e recuperar relativamente a hipotéticas situações de incidentes de cibersegurança relacionadas com o quadro de ameaças identificado.
Este documento será atualizado em conformidade com o estado de alerta e o conhecimento adquirido em cada momento.
B. Recomendação a todos os cidadãos
Durante os últimos meses tem circulado nas
redes sociais um conjunto de apelos para a mobilização coletiva e a participação ativa de cidadãos portugueses em ataques informáticos à Rússia. O CNCS desaconselha a que os cidadãos participem neste tipo de ações. O facto de existir um conflito armado pode não assegurar qualquer proteção legal para a realização de ciberataques por parte de cidadãos nacionais.
A realização de ciberataques neste contexto pode revelar-se contrária a esforços diplomáticos em curso ou causar danos que possam vir a ser imputados a Portugal, o que obrigaria a que estes atos fossem tratados pelas autoridades como criminalmente relevantes.
C. Ameaças e metodologias de ataque no Contexto Atual
Tendo em consideração o presente contexto, o CNCS vem alertar para a possibilidade de ataques ao ciberespaço de interesse nacional no quadro das seguintes ameaças e metodologias de ataque:
a) Negação de Serviço Distribuída (vulgo DDoS)
A negação de serviço distribuída é um tipo de ataque que visa o esgotamento dos recursos informáticos do alvo com o objetivo de o degradar ou tornar indisponível (e.g. o envio de um número elevado de pedidos para uma aplicação web).
b) Comprometimento de conta
O comprometimento de conta acontece quando um utilizador, sem ter consciência disso, partilha com terceiros os seus dados de acesso a uma conta ou um agente malicioso tem acesso a esses dados por via de intrusões realizadas por si ou por terceiros. Um exemplo deste modo de atuação é a captura de credenciais de email ou de dados de acesso a outros serviços online (e.g. utilizador e palavra-passe).
c) Comprometimento da cadeia de fornecimento
Este tipo de ameaça concretiza-se quando uma organização é atacada por via de um produto/serviço digital de um fornecedor que está comprometido. O produto/serviço comprometido permite um ataque ao cliente, o principal alvo final. Quando existe um fornecimento a muito clientes, a abrangência do ataque pode ser muito elevada.
d) Ransomware
Esta ameaça concretiza-se através de um código malicioso que é instalado no dispositivo de uma vítima com o objetivo de cifrar os seus dados tornando-os indisponíveis. Para reverter a situação, o agente malicioso solicita um resgate, normalmente em criptomoedas, para que os dados voltem a estar disponíveis. Por vezes, esta extorsão é também acompanhada da ameaça de publicação dos dados, caso não seja pago o resgate.
e) Vulnerabilidades - Superfície de ataque
A superfície de ataque é tanto mais elevada quanto maior for a quantidade de serviços online que são disponibilizados à comunidade, serviços estes que, sem a implementação de medidas de acesso ou de prevenção à intrusão, estão à disposição de todos. Esta exposição, além de ser em si uma vulnerabilidade, expõe uma organização às vulnerabilidades que alguns destes serviços podem conter.
f) Ciberespionagem
A espionagem por via digital procura realizar intrusões e exfiltrar dados sensíveis junto de entidades relevantes do ponto de vista governamental e industrial, conduzindo, por vezes, a atos de sabotagem. É realizada com objetivos geopolíticos e estratégicos, atuando frequentemente no longo prazo e com métodos de ocultação sofisticados.
g) Phishing/Smishing
No âmbito do phishing (por email) e do smishing (por SMS) os utilizadores recebem mensagens, sobre assuntos do momento (e.g. pandemia, conflito europeu, sanções económicas) ou relacionadas com serviços online muito utilizados, que promovem a recolha de informação, através da partilha indevida de credenciais de acesso a contas ou da infeção do equipamento por código malicioso por via de cliques em URLs ou anexos.
D. Recomendações para empresas e organismos da Administração Pública
De forma a prevenir e mitigar os efeitos deste quadro de ameaças e metodologias de ataque, o CNCS recomenda a aplicação das seguintes medidas por parte das organizações:
a) Avaliação de Risco: cada organização tem diferentes prioridades e fragilidades, por isso deverá efetuar uma avaliação de risco que permita aferir os possíveis problemas que a poderão afetar.
b) Ativação da Autenticação Multifator (MFA): proteja a sua organização utilizando mais do que um fator de autenticação quando acede às suas contas online e trabalha remotamente. Considere, por exemplo, a implementação de tokens, tais como smart cards e chaves de segurança FIDO2 (Fast IDentity Online).
c) Gestão de palavras-passe: mantenha as suas palavras-passe secretas e seguras (use uma frase com 12 caracteres ou mais, sem termos óbvios), evitando que alguém, com intenções maliciosas, aceda às suas plataformas protegidas com palavras-passe. Além disso, o CNCS incentiva todas as organizações a utilizarem um software de gestão de palavras-passe offline sempre que possível.
d) Atualização de software: garanta que todos os softwares da organização se encontram devidamente atualizados. Certifique-se, ainda, de que todas as ações relacionadas com a correção de segurança de endpoints e servidores são realizadas com regularidade. É também importante incentivar os colaboradores que utilizam os seus dispositivos pessoais para propósitos profissionais a atualizarem os mesmos e a terem cuidado com o que instalam nesses equipamentos.
e) Incorporar a cibersegurança na cadeia de fornecimento: implemente medidas de segurança no que respeita ao acesso de terceiros às suas redes e sistemas internos. Se aplicar estas medidas, caso um terceiro seja comprometido e usado como intermediário para comprometer a sua organização, melhorará a capacidade de resposta da sua organização a possíveis ataques.
f) Proteção de serviços cloud: implemente medidas apropriadas de segurança nas plataformas cloud utilizadas na organização (e.g. aplique os melhores cuidados com as palavras-passe e cifre a informação sensível).
g) Backup de dados (cópias de segurança): dada a elevada proliferação de ataques de ransomware, é altamente recomendável aumentar a frequência de backups de dados críticos. É importante garantir que o acesso aos backups é controlado, limitado e registado, e que é cumprida a regra 3-2-1, isto é, a realização de três cópias: duas são feitas em suportes diferentes e a terceira é guardada offline.
h) Segmentação de rede: aplique a segmentação da rede, a qual vai permitir à organização ter visibilidade e controlo sobre o tráfego de rede e evitar que o comprometimento de um segmento afete outros.
i) Centralização de logs: para que seja possível a deteção e reação rápida a um incidente, é desejável que os logs de todos os sistemas sejam canalizados para um sistema central que os correlacione.
j) Combate ao phishing: consciencialize todos os colaboradores a não clicarem em links ou anexos de emails e SMS suspeitos, nem a partilharem os seus dados em resposta a essas mensagens.
k) Segurança do email: impeça a entrada de
emails maliciosos através da ativação da filtragem anti-
SPAM. Se possível, siga a recomendação técnica relativa a SPF, DKIM e DMAR, disponível
aqui.
l) Rede de entrega de conteúdos (CDN): proteja a sua organização de ataques de negação de serviço distribuído utilizando uma rede de entrega de conteúdos. Esta medida irá permitir a distribuição de conteúdos em diferentes servidores.
m) Bloqueio de acessos: bloqueie ou limite severamente o acesso à Internet para servidores ou outros dispositivos que são raramente utilizados, pois os mesmos podem ser explorados por agentes de ameaças para estabelecer backdoors.
n) Formação e sensibilização: promova o uso responsável, consciente e saudável do ciberespaço através da formação e capacitação de colaboradores em matérias de cibersegurança.
N.B.: qualquer cidadão deverá adotar as melhores práticas de ciber-higiene de modo a proteger-se a si e às organizações com as quais se relaciona. O CNCS aconselha em particular um conjunto de boas práticas prontas a aplicar por cada cidadão individualmente, disponíveis
aqui.
E. Referenciais disponibilizados pelo CNCS
Como medida de médio prazo, o CNCS definiu um modelo de capacitação mínima que visa a melhoria da cibersegurança quanto a processos, pessoas e tecnologias nas organizações nacionais, com enfoque especial nas PME, o
Roteiro para as Capacidades Mínimas de Cibersegurança.
Foi também definido um
Quadro Nacional de Referência para a Cibersegurança que permite às organizações reduzir o
risco associado às ciberameaças, disponibilizando as bases para que possam cumprir os requisitos de segurança das redes e sistemas de informação de modo aprofundado. Este documento responde à necessidade de implementar medidas de identificação, proteção, deteção, resposta e recuperação contra ameaças e apresenta um conjunto de recomendações para que as organizações possam definir uma estratégia que envolva toda a sua estrutura.
F. Em caso de incidente de cibersegurança
Caso seja alvo de um
incidente de cibersegurança, de forma a agilizar a reação, aconselha-se a que contacte o CERT.PT através do email cert@cert.pt ou através do seguinte
formulário, de modo a partilhar a informação relevante e a serem coordenadas as ações de mitigação e resolução junto das entidades implicadas, articulando com as restantes autoridades nacionais e internacionais.
Se suspeitar que recebeu um anexo malicioso e pretende que seja efetuada uma análise ao mesmo, pode utilizar a plataforma Sandbox4All do CNCS, disponível
aqui.
Internamente, é aconselhável que cada organização tenha instalada uma estrutura para a gestão de incidentes de cibersegurança. Esta estrutura deve ter definido o seguinte:
-> Uma equipa de gestão de crise;
-> Um plano de comunicação;
-> Uma equipa de resposta a incidentes (ou a contratação/pré-contratação deste serviço);
-> Uma equipa de recuperação e reposição de serviços.
Perante um
incidente de cibersegurança, é importante efetuar uma análise forense, onde se deve conseguir identificar:
-> Data dos factos;
-> Modo de intrusão;
-> Ocorrências após intrusão;
-> Recuperação dos sistemas de forma segura;
-> Medidas de mitigação a aplicar;
-> IoC a partilhar.