Ir para conteúdo

Versão 1.0


A.    Enquadramento

O início do ano ficou marcado pela ocorrência de um conjunto de ciberataques com impacto relevante e projeção mediática no nosso país. Alguns destes ataques foram reivindicados pelo coletivo Lapsus$ que se caracteriza pela ausência de ideologia política e motivação financeira, focando-se em ações de vandalismo gratuito.

Por outro lado, a recente invasão da Ucrânia por parte da Federação Russa é um acontecimento com elevado impacto no contexto internacional. Em consequência, a União Europeia e os Estados membros elevaram o seu estado de alerta e prontidão, nomeadamente no âmbito do ciberespaço. 

Por conseguinte, a Rede Europeia de CSIRTs (rede europeia de equipas de resposta a incidentes de cibersegurança) e a ENISA (Agência da União Europeia para a Cibersegurança) reforçaram a partilha de informação sobre atividades maliciosas no ciberespaço e sobre indicadores de comprometimento (IoC) relacionados com este conflito. Esta partilha de informação permite definir um quadro de novas ameaças a cidadãos (e.g. o recrutamento de “guerreiros” digitais para ações ofensivas no quadro deste conflito) e a empresas e Administração Pública (e.g. a realização de ações de retaliação aos países que aplicaram sanções económicas).

Em Portugal, até à data, não foi identificado qualquer incidente diretamente relacionado com a guerra na Ucrânia. No entanto, é importante considerar as ameaças colocadas ao ciberespaço de interesse nacional decorrentes da pertença de Portugal à NATO e à União Europeia, bem como da não neutralidade do país.

O objetivo deste documento é reunir um conjunto de recomendações para cidadãos, empresas e Administração Pública que ajude a antecipar, detetar, reagir e recuperar relativamente a hipotéticas situações de incidentes de cibersegurança relacionadas com o quadro de ameaças identificado.

Este documento será atualizado em conformidade com o estado de alerta e o conhecimento adquirido em cada momento.



B.    Recomendação a todos os cidadãos

Durante os últimos meses tem circulado nas redes sociais um conjunto de apelos para a mobilização coletiva e a participação ativa de cidadãos portugueses em ataques informáticos à Rússia. O CNCS desaconselha a que os cidadãos participem neste tipo de ações. O facto de existir um conflito armado pode não assegurar qualquer proteção legal para a realização de ciberataques por parte de cidadãos nacionais.

A realização de ciberataques neste contexto pode revelar-se contrária a esforços diplomáticos em curso ou causar danos que possam vir a ser imputados a Portugal, o que obrigaria a que estes atos fossem tratados pelas autoridades como criminalmente relevantes.



C.    Ameaças e metodologias de ataque no Contexto Atual

Tendo em consideração o presente contexto, o CNCS vem alertar para a possibilidade de ataques ao ciberespaço de interesse nacional no quadro das seguintes ameaças e metodologias de ataque:

a)    Negação de Serviço Distribuída (vulgo DDoS)
A negação de serviço distribuída é um tipo de ataque que visa o esgotamento dos recursos informáticos do alvo com o objetivo de o degradar ou tornar indisponível (e.g. o envio de um número elevado de pedidos para uma aplicação web).

b)    Comprometimento de conta
O comprometimento de conta acontece quando um utilizador, sem ter consciência disso, partilha com terceiros os seus dados de acesso a uma conta ou um agente malicioso tem acesso a esses dados por via de intrusões realizadas por si ou por terceiros. Um exemplo deste modo de atuação é a captura de credenciais de email ou de dados de acesso a outros serviços online (e.g. utilizador e palavra-passe). 

c)    Comprometimento da cadeia de fornecimento
Este tipo de ameaça concretiza-se quando uma organização é atacada por via de um produto/serviço digital de um fornecedor que está comprometido. O produto/serviço comprometido permite um ataque ao cliente, o principal alvo final. Quando existe um fornecimento a muito clientes, a abrangência do ataque pode ser muito elevada. 

d)    Ransomware
Esta ameaça concretiza-se através de um código malicioso que é instalado no dispositivo de uma vítima com o objetivo de cifrar os seus dados tornando-os indisponíveis. Para reverter a situação, o agente malicioso solicita um resgate, normalmente em criptomoedas, para que os dados voltem a estar disponíveis. Por vezes, esta extorsão é também acompanhada da ameaça de publicação dos dados, caso não seja pago o resgate.

e)    Vulnerabilidades - Superfície de ataque
A superfície de ataque é tanto mais elevada quanto maior for a quantidade de serviços online que são disponibilizados à comunidade, serviços estes que, sem a implementação de medidas de acesso ou de prevenção à intrusão, estão à disposição de todos. Esta exposição, além de ser em si uma vulnerabilidade, expõe uma organização às vulnerabilidades que alguns destes serviços podem conter.

f)    Ciberespionagem
A espionagem por via digital procura realizar intrusões e exfiltrar dados sensíveis junto de entidades relevantes do ponto de vista governamental e industrial, conduzindo, por vezes, a atos de sabotagem. É realizada com objetivos geopolíticos e estratégicos, atuando frequentemente no longo prazo e com métodos de ocultação sofisticados.

g)    Phishing/Smishing
No âmbito do phishing  (por email) e do smishing (por SMS) os utilizadores recebem mensagens, sobre assuntos do momento (e.g. pandemia, conflito europeu, sanções económicas) ou relacionadas com serviços online muito utilizados, que promovem a recolha de informação, através da partilha indevida de credenciais de acesso a contas ou da infeção do equipamento por código malicioso por via de cliques em URLs ou anexos.



D.     Recomendações para empresas e organismos da Administração Pública

De forma a prevenir e mitigar os efeitos deste quadro de ameaças e metodologias de ataque, o CNCS recomenda a aplicação das seguintes medidas por parte das organizações:

a)    Avaliação de Risco: cada organização tem diferentes prioridades e fragilidades, por isso deverá efetuar uma avaliação de risco que permita aferir os possíveis problemas que a poderão afetar.

b)    Ativação da Autenticação Multifator (MFA): proteja a sua organização utilizando mais do que um fator de autenticação quando acede às suas contas online e trabalha remotamente. Considere, por exemplo, a implementação de tokens, tais como smart cards e chaves de segurança FIDO2 (Fast IDentity Online).

c)    Gestão de palavras-passe: mantenha as suas palavras-passe secretas e seguras (use uma frase com 12 caracteres ou mais, sem termos óbvios), evitando que alguém, com intenções maliciosas, aceda às suas plataformas protegidas com palavras-passe. Além disso, o CNCS incentiva todas as organizações a utilizarem um software de gestão de palavras-passe offline sempre que possível. 

d)    Atualização de software: garanta que todos os softwares da organização se encontram devidamente atualizados. Certifique-se, ainda, de que todas as ações relacionadas com a correção de segurança de endpoints e servidores são realizadas com regularidade. É também importante incentivar os colaboradores que utilizam os seus dispositivos pessoais para propósitos profissionais a atualizarem os mesmos e a terem cuidado com o que instalam nesses equipamentos.

e)    Incorporar a cibersegurança na cadeia de fornecimento: implemente medidas de segurança no que respeita ao acesso de terceiros às suas redes e sistemas internos. Se aplicar estas medidas, caso um terceiro seja comprometido e usado como intermediário para comprometer a sua organização, melhorará a capacidade de resposta da sua organização a possíveis ataques.

f)    Proteção de serviços cloud: implemente medidas apropriadas de segurança nas plataformas cloud utilizadas na organização (e.g. aplique os melhores cuidados com as palavras-passe e cifre a informação sensível). 

g)    Backup de dados (cópias de segurança): dada a elevada proliferação de ataques de ransomware, é altamente recomendável aumentar a frequência de backups de dados críticos. É importante garantir que o acesso aos backups é controlado, limitado e registado, e que é cumprida a regra 3-2-1, isto é, a realização de três cópias: duas são feitas em suportes diferentes e a terceira é guardada offline. 

h)    Segmentação de rede: aplique a segmentação da rede, a qual vai permitir à organização ter visibilidade e controlo sobre o tráfego de rede e evitar que o comprometimento de um segmento afete outros. 

i)    Centralização de logs: para que seja possível a deteção e reação rápida a um incidente, é desejável que os logs de todos os sistemas sejam canalizados para um sistema central que os correlacione.

j)    Combate ao phishing: consciencialize todos os colaboradores a não clicarem em links ou anexos de emails e SMS suspeitos, nem a partilharem os seus dados em resposta a essas mensagens.

k)    Segurança do email: impeça a entrada de emails maliciosos através da ativação da filtragem anti-SPAM. Se possível, siga a recomendação técnica relativa a SPF, DKIM e DMAR, disponível aqui.

l)    Rede de entrega de conteúdos (CDN): proteja a sua organização de ataques de negação de serviço distribuído utilizando uma rede de entrega de conteúdos. Esta medida irá permitir a distribuição de conteúdos em diferentes servidores.

m)    Bloqueio de acessos: bloqueie ou limite severamente o acesso à Internet para servidores ou outros dispositivos que são raramente utilizados, pois os mesmos podem ser explorados por agentes de ameaças para estabelecer backdoors.

n)    Formação e sensibilização: promova o uso responsável, consciente e saudável do ciberespaço através da formação e capacitação de colaboradores em matérias de cibersegurança. 

N.B.: qualquer cidadão deverá adotar as melhores práticas de ciber-higiene de modo a proteger-se a si e às organizações com as quais se relaciona. O CNCS aconselha em particular um conjunto de boas práticas prontas a aplicar por cada cidadão individualmente, disponíveis aqui.



E.    Referenciais disponibilizados pelo CNCS

Como medida de médio prazo, o CNCS definiu um modelo de capacitação mínima que visa a melhoria da cibersegurança quanto a processos, pessoas e tecnologias nas organizações nacionais, com enfoque especial nas PME, o Roteiro para as Capacidades Mínimas de Cibersegurança

Foi também definido um Quadro Nacional de Referência para a Cibersegurança que permite às organizações reduzir o risco associado às ciberameaças, disponibilizando as bases para que possam cumprir os requisitos de segurança das redes e sistemas de informação de modo aprofundado. Este documento responde à necessidade de implementar medidas de identificação, proteção, deteção, resposta e recuperação contra ameaças e apresenta um conjunto de recomendações para que as organizações possam definir uma estratégia que envolva toda a sua estrutura.



F.    Em caso de incidente de cibersegurança

Caso seja alvo de um incidente de cibersegurança, de forma a agilizar a reação, aconselha-se a que contacte o CERT.PT através do email cert@cert.pt ou através do seguinte formulário, de modo a partilhar a informação relevante e a serem coordenadas as ações de mitigação e resolução junto das entidades implicadas, articulando com as restantes autoridades nacionais e internacionais. 

Se suspeitar que recebeu um anexo malicioso e pretende que seja efetuada uma análise ao mesmo, pode utilizar a plataforma Sandbox4All do CNCS, disponível aqui.

Internamente, é aconselhável que cada organização tenha instalada uma estrutura para a gestão de incidentes de cibersegurança. Esta estrutura deve ter definido o seguinte:
    -> Uma equipa de gestão de crise;
    -> Um plano de comunicação;
    -> Uma equipa de resposta a incidentes (ou a contratação/pré-contratação deste serviço);
    -> Uma equipa de recuperação e reposição de serviços.
    
Perante um incidente de cibersegurança, é importante efetuar uma análise forense, onde se deve conseguir identificar:
    -> Data dos factos;
    -> Modo de intrusão;
    -> Ocorrências após intrusão;
    -> Recuperação dos sistemas de forma segura;
    -> Medidas de mitigação a aplicar;
    -> IoC a partilhar.
Última atualização em 21-04-2022