Protegendo ativos do governo australiano em 2020: Parte 1

Compreendendo a postura de segurança cibernética em toda a Commonwealth 

The Australian Signals Directorate (ASD) recently published The Commonwealth Cyber Security Posture in 2019 report highlighting the number and type of incidents responded to, as well as some of the programs that have been put in place to help improve the security of commonwealth entities. Regardless of the debatable increased political pressure for further transparency into individual departments, the report’s aggregated and anonymized data clearly illustrates the need for better protection of citizen data. With the recent announcement from the Prime Minister and Minister of Defence on public and private sector organisations targeted by a sophisticated cyber actor and only small evolutionary gains made against current measured criteria, raising the bar may need revolutionary change.

Here at Illumio, we’re proud to be part of strategic discussions and security programs working across Australia and New Zealand directly with agencies and departments as well as the security systems integrators and managed service providers, such as Cirrus Networks, that are often the engine room of these IT teams.

Apesar de a maioria das entidades agora declarar que é capaz de identificar com precisão o número de “eventos e incidentes de segurança cibernética” que sofreram por dia ou semana (geralmente centenas por dia), 73% das entidades não corporativas da Commonwealth relatam apenas níveis ad hoc ou em desenvolvimento de maturidade para disciplinas básicas de segurança em resposta a essas ameaças.

The reporting done over the last seven years makes it quite clear that even with improvements, our Federal government systems are vulnerable to cyber threats – and – additional work is required for Commonwealth entities to reach a mature and resilient cybersecurity posture that meets the evolving threat environment.

As reported in these findings, a diverse range of incidents and evolving IT landscapes require constant evaluation and adjustment of security. Continuing with a point solution approach to securing an agency against attacks requires a plethora of tools, skills, and personnel. In many cases, organizations would benefit from a more holistic architectural approach to Cyber Resilience, such as Zero Trust. Gaining significant momentum in US Federal departments not only focuses thinking on assuming and planning beyond breach, instilling least privilege principles across the broader security disciplines but helps through overarching strategy to reduce the “expense in depth” of siloed tools and teams. Gaining significant momentum in U.S. Federal departments, this approach not only focuses thinking on assuming and planning beyond a breach, but it instills principles of least privilege across the broader security disciplines to reduce the “expense in depth” of siloed tools and teams.

Como o mundo corporativo descobriu, os municípios devem se concentrar em estratégias de contenção preventiva que reduzam o impacto ou o raio de explosão quando ocorrem violações. Isso é particularmente importante porque os departamentos continuam elevando seus níveis básicos de segurança esperados e quando há evidências de adversários motivados e sofisticados atacando deliberadamente a Austrália para obter informações sobre: capacidades de defesa; pesquisa australiana de ponta; propriedade intelectual valiosa; e as informações pessoais e financeiras de residentes australianos e funcionários do governo.

Um item que se destacou e representa uma constatação consistente na maioria das empresas, agências estaduais e federais é que os órgãos da Commonwealth têm visibilidade inadequada de seus sistemas de informação e dados. Com a maioria das equipes de TI das agências precisando e progredindo na modernização de suas tecnologias de data center por meio de abordagens como rede definida por software (SDN), virtualização e conteinerização em camadas com plataformas de automação e orquestração para alcançar um desenvolvimento de aplicativos mais ágil, não é de se admirar que continue sendo exponencialmente mais difícil para as equipes de operações e segurança acompanharem o ambiente dinâmico de aplicativos e os pontos cegos de segurança existentes.

Preventing unvetted and untrusted Microsoft Office Macros from being run, application hardening on user workstations, multi-factor authentication on RDS sessions, and patching web-facing servers are important hygiene tactics, and it is good to see marked improvement in these areas. However, those are only some of a multitude of threat vectors attackers use, including other copy-paste style attacks on known vulnerabilities as well as other zero-day threats that continue to be found and exploited. Preventing the damage of breaches when they occur (and they inevitably will) requires understanding how that attacker could then move laterally from the established foothold, regardless of how they established it, to the systems managing sensitive data within the hundreds and thousands of servers each department runs.

Only once you understand what your applications are, where they are hosted, and how they are interacting with each other, can you start to take control of those assets and define and deploy the most effective security posture.

Andrew Weir, CTO da Cirrus Networks, concorda que “os clientes regularmente perguntam a ele como eles poderiam obter mais visibilidade do que está acontecendo nos aplicativos em seus sistemas e redes. Freqüentemente, esses aplicativos eram desenvolvidos em sistemas legados e, posteriormente, integrados à nova infraestrutura. Para departamentos de TI maiores, validar e gerenciar a eficiência e a segurança dos aplicativos pode ser difícil. Entender o que seus aplicativos e usuários estão fazendo em seu ambiente é crucial para uma boa tomada de decisão. Sem essa visibilidade, é difícil determinar onde recursos limitados devem ser gastos.”

With network security traditionally focused on North-South traffic through the perimeter, agencies are being measured on preventing the establishment of command and control from occurring, but are not yet embedding the Essential Eight security disciplines. Attackers who successfully breach the external firewall often have no further restrictions once inside the network. In other words, hackers can cherry-pick their way in and are then free to move laterally through the network until they reach their targets.

Despite not being in the Essential Eight, it is an “excellent” recommendation in the broader set of Limiting the Extent of Cyber incidents. Effective network segmentation for the modern data centre and containment strategies at the heart of Zero Trust are becoming (and must continue to be) prioritised as a vital and fundamental piece of each department’s ongoing security strategy. This will help to bolster resilience as the low water mark baseline levels are reached.

Atualmente, a forma como as agências são solicitadas a avaliar e relatar sua postura de segurança impulsiona medidas qualitativas e, em última análise, abordagens ou produtos que as tornam “mais compatíveis, melhoram sua segurança ou fornecem uma maneira melhor de detectar ameaças”. Dito isso, “mais”, “melhorar” e “melhor” são todas medidas qualitativas e predominantemente autoavaliadas. Essas iniciativas fornecem, e podem ser vinculadas a, uma melhoria quantitativa na resiliência dos sistemas de TI contra ataques maliciosos, sejam eles de um estado-nação ou do sempre popular ransomware de cibercriminosos?

Chosen well, microsegmentation not only ensures that you are drastically increasing the difficulty for attackers to reach and exfiltrate valued data – with proven quantitative benefits – it does so without needing additional staff or the effort and financial burden of traditional large-scale security initiatives that this report highlights are the commonly reported obstacles.

Mas mais sobre isso na parte 2 desta série.

Although specific details of specific attacks weren’t mentioned, and the source of the recent increase in volume of attacks not publicly attributed to anyone, Prime Minister Morrison’s recent press release certainly should be taken by Australian government departments and enterprises as a wakeup call, as much as it is perhaps a notice to those responsible to say, “we know what you’re up to.”

Se você ainda não estiver envolvido, entre em contato com Illumio e Cirrus e confira na próxima edição como você pode seguir o conselho do Ministro da Defesa: “tome medidas para proteger sua própria rede” e planeje além das recomendações táticas para os vetores de ataque recentes para limitar a oportunidade e o impacto de futuras violações.

And for more information on how microsegmentation with Illumio works, visit https://www.illumio.com/products/illumio-core