top of page

Elitewolf -Gerando insights de Intel. Aplicando expertise em Cyber Segurança. Assegurando o futuro.



ree

Os atores cibernéticos têm demonstrado persistente interesse em realizar atividades maliciosas contra infraestruturas críticas, explorando recursos de tecnologia operacional (TO ou OT) acessíveis e vulneráveis através da Internet. Para fazer frente a essa ameaça, a NSA lançou um repositório no NSA Cyber ​​GitHub para assinaturas e análises de detecção de intrusão relacionadas à OT. Essa capacidade, denominada ELITEWOLF, possibilita que defensores de infraestruturas críticas, setor industrial de defesa e sistemas de segurança nacional identifiquem e detectem potenciais atividades cibernéticas maliciosas em seus ambientes OT.


As infraestruturas civis tornaram-se alvos atrativos para nações estrangeiras que buscam prejudicar os interesses dos Estados Unidos. Dada a crescente capacidade de adversários, a vulnerabilidade dos sistemas OT e o possível alcance do impacto, a NSA recomenda que proprietários e operadores de infraestruturas críticas de TO incorporem o ELITEWOLF como parte de um programa de monitoramento constante e vigilante de sistemas.


O objetivo final da ferramenta é permitir que defensores de infraestrutura crítica, analistas de intrusão e outros implementem monitoramento contínuo e vigilante do sistema com base nas assinaturas e regras implementadas.
AVISO: essas assinaturas/análises não são necessariamente atividades maliciosas. Eles exigem análise de acompanhamento para determinar verdadeiramente se esta atividade é maliciosa ou não.
AVISO: essas assinaturas/análises não são necessariamente atividades maliciosas. Eles exigem análise aprofundada para determinar verdadeiramente se esta atividade é maliciosa ou não. As regras SNORT fornecidas são regras de alerta. A investigação de precisão é necessária para maior eficiencia. As regras foram testadas, mas cada sistema pode ser configurado de forma diferente, portanto, certifique-se de que a assinatura seja acionada corretamente ou ajustada conforme necessário com base nos sensores e no ambiente.

Link para a ferramenta:<https://github.com/nsacyber/elitewolf>



Se você deseja reforçar a segurança com um framework específico:



O "NSA/CSS Technical Cyber Threat Framework v2" (NTCTF v2) é um conjunto de diretrizes técnicas desenvolvido como uma extensão técnica do Framework de Ameaças Cibernéticas do Diretor de Inteligência Nacional. Foi projetado com o objetivo de padronizar a forma como a NSA caracteriza e categoriza a atividade de adversários, utilizando um léxico técnico comum, independente de sistemas operacionais e estreitamente alinhado com as definições da indústria. Esse léxico técnico comum apoia o compartilhamento de informações, o desenvolvimento de produtos, o planejamento operacional e operações baseadas no conhecimento em toda a Comunidade de Inteligência. A disseminação pública desse léxico técnico cibernético permite a colaboração com a comunidade como um todo. O uso do NTCTF facilita a organização e análise da atividade de adversários para apoiar a gestão do conhecimento e facilitar esforços analíticos.


O Relatório Técnico Cibernético intitulado "NSA/CSS Technical Cyber Threat Framework v2" fornece uma base de definições padrão a serem usadas como referência para a colaboração do Governo dos Estados Unidos com parceiros e partes interessadas na discussão das atividades de adversários ao longo do ciclo de vida do adversário.


O NTCTF v2 é notável por ter reduzido o léxico técnico compartilhado em 20% com definições mais claras e mais de 1700 frases-chave para orientar o analista na caracterização da atividade cibernética adversária usando as ações do NTCTF. Esta versão foi revisada para capturar tendências recentes, considerar tecnologias emergentes e ameaças internas, e incluir conceitos de tecnologia operacional (TO) para apoiar ameaças à infraestrutura crítica.


Link para o Framework:<https://media.defense.gov/2019/Jul/16/2002158108/-1/-1/0/CTR_NSA-CSS-TECHNICAL-CYBER-THREAT-FRAMEWORK_V2.PDF>


Outras recomendacoes para ambiente OT:


Exercite o seu Plano de Resposta a Incidentes Em um estado de tensões elevadas e riscos adicionais, é crucial ter um plano de resposta a incidentes bem treinado que tenha sido desenvolvido antes de ocorrer um incidente.

  • Realize um exercício de mesa (tabletop exercise) que inclua a participação de pessoal executivo para testar o seu plano de resposta a incidentes existente.

  • Certifique-se de incluir suas equipes de relações públicas e jurídicas no exercício, além de suas equipes de TI, TO e gerenciamento executivo.

  • Discuta pontos de decisão-chave no plano de resposta e identifique quem tem autoridade para tomar decisões importantes em quais circunstâncias.

  • Garanta que o seu plano leve em consideração um cenário que inclua as TTPs (Táticas, Técnicas e Procedimentos) especificos de OT, e onde o sistema de controle está operando ativamente em oposição a operações seguras e confiáveis.

  • Estabeleça parcerias com terceiros para obter suporte. Revise contratos de serviço para suporte de resposta a incidentes de emergência e recuperação.

Mais detalhes e recomendacoes: <https://media.defense.gov/2020/Jul/23/2002462846/-1/-1/0/OT_ADVISORY-DUAL-OFFICIAL-20200722.PDF>


Conteudo original: <https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3554537/nsa-releases-a-repository-of-signatures-and-analytics-to-secure-operational-tec/>


Publicado por: Joao Paulo Mendes de Carvalho, em 13 de Outubro de 2023.

 
 
 

Comentários

bottom of page