Cientistas do MIT revelam plataforma de agregação de segurança cibernética para medir medidas eficazes

A plataforma permite que pesquisadores analisem ataques cibernéticos sem que informações confidenciais sejam divulgadas.

Ataques cibernéticos e violações de dados são agora uma ocorrência diária que muitos já não garantem uma cobertura abrangente. Por medo de liberar muitas informações e pelo desejo de proteger sua imagem de mais danos, a maioria das organizações limita a quantidade de relatórios que faz sobre os ataques, deixando a próxima empresa vulnerável às mesmas táticas.

Mas os cientistas do Laboratório de Ciência da Computação e Inteligência Artificial do MIT tentaram mudar isso com uma plataforma recém-construída chamada SCRAM . 

A sigla, que significa “Secure Cyber ​​Risk Aggregation and Measurement”, busca resolver esse problema de relatório de longa data de segurança cibernética aproveitando as novas ferramentas criptográficas que podem calcular estatísticas agregadas sem a necessidade de organizações divulgarem informações sobre seus próprios ataques e perdas para ninguém. – até para os próprios cientistas.

“É realmente um belo presente que demos aos cibercriminosos. Em um mundo ideal, esses ataques não aconteceriam repetidamente, porque as empresas seriam capazes de usar dados de ataques para desenvolver medidas quantitativas do risco de segurança para que nós poderia prevenir tais incidentes no futuro “, disse Taylor Reynolds, diretor de política de tecnologia da Internet Policy Research Initiative do MIT.

“O poder desta plataforma é permitir que as empresas contribuam com dados bloqueados que de outra forma seriam muito sensíveis ou arriscados para compartilhar com terceiros.”

Com o SCRAM, os pesquisadores são capazes de agregar dados confidenciais criptografados de várias organizações, dando aos cientistas uma melhor compreensão de quais são os ataques mais comuns, uma visão de como eles são implantados e quais defesas funcionam melhor. 

O resultado de longo prazo desse impasse é que os ataques cibernéticos acontecem o tempo todo, mas coletivamente aprendemos muito pouco sobre eles porque as empresas relutam em compartilhar o que aconteceu.

A plataforma foi criada com uma equipe de especialistas em segurança cibernética, criptógrafos e cientistas de dados e utiliza técnicas criptográficas para garantir a privacidade de todas as organizações que enviam informações sobre seus ataques. Ninguém fora do colaborador pode ver as informações.

Depois que o sistema passa por todas as informações, ele pode quantificar o risco de segurança das empresas e ajudar os CISOs a determinar o quão seguros eles realmente são em comparação com seus pares. Pesquisadores do MIT também disseram que ajudará as organizações a saber se estão gastando a quantia certa de dinheiro em sistemas de segurança e se os fundos estão sendo investidos nos lugares certos. 

O MIT divulgou um estudo sobre a plataforma, no qual pegou dados internos de empresas de sete bilhões de dólares e examinou os incidentes de segurança com os quais lidaram. Reynolds foi coautor do artigo com Leo de Castro, Andrew Lo, Fransisca Susan, Vinod Vaikuntanathan, Daniel Weitzner e Nicolas Zhang.

No estudo, os pesquisadores disseram que descobriram que três vulnerabilidades de segurança levaram às maiores perdas totais acima de US $ 1 milhão, incluindo uma falha em evitar ataques de malware como o que atingiu a Garmin no mês passado , comunicação por portas não autorizadas e uma falha no gerenciamento de log para incidentes de segurança. 

“Podem surgir perdas mesmo quando há defesas bem desenvolvidas e compreendidas”, disse Weitzner, que também atua como diretor do MIT IPRI. “É importante reconhecer que a melhoria das defesas comuns existentes não deve ser negligenciada em favor da expansão para novas áreas de defesa.”

O estudo observa que o SCRAM se concentra principalmente em duas coisas: Penetrações e perdas. Para seu primeiro teste de execução, os cientistas usaram a plataforma criptográfica para olhar para os benchmarks das taxas de adoção das 171 medidas de segurança críticas do Center for Internet Security em seis grandes empresas e as ligações entre as perdas monetárias de 49 incidentes de segurança e as falhas específicas de subcontrole implicado no incidente. 

Os pesquisadores coletaram dados durante um período de dois anos de empresas com uma receita média anual de $ 24 bilhões e uma média de 50.000 funcionários, colocando-os na plataforma SCRAM e obtendo informações agregadas detalhadas sobre a taxa de adoção de defesas e falhas defensivas que levaram ao maior perdas monetárias. As empresas estavam envolvidas nos setores de saúde, comunicações, serviços de varejo e financeiros.

Para a próxima corrida, os cientistas do MIT esperam ter um conjunto maior de dados para que mais empresas possam se julgar contra seus pares no que diz respeito à sofisticação da segurança. 

“Em 2015 e 2016, o MIT realizou uma série de workshops específicos do setor com foco na proteção da infraestrutura crítica. Os workshops incluíram apresentações de CISOs de quatro setores econômicos distintos (eletricidade, petróleo e gás, finanças e comunicações) que discutiram os desafios enfrentados proteger e defender suas redes “, disse o estudo. 

“Um tema comum começou a surgir em todas as quatro reuniões específicas do setor. Os CISOs afirmaram que implantar controles de segurança era semelhante a ‘investir no escuro’, porque eles não tinham a iluminação necessária para as posturas defensivas e perdas relacionadas de outras empresas que iriam só estará disponível se as empresas compartilharem informações. “

O SCRAM usa uma técnica criptográfica chamada computação multipartidária, que permite aos pesquisadores computar funções fixas dos dados de entrada sem revelar as entradas individuais a ninguém além do participante que as contribuiu. A plataforma pega dados criptografados e executa cálculos cegos neles, dando aos usuários um resultado criptografado que só pode ser desbloqueado por cada participante separadamente antes que alguém possa ver a resposta.

Além de dados sobre quantas das 171 medidas críticas de segurança do Center for Internet Security estavam sendo implementadas por cada organização, o estudo também examinou as perdas monetárias individuais de cada ataque e pediu às empresas que indicassem quais falhas de subcontrole eram as responsáveis. 

As seis empresas acabaram enviando dados sobre 49 incidentes que resultaram em uma perda total de cerca de US $ 30 milhões, com cada um contabilizando cerca de oito incidentes por ano. Problemas de gerenciamento de log, comunicações em portas não autorizadas, problemas com inventários de ativos e uma falta de software antimalware em bom funcionamento foram as causas principais comuns dos incidentes.

“Existem 39 subcontroles que foram implicados apenas uma vez. Por outro lado, alguns subcontroles foram implicados em até 10 incidentes diferentes. ‘Estabelecer configurações seguras’ foi implicado 10 vezes, enquanto ‘Monitorar e bloquear tráfego de rede não autorizado’ e ‘Deploy Web Application Firewalls’ foram ambos implicados sete vezes “, disse o estudo. 

“Os controles com foco em conscientização e treinamento, defesas de limites e proteção de dados foram os mais comumente implicados em incidentes de segurança com perdas financeiras. É interessante observar que os subcontroles relacionados à conscientização de segurança e treinamento tiveram o maior número de identificações. Logs de auditoria, defesas de limite, inventário de hardware e defesas de malware tiveram as maiores perdas totais em todo o grupo. “

O gerenciamento central de registros custou às empresas participantes quase US $ 6 milhões, enquanto a comunicação em portas não autorizadas resultou em mais de US $ 4,5 milhões em perdas. A falta de software anti-malware custou às organizações cerca de US $ 4 milhões na pesquisa. 

O estudo disse que a primeira execução foi feita como uma prova de conceito e que as próximas iterações incluirão mais empresas e mais dados sobre incidentes para obter uma melhor compreensão do que as principais organizações estão enfrentando. 

Os pesquisadores do MIT também disseram que estudos maiores podem ser capazes de examinar ataques por indústria ou setor, permitindo que empresas semelhantes compartilhem informações sobre o que funciona melhor e quais ataques enfrentaram até agora. 

“Conseguimos traçar um quadro realmente completo em termos de quais falhas de segurança estavam custando mais dinheiro às empresas”, disse Reynolds.

“Se você é um diretor de segurança da informação em uma dessas organizações, pode ser uma tarefa árdua tentar defender absolutamente tudo. Eles precisam saber para onde devem dirigir sua atenção.”

Fonte: https://www.techrepublic.com/article/mit-scientists-unveil-cybersecurity-aggregation-platform-to-gauge-effective-measures
Imagem: relevant, Getty Images / iStockphoto