Barracuda full logo

Defesa de Infraestruturas: Sistemas de comunicações

Tópicos:
21 jan. 2025
|
Christine Barry

O Setor de Comunicações é um facilitador chave nas operações de quase todas as outras infraestruturas e indústrias. É considerado um dos quatro setores fundamentais e inclui vários domínios como banda larga móvel, computação em nuvem, radiodifusão e redes que suportam a internet e outros sistemas de informação. Estes sistemas estão parcialmente ilustrados aqui: 

 

Modelo de arquitetura do setor de comunicações via CISA

Modelo de arquitetura do Setor de Comunicações, via CISA

O setor de Comunicações moderno é quase irreconhecível para aqueles que o definiram pela primeira vez há trinta anos. A Ordem Executiva 13010 de 1996 (EO 13010) identificou as telecomunicações como um dos oito setores vitais para a defesa e segurança económica dos Estados Unidos. A EO 13010 reconheceu tanto as ameaças físicas quanto as cibernéticas e forneceu a primeira definição formal de infraestruturas críticas. O setor de telecomunicações estava focado em sistemas e redes de telecomunicações tradicionais.

A Diretiva de Decisão Presidencial 63 (PDD-63) de 1998 expandiu o âmbito das ciberameaças, aumentou os setores de infraestruturas críticas e atribuiu a agências federais específicas a liderança dos esforços governamentais com cada setor. A terminologia também foi atualizada para refletir um conjunto maior de indústrias e funções dentro de cada setor. Isto trouxe-nos o Setor das Comunicações, que era mais inclusivo das tecnologias emergentes e dos novos sistemas de informação.

O setor das comunicações tem extensas interconexões com praticamente todas as outras infraestruturas críticas. Aqui estão alguns detalhes sobre as suas interdependências com os três outros setores principais:

Setor

Dependências nas Comunicações

Dependências de Comunicações no Setor

Transporte

- Sistemas de gestão de tráfego em tempo real e de navegação
- Sistemas de sinalização ferroviária e controlo de aviação
- Programação e atualizações de transporte público
- Coordenação de resposta a incidentes

- Suporte de infraestrutura (por exemplo, linhas de fibra ótica ao longo das rotas de transporte)
- Energia para redes de comunicação em centros de transporte

Energia

- Monitorização e controlo das operações da rede de energia (sistemas SCADA)
- Notificações de interrupções
- Comércio de energia e tecnologias de redes inteligentes

- Fornecimento de energia fiável para sistemas de comunicação
- Energia para torres de telecomunicações, centros de dados e centrais

Água

- Sistemas de Supervisão e Aquisição de Dados (SCADA) para tratamento e distribuição de água
- Alertas de emergência para contaminação ou escassez de água

 - Água para arrefecimento de equipamentos de comunicação (por exemplo, centros de dados)
- Dependência de serviços de abastecimento de água para atividades de manutenção

Essas interdependências criam um cenário de risco complexo, onde uma interrupção num setor pode ter efeitos em cascata em vários outros.

Quem está no comando?

A propriedade dos ativos no setor das comunicações envolve uma mistura de empresas privadas, entidades públicas e estruturas híbridas, com centenas de empresas a operar em várias indústrias. Exemplos:

Proprietários do Setor Privado

Sociedade Anónima: Verizon Communications Inc. possui e gere uma vasta rede de torres de comunicações móveis, cabos de fibra ótica e outros ativos críticos de comunicações.

Empresas Privadas: Diamond Communications possui e gere mais de 4,000 locais de comunicação sem fios arrendados, propriedades de antenas distribuídas e outros ativos.

Proprietários do Setor Público

O Departamento de Defesa dos EUA (DoD) possui e opera vários sistemas de comunicação, incluindo a Defense Information Systems Network (DISN), o Joint Worldwide Intelligence Communication System (JWICS) e o Defense Communications and Army Transmission Systems (DCATS). O DoD é um dos maiores proprietários do setor público de infraestruturas críticas nos EUA.

 

Ilustração dos componentes dcats, apresentada pelo COL Justin Shell, Exército dos EUA

Ilustração dos componentes dcats, apresentada pelo COL Justin Shell, Exército dos EUA

Estruturas de Parceria Híbrida

A Main Connectivity Authority é uma parceria público-privada no setor das comunicações. Esta organização estatal existe para expandir os serviços de banda larga para áreas rurais e outras comunidades no Maine. Para este fim, o governo estadual colabora com várias empresas privadas que podem fornecer estes serviços.

Parcerias Público-Privadas (PPPs)

A Eastern Shore of Virginia Broadband Authority é uma parceria entre os condados de Accomack e Northampton. Esta autoridade construiu uma infraestrutura de banda larga de meio percurso em ambos os condados rurais e disponibilizou-a às comunidades locais e aos fornecedores de serviços privados.

O setor privado possui a maioria dos ativos de comunicação nos Estados Unidos. Como os proprietários e operadores são responsáveis pela segurança dos seus ativos, o setor privado é responsável por assegurar a maior parte da infraestrutura de comunicações nos E.U.A.

Cada setor possui uma Agência de Gestão de Risco do Setor (SRMA) e Plano Específico do Setor (SSP) destinados a ajudar proprietários e operadores na gestão de riscos atuais. Embora o desenvolvimento do SSP seja obrigatório, a implementação das orientações do SSP é quase sempre voluntária para o setor privado e outras entidades não federais.

O Departamento de Segurança Interna dos EUA (DHS) é a Agência de Gestão de Risco do Setor (SRMA) para o Setor de Comunicações. A Agência de Segurança de Cibersegurança e Infraestruturas (CISA) é a agência que desempenha estas funções de SRMA. O SSP de Comunicações é publicado aqui.

Riscos e desafios

Um relatório de 2021 pelo U.S. Government Accountability Office (GAO) resumiu os riscos para o Setor de Comunicações em um relatório de 43 páginas que identificou três questões principais:

  • A CISA não tinha avaliado o desempenho do seu apoio ao Setor das Comunicações. Não havia métricas ou mecanismos de feedback para medir a eficácia.
  • A CISA não tinha concluído uma avaliação de capacidades para o seu papel como coordenadora federal de resposta e recuperação de incidentes. Podem existir lacunas desconhecidas em recursos ou pessoal.
  • A CISA não atualizou o Plano Setorial de Comunicações de 2015 para refletir novas e emergentes ameaças, riscos e as suas responsabilidades legais. A SRMA recomenda que todos os SSPs sejam atualizados a cada quatro anos.

O GAO incluiu recomendações para ações executivas para abordar estas questões-chave. No momento desta redação, estas recomendações continuam abertas / por fazer.

 

Ilustração de ameaças potenciais ao setor de comunicações

Ilustração das potenciais ameaças ao setor das comunicações, GAO

É importante lembrar que o SSP fornece apenas orientações, e nenhuma entidade é obrigada a seguir as recomendações. No entanto, o SSP aborda as condições operacionais únicas e o panorama de riscos enfrentados pelo setor. Porque o SSP está atualmente desatualizado, não possui orientações sobre novas e emergentes ameaças para a cadeia de fornecimento de tecnologia de comunicações ou interrupções nos serviços de posicionamento, navegação e temporização.

Outros desafios são semelhantes aos encontrados em muitos outros setores: Sistemas Legados que são críticos para a missão, mas desatualizados e sem suporte, vulnerabilidades na cadeia de abastecimento sob controlo de terceiros e fragmentação da infraestrutura que cria práticas de segurança inconsistentes entre os fornecedores.                       

Ciberataques e Danos em Curso

Pelo menos nove fornecedores de comunicações dos EUA foram comprometidos pelo Salt Typhoon, um agente de ameaça afiliado à República Popular da China (RPC). Este grupo tem como alvo comunicações e outras infraestruturas críticas em todo o mundo desde, pelo menos, 2020. Os investigadores acreditam que este grupo estava a atacar hotéis, governos e escritórios de advocacia desde 2019, mas o grupo só foi identificado mais tarde. O FBI (Federal Bureau of Investigation) dos EUA e a CISA confirmaram a afiliação do Salt Typhoon com a RPC.

Salt Typhoon é conhecido por vários outros nomes, como FamousSparrow, GhostEmperor e UNC2286. O grupo utiliza uma variedade de táticas, técnicas e procedimentos (TTPs) sofisticados nos seus ciberataques:

  • Explotação de Vulnerabilidades: O grupo explora tanto vulnerabilidades conhecidas como de zero-day em sistemas amplamente utilizados, como o Microsoft Exchange (vulnerabilidades ProxyLogon) e o Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887).
  • Malware Avançado: Malware personalizado como "GhostSpider" permite acesso persistente a sistemas comprometidos.
  • Técnicas de Movimento Lateral e Ofuscação: O grupo utiliza uma variedade de ferramentas para se mover através dos sistemas e evitar a deteção.

Salt Typhoon também utiliza credenciais roubadas e infeções de malware para obter acesso. Estes são métodos comprovados de comprometimento, e deve-se assumir que até os grupos mais sofisticados utilizarão estes métodos.

Outras duas afiliadas da RPC foram ligadas a ataques ao setor de comunicações. Volt Typhoon e APT41 infiltraram-se em sistemas aparentemente seguros, muitas vezes através de vulnerabilidades não corrigidas ou anteriormente desconhecidas.

A RPC não está sozinha nestas tentativas de destabilizar outros países. atores de ameaça russos como Sandworm (GRU Unidade 74455) e APT29 (Cozy Bear, Midnight Blizzard) têm empresas de infraestrutura em muitas nações ocidentais. Sandworm parece concentrar os seus esforços na Ucrânia, enquanto APT29 realiza ataques globais.

Vários grupos afiliados à República Popular Democrática da Coreia (RPDC, Coreia do Norte) foram implicados em ataques às comunicações dos EUA. Grupos de ameaça como Andariel (APT45), Kimsuky (APT43) e Grupo Lazarus infiltraram-se na infraestrutura crítica dos EUA para apoiar o regime norte-coreano. Pesquisadores da Mandiant publicaram esta ilustração das relações entre os atores de ameaça da RPDC e o regime de Kim Jonh-Un:

 

Organograma das organizações cibernéticas da DPRK, via Mandiant

Organograma das organizações cibernéticas da DPRK, via Mandiant

Todos estes grupos são motivados por espionagem, posicionamento estratégico e ganho financeiro. É difícil calcular os danos causados por estes ataques, mas sabemos que existem perdas financeiras significativas e exposição de dados sensíveis. Também houve perturbações operacionais, que amplificam os custos para além da recuperação do incidente.

Orientação para operadores de sistemas de comunicação

Os operadores de infraestruturas de comunicações devem seguir estas melhores práticas e procedimentos:

  • Segmentação de rede para limitar o movimento lateral e isolar sistemas críticos e dados sensíveis.
  • Métodos de autenticação fortes concebidos para resistir a ataques de phishing e outros baseados em credenciais.
  • Desative todos os serviços e protocolos desnecessários nos dispositivos de rede, mantenha as versões do sistema operativo atualizadas e aplique as correções de segurança prontamente.
  • Educar o pessoal sobre as melhores práticas de cibersegurança, incluindo como identificar tentativas de phishing e a importância de seguir os procedimentos de segurança da empresa.
  • Desenvolva um plano de resposta a incidentes e realize avaliações de segurança regulares.
  • Avaliar e monitorizar as práticas de segurança de fornecedores e prestadores para mitigar riscos associados ao acesso de terceiros a sistemas e dados.

Orientação ao público

Uma das responsabilidades mais importantes do público é proteger credenciais e identidade. Utilize senhas fortes e MFA, tenha cuidado com tentativas de phishing e links ou downloads suspeitos e seja cauteloso ao partilhar informações pessoais nas redes sociais. Usar conexões wi-fi seguras e proteger o acesso a dispositivos pessoais são também medidas críticas.

É inegável que as infraestruturas críticas são uma questão de segurança nacional. Cada operador nestes sistemas deve incentivar uma cultura de consciência de segurança e praticar uma boa higiene cibernética. É também importante que as partes interessadas aproveitem as suas parcerias e outros sistemas de apoio. Não podemos proteger adequadamente a infraestrutura de comunicações sem uma abordagem colaborativa que envolva o governo, a indústria e o público.

 

 

Christine Barry

Christine Barry, Contadora Sénior de Histórias de Cibersegurança e Gestora de Conteúdos na Barracuda. Antes de se juntar à Barracuda, Christine foi engenheira de campo e gestora de projetos para clientes K12 e SMB durante mais de 15 anos. Possui várias credenciais em tecnologia e gestão de projetos, uma Licenciatura em Artes e um Mestrado em Administração de Empresas. É graduada pela Universidade de Michigan.

Conecte-se com a Christine no LinkedIn aqui.

 

Junte-se à nossa comunidade no Reddit!

Artigos Relacionados:
A responsabilidade pela segurança da infraestrutura crítica muda
A responsabilidade pela segurança da infraestrutura crítica muda
 Defesa da infraestrutura: Sistemas de água e águas residuais
Defesa da infraestrutura: Sistemas de água e águas residuais
 Defender a infraestrutura crítica de ciberataques e outras ameaças
Defender a infraestrutura crítica de ciberataques e outras ameaças
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.