O que é Atribuição?
Um tema importante no mundo da cibersegurança é chamado de atribuição. Atribuição em cibersegurança é o processo de rastrear, identificar e, geralmente, atribuir a culpa ao responsável por um ataque cibernético. Ataques cibernéticos, também conhecidos como hacking, são tentativas de um adversário de acessar sistemas para alterar, roubar, destruir ou expor informações. Exemplos de métodos para realizar um ataque cibernético incluem:
- Malware - Abreviação de software malicioso, é qualquer código criado com intenção de causar dano, como vírus ou worm.
- Phishing - Um ataque que usa e-mail, mensagem de texto (SMS) ou redes sociais para convencer a vítima a compartilhar informações sensíveis ou baixar um arquivo malicioso, parecido com “catfishing”.
- Ransomware - Código malicioso feito para bloquear o acesso da vítima ao próprio sistema, exigindo um resgate (geralmente dinheiro) para liberar o acesso novamente.
- Password Spray - O atacante consegue uma lista de nomes de usuário e tenta fazer login em todos usando a mesma senha, repetindo o processo com novas senhas até conseguir acesso.
Desafios da Atribuição
Apesar de ser uma parte importante da cibersegurança, atribuir ataques pode ser difícil, até para especialistas. Eles precisam fazer investigações forenses detalhadas e analisar muitos dados para tentar provar quem pode ser o responsável. Algumas coisas que os especialistas observam são:
- Dados Históricos - Existem padrões repetidos em vários ataques ao longo do tempo que podem indicar quem está por trás deles?
- Intenção ou Motivo - Existem ataques que focam em escolas, por exemplo? Um ataque pode acontecer junto com um conflito político entre países que não querem ser pegos em guerra aberta (guerra cinética)?
- Padrão Geográfico de Ataque - Organizações de um país específico estão sendo mais atacadas? Ou um grupo está atacando o mundo todo, menos um país… talvez o próprio?
A dificuldade de atribuir ataques faz com que grupos com conhecimento, recursos e motivação gostem de usar esse método para atacar e esconder seus rastros. Por isso, nossa missão é ajudar a formar a próxima geração de Defensores Cibernéticos para combater ataques. Mesmo sendo difícil, esse trabalho tem impacto real. Veja esta história abaixo que mostra o impacto dos Defensores Cibernéticos:
- Expondo atividades e infraestrutura do POLONIUM contra organizações israelenses: https://vulners.com/mssecure/MSSECURE:A2F131E46442125176E4853C860A816C
Classificações de Adversários
Existem 3 principais categorias para classificar os adversários: hacktivistas, cibercriminosos e agentes patrocinados por nações.
Hacktivistas são pessoas que não têm ligação com governos e normalmente não buscam dinheiro. Eles acreditam muito em uma ideia e usam ataques cibernéticos para espalhar sua missão. Principais características:
- Hackeiam para espalhar ideias
- Buscam mudança política ou social
- Nem sempre são os mais avançados tecnicamente
- Exemplo: Cult of the dead cow / Anonymous
Cibercriminosos hackeiam principalmente para ganhar dinheiro. Principais características:
- Motivados por dinheiro
- Atacam qualquer alvo
- Ransomware / Golpes / Vazamento de dados
- O nível de organização varia
- Lobos solitários & Máfias organizadas
Agentes patrocinados por nações são pessoas que agem em nome do governo. Muitos governos financiam e orientam grupos para hackear conforme seus objetivos políticos, financeiros, de defesa, etc.
- Patrocinados ou ligados ao governo
- Muito financiados
- Muito motivados
- Escolhem bem os alvos
- Pensam no longo prazo
Hora de jogar “Quem fez isso?”, onde vamos mostrar alguns cenários e você tenta adivinhar quem foi o responsável!
Pergunta 1:
Que tipo de adversário você acha que fez isso?
Pergunta 2:
Que tipo de adversário você acha que fez isso?
Pergunta 3:
