A mais recente diretiva nacional de segurança cibernética: O que as equipes de segurança devem saber

A estratégia nacional de segurança cibernética (NCS, National Cybersecurity Strategy) é mais do que apenas outro conjunto de diretrizes cibernéticas: é um alerta. As ameaças cibernéticas estão aumentando, e países e criminosos estão visando infraestrutura e empresas essenciais como nunca antes. Esses não são riscos teóricos. Eles estão acontecendo agora. 

A estratégia define o tom de como o governo federal espera que as empresas aumentem: Adote práticas seguras de software, restrinja a segurança da cadeia de fornecimento e prepare-se para ameaças emergentes. Se sua empresa não está alinhada com essas expectativas, você não está apenas vulnerável a ataques, mas corre o risco de ficar para trás em um cenário onde a cibersegurança não é mais opcional, mas um imperativo de negócios. Vejamos abaixo as diretrizes mais recentes de cibersegurança e como as agências federais e o setor privado podem permanecer resilientes e prontos.  É importante ter em mente que, embora muitas dessas diretrizes sejam voltadas para o futuro a partir de uma perspectiva tecnológica, AGORA é a hora de começar e elaborar um plano para abordá-las a longo prazo.

Novidades em 2025: Fortalecimento e promoção da inovação na segurança cibernética do país

Em 16 de janeiro de 2025, o presidente Joe Biden emitiu uma ordem executiva com o objetivo de reforçar as defesas de cibersegurança do país, abordando tópicos como AI artificial, preocupações com software de código aberto, computação quântica, segurança de IoT, ameaças de roubo de identidade (identidade é o novo perímetro de segurança de rede) e ataques direcionados a infraestrutura crítica. Geralmente, a diretiva acompanha algumas promessas importantes feitas na NCS do ano passado, incluindo:

• Padrões aprimorados para empreiteiros federais: Padrões rigorosos de cibersegurança para contratados de tecnologia do governo exigirão que eles forneçam evidências verificáveis de conformidade com práticas seguras de desenvolvimento de software.
• Responsabilidade por cadeias de fornecimento de software de terceiros: Para mitigar vulnerabilidades que ameaçam sistemas federais críticos, os provedores de software devem enviar atestados e artefatos que demonstrem conformidade com práticas de desenvolvimento seguras. Esses envios, validados por meio do Repositório de atestados e artefatos de software da CISA, responsabilizarão os provedores por lidar com vulnerabilidades conhecidas, concentrando-se em avaliações, correções e contribuições seguras.
• Consequências crescentes para os criminosos de ameaças cibernéticas estrangeiras: A diretiva expande a autoridade para impor sanções a pessoas e entidades estrangeiras envolvidas em ataques cibernéticos contra os EUA, com foco específico em ataques ransomware direcionados a infraestruturas essenciais, como instalações de saúde.
• Um olhar sobre as medidas de segurança resistentes ao sistema quântico: As agências federais precisarão acelerar a transição para algoritmos criptográficos resistentes ao quântico para proteger dados confidenciais contra ameaças futuras impostas por avanços na descriptografia computacional quântica. 
• Integração da inteligência artificial na defesa cibernética: A diretiva promove o uso de ferramentas baseadas em inteligência artificial para melhorar os esforços federais de cibersegurança. Novos programas de AI em departamentos como o Pentágono para reforçar os mecanismos de defesa cibernética incluirão programas piloto em setores críticos, como energia.
• Um novo programa Cyber Trust Mark para IoT: A ordem anuncia o desenvolvimento do programa Cyber Trust Mark lançado na Estratégia Nacional de Cibersegurança do ano passado, criado para certificar a segurança de dispositivos inteligentes para melhorar a proteção para agências federais e para o setor privado. 

A estratégia nacional de cibersegurança de 2024

A NCS atualizada em junho de 2024 inclui 100 iniciativas federais, contra 69 em 2023, com 31 novas iniciativas para lidar com ameaças emergentes e realinhar “incentivos para favorecer investimentos de longo prazo em cibersegurança e resiliência”. A estratégia atualizada também visa reforçar infraestruturas essenciais, com maior ênfase em medidas de cibersegurança específicas do setor para infraestruturas de saúde, educação e obras públicas, como sistemas de águas residuais.

Com tantas frentes na guerra contra o cibercrime, pode ser fácil ignorar que a mais importante quase sempre estará em seu próprio datacenter. Vamos descompactar o NCS e o que você pode fazer para aproveitar sua orientação e suporte.

Novas ameaças exigem novas defesas

Muitos dos objetivos do relatório são em resposta a tecnologias que poderiam ser provas de espadas de dois arestas nas mãos erradas: 

• Inteligência artificial, com ferramentas como o WormGPT apenas arranhando a superfície do que a AI fará nas mãos erradas.
• Computação Quantum, com “o potencial de quebrar alguns dos padrões de criptografia mais onipresentes implantados hoje.” O objetivo futuro é “priorizar a transição de redes e sistemas públicos vulneráveis para ambientes baseados em criptografia resistentes ao quântico e desenvolver estratégias complementares de mitigação para fornecer agilidade criptográfica diante de riscos futuros desconhecidos”.
• Dispositivos IoT, que estarão sujeitos a um programa voluntário de rotulagem de segurança cibernética para desenvolver a “rede inteligente do futuro” e incentivar os fabricantes a atender aos padrões mais altos de segurança cibernética.
• Cadeias de fornecimento digitais inteligentes e conectadas. Uma iniciativa inclui fornecer acesso e uso de ferramentas de avaliação de risco da cadeia de fornecimento, juntamente com serviços de suporte analítico profissional para identificar, avaliar, mitigar e monitorar riscos da cadeia de fornecimento. 

A estratégia também aborda ainda mais o ransomware, prometendo colaborações globais para desmantelar o ransomware e a espionagem cibernética patrocinada pelo estado. 

Um destaque importante na infraestrutura pública crítica

A interrupção do pipeline de 2021 nos ensinou uma lição valiosa: Remover um provedor de infraestrutura crítica pode ter um efeito cascata devastador. O primeiro pilar da estratégia de 2024 inclui novas exigências de que os provedores de infraestrutura devem atender a uma linha de base de padrões de cibersegurança, incluindo água, redes de energia, trilhos e tubulações.

Eles virão de um segundo desenvolvimento da estrutura de segurança cibernética (CSF, Cybersecurity Framework) do Instituto Nacional de Padrões e Tecnologia (NIST, National Institute of Standards and Technology) que será refinada e aprimorada para acompanhar as tendências de tecnologia e ameaças, integrar as lições aprendidas e tornar as práticas recomendadas comuns.

Mesmo que sua organização não esteja entre as do setor público, é uma abordagem que vale a pena emular. Agora é a hora de ficar atento e tomar medidas para proteger os ativos digitais mais importantes para sua empresa. 

Pilares e objetivos principais a serem observados

Pilar 1: Defenda a infraestrutura essencial

A infraestrutura essencial tem sido destaque em cibersegurança, incluindo aviação, ferrovia, petróleo e gás, água e resíduos, e energia, além de seus fornecedores terceirizados. É uma prioridade no NCS que exigirá conformidade obrigatória com estruturas atualizadas do NIST, da Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA, Cybersecurity and Infrastructure Security Agency) e muito mais. A estreita colaboração público-privada é o objetivo principal desse pilar, desenvolvido para impulsionar o desenvolvimento e a adoção de software e hardware que são protegidos por design e por padrão. 

As prioridades são:

• Colaboração com provedores de software, hardware e serviços gerenciados para ajudar a remodelar o cenário cibernético e reforçar a segurança e a resiliência. Isso inclui aplicar princípios de segurança desde o início, desenvolvendo produtos para garantir a segurança desde o início.
• Resiliência, capacidade de recuperação e disponibilidade/ failover seguro de sistemas e serviços essenciais neste setor, algo que pode ser realizado com uma arquitetura de backup em camadas. (Mais sobre isso abaixo.)
• Conformidade de todos os fornecedores terceirizados. Você é tão seguro quanto seu elo mais fraco.

Leia mais: Como colocar em ação as recomendações de proteção da CISA

Pilar 2: Interrompa e destrua os atores de ameaças

A administração prometeu usar “todos os instrumentos de poder nacional”, incluindo campanhas de derrubada e interrupção contra adversários que visam agentes maliciosos. A estratégia destaca especificamente:

• Desencorajar as empresas de pagar o resgate, o que exige que você tenha uma arquitetura resiliente com backups seguros como componente para tornar o pagamento de resgates um ponto de trote
• Compartilhamento de inteligência bidirecional aprimorado, no qual a CISA pode compartilhar avisos e dar às organizações privadas meios de compartilhar ameaças classificadas por meio de “hubs” para esforços de relatórios mais organizados

Isso é encorajador, mas as próprias organizações também precisam permanecer na ofensiva, não apenas na defensiva. Isso vem de saber quem são os atacantes e o que eles buscam, além de ter visibilidade total de um data estate com detecção avançada de anomalias. Para fazer sua parte, você vai querer logs de segurança rápidos, precisos e acessíveis, SIEM com tecnologias de armazenamento subjacentes avançadas para que a entrada nunca seja um gargalo e planos de backup para o processo forense.

Pilar 3: Molde as forças de mercado para impulsionar a segurança e a resiliência

Um tema-chave na estratégia é reduzir o ônus para indivíduos e pequenas empresas, pois a área de superfície de ataque continua a se expandir com provedores de terceiros e software como serviço. Aplicar mais e melhores políticas de privacidade e conformidade de dados ajudará a responsabilizar os “vendedores de software e hardware se eles não empregarem práticas reconhecidas de desenvolvimento de segurança”.

Para incentivar a segurança e a resiliência, a NCS tem como objetivo responsabilizar as organizações pela segurança de dados ao aplicar:

• Proteção de dados pessoais confidenciais limitando a coleta e o uso. É um bom momento para verificar suas práticas recomendadas de conformidade.
• Responsabilidade por vulnerabilidades no software
• Conformidade exigida de fornecedores federais (por exemplo, FIPS ou SOC 2 Tipo II)

O fundo “backstop” de seguro cibernético para ajudar em eventos de segurança catastróficos continua sendo um objetivo estratégico sob esse pilar.

Pilar 4: Invista em um futuro resiliente 

É o quarto pilar, mas o mais importante na minha opinião e o mais acionável. O objetivo federal é “[lead]o mundo para garantir tecnologias e infraestrutura resilientes de última geração por meio de investimentos estratégicos e ação coordenada e colaborativa.” Isso inclui novas iniciativas para abordar as lacunas de segurança do BGP (Border Gateway Protocol) e IPv6 (Internet Protocol version 6). De acordo com a estratégia, investir em resiliência significa: 

• Redução de vulnerabilidades na tecnologia básica, incluindo infraestrutura crítica, como armazenamento, que deve ser capaz de fazer backups em camadas, garantias de recuperação baseadas em SLA, snapshots imutáveis e tempos de recuperação rápidos.
• Fortalecimento e proteção do ecossistema de software de código aberto para reduzir vulnerabilidades de provedores de software de terceiros.
• Soluções de identidade digital com os controles “certos” para limitar ou evitar o comprometimento de identidades e contas não humanas.
• Implantar uma infraestrutura de energia limpa para criar outra camada de resiliência contra o aumento dos custos de energia e interrupções, de acordo com as metas de descarbonização do governo. Isso começa no datacenter.
• Criptografia resistente a quânticos com algoritmos pós-quânticos.

Isso resulta em um conceito crítico: uma arquitetura de resiliência em camadas. Uma arquitetura de resiliência pode proteger todo o seu data estate, o que descrevi neste artigo. É a melhor maneira de ter todas as chances de se recuperar após um evento de segurança.

Pilar 5: Forjar parcerias internacionais para buscar metas compartilhadas

A colaboração e a comunicação são vitais para reduzir as áreas de superfície de ataque, combater ameaças, proteger cadeias de fornecimento globais e apoiar uns aos outros após um ataque. A Administração Nacional de Telecomunicações e Informações investiu mais de US$ 140 milhões do Fundo Público de Inovação da Cadeia de Fornecimento Sem Fio para ajudar a fortalecer a resiliência da cadeia de fornecimento global e reduzir os custos para consumidores e operadoras de rede.

Embora o governo trabalhe para promover o “comportamento responsável do estado” e dar aos aliados sua melhor chance de resiliência à cibersegurança, o fato é que as organizações serão alvo enquanto estiverem em operação. Para você, isso significa permanecer diligente e se preparar para o pior cenário. Na Pure Storage, ajudamos os clientes não apenas a se prepararem para o pior, mas também a se recuperarem dele em tempo recorde.

Como ficar pronto? Resiliência cibernética comprovada em camadas na plataforma de dados da Pure Storage

Na Pure Storage, compartilhamos essas prioridades e estamos sempre inovando e evoluindo para manter nossos clientes na vanguarda da resiliência e segurança cibernéticas. Nossos SLAs e recursos de segurança e resiliência cibernética com inteligência AI anunciados recentemente dão aos nossos clientes uma vantagem clara na guerra contínua contra o cibercrime. 

Por onde começar? A maneira mais eficaz de permanecer resiliente é com uma arquitetura de resiliência em camadas criada em uma plataforma de dados unificada, como a Pure Storage. Isso pode permitir que sua empresa se recupere em minutos, em vez de horas ou dias.

1. Camada 1: Dados primários essenciais e backups seguros. Armazene aplicativos essenciais para as operações e de três a sete dias de snapshots do SafeMode.
2. Camada 2: Dados acessíveis de segunda camada, arquivos de snapshots e dados forenses. Mantenha snapshots de camada 1 descarregados de maneira acessível (de preferência de 6 a 12 meses) e os dados necessários para análise forense após um ataque, e mantenha um arquivo de réplicas para armazenamento de “longo prazo” (6 a 12 meses, ou mais, se possível).
3. Camada 3: Camada de backup rápido. Essa camada é para cenários extremos e retenção de longo prazo para conformidade ou aplicativos que não garantem snapshots. 
4. Camada 4: Um bunker de dados unidirecional. Para desastres de grande escala, os bunkers de dados são altamente seguros e fornecem locais de recuperação de desastres opcionais por trás dos locais de backup primário e secundário. Você pode armazenar anos de dados na camada de Camada 4. 

Mesmo assim, é uma questão de quando, não de quando. Saiba mais sobre nosso SLA de recuperação cibernética recém-atualizado no Evergreen//One (SLA) que inclui o envio no próximo dia útil de arrays de recuperação limpos para que você tenha um ambiente limpo para se recuperar após um evento cibernético. 

Todos nós temos um papel importante a desempenhar na guerra contra criminosos cibernéticos. A Pure Storage oferece o máximo de tranquilidade nesse cenário em evolução.

*Cronograma de envio: Envio de arrays para a América do Norte e EMEA no próximo dia útil. Três dias úteis para Ásia e Austrália/Nova Zelândia. O envio rápido pode estar disponível dependendo da região.