A cibersegurança nunca foi um desafio fácil de resolver, mas nos setores das infraestruturas críticas, os responsáveis pela defesa operam num patamar à parte.
Tudo começa com os adversários, que não são criminosos oportunistas à procura de um ganho rápido.
Estamos a falar de grupos patrocinados pelo Estado que operam com recursos governamentais, ou de redes organizadas de cibercriminalidade cujos objetivos vão desde o ransomware até à espionagem a longo prazo.
Dizer que o que está em jogo é muito importante seria um eufemismo; o Relatório sobre Crimes na Internet de 2024 do FBI registou mais de 4 800 queixas apresentadas por organizações de infraestruturas críticas. Pode não parecer um número elevado, até o analisarmos no contexto de um ano; estatisticamente falando, esse número pode significar 13 ataques por dia, um a cada duas horas. No caso específico das organizações de defesa, um ataque bem-sucedido pode comprometer diretamente a soberania nacional.
Não é de admirar que um ambiente de ameaças tão intenso funcione ao abrigo de quadros de conformidade rigorosos e inegociáveis, como o NCSC (Centro Nacional de Cibersegurança) no Reino Unido.
Simultaneamente, as soluções de segurança que cumprem as diretrizes do NCSC têm de ser replicáveis em todo o sistema. As organizações de defesa são multifacetadas, pelo que a sua proteção tem de ser modular e aplicável a toda a organização, e não apenas às unidades que identificaram a necessidade em primeiro lugar.
Foi neste contexto que uma força naval de vanguarda da OTAN estabeleceu uma parceria com OPSWAT um mandato claro: uma CDS (Solução Interdomínios) certificada e em conformidade com o NCSC, capaz de se expandir para além de uma única divisão e servir de base para uma ampla adoção.
Conceção de uma arquitetura CDS escalável para vários tipos de ficheiros e ramos, sem qualquer flexibilidade regulamentar
O nosso cliente deparou-se com um desafio que, à primeira vista, parecia impossível de resolver.
Criação de uma solução CDS para fluxos de dados IMPEX (Importação/Exportação) entre diferentes níveis de classificação, em conformidade com os rigorosos requisitos de separação de redes do NCSC. A solução tinha de ser escalável e replicável em vários ramos das forças armadas, suportar uma vasta gama de tipos de ficheiros e manter o mais elevado nível possível de resiliência face a ciberameaças.
Vamos analisar cada camada, uma a uma.
Não existia nenhum gateway interdomínios IMPEX aprovado
As redes classificadas no seio das instituições governamentais e de defesa necessitam de regras formalmente aprovadas para os fluxos de dados IMPEX, aplicadas através de um IMPEX Cross Domain Gateway. Inicialmente, este não existia nos sistemas do nosso cliente.
Na prática, isto significa que não existia, de todo, um processo digital aprovado para as operações da IMPEX. Sem ele, o cliente não conseguia transferir dados entre diferentes categorias de classificação de forma rastreável e pronta para auditoria.
Capacidades de inspeção necessárias para suportar vários tipos de ficheiros
Vários tipos de dados circulavam por redes com diferentes níveis de classificação: ficheiros de utilizador, correções de segurança, atualizações de firmware de hardware, aplicações em contentores e software militar personalizado — todos precisavam de atravessar a mesma fronteira. Os dados tinham de ser inspecionados minuciosamente, para garantir que nenhum elemento malicioso pudesse ter penetrado em ambientes altamente confidenciais.
No entanto, quanto maiores e mais complexos forem os dados, mais difícil é verificar se estão isentos de ameaças. Alguns tipos de ficheiros não podiam ser tratados como documentos comuns. Patches, instaladores, firmware, scripts e software militar personalizado exigiam uma inspeção comportamental, uma vez que a análise estática, por si só, não conseguia comprovar como estes se comportariam após serem introduzidos num ambiente classificado. Ao mesmo tempo, qualquer lacuna na cobertura poderia ter comprometido a própria barreira de segurança.
Normas rigorosas exigiram uma separação absoluta das redes
O quadro do NCSC estabelece padrões rigorosos sobre a forma como os dados devem circular entre os diferentes níveis de classificação. No centro deste quadro estão as SEF (Funções de Aplicação de Segurança): verificações de segurança que abrangem tudo, desde a deteção de malware até à validação de formatos.
Ao operar ao abrigo do NCSC, o cliente teve de estabelecer regras absolutas para a separação de redes (classificação SECRET/OPEN). Os ambientes classificados e não classificados nunca devem comunicar entre si, sendo que o CDS Gateway atua como uma barreira incondicional.
A não conformidade com a verificação do SEF pode resultar na entrada de um ficheiro malicioso numa rede classificada ou na extração de informações confidenciais.
Criar uma solução adequada para uma adoção mais generalizada
O objetivo nunca foi apenas resolver um único problema.
O departamento governamental abrange vários ramos, agências, locais e comandos, e a solução «Cross Domain» implementada pelo cliente tinha de funcionar em todos eles.
Algo que funcionasse apenas num contexto deixaria outra parte do departamento a enfrentar uma lacuna idêntica. O cliente precisava de criar um sistema que pudesse tornar-se uma norma consistente e ser alargado a toda a organização.
Quando não há margem para erros: uma arquitetura interdomínios em camadas, certificada pelo NCSC
O desafio apresentado pelo cliente não ia ser resolvido com um único produto.
Em vez disso, OPSWAT uma arquitetura multifacetada, apoiada por vários produtos e tecnologias, em que cada camada contribui para o objetivo mais amplo: garantir que nada ultrapasse os limites de classificação sem ser verificado.
Separação física da rede através do MetaDefender Optical DiodeDiode™
A base da arquitetura assentava em díodos de dados de hardware, que impõem um fluxo de dados unidirecional ao nível da rede. Ao contrário dos controlos baseados em software, que podem ser mal configurados ou contornados, um díodo de hardware torna o refluxo fisicamente impossível.
As restrições físicas garantem a separação absoluta entre as redes SECRET e OPEN, tal como exigido pelo NCSC.
Optical Diode MetaDefender Optical Diode concebido para permitir uma transferência de dados unidirecional, segura e imposta por hardware, entre redes de TI e de OT, tornando fisicamente impossível que o tráfego passe de níveis de classificação mais baixos para ambientes protegidos.
Gestão de ficheiros em várias camadas através da plataforma MetaDefender Core™
Todos os ficheiros que atravessam a fronteira são intercetados e inspecionados pelo MetaDefender Core, sendo a profundidade da inspeção ajustada ao ambiente de destino.
Os ficheiros que entram na rede SECRET passam por toda a pilha de proteção: uma análise múltipla com vários motores para ampliar as taxas de deteção e a tecnologia Deep CDR™ para remover quaisquer ameaças ocultas. A Adaptive Sandbox uma análise dinâmica baseada em emulação aos ficheiros suspeitos, obrigando o malware evasivo a revelar comportamentos que podem não ser detetados numa inspeção estática ou num sandboxing tradicional baseado em máquinas virtuais.
Os ficheiros que são transferidos para ambientes de classificação inferior são apenas analisados por vários motores antimalware, garantindo uma proteção consistente em todos os fluxos.
MetaDefender Core a plataforma avançada de deteção e prevenção de ameaças OPSWAT, que combina a tecnologia Deep CDR™, o Metascan™ Multiscanning eSandbox Adaptive Sandbox proteger os fluxos de trabalho de ficheiros em infraestruturas críticas.
Transferência automatizada de ficheiros com a tecnologia MetaDefender Managed File TransferTransfer™
Managed File Transfer MetaDefender automatiza a importação e exportação de todos os diversos tipos de dados tratados pelo cliente, criando um fluxo de trabalho regulamentado e auditável.
Nada se move manualmente, nada se move sem ser registado e nada contorna as camadas de inspeção.
Managed File Transfer MetaDefender Managed File Transfer controlos baseados em políticas e prevenção integrada de ameaças para transferir com segurança ficheiros confidenciais entre organizações, sistemas ou zonas de segurança.
Arquitetura certificada pelo NCSC
A arquitetura baseada nos produtos OPSWATcumpre os padrões de segurança do NCSC relativos aos fluxos de dados entre domínios. Tornou-se a primeira solução IMPEX certificada pelo governo, o que significa que pode ser adotada como um padrão consistente noutros ramos da organização sem necessidade de ser redesenhada de raiz.
Construir de uma vez, construir bem, escalar para mais de 1 milhão de ficheiros por dia
No fundo, o CDS é um problema que consiste em reunir os elementos certos num sistema que cumpra as regulamentações mais rigorosas, abrangendo todos os tipos de ficheiros, à escala exigida pelas operações de defesa na vida real.
O ambiente é implacável: adversários sofisticados e altamente motivados, tolerância zero para falhas de conformidade e nenhuma margem para erros.
Para o nosso cliente, o CDS em grande escala é um problema já resolvido. Juntos, criámos uma arquitetura certificada e modular, com capacidade para processar mais de um milhão de ficheiros por dia.
Se isto parece simples, é apenas porque OPSWAT dedicado à segurança de ficheiros há mais de vinte anos, nos ambientes mais exigentes que as infraestruturas críticas têm para oferecer.
Quer a sua empresa se depare com um desafio semelhante que abranja vários domínios, quer se trate de um problema mais geral relacionado com a segurança de ficheiros em infraestruturas críticas, OPSWAT a experiência necessária para o ajudar; vamos conversar.
