A implicação das Cyber Operations (CyberOps) na operacionalização e manutenção do cumprimento com a NIS 2.0 (Diretiva de Segurança de Redes e Sistemas de Informação) é profunda, alinhada e imperiosa, para garantir que as instituições publico/privadas cumprem com os exigentes controlos de Cibersegurança aplicadas por esta diretiva.
As CyberOps possuem um papel fundamental e essencial no fortalecimento das capacidades de proteção, monitorização, deteção, resposta e recuperação contra ciberameaças, os quais são as ações pilares principais da NIS 2.0. As CyberOps não apenas executam as práticas e processos exigidos pela NIS 2.0, como também apoiam a alterar culturalmente, a forma como a diretiva é implementada nas instituições.
Os seguintes pontos descrevem o impacto direto das CyberOps na eficácia e na conformidade com a NIS 2.0.
Operacionalizar os requisitos da NIS 2.0
As CyberOps desempenham um papel fundamental na operacionalização prática dos requisitos funcionais, técnicos, processuais, procedimentais e organizacionais estabelecidos pela NIS 2.0. Como a diretiva exige que as instituições tomem medidas concretas para monitorizar e proteger as redes e sistemas, complementado com a aplicação de mecanismos técnicos, políticas, processos e procedimentos, será através da equipa de CyberOps que estas medidas serão operacionalizadas, assentes nos seguintes principais pilares:
Monitorização contínua da segurança da infraestrutura
As equipas de CyberOps possuem como uma das principais responsabilidades, a implementação de soluções de monitorização como o SIEM, para garantir a visibilidade interna em tempo real da segurança da infraestrutura com base na correlação de um conjunto de fontes, orquestrada através do SOAR e com proteção acionável (através do XDR/MDR) com base na identificação de IoCs, IoAs. Complementado com esta capacidade, operacionaliza plataformas que permitem a análise do comportamento e categorização da ameaça de acordo com uma determinada taxonomia, de ações executadas por grupos de hackers, de forma a melhorar a inteligência contra ameaças e operações/arquiteturas de segurança. Estas capacidades são fundamentais para detetar e responder a incidentes em tempo real, cumprindo com o requisito da NIS 2.0, no sentido de dotar a instituição com uma resposta rápida a ciber ameaças.
SIEM – Security Information and Event Management
SOAR – Security Orchestration, Automation, and Response
XDR – Extended Detection and Response
MDR – Managed Detection and Response
IoCs – Indicators of compromise
IoAs – Indicators of Attack
Gestão de incidentes
A equipa de CyberOps também gere processos de resposta a incidentes e garante o ciclo de vida do incidente assente numa plataforma integrada com SIEM e fontes externas (Mitre Att&ck, MISP, TheHive, Maltego, …) permitindo que os incidentes de segurança sejam devidamente investigados, mitigados e reportados dentro dos prazos estabelecidos pela NIS 2.0. Isto inclui a necessidade em possuir equipas internas ou externas CERT ou CSIRT para gerir crises e riscos de Cibersegurança.
CERT – Computer Emergency Response Team
CSIRT – Computer Security Incident Response Team
Garantir o cumprimento, compliance e report de Incidentes de Segurança
O cumprimento e compliance com a NIS 2.0, exige que as instituições reportem incidentes de segurança às autoridades competentes de cada país, onde as equipas de CyberOps contribuem diretamente para este processo, nomeadamente em:
Notificação de incidentes
As equipas de CyberOps garantem que as ferramentas de monitorização e os processos de auditoria estejam alinhados com os controlos estabelecidos na Diretiva, para identificar incidentes com impacto significativo e entregar relatórios dentro do prazo (entre 24 e 72 horas), conforme exigido pela NIS 2.0, esta situação obriga a coleta de informação precisa sobre o vetor de ataque, a identificar a sua criticidade e a adotar medidas de mitigação adequadas ao incidente.
Security Assessment e conformidade contínua
Para garantir o compliance continuo e assertivo, a equipa de CyberOps está continuamente atualizada, face a alterações na regulamentação, controlos e requisitos da NIS 2.0. Isto inclui a execução de Security Assessments regulares ao sistema de informação e a manutenção de registos detalhados dos incidentes, políticas e ações de mitigação.
Gerir os riscos e operacionalizar Testes de Segurança Ofensivos
A NIS 2.0 garante uma aproximação baseada na gestão de riscos e ciber-resiliência (na qual deve estar assente na NIST Cybersecurity Framework), onde as equipas de CyberOps são fundamentais para avaliar e mitigar estes riscos, através da:
Análise de vulnerabilidades
As CyberOps conduzem regularmente pentests (testes de intrusão) e análises de segurança para identificar vulnerabilidades e falhas de configurações nos sistemas críticos e garantir que estas falhas sejam corrigidas de forma eficaz. Assim, é garantido que a gestão de vulnerabilidades é executada num modelo robusto e cíclico, no sentido de garantir o ciclo de vida da vulnerabilidade de acordo com o CVSS (avaliação da criticidade, vetores de ataque, permitindo avaliar a severidade considerando diferentes cenários), EPSS (Exploit Prediction Scoring System) e de acordo com o Cyber Asset Attack Surface Management (CAASM), no qual combina padrões da indústria com conhecimento específico sobre vulnerabilidades, ativos e ameaças que estão alinhadas à instituição.
CVSS – Common Vulnerability Scoring System
Mitigação de riscos
Com base nas avaliações de risco, as equipas de CyberOps desenvolvem planos de mitigação que podem incluir controlos de segurança avançados, como segmentação e segregação da rede e sistemas, utilização de criptografia, autenticação MFA, IAM/PAM, IA & ML aplicado à análise de comportamentos desde o tráfego de rede até aos utilizadores, ZTA, gestão de atualizações, hardening de segurança em sistemas IT & OT, entre outros. Isto é parte da ciber-resiliência que a NIS 2.0 exige, estando a caminhar para a aplicação de um sistema de Law Enforcement (tema ainda muito embrionário em Portugal, mas que se exige pela resposta ou ação de uma capacidade aplicada ao nível da cyber investigation / forensics, cyber infrastructure protection, cyber intrusion, etc).
MFA – Multi-factor Authentication
IAM/PAM – Identity and Access Management/Privileged Access Management
IA & ML – Inteligência Artificial & Machine Learning
ZTA – Zero Trust Architecture
IT & OT – Information Technology & Operational Technology
Proteger contra Ciberameaças
Um dos grandes impactos das CyberOps é a capacidade em recolher, investigar e mitigar vetores de ataque avançados, que visam infraestruturas críticas, através da execução de ações que garantam:
Defesa contra APTs
A NIS 2.0 exige que as organizações estejam preparadas para lidar com Ameaças Persistentes Avançadas (APTs). A CyberOps desempenha um papel crucial na defesa contra estas ameaças, implementando estratégias de Threat Hunting e Threat Intelligence, fazendo uso da inteligência de ameaças e seus atores, para antecipar ataques e prevenir possíveis incidentes, através de análise em profundidade de TTPs (Tactics, Techniques, and Procedures).
Resposta a ataques direcionados
Quando ocorre um ciberataque significativo, a resposta rápida e eficiente da equipa de CyberOps pode minimizar o impacto e garantir que a instituição retorne de forma célere à operação normal, reduzindo o tempo de inatividade e a exposição a ameaças.
Orquestrar e melhorar processos de Cibersegurança
As operações das equipas de CyberOps, também têm impacto direto na melhoria contínua dos processos de Cibersegurança exigidos pela NIS 2.0, fazendo uso da orquestração e tecnologias com IA e ML embebidas nos seus processos, através da:
Orquestração de tarefas repetitivas
A orquestração de processos de segurança, como gestão de patches, resposta a incidentes de baixa complexidade e análise de logs, ajuda as equipas de CyberOps a focarem-se nas ameaças mais complexas e ameaças avançadas, garantindo que a conformidade com a NIS 2.0 seja mais eficiente.
Evolução das capacidades defensivas
A CyberOps é fundamental para a modernização contínua da ciberdefesa de uma organização. À medida que novas ameaças e vulnerabilidades surgem, esta equipa é responsável por implementar novas tecnologias, metodologias e processos de segurança.
Colaborar e partilhar informação sobre Ciberameaças
A NIS 2.0 estimula a colaboração além-fronteiras e à partilha de informação sobre ciberameaças e atores maliciosos. Neste contexto, esta área facilita esta cooperação, através da:
CERTs & CSIRTs Networks
A CyberOps trabalha diretamente com CERTs nacionais e internacionais, para partilhar informação sobre incidentes, atores com os respetivos modelos de ameaças emergentes e vulnerabilidades recém-descobertas. Isto fortalece a resiliência coletiva contra ciberameaças, que é um dos principais objetivos da NIS 2.0.
CERTs – Computer Emergency Response Team
Participação em networks de inteligência
A CyberOps também se alinha com comunidades de inteligência de ameaças (como ISACs – Information Sharing and Analysis Centers), para obter insights sobre tendências de ataques e garantir que as melhores práticas são partilhadas entre diferentes setores críticos.
Treinar e desenvolver competências em Cibersegurança
Outro impacto importante da CyberOps na NIS 2.0 é o desenvolvimento de competências em Cibersegurança:
Capacitação contínua
As CyberOps são responsáveis por manter as equipas com treino atualizado sobre as mais recentes ameaças, metodologias e tecnologias de defesa, garantindo que estão sempre preparadas para enfrentar novos desafios.
Testes e simulacros de incidentes
A NIS 2.0 incentiva que as organizações realizem testes de segurança regulares e exercícios de resposta a incidentes. As CyberOps executam estes testes, como simulacros de ataques e exercícios de "red teaming", para avaliar e fortalecer a prontidão em Cibersegurança.
Desta forma e com base nos pontos sumariamente descritos, o impacto da CyberOps na conformidade com a NIS 2.0 é amplo e significativo. As operações de Cibersegurança são responsáveis por implementar os requisitos técnicos e organizacionais da diretiva, gerir riscos e vulnerabilidades, responder a incidentes de forma eficaz e garantir a colaboração internacional em matéria de Cibersegurança. As CyberOps são, portanto, um pilar essencial para que as organizações possam atender às exigências da NIS 2.0, fortalecendo a sua ciber-resiliência e a sua capacidade em enfrentar ameaças num cenário digital cada vez mais complexo.
__
Cláudio Silva Alves
Cybersecurity Operations Partner da PwC Portugal
Garanta a segurança digital da sua empresa
Com o apoio da PwC, proteja a sua empresa de intrusões e ameaças. Fale com os nossos especialistas em Cibersegurança.
Subscreva a nossa mailing list de Cibersegurança
Aceda a conteúdos sobre tendências, boas práticas e soluções para a proteção do seu negócio contra ameaças cibernéticas.
Contacte-nos
