Milhões de pessoas podem perder eletricidade repentinamente se um ataque de ransomware apenas ajustar levemente o fluxo de energia na rede elétrica dos EUA.
Nenhuma concessionária de energia tem recursos suficientes para proteger toda a rede, mas talvez todas as 3.000 concessionárias da rede pudessem preencher as lacunas de segurança mais cruciais se houvesse um mapa mostrando onde priorizar seus investimentos em segurança.

Pesquisadores da Universidade de Purdue desenvolveram um algoritmo para criar esse mapa. Usando essa ferramenta, autoridades regulatórias ou companhias de seguro cibernético podem estabelecer uma estrutura que orienta os investimentos em segurança das empresas de energia elétrica para partes da rede com maior risco de causar um apagão se invadidas.

As redes elétricas são um tipo de infraestrutura crítica, que é qualquer rede – seja física como sistemas de água ou virtual como manutenção de registros de saúde – considerada essencial para o funcionamento e a segurança de um país. Os maiores ataques de ransomware da história aconteceram no ano passado, afetando a maioria dos setores de infraestrutura crítica nos EUA, como sistemas de distribuição de grãos no setor de alimentos e agricultura e o Colonial Pipeline, que transporta combustível por toda a Costa Leste.

Com essa tendência em mente, os pesquisadores da Purdue avaliaram o algoritmo no contexto de vários tipos de infraestrutura crítica, além do setor de energia. O objetivo é que o algoritmo ajude a proteger qualquer sistema de infraestrutura grande e complexo contra ataques cibernéticos.

"Várias empresas possuem diferentes partes da infraestrutura. Quando o ransomware atinge, ele afeta muitas peças diferentes de tecnologia pertencentes a diferentes provedores, então é isso que torna o ransomware um problema em nível estadual, nacional e até global", disse Saurabh Bagchi, professor. na Elmore Family School of Electrical and Computer Engineering e Center for Education and Research in Information Assurance and Security em Purdue. "Quando você está investindo dinheiro em segurança em infraestruturas de grande escala, decisões ruins de investimento podem significar que sua rede elétrica cai ou sua rede de telecomunicações fica parada por alguns dias."

Protegendo a infraestrutura contra hacks melhorando as decisões de investimento em segurança

Os pesquisadores testaram o algoritmo em simulações de hacks relatados anteriormente em quatro sistemas de infraestrutura:uma rede inteligente, sistema de controle industrial, plataforma de comércio eletrônico e rede de telecomunicações baseada na web. Eles descobriram que o uso desse algoritmo resulta na alocação ideal de investimentos em segurança para reduzir o impacto de um ataque cibernético.

As descobertas da equipe aparecem em um artigo apresentado no IEEE Symposium on Security and Privacy deste ano , a principal conferência na área de segurança de computadores. A equipe é composta pelos professores de Purdue Shreyas Sundaram e Timothy Cason e ex-Ph.D. alunos Mustafa Abdallah e Daniel Woods.

"Ninguém tem um orçamento de segurança infinito. Você deve decidir quanto investir em cada um de seus ativos para ganhar um aumento na segurança do sistema geral", disse Bagchi.

A rede elétrica, por exemplo, é tão interconectada que as decisões de segurança de uma concessionária de energia podem impactar muito as operações de outras usinas elétricas. Se os computadores que controlam os geradores de uma área não tiverem proteção de segurança adequada, um hack nesses computadores interromperia o fluxo de energia para os geradores de outra área, forçando-os a desligar.

Como nem todos os utilitários da rede têm o mesmo orçamento de segurança, pode ser difícil garantir que os pontos críticos de entrada nos controles da rede recebam o maior investimento em proteção de segurança.

O algoritmo que os pesquisadores da Purdue desenvolveram incentivaria cada tomador de decisão de segurança a alocar investimentos em segurança de uma maneira que limitasse os danos cumulativos que um ataque de ransomware poderia causar. Um ataque a um único gerador, por exemplo, teria menos impacto do que um ataque aos controles de uma rede de geradores. As concessionárias de energia seriam incentivadas a investir mais em medidas de segurança para os controles de uma rede de geradores do que na proteção de um único gerador.

Construindo um algoritmo que considere os efeitos do comportamento humano

A pesquisa de Bagchi mostra como aumentar a segurança cibernética de maneiras que abordam a natureza interconectada da infraestrutura crítica, mas não exigem uma revisão geral de todo o sistema de infraestrutura para ser implementado.

Como diretor do Centro de Infraestruturas, Sistemas e Processos Resilientes da Purdue, Bagchi trabalhou com o Departamento de Defesa dos EUA, Northrop Grumman Corp., Intel Corp., Adobe Inc., Google LLC e IBM Corp. na adoção de soluções de sua pesquisa. O trabalho de Bagchi revelou as vantagens de estabelecer uma resposta automática a ataques e levou a inovações importantes contra ameaças de ransomware, como maneiras mais eficazes de tomar decisões sobre o backup de dados.

Há uma razão convincente pela qual incentivar boas decisões de segurança funcionaria, disse Bagchi. Ele e sua equipe projetaram o algoritmo com base em descobertas do campo da economia comportamental, que estuda como as pessoas tomam decisões com dinheiro.

"Antes do nosso trabalho, não havia muita pesquisa de segurança de computador sobre como comportamentos e preconceitos afetam os melhores mecanismos de defesa em um sistema. Isso ocorre em parte porque os humanos são terríveis em avaliar riscos e um algoritmo não tem nenhum preconceito humano", disse Bagchi. . "Mas para qualquer sistema de complexidade razoável, as decisões sobre investimentos em segurança são quase sempre feitas com humanos no circuito. Para nosso algoritmo, consideramos explicitamente o fato de que diferentes participantes em um sistema de infraestrutura têm diferentes vieses."

Para desenvolver o algoritmo, a equipe de Bagchi começou jogando um jogo. Eles realizaram uma série de experimentos analisando como grupos de estudantes escolheram proteger ativos falsos com investimentos falsos. Como em estudos anteriores em economia comportamental, eles descobriram que a maioria dos participantes do estudo adivinhou mal quais ativos eram os mais valiosos e deveriam ser protegidos contra ataques de segurança. A maioria dos participantes do estudo também tendia a distribuir seus investimentos em vez de alocá-los em um ativo, mesmo quando lhes era dito qual ativo era o mais vulnerável a um ataque.

Usando essas descobertas, os pesquisadores projetaram um algoritmo que poderia funcionar de duas maneiras:ou os tomadores de decisão de segurança pagam um imposto ou multa quando tomam decisões que não são ideais para a segurança geral do sistema, ou os tomadores de decisão de segurança recebem um pagamento por investir da maneira mais otimizada.

"Neste momento, as multas são cobradas como medida reativa se houver um incidente de segurança. Multas ou impostos não têm qualquer relação com os investimentos em segurança ou dados das diferentes operadoras em infraestrutura crítica", disse Bagchi.

Nas simulações dos pesquisadores de sistemas de infraestrutura do mundo real, o algoritmo minimizou com sucesso a probabilidade de perder ativos para um ataque que diminuiria a segurança geral do sistema de infraestrutura.

A pesquisa foi publicada nos anais do 2022 IEEE Symposium on Security and Privacy (SP) . + Explorar mais

Nova tecnologia de segurança monitora o uso de energia para sinais de alerta de ataques cibernéticos