Sistema que permite compartilhamento de violações em expor dados sigilosos beneficia segurança
Uma equipe de pesquisa interdisciplinar constrói uma maneira de as empresas compartilharem dados de violação sem revelar detalhes específicos que podem expor as empresas a riscos legais.
Um sistema que permite que as empresas enviem dados de violação anonimamente e, em seguida, se beneficiem das estatísticas agregadas de seus setores, pode dar aos executivos e legisladores uma compreensão mais precisa de como as violações afetam os negócios e dar às empresas a inteligência de ameaças oportuna de que precisam para se prepararem para ataques.
O sistema Secure Cyber Risk Aggregation and Measurement (SCRAM) – criado por uma equipe interdisciplinar de pesquisadores de política, finanças e ciência da computação do Massachussetts Institute of Technology (MIT) – usa um tipo especial de criptografia para permitir que vários cálculos sejam realizados em dados protegidos no contexto de um sistema de computação multipartidária (MPC). Um teste inicial de prova de conceito não apenas entregou dados de violação agregados para um grupo de seis empresas, mas também coletou informações sobre a taxa de adoção de controles de segurança e os controles responsabilizados pela maior perda.
Os pesquisadores planejam realizar um teste maior da tecnologia com 60 a 70 empresas em vários setores para coletar dados específicos do setor, diz Taylor Reynolds, diretor de política de tecnologia da Internet Policy Research Initiative do MIT.
“Mostramos que as empresas estão dispostas a compartilhar esses dados realmente confidenciais, desde que saibam que serão protegidos”, diz ele. “E o que isso faz é abrir um novo conjunto de dados e estatísticas para nós que nos permitirá melhor defender nossas redes.”
A pesquisa pode resolver um dos problemas mais persistentes da segurança cibernética: a falta de dados confiáveis sobre violações e informações sobre quais controles estão funcionando. Embora vários setores – principalmente o de saúde – sejam obrigados a divulgar informações sobre incidentes de segurança cibernética, a prática permanece relativamente incomum e eventos menores de segurança cibernética sempre foram subnotificados.
Um sistema de preservação de privacidade poderia resolver o grande obstáculo que impede esse compartilhamento de dados, diz Darren Van Booven, consultor principal da empresa de serviços de segurança Trustwave.
“Uma das coisas que sempre percebi ao longo da minha carreira é a dificuldade de conseguir informações de qualidade sobre o que funciona e o que não funciona, o que outras organizações consideram mais eficazes na forma de controles , e quais são exatamente os prejuízos ocorridos ”, afirma. “Isso impacta o trabalho de cada CISO porque eles estão tentando relatar à liderança executiva qual é exatamente o risco real para a empresa no momento.”
A ideia do sistema surgiu de entrevistas com executivos de setores de infraestrutura crítica, como financeiro, óleo e gás e elétrico. Cada setor queria dados, mas nenhum executivo queria colocar seus negócios em risco ao reconhecer as violações, diz Reynolds do MIT
“Uma das mensagens que continuava saindo era que eles precisavam de uma maneira melhor de compartilhar dados e informações porque os métodos atuais não estão funcionando”, diz ele. “Colocamos nossas mentes juntas e sabíamos que tínhamos as peças … vamos nos reunir e planejar uma maneira que as empresas possam compartilhar dados com segurança, sem ter que revelá-los ou divulgá-los para ninguém.”
O grupo de pesquisadores criou um sistema de MPC que preserva a privacidade. O sistema é habilitado por um tipo especial de criptografia que permite que alguns tipos de matemática sejam executados nos valores criptografados. Conhecida como criptografia homomórfica de limite, a técnica é uma forma especial de proteger os dados, permitindo que cada parte criptografe as informações e, em seguida, descriptografe os resultados de qualquer cálculo agregado.
A técnica resolve dois problemas com outros métodos de agregação. Considere, por exemplo, uma reunião de pessoas que desejam compartilhar informações sobre salários. Eles poderiam fornecer todas as informações a um terceiro de confiança, que poderia então fazer os cálculos e fornecer uma renda média para o grupo. O terceiro, no entanto, pode ser comprometido ou, no final, considerado não confiável, resultando em um vazamento de informações sobre o salário de uma pessoa específica – uma violação de privacidade. Alternativamente, o grupo pode colocar todas as informações em um chapéu e, em seguida, agregar os dados, mas os participantes podem ser identificados apenas por conhecer os detalhes de qualquer incidente único .
No entanto, se cada participante adicionasse um grande número aleatório ao seu salário, e então passasse o total para a próxima pessoa, nenhum salário individual seria comprometido. Em uma segunda rodada de cálculo, cada pessoa poderia subtrair a grande quantidade aleatória que havia adicionado anteriormente, resultando na soma exata de suas receitas.
“Em nenhum lugar ao longo desse caminho alguém teve que revelar seu próprio salário para que pudéssemos executar esse cálculo”, diz Reynolds. “É esse tipo de modelagem matemática que nos permite executar esses cálculos na plataforma.”
O sistema SCRAM usa uma abordagem semelhante com criptografia homomórfica, um tipo de criptografia que preserva a privacidade e que permite cálculos em dados criptografados.
O projeto piloto coletou dados sobre mais de 49 incidentes de segurança de seis grandes empresas do setor privado e as falhas específicas de controle de segurança que as empresas atribuíram a cada incidente. O gerenciamento de log centralizado foi a principal falha de controle relacionada a violações, associada a quase US $ 6 milhões em perdas agregadas nos 49 incidentes de segurança.
Testes futuros tentarão estruturar as perguntas e respostas para revelar ligações mais fortes entre controles e danos por violação, diz Reynolds.
“O Santo Graal aqui é tentar entender o retorno sobre o investimento em controles de segurança”, diz ele. “Se eu gastar o dinheiro em X, qual será o retorno do investimento que obtenho quando faço a modelagem de risco?”
Com o sistema de preservação da privacidade, esses dados podem não estar mais fora de alcance.
