Novo modelo de risco móvel NCSC voltado para empresas de “alta ameaça”

O Centro Nacional de Segurança Cibernética (NCSC) afirmou que seu modelo de risco de Soluções Móveis Avançadas (AMS) ajudará “organizações de alta ameaça a permanecerem conectadas em qualquer lugar”.  

Ele foi projetado para mitigar a ameaça de dispositivos de consumo serem alvo de spyware comercial, permitindo potencialmente que agentes de ameaças sofisticados os utilizem como um trampolim para sistemas e dados corporativos de back-end. O modelo de risco também foi concebido para proteger contra intervenientes sofisticados que trabalham durante vários meses ou anos com campanhas de engenharia social de longa duração e altamente direcionadas.

“Em todo o governo, usamos dispositivos de criptografia de ‘alto nível’ (ou seja, cuidadosamente projetados e avaliados) para proteger nossas comunicações mais confidenciais”, explicou o arquiteto de segurança do NCSC, Chris P. “No entanto, com a tecnologia atual, não é prático usar tal abordagem com dispositivos móveis de consumo.”

É aqui que entra o AMS. Ele é sustentado pela suposição de que dispositivos individuais e os dados que eles acessam podem ser comprometidos de tempos em tempos. No entanto, frotas inteiras de dispositivos não deveriam sê-lo, e quaisquer compromissos não deveriam ameaçar os dados em massa ou a segurança de sistemas sensíveis.  

AMS é baseada nos seguintes princípios:

• Os dispositivos móveis não são confiáveis ​​e as redes devem, portanto, ser projetadas de tal forma que os dispositivos e os dados sejam protegidos caso um ou dois desses dispositivos sejam comprometidos.
• As redes e serviços principais devem ser protegidos através de uma “fronteira robusta” entre a infraestrutura móvel e a rede principal
• Os dados confidenciais não devem ser “agregados” dentro da infraestrutura móvel em texto simples – incluindo dados que são transferidos entre servidores ou armazenados em servidores

O NCSC também revelou os principais elementos arquitetônicos do AMS, incluindo ferramentas de gerenciamento de dispositivos móveis (MDM), a melhor proteção de dados comerciais, “terminadores VPN de alto nível ou efêmeros”, monitoramento contínuo e inspeção robusta de dados entre domínios.

AMS é um projeto em desenvolvimento há anos e mais informações serão publicadas no site do NCSC nos próximos meses.

“Desenvolvemos a arquitetura e os modelos de risco para AMS. Grande parte da tecnologia necessária foi (ou está sendo) licenciada para venda ao governo, e estamos finalizando a documentação do risco e das orientações de projeto”, concluiu Chris P.

“Um serviço gerenciado para trabalhadores empresariais (baseado em AMS) está agora disponível em todo o governo. Pretendemos expandir a disponibilidade de padrões e tecnologia AMS para outros setores, como infraestrutura nacional crítica.”

Por Phil Muncaster