LOGIN
A visibilidade é apenas o primeiro passo para proteger o ambiente de tecnologia operacional (OT) contra as ameaças atuais. É necessário adotar uma abordagem proativa e em camadas para a defesa.
Autor: Austen Byers, Diretor Técnico da TXOne Networks
21 de agosto de 2023
Para qualquer novato em segurança de redes de tecnologia operacional (OT) ou sistemas de controle industrial (ICS) contra ameaças cibernéticas, obter a visibilidade completa provavelmente pareceria ser um primeiro passo lógico. Mas, e depois?
O fato é que a visibilidade por si só não protegerá você. A visibilidade não bloqueará invasores, protegerá pontos finais, impedirá malwares, segmentará a rede ou evitará a paralisação.
Uma solução melhor faria tudo isso em tempo real, em vez de tentar remediar após o fato. Porque, uma vez que um intruso está dentro da sua rede, a visibilidade não o expulsará.
Devido à avalanche de ameaças enfrentadas pelas redes OT, elas requerem uma solução de duas frentes. Visibilidade, sem sombra de dúvida. Mas elas também precisam de uma proteção em camadas que detecte e bloqueie essas atividades enquanto elas acontecem ou mesmo antes.
Para serem eficazes, as defesas devem ser específicas para OT, e não soluções de TI adaptadas. Ambientes de OT podem ser extremamente delicados, muitas vezes com uma mistura de tecnologia novíssima e equipamentos com décadas de idade. As aplicações podem ser produção de petróleo e gás, geração de energia, manufatura, tratamento de água ou automação predial. Enquanto a TI tradicionalmente prioriza a privacidade, as soluções nativas de OT são projetadas para priorizar a continuidade operacional dentro desses ambientes únicos.
Ataques a OT estão ficando mais engenhosos, audaciosos e frequentes
De 2010 a 2020, houve menos de 20 ciberataques conhecidos em infraestruturas críticas. Em 2021, houve mais ataques conhecidos em um ano do que nos 10 anos anteriores, o que dobrou novamente em 2022. E os ataques foram mais audaciosos, como o caso do sequestro de um veículo de entregas, executado por criminosos patrocinados pelo governo de uma nação, infectando sua carga de produtos para automação industrial para depois deixá-lo prosseguir a viagem e entregar a carga infectada.
Esses são os tipos de incidentes para os quais as soluções tradicionais de TI não estão preparadas.
Uma abordagem de defesa em profundidade (defense-in-depth)
A segurança tradicional de TI e, mais ainda a segurança em nuvem, tendem a ver tudo como um problema de software em busca de uma solução através de software.
No mundo físico das fábricas automatizadas ou de operações de infraestrutura, que estão sujeitas a múltiplos vetores de ataque, é imprescindível a defesa em várias frentes que vai além da visibilidade e que fornece ferramentas para prevenir e responder a ameaças. Aqui estão alguns passos práticos e eficazes que você pode tomar.
Zero Trust: não confie em nada, verifique tudo
Uma maneira de ir além da visibilidade é verificar tudo. Dispositivos de armazenamento, laptops de fornecedores, ativos reparados/atualizados e equipamentos novos da fábrica devem ser todos fisicamente escaneados antes de conectá-los à rede.
Transforme isso em uma política e forneça os dispositivos de verificação portáteis necessários em locais vulneráveis. Esses dispositivos devem tornar o processo de escaneamento fácil e prático para os gerentes de instalações e operações cumprirem a política de inspeção de segurança. Ferramentas de escaneamento adequadas também devem coletar e armazenar de forma centralizada informações de ativos durante cada inspeção, apoiando tanto estratégias de visibilidade quanto de proteção.
Proteja os Endpoints
Se você estiver trabalhando com um sistema baseado em Windows ou deseja usar tecnologia antivírus baseada em agentes, implante uma solução de software que seja capaz de detectar:
– Mudanças inesperadas no sistema, como malware;
– Acesso não autorizado;
– Erro humano ou reconfigurações de dispositivos;
E que seja capaz de prevenir que essas ações afetem as operações.
A proteção eficaz dos Endpoints requer uma solução projetada especificamente para ambientes de OT.
Uma solução verdadeiramente voltada para o ambiente OT terá um profundo entendimento de milhares de combinações de aplicativos e dos protocolos de OT. Além disso, ela fará mais do que apenas reconhecer esses protocolos; ela analisará em profundidade os comandos de leitura/escrita para proteção agressiva e proativa.
Proteja os ativos da produção
Na segurança de OT, a disponibilidade é fundamental. Por isso, é muito importante ter uma solução proativa e nativa de OT, que tenha um profundo entendimento dos protocolos industriais, a fim de manter a disponibilidade das operações conhecidas e confiáveis.
Mas, a defesa em profundidade (defense-in-depth) significa ir além de identificar um possível ataque ou reconfiguração para efetivamente evitá-lo. Recomenda-se também a aplicação de patches virtuais, listas de confiança e segmentação de OT para bloquear intrusões ou prevenir e isolar o tráfego malicioso de se espalhar pela rede.
Existem dispositivos físicos nativos de OT disponíveis que não entram em contato realmente com os dispositivos que estão protegendo, mas, simplesmente, ficam na rede para detectar e bloquear atividades maliciosas de alcançar os ativos de produção.
Não pare; os invasores não vão parar
Os ambientes OT se tornaram o mais recente campo de batalha nas guerras cibernéticas, porque são ricos em alvos e muito, muito vulneráveis.
Eles precisam de proteção especializada, porque ninguém quer receber um alerta na segunda-feira de manhã ou após um feriado dizendo: “Bem-vindo de volta. Está ocorrendo uma violação.”
Se você preferir um alerta que diga: “Houve uma tentativa de violação às 3:00 da manhã de sábado, mas foi impedida, e você está seguro,” então você precisará de uma abordagem de defesa em profundidade nativa de OT que vá além da visibilidade, para prevenir ataques proativamente.
O autor
Austen Byers é diretor técnico na TXOne Networks. Ele é responsável pelo desenvolvimento de produtos, arquiteturas e direção técnica da engenharia.
Byers é uma referência no mundo da segurança digital de tecnologia operacional (OT), com mais de 10 anos de experiência na área de cibersegurança.
Ele tem participado de inúmeros eventos da indústria como um especialista no assunto, para oferecer insights sobre o estado da cibersegurança industrial e as complexidades das violações de OT, bem como estratégias para ajudar as organizações a manter seus ativos e ambientes seguros.
O texto original em inglês pode ser lido aqui: https://bit.ly/44u1QgJ
LEIA MAIS
TAGS