Aprimorando a segurança da IHM: como proteger os sistemas industriais de controle (ICS) contra ameaças cibernéticas

19 de abril de 2024
Créditos: TXOne Networks
O artigo original em inglês pode ser lido aqui: https://www.txone.com/blog/enhancing-hmi-security/

 

A importância da segurança da IHM em ambientes OT

As IHMs (Interfaces Homem-Máquina) podem ser definidas de forma ampla como qualquer coisa que permita que os seres humanos façam interface com suas máquinas e, portanto, são encontradas em todo o mundo técnico. Em ambientes de OT, os operadores usam várias IHMs para interagir com sistemas de controle industrial a fim de operar e monitorar os sistemas operacionais. E, onde quer que haja interseção entre humanos e máquinas, podem surgir problemas de segurança.

Proteger a IHM em planos de segurança cibernética, especialmente em ambientes de OT/ICS, pode ser um desafio, pois as IHMs oferecem uma variedade de vulnerabilidades que os agentes de ameaças podem explorar para atingir um grande número de objetivos, de extorsão até sabotagem.

Considere o tipo de ambientes de OT em que as IHMs são encontradas, incluindo serviços públicos de água e energia, fábricas, plantas químicas, infraestrutura de petróleo e gás, edifícios inteligentes, hospitais e muito mais. As IHMs nesses ambientes oferecem aos malfeitores uma série de vetores de ataque pelos quais eles podem entrar e começar a causar estragos, sejam eles financeiros, físicos ou ambos.

 

Qual é a relação entre IHM e SCADA?

Os sistemas SCADA (controle de supervisão e aquisição de dados) são usados para coletar e analisar dados e controlar sistemas industriais. Devido à função que o SCADA desempenha nessas aplicações – supervisão do controle de equipamentos, processos e instalações industriais extremamente complexos, caros e até mesmo perigosos quando mal utilizados – eles são extremamente atraentes para os cibercriminosos.

Infelizmente, as IHMs que os operadores usam para interagir com esses sistemas podem conter várias vulnerabilidades que estão entre os vetores mais exploráveis e frequentemente invadidos para ataques contra sistemas SCADA.

Quando um invasor acessa o sistema, ele pode impedir que os operadores executem as suas funções de controle operacional. Isso possibilita a manipulação inadequada do maquinário, resultando em danos irreparáveis, contaminação de produtos, furto de informações e exigência de resgates. Os custos associados à paralisação da produção, perda de vendas, danos aos equipamentos e à reputação podem ser devastadores para algumas empresas, desestabilizando o mercado. Adicionalmente, esse ataque representa riscos sérios à segurança humana e ao meio ambiente.

 

Três tipos de IHMs em ICS (Sistema de Controle Industrial) que são vulneráveis a ataques

A segurança da IHM deve levar em conta uma série de “opções de vulnerabilidade” disponíveis para exploração por agentes mal-intencionados, como teclados, telas sensíveis ao toque e tablets, bem como pontos de interface mais sofisticados. Entre os pontos atacados com mais frequência estão a interface gráfica do usuário e o acesso móvel e remoto.

Interface gráfica do usuário

Os invasores podem usar a interface gráfica do usuário (GUI) para obter acesso completo ao sistema e manipulá-lo à vontade. Muitas vezes, eles podem obter acesso explorando controles de acesso mal configurados ou bugs e outras vulnerabilidades que existem em muitos softwares, inclusive softwares de GUI. Se o sistema estiver conectado à Web ou à rede, o trabalho deles será mais fácil, especialmente se o objetivo for a introdução de malware. Uma vez dentro, eles também podem se mover lateralmente, explorando ou comprometendo sistemas interconectados e ampliando o ataque.

Acesso móvel e remoto

Mesmo antes da COVID-19, as técnicas de acesso móvel e remoto já estavam sendo incorporadas ao gerenciamento de um número crescente de redes de OT. Quando a pandemia atingiu com força, o acesso remoto muitas vezes se tornou uma necessidade. No entanto, à medida que a crise foi se dissipando, o acesso móvel e remoto tornou-se ainda mais arraigado.

Os pontos de acesso remoto são especialmente vulneráveis. Por um lado, o software de acesso remoto pode conter suas próprias vulnerabilidades de segurança, como falhas e bugs não corrigidos ou configurações incorretas. Os invasores podem encontrar aberturas nas VPNs (redes privadas virtuais) ou no RDP (protocolo de área de trabalho remota) e usar essas brechas para burlar as medidas de segurança e cumprir sua missão.

Controles de acesso

Os invasores podem comprometer os mecanismos de controle de acesso para adquirir as mesmas permissões e privilégios que os usuários autorizados e, depois de obterem acesso, podem fazer praticamente tudo o que quiserem em relação às operações do sistema e ao acesso aos dados. O acesso pode ser obtido de muitas das formas usuais, como uma VPN desatualizada ou credenciais roubadas ou compradas. (Credenciais roubadas ou outras credenciais estão disponíveis em mercados on-line).

O ataque inicial pode ser apenas um dedo do pé na rede enquanto é realizado o reconhecimento de falhas no sistema de controle de acesso. Senhas fracas, direitos de acesso desnecessários e as habituais configurações incorretas e vulnerabilidades de software são tudo o que um invasor precisa. À medida que outras barreiras são rompidas, os invasores podem aumentar seu nível de privilégio para fazer tudo o que um usuário legítimo pode fazer.

O ataque inicial pode ser apenas uma pequena incursão na rede para realizar uma busca por brechas no sistema de controle de acesso. Senhas fracas, direitos de acesso desnecessários, vulnerabilidades de software e as habituais configurações incorretas são tudo o que um invasor precisa. À medida que mais barreiras são superadas, os invasores podem então elevar seu nível de privilégio para fazer tudo o que um usuário legítimo pode fazer.

 

Entendendo as técnicas de ataque na segurança cibernética de IHMs dos sistemas de controle.

Injeção de código

Quando os invasores inserem código mal-intencionado em um programa de software ou sistema, isso é injeção de código e pode dar ao invasor acesso às principais funções do sistema. O caos resultante pode incluir a manipulação do software de controle, levando a desligamentos, danos ao equipamento e situações perigosas, até mesmo com risco de vida, se as alterações no sistema resultarem em liberações de produtos químicos perigosos, fórmulas alteradas, explosões ou o funcionamento incorreto de máquinas grandes e pesadas. As injeções de código podem corromper, excluir ou roubar dados e podem resultar em falhas de conformidade e multas em determinadas situações.

Infecção por vírus de malware

Além das IHMs, o malware pode entrar em uma rede por meio de vários pontos de acesso, mesmo aqueles que ninguém esperaria, como atualizações de software fornecidas pelo fabricante ou ativos físicos novos de fábrica adicionados ao ambiente de produção. Um técnico que conecte um laptop ou um funcionário que conecte um pen drive sem saber que ele está infectado funcionará da mesma forma. À medida que as barreiras entre a TI e a OT diminuem, a superfície de ataque também se amplia. Uma vez na rede, o invasor pode aumentar os privilégios, dar uma olhada e ver o que vale a pena fazer ou roubar. Quando já tiver aprendido o suficiente, o invasor executa o código malicioso, que pode incluir ransomware ou spyware. Como em outros ataques, as operações podem sofrer interferência, às vezes de forma perigosa.

Violação de dados

A adulteração de dados significa simplesmente que os dados são alterados sem autorização, inclusive os dados usados para operar, controlar e monitorar sistemas industriais. Os invasores obtêm acesso por meio de vulnerabilidades no software do sistema ou nos dispositivos IHM ou por meio de canais de acesso entre a TI e a OT. Uma vez dentro, eles podem explorar o sistema para ter acesso ainda maior a áreas mais sensíveis, onde podem roubar dados valiosos e confidenciais do sistema, interromper operações, comprometer equipamentos e prejudicar os interesses comerciais e a vantagem competitiva da empresa.

Corrupção de memória

A corrupção de memória pode ocorrer em qualquer rede de computadores e pode não representar nada de nefasto. No entanto, a corrupção de memória também tem sido usada como uma técnica de ataque que pode ser implantada contra redes de OT e, portanto, pode ser extremamente prejudicial, pois os dados nela armazenados controlam máquinas, processos, fórmulas e outras funções essenciais. Os invasores encontram vulnerabilidades de software na IHM ou em outros pontos de acesso por meio dos quais a memória de um aplicativo ou sistema pode ser acessada e corrompida. Isso pode levar a falhas, vazamento de dados, negação de serviços (DoS) e até mesmo a invasões de sistemas ICS e SCADA por atacantes.

Spear Phishing

Os ataques de spear phishing geralmente são lançados contra redes de TI, que podem ser usadas para abrir um corredor para a rede OT. O spear phishing é basicamente uma versão mais direcionada dos ataques de phishing, em que um invasor se faz passar por uma fonte legítima e confiável por e-mail ou página da Web, por exemplo. Em 2014, os invasores atacaram uma usina siderúrgica alemã com um e-mail suspeito de conter código malicioso. Em seguida, eles usaram o acesso à rede comercial para chegar à rede SCADA/ICS, onde modificaram os PLCs (controladores lógicos programáveis) e assumiram o controle das operações do forno. Os danos físicos que causaram forçaram o fechamento da fábrica.

Ataques DoS e DDoS

A negação de serviço (DoS) e a negação de serviço distribuída (DDoS) funcionam sobrecarregando as estações de IHM com tráfego ou solicitações excessivas, de modo que eles não consigam lidar com as funções de controle e monitoramento autorizadas. Em 2016, um malware particularmente destrutivo chamado Industroyer (também Crashoveride) foi implantado em um ataque contra a rede elétrica da Ucrânia e apagou uma extensa área da cidade de Kiev. O Industroyer foi desenvolvido especificamente para atacar sistemas ICS e SCADA. O ataque multifacetado começou com a exploração de vulnerabilidades em relés de subestações digitais.

Um timer regulando a operação executou um ataque distribuído de negação de serviço (DDoS) em cada relé de proteção na rede que utilizava qualquer um dos quatro protocolos de comunicação específicos. Simultaneamente, deletou dos discos rígidos todos os arquivos relacionados ao MicroSCADA dos discos rígidos das estações de trabalho. À medida que os relés pararam de funcionar, as luzes se apagaram por toda a cidade.”

Exploit do acesso remoto

O crescente uso de acesso remoto aos sistemas HMI durante e após a COVID-19 forneceu aos cibercriminosos uma grande variedade de novos vetores de ataque disponíveis. Protocolos de segurança de acesso remoto, não totalmente seguros, os tornam muito atraentes para malware específico para ICS.

O malware HAVEX, por exemplo, utiliza um trojan de acesso remoto (RAT) baixado de sites de fornecedores de OT. O RAT pode escanear dispositivos nas portas comumente usadas por ativos de OT, coletar informações e, então, enviá-las de volta ao servidor de comando e controle do atacante.

Um ataque de longo prazo usou justamente esse método para obter acesso remoto às redes de energia nos EUA e em outros países, período durante o qual ladrões de dados coletaram e “exfiltraram” (roubaram) dados corporativos e relacionados ao ICS.

Roubo de credenciais

Obter credenciais não autorizadas não é tão difícil hoje em dia, com um mercado on-line sólido e ativo tornando isso mais fácil do que nunca. Phishing e spear phishing, malware, senhas fracas, bem como vulnerabilidades ou configurações inadequadas que permitem acesso a locais onde as credenciais estão armazenadas sem criptografia, são todas fontes potenciais.

Com as credenciais em mãos, os invasores podem ultrapassar a segurança, inclusive a MFA (autenticação multifatorial), realizar reconhecimento e conceder a si mesmos o nível de privilégio necessário para concluir qualquer que seja a sua missão. Ou eles simplesmente ficam observando e aprendendo tudo o que podem antes de finalmente agir contra o sistema ICS ou SCADA.

Ataques de zero-day

Os ataques de zero-day receberam esse nome porque geralmente são executados contra uma vulnerabilidade previamente existente, porém desconhecida; o fornecedor tem zero dias para corrigi-la porque o ataque já está em andamento. Vulnerabilidades completamente desconhecidas pelo desenvolvedor do software ou pela comunidade de segurança cibernética existem em todo o mundo do software, inclusive nas redes de OT e suas IHMs. Insuspeitas e, portanto, ainda sem correção, elas oferecem aos rápidos e ágeis cibercriminosos a oportunidade de realizar um ataque de zero-day sem encontrar resistência.

O ataque Stuxnet de 2010 contra o programa nuclear do Irã usou vulnerabilidades de zero-day no Windows para acessar a rede e se espalhar, acabando por destruir as centrífugas. Mil máquinas sofreram danos físicos.

 

Práticas recomendadas para aprimorar a segurança da IHM

Segmentação de rede para isolamento

A segmentação da rede deve ser uma defesa essencial na proteção de redes industriais. A segmentação cria um ambiente que é naturalmente resistente a invasores. Muitas das técnicas de ataque descritas acima permitem que os invasores se movimentem lateralmente pela rede. A segmentação da rede impede esse movimento lateral, limitando o alcance do ataque e o potencial de danos.

À medida que as redes de OT se tornam mais conectadas ao mundo e a convergência entre TI e OT aumenta, tornando a linha que separa esses dois mundos mais tênue, a segmentação de rede pode isolar os sistemas IHM de outras partes da rede e do mundo externo. Além disso, a segmentação de rede possibilita dividir a rede de OT em zonas específicas, facilitando a contenção de ataques dentro de limites controlados.

Atualizações de software e firmware

As atualizações de software e firmware são recomendadas em todas as situações de segurança cibernética, mas nem sempre é possível instalar patches e atualizações em redes de OT. As redes OT priorizam operações contínuas. Há problemas de compatibilidade, sistemas legados que não podem ser corrigidos e outros obstáculos. A solução é a aplicação de patches virtuais. A aplicação de patches virtuais é obtida por meio da identificação de todas as vulnerabilidades em uma rede de OT e da aplicação de um mecanismo de segurança, como um IPS (Intrusion Prevention System) físico ou um firewall. Regras são criadas, o tráfego é inspecionado e filtrado, e os ataques podem ser bloqueados e investigados.

Treinamento de colaboradores para conscientização sobre segurança cibernética

Quanto mais os colaboradores souberem sobre operações de rede, vulnerabilidades e métodos de ataque cibernético, mais eles poderão ajudar a proteger a rede. Como poucas organizações têm a equipe interna para fornecer o treinamento necessário, parceiros de treinamento terceirizados podem ser uma solução viável. De qualquer forma, todos os funcionários devem ser treinados nos seguintes tópicos:
• Políticas escritas da empresa
• Cenário geral de ameaças
• Práticas recomendadas de segurança
• Como lidar com ativos físicos, como pen drives ou laptops
• Como reconhecer um ataque
• Qual é o protocolo de resposta da empresa.

Deve-se fornecer treinamento específico para os funcionários que trabalham remotamente.

 

O cenário de ameaças à segurança de IHM em evolução

Previsões concretas sobre ameaças futuras e respostas são difíceis de fazer, mas é muito provável que o cenário de cibersegurança de IHMs evolua de maneira muito semelhante à da cibersegurança como um todo, porém, com algumas adições importantes.

Os ambientes air-gapped estão desaparecendo

Durante muito tempo, muitas redes de OT foram isoladas física e digitalmente (air-gapped) dos riscos de contaminação. Tanto a transferência de dados quanto a de malware exigiam o uso de mídia física, mas essa inconveniência era segura.

À medida que as redes OT continuam a se fundir com o mundo conectado, esse tipo de proteção está desaparecendo. O trabalho remoto está se tornando mais prevalente, e a IoT (Internet das Coisas), altamente conectada, está presente em todo o chão de fábrica automatizado. Se pontos de acesso wireless forem deixados conectados aos equipamentos, ninguém lhes dá atenção, exceto os cibercriminosos, que estão sempre à procura de uma maneira de entrar. (É nesse ponto que o treinamento básico dos funcionários pode ajudar).

Os cibercriminosos são inovadores

Os atores de ameaças estão se tornando cada vez mais sofisticados. Eles dedicam muito mais tempo e estudo em busca de formas inovadoras de penetrar na IHM e em outros pontos da rede de OT do que as próprias pessoas que as operam. As técnicas de IA e de machine learning estão capacitando ainda mais os agentes mal-intencionados.

As estatísticas confirmam isso, especialmente porque as redes de TI e OT continuam a convergir. Em um estudo sobre as atividades de segurança cibernética de OT/ICS de 2023, 76% das organizações estavam migrando para redes convergentes e 97% relataram que os incidentes de segurança de TI também afetaram os ambientes de OT. Quase metade (47%) das empresas relatou ataques de ransomware de OT/ICS e 76% tinham preocupações significativas com agentes patrocinados pelo Estado.

No entanto, pelo lado positivo, a pressão dos órgãos reguladores, das seguradoras e dos conselhos de administração está pressionando as organizações a pensar e agir sobre a segurança cibernética das estações de IHM e de toda a rede OT de forma muito mais agressiva do que muitas fazem atualmente. De acordo com o estudo, 68% das organizações estavam aumentando seus orçamentos, 38% tinham equipes de segurança de OT dedicadas e 77% haviam atingido o nível 3 de maturidade em segurança de OT/ICS.

 

Saiba como a TXOne pode fornecer segurança completa de OT

A segurança cibernética em ambientes industriais apresenta desafios muito diferentes daqueles das redes de TI. A TXOne é especializada em segurança cibernética de OT, com soluções nativas de OT projetadas para os equipamentos, o ambiente e as realidades cotidianas das configurações industriais.

 

SAIBA MAIS