Relatório conjunto “CYPRES” sobre resposta a incidentes divulgado pela FERC

Views: 624
0 0
Read Time:4 Minute, 9 Second

No início deste mês, a Comissão Federal de Regulação de Energia (FERC) publicou um relatório conjunto intitulado “Cyber Planning Response and Recovery Study” (CYPRES) em parceria com a North American Electric Reliability Corporation (NERC)e oito de suas Entidades Regionais (REs) a fim de rever os métodos de resposta a um evento de cibersegurança. O relatório está fortemente focado em planos de resposta e recuperação de incidentes (IRR) que descrevem como uma concessionária de energia elétrica deve usar seu próprio plano para responder a um incidente cibernético para garantir a confiabilidade de seus Sistemas Elétricos A granel (BESes). Achei algumas das chaves interessantes, que vou resumir. Você pode encontrar o relatório na íntegra aqui.

Onde nist SP 800-61 se encaixa

Embora seja provável que a maioria das organizações aproveite o CIP-008-5: “Relatório de Incidentes e Planejamento de Resposta” para formar seu plano de IRR, a equipe conjunta observou rapidamente que as entidades seguiram um quadro identificado no National Institute of Standards and Technology (NIST)Special Publication 800-61 Revision 2. Por causa disso, a equipe conjunta observou que planos que “contêm funções de pessoal bem definidas, promovem a responsabilização e capacitam o pessoal a agir sem atrasos desnecessários” e que “aproveitar a tecnologia e ferramentas automatizadas e, ao mesmo tempo, reconhecer a importância do desempenho humano” são mais eficazes. Uma e outra vez, achamos que o elemento humano é igualmente, se não mais importante do que as ferramentas tecnológicas em vigor.

No que diz respeito à contenção e erradicação, achei essa observação particularmente interessante: “Os planos de IRR devem considerar a possibilidade de que uma estratégia de contenção possa desencadear ações destrutivas predefinidas pelo malware.”

Sem dúvida, este pode ser um dos mais difíceis de planejar. O comportamento e análise de malware não é um assunto novo. Mesmo assim, planejar como um proprietário de ativos pode precisar alterar sua abordagem de mitigação para não desencadear o próximo estágio de uma carga é provavelmente território não fretado para a maioria, se não todos os planos de resposta e recuperação de incidentes.

A necessidade de coleta contínua de evidências

Em última análise, fiquei satisfeito em ver ainda a inclusão da seguinte cláusula: “A coleta de evidências e a análise contínua são importantes para determinar se um evento é um indicador de um compromisso maior” Não é só porque trabalho na Tripwire!

A coleta contínua de evidências não é apenas útil para manter os auditores afastados e não apenas para aqueles que procuram cumprir o requisito de retenção de três anos CIP-008-5. Sem informações abrangentes, pode ser necessário um esforço significativo e, especialmente, tempo para as equipes de Perícia Digital e Resposta a Incidentes (DFIR) concluirem sua investigação. Coisas como logs(Tripwire Log Center),portas abertas, software instalado, usuários configurados e membros de grupo(Tripwire State Analyzer App),alterações detectadas pelo Monitor de Integridade de Arquivos (FIM) e Monitoramento de Configuração de Segurança (SCM)(Tripwire Enterprise),vulnerabilidades(Tripwire IP360)e alterações de comunicação de rede desempenham um papel significativo em “reproduzir” o histórico de um incidente.

Salvaguarda de Ambientes Industriais

Mergulhando um pouco mais fundo, a seção sobre Detecção e Análise continha alguns insights valiosos. Bastante familiarizado com arquiteturas típicas de rede de utilidades, a equipe conjunta observou profundamente que a rede OT normalmente reside dentro da rede corporativa da entidade — um enclave seguro, se preferir. Portanto, as varreduras de porta contra uma rede OT normalmente indicam que o adversário pode já ter violado a rede de TI/negócios e, portanto, “pode ter penetrado várias zonas de confiança antes de atingir a rede OT ou ativos críticos relacionados”.

Embora este relatório esteja focado no IRR, a equipe também recomenda o uso de ferramentas para detectar ameaças conhecidas e desconhecidas ao sistema, bem como baseamento de comunicação de rede para detectar alterações nos padrões. Acho que este é um ótimo caso de uso para uma ferramenta dedicada alavancada dentro do ambiente OT que é diferente do que está sendo aproveitado para IDS/IPS na borda da rede de TI.

A Visibilidade Industrial tripwire, que pode realizar esse tipo de monitoramento contínuo de ameaças, é ideal para isso. Como o relatório já foi estabelecido, a base de rede não é suficiente sozinha; a base dos sistemas em um nível mais profundo, a fim de executar adequadamente o gerenciamento adequado da configuração, é crucial.

Além disso, o relatório trouxe à tona que “ferramentas de segurança automatizadas são usadas para requisitos de documentação que seriam difíceis de executar manualmente”, que é, naturalmente, um forte conjunto do Tripwire NERC Solution Suite.

Não se esqueça do baseline!

Em última análise, a equipe conjunta concluiu com uma chave de retirada: “O Baselining é uma ferramenta eficaz de utilização de recursos que permite que o pessoal detecte desvios de operações normais.”

Embora o relatório CYPRES seja um documento longo de 30 páginas, é uma leitura fácil e rápida. Eu recomendo que você dê uma olhada!

FONTE: TRIPWIRE

POSTS RELACIONADOS