Aprimoramento da Segurança Física Cibernética Industrial

Views: 506
0 0
Read Time:26 Minute, 15 Second

O mercado de Segurança Cibernética Industrial está enfrentando mudanças rápidas à medida que mais ameaças são descobertas, mais impacto é sentido pelos usuários finais e os fornecedores de Segurança Cibernética disputam a liderança. O artigo destaca alertas e conselhos para usuários finais de sistemas de automação e controle (ICS/OT/IACS/SCADA) e notas consultivas selecionadas para profissionais de Segurança Física Cibernética Industrial. Metodologias estratégicas e programas de atividades para mitigação de impactos no IIOT, IOT e como a Segurança Integrada Holística pode fornecer consciência situacional abrangente. Vários tipos de segurança são abordados, juntamente com alguns cenários míticos de ataque e defesa. A história dos ataques cibernéticos industriais é mencionada brevemente, para contraponto aos mitos predominantes da defesa, e finalmente alguns alertas para a corrida armamentista cibernética. Os usuários finais enfrentam uma pressão crescente para melhorar sua postura de segurança, e o artigo discute alguns métodos bem-sucedidos para implementar essas melhorias, incluindo uma “escada”, um “quebra-cabeça” e um “A-Team”.

Introdução

Os bandidos da Cyber Physical estão agora atacando IOT e IIOT. Eles estão constantemente melhorando no ataque e, portanto, os mocinhos também devem constantemente melhorar na defesa. Há muitas evidências de que a maioria dos mocinhos ainda nem começou a melhorar adequadamente sua posição de segurança, então este também é um sério artigo de “chamada à ação”.

Nossa sociedade moderna é construída sobre automação, sistemas de controle e sua gestão. As “Coisas”, mencionadas muitas vezes na Internet das Coisas (IOT) e na Internet Industrial das Coisas (IIOT), estão se tornando mais inteligentes e onipresentes. Se você pensar em todas as “Coisas” controladas por automação que contribuíram para o seu dia e tentar listá-las, você pode ficar surpreso e talvez um pouco preocupado em saber que elas também estão sendo invisivelmente atacadas.

Fabricação de Alimentos, Transportes (Aviões, Trens, Automóveis, etc.), Vestuário, Tratamento de Água, Processamento e Gestão de Resíduos, Fabricação e Testes Farmacêuticos, Logística, Fabricação de Dispositivos Médicos, Energia (geração, Transmissão, Distribuição), Energia, Defesa, Hospitais, Cashpoints e Distribuidores de Bebidas são apenas alguns dos exemplos dessa melange de “Coisas” em nossas vidas pessoais.
As infraestruturas nacionais críticas estão sob imensa pressão do governo, dos reguladores e de si mesmas para melhorar suas defesas, melhorar o monitoramento cibernético e re-trabalhar as enormes quantidades de sistemas legados. Esta não é uma tarefa fácil com a TI industrial, devido a uma série de problemas em grande parte legados. Os sistemas industriais antigos e legados não foram projetados para serem monitorados e interrompidos e escaneados por soluções ativas de defesa. Esses problemas de segurança são tanto processuais, legislativos e técnicos, por isso todos os usuários finais estão agora a ter que rever a remediação contra enormes riscos comerciais e operacionais.

O aumento dos ataques a essas “Coisas” começou a preocupar as pessoas. As Infraestruturas Nacionais estão investindo em planos de melhoria, muitos mercados estão à frente do jogo, mas muito mais deve ser feito. Enquanto isso, os bandidos melhoram no ataque.

História

Historicamente, o primeiro Ataque Cibernético foi em 1988: “O worm Morris – um dos primeiros worms reconhecidos a afetar a nascente infraestrutura cibernética do mundo – se espalhou em torno de computadores em grande parte nos EUA. O worm usou fraquezas no sistema UNIX Noun 1 e se replicou regularmente. Desacelerou os computadores a ponto de ser inutilizável. O verme foi obra de Robert Tapan Morris, que disse que ele só estava tentando avaliar o tamanho da Internet. Posteriormente, tornou-se a primeira pessoa a ser condenada sob a lei de fraude e abuso de computador dos EUA. Ele agora trabalha como professor no MIT.” [1]

O primeiro Cyber Hacker condenado publicamente: “1999: 46 meses de prisão mais 3 anos de liberdade condicional 1988: um ano de prisão. Kevin David Mitnick (6 de agosto de 1963) é um consultor, autor e hacker norte-americano de segurança de computadores, mais conhecido por sua prisão em 1995 e mais tarde cinco anos de prisão por vários crimes relacionados a computadores e comunicações. Ele agora dirige a empresa de segurança Mitnick Security Consulting, LLC”

Linguagem Cibernética

Agora sabemos de muitos novos Cyber Perpetrators/Threats e há um verdadeiro ‘Cyber Zoo’ de Atacantes: Yetis, Bears, Dragons, Dragonfly, Worms, Penguins, etc…. Um novo Gênero Cibernético talvez ainda esteja por vir?

Há também muitas novas palavras e referências em nosso vocabulário de armas cibernéticas em evolução: Cyber Zombies, Regando buracos, Slammer, Nachi, Mahdi, Shamoon, Industroyer, Petya, Red October, Conficker, Duqu, Flame, Havex, APTs, Blasters, Dumpsters, Drive-bys, Honeypots, Pastebin, Phishing, BotNets, Trojans, Heartbleed, Modbus e CANbus, etc., todos sendo exibidos ou criados nas mídias sociais e em fontes de notícias ao redor do mundo.

Alvos

Uma história abreviada da SANS pesquisou e listou um catálogo de ataques industriais ao longo dos anos a partir de: 1982 Relatório não corroborado de um programa de Trojan inserido no software do sistema SCADA que causou uma enorme explosão de gás natural ao longo do gasoduto Transiberiano em 1982.

Também estão listados ataques a obras de esgoto, sistemas operacionais de gás, sinalização e despacho ferroviário, controles elétricos a granel, fabricação automática, usinas de água, violação do controle de tráfego aéreo, power gen, comutação de bonde, extorsões de utilitários, detecção de vazamentos da Plataforma de Petróleo Offshore, Medidores Inteligentes, Servidores PetroChem OPC SCADA. Estima-se que haja muito mais ataques não relatados publicamente ou conhecidos.

O lendário primeiro grande Ataque Cibernético Industrial foi o StuxNet 2010 (variações de 2005); desde então, houve uma ampla gama de novos vetores de ataque com Ransomware, exfiltração, revendedores Darknet, sites custom hack, etc. Estes levaram agora a algumas rigorosas proliferações de sanções da Lei de Dados devido à velocidade lenta de resposta na indústria em comparação com a alta taxa de avanço dos atacantes.

Um enorme aumento nos ataques e um ajuste de quantidade/qualidade ao longo dos anos é mostrado em muitos gráficos, como os dados fornecidos pelo site hackmageddon.

Os hacks em sistemas industriais, como sistemas comerciais, estão se tornando mais simples, usando compromissos de engenharia social e mais difundidos. Alguns ataques, como os ataques de Negação de Serviço zumbi (DDOS), são em grande parte automatizados. Um recente e muito divulgado ataque à rede ucraniana envolveu vários vetores de ataque coordenados. Isso resultou em impacto generalizado e dificultou muito qualquer esforço de recuperação ou mitigação por parte dos defensores.

“Vamos todos morrer!”, foi a frase repetida em um recente discurso de nota da Conferência de Segurança Cibernética por Eugene Kaspersky, da Kaspersky Labs. Ele disse que a maioria das apresentações nas Conferências Cibernéticas são focadas na desgraça e na escuridão, então ele ofereceu pontos positivos.

Os ataques cibernéticos aos sistemas de controle industrial estão aumentando tanto na complexidade quanto na frequência. Todas as estatísticas da indústria confirmam isso. Os atacantes não precisam de habilidades avançadas ou de alta complexidade para atacar a maioria dos Sistemas de Controle Industrial. “É quase brincadeira de criança”, disse ele.

Os atacantes costumavam ser uma ampla gama de grupos, de um garoto-script a estados-nação, mas agora o volume primário de ataques bem sucedidos são do crime organizado. As gangues do crime ampliaram seus modelos de negócios para agora incluir o Hacking-as-a-service (HAAS), onde você pode definir seu ataque e alvo e estratégia on-line com um Serviço de Ataque e pagar pelo contrato de ataque, entrega, suporte telefônico e nível de serviço (SLA), tudo on-line, usando PayPal ou pagamentos simples semelhantes.

Muitas conferências agora estão atormentando o público como sendo “incompetente”, novamente língua-na-bochecha, mas visando tanto os fornecedores quanto os integradores que não implementam segurança por design em seus produtos e sistemas, juntamente com a indústria de segurança, que ainda não erradicou ataques cibernéticos, saltando os bandidos com novas defesas e soluções inovadoras.

A indústria deve agora parar de falar sobre a Stuxnet e começar a falar sobre inovação e novas formas de pensar. Os palestrantes estão falando sobre as soft skills da Guerra Cibernética. Os ataques cibernéticos são feitos por humanos, muitas vezes explorando fraquezas humanas como blocos de construção chave de seus ataques. A indústria de Defesa Cibernética deve reconhecer mais isso e construir programas de melhoria de segurança que incluam os humanos como o núcleo da solução.

Os mitos típicos que reforçam a inércia predominante na implementação da segurança da organização para seus sistemas Industrial OT e ICS são bem conhecidos e foram desmascarados mil vezes. Algumas declarações soam verdadeiras sobre mitos, incluindo as da Kaspersky Labs sobre plantas industriais ics.

  • Mito: Estamos desconectados.
  • Fato: A maioria dos sistemas tem pelo menos mais de 10 conexões de informação com o mundo.
  • Mito: Firewall protegido.
  • Fato: A maioria dos firewalls são definidos para permitir ‘qualquer’ na entrada e mal compreendidos por cada departamento.
  • Mito: Hackers não entendem SCADA/OT/ICS.
  • Fato: Aumento de hackers atacando especificamente o ICS/OT/SCADA devido a elogios de realização.
  • Mito: Somos um alvo improvável.
  • Fato: Pode ser garantia devido à proliferação de ataques e à própria cadeia de suprimentos, por exemplo, variantes Stuxnet.
  • Mito: O sistema de backup de segurança nos protegerá.
  • Fato: sistemas de segurança tão propensos a serem atingidos quanto sistemas de controle. Muitas vezes sistemas semelhantes são implantados.


Os proprietários de Sistemas de Controle Industrial se apegam aos mitos porque os atuais sistemas ICS OT funcionam bem e não vêem muitas notícias locais sobre seus vizinhos e concorrentes sofrendo as consequências negativas dos ataques cibernéticos. O custo de um programa de Melhoria de Segurança é frequentemente visto como proibitivo pelo Conselho e pela Alta Administração. O que não é tão bem reconhecido são as melhorias comerciais e operacionais que um Programa de Segurança trará, incluindo redução de prêmios de seguro, redução do flutuador de segurança de caixa, melhoria das operações e aumento da resiliência. Essas melhorias nos negócios são muitas vezes reforçadas por uma melhor moral dos funcionários e uma compreensão muito mais clara da Tecnologia Operacional e do cenário atual de riscos.

De fato, mais de 60% das violações de informações levam meses para serem descobertas, não dias ou horas ou minutos.

Cerca de 70% dos entrevistados em uma pesquisa recente admitiram ter sido vítimas de um ataque cibernético. As organizações não estão relatando os ataques, os efeitos ou as remediações realizadas, devido a rigorosos embargos corporativos.

O Caminho a Seguir

Os passos para subir a escada para a segurança podem ser muito altos, certamente para organizações com extensos sistemas legados, mas os passos precisam ser subidos, e mais cedo ou mais tarde. A melhor abordagem é, muitas vezes, construir pequenos passos, passos paralelos e pensar diferente.

Lembre-se, os bandidos estão sempre melhorando, por isso é essencial que as organizações também continuem melhorando, mas mais do que isso, procurando aquele gigante salto à frente nas defesas. Fala-se de novos Sistemas Operacionais Seguros, novos Sistemas de Computador Confiável Seguro e do aumento do bloqueio e monitoramento da Internet. Todos esses avanços estão sendo feitos, mas eles estão aparecendo no mercado rapidamente o suficiente para fazer esse gigante avançar na Corrida de Armas Cibernéticas?

Estamos agora no que está sendo chamado de Quarta Revolução Industrial com a Indústria 4.0 (2011 – 2014+). Esta revolução traz enormes benefícios comerciais, mas a um custo. Muitas vezes, o custo de implementar uma maior automação omite o custo de garantir essa automação. As empresas têm confiado no Departamento de TI fazendo algo inteligente, dentro de seu orçamento anual, para garantir todo o novo desenvolvimento em sistemas corporativos. Isso obviamente não é o caso para aqueles que pensam sobre a natureza holística dos aprimoramentos da automação dentro dos limites corporativos de dados, interações e garantia de informações, pois muito mais deve ser feito para incluir pessoas, segurança informacional e operacional no custo de vida de novos sistemas e não apenas uma pequena disseminação da segurança de TI.

Segurança Física

A segurança física está em uma posição de segurança marginalmente melhor devido ao seu histórico mais longo de implementação, embora a segurança física também esteja sendo encontrada sem fundamentos cibernéticos. O comprometimento das credenciais dos usuários, redes de controle de acesso, redes de CFTV e as próprias câmeras de CFTV são apenas alguns dos exemplos de vulnerabilidades de hackers. A segurança física é tão necessária quanto a segurança cibernética, uma vez que uma rede ou datacenter pode ser comprometida muito mais facilmente por alguém conectando dispositivos, fazendo login diretamente em um terminal ou roubando hardware para análise posterior.

A segurança física também pode ajudar a proteger os funcionários que podem ser comprometidos através da força ou coerção por intrusos. Os registros e registros de sistemas de segurança física podem ser um componente valioso de uma análise forense, ou o status de câmeras e sistemas de detecção de intrusões pode ser uma valiosa consciência situacional para um evento em tempo real.

A segurança física pode incluir uma ampla gama de tecnologias como CFTV, detecção de intrusões, alarmes de cerca, detectores de raios ou IR, radares, sensores sísmicos do solo, imagens térmicas, sistemas de identificação de veículos, leitores de cartões, biometria, sensores de áudio, farejadores químicos e radiológicos, sensores de raio-x e radiométricos e sensores de pressão aérea/força. Existem muitas tecnologias diferentes implantadas para detectar mudanças ou pessoas desconhecidas ou veículos ao redor e dentro de perímetros. Os sensores são geralmente em rede e colados em um sistema de detecção de intrusões ou sistema de controle de acesso ou um sistema PSIM (Physical Security Information Management).

A sala de segurança ou centro de controle de uma instalação pode ter várias telas de computador dedicadas ao gerenciamento de segurança com uma tela de Controle de Acesso, tela PSIM, numerosas telas de CCTV, uma tela de gerenciamento de leitor de cartão, endereço público, gerenciamento de comunicações de rádio, exibição de gerenciamento de incêndio e uma tela de Gerenciamento de Edifícios. A diversidade de cada sistema, de diferentes fornecedores com diferentes padrões, métodos e operações de Interface de Operador, torna a vida útil do Pessoal de Segurança mais difícil do que estritamente deveria ser. Os padrões dos operadores têm sido conhecidos, definidos e padronizados nacional e internacionalmente para uma variedade de indústrias. Os fornecedores de Segurança, na maioria das vezes, não são conscientes ou optaram por ignorar tais padrões. Cada sistema requer educação e experiência para usar efetivamente, criando muitas oportunidades de operação ineficaz. Esta é uma área para melhorias significativas onde os sistemas PSIM estão começando a assumir cada vez mais funções de gerenciamento para todos os outros sistemas da Sala de Segurança.

Centros de Operação de Segurança (SOC)

Os sistemas de Gerenciamento de Segurança Cibernética ainda estão em sua infância para interfaces de operadores industriais. Estes geralmente se sentam em um Centro de Operações de Rede (NOC) ou em um Centro de Operações de Segurança (SOC). O cyber enfrenta desafios muito semelhantes à segurança física, exceto que os adversários são muito mais difíceis de detectar e continuam mudando seus métodos e vetores de ataque.

Gestão de Segurança de Operações é essencialmente sobre as pessoas, seus procedimentos, métodos e capacidades. O Conceito de Operações (ConOps) de uma Equipe de Segurança deve ser composto pelos manuais e documentos e pelo processo que foi trabalhado para alcançar os níveis mais altos e robustos de segurança e, claro, aperfeiçoado ao longo do tempo. Na realidade, os ConOps são definidos uma vez, ler uma vez, depois deixados na prateleira ou até mesmo ‘armazenados com segurança’ em uma caixa!

Mudanças foram vistas no mercado com um aumento bem-vindo nos sistemas de gestão de conhecimento implantados para apoiar operações em salas de controle de segurança. Regras Motores e banco de dados flexível orientados para o operador e guias obrigatórios estão sendo usados para um bom efeito. Quando ocorre um alerta no local, o pessoal da Segurança pode ser tomado através de um procedimento aprovado passo a passo, com cada ação sendo registrada para análise futura de alarme e para melhorias operacionais nas etapas do banco de dados. O conceito de SOC Industrial está sendo discutido com mais frequência e o desafio da integração está sendo revisto contra o risco de implementações.

Segurança

A segurança está se tornando uma parte forte do mix de Segurança, e vice-versa. Os sistemas não podem ser declarados como seguros se não forem seguros, e os sistemas não podem ser declarados como seguros se não estiverem seguros. Segurança e Segurança têm significados diferentes para cada expoente de especialização. Faltam uma definição verdadeiramente internacional usada como padrão por todos os especialistas, sejam eles Especialistas em Segurança ou Especialistas em Segurança.

Sistemas auxiliares como BMS de Gestão predial, HVAC, Gestão de Água e Monitoramento Ambiental também estão sujeitos a ataques, podem ter sérios impactos consequentes e não devem ficar de fora de uma boa solução de análise de risco.

Fora da Caixa

Os riscos da Cadeia de Suprimentos só agora estão sendo revistos, com os fornecedores de Defesa sendo mais rigorosamente auditados através de suas cadeias de suprimentos, e as organizações industriais e comerciais também acordando para suas cadeias de suprimentos. Uma organização pode ser excelente em sua própria defesa, mas se sua cadeia de suprimentos for comprometida, componentes ou dados podem ser comprometidos, exfiltrados ou agregados para aumentar as ameaças de seus fornecedores. O ditado de que uma cadeia é tão forte quanto seu elo mais fraco se aplica.

A promulgação de dados e a corrupção também são uma ameaça aos sistemas industriais. Desenhos CAD, netlists, diagramas de construção, maquiagens de materiais, planos de cavidade e vazio, esquemas elétricos, desenhos 3D de sistemas de segurança física, arquivos de definição de objeto 3D para impressão e modelagem 3D podem representar riscos significativos se comprometidos ou exfiltrados e, em seguida, reutilizados por invasores ou fornecedores inconscientes na cadeia de suprimentos.

Segurança Integrada

Segurança Integrada significa reunir pelo menos duas ou mais disciplinas de segurança para criar um benefício tangível para as operações de uma Sala de Controle ou Sala de Segurança.

Segurança Integrada Holística significa reunir vários sistemas para criar uma solução de Comando, Controle, Comunicações e Computador.

As desvantagens dos sistemas integrados são o custo de desenvolvimento e manutenção da integração, os potenciais riscos de segurança da interconectividade e o custo de gerenciar a complexidade e os conjuntos de regras.

Os benefícios são frequentemente vistos para superar facilmente as desvantagens potenciais. Sistemas integrados estão evoluindo como norma. A segurança da interconexão não é um desafio com a adoção de tecnologias mais novas.

Histórias de cenário

Segue-se uma seleção de Histórias de Cenários, projetada para ilustrar uma empresa desconectada e um Sistema de Segurança Integrada Holística:

Cenário 1: Gerente de Controles de Operações Nucleares…

O Gerente está autorizado a usar as telas de controle da Sala de Controle Principal para ajustar os parâmetros de controle do reator. Ele entra na tela de controle e emite um aumento de 20% nos níveis da haste de controle.

O sistema de controle permite isso, pois ele está conectado corretamente conforme autorizado.

No entanto:

  1. O Sistema de Acesso de Porta da Sala de Controle não mostra ele como estando na Sala de Controle.
  2. O Sistema de Gerenciamento de Acesso ao Site não mostra que ele está no local.
  3. O Sistema de Gestão de RH mostra que ele está de férias esta semana.
  4. O sistema de treinamento de RH mostra que seu status de treinamento para autorização de tela de controle expirou.
  5. O sistema de intrusão da rede de TI do site descobriu recentemente uma série de túneis de conexão virtual privados não autorizados sendo usados.
  6. O sistema de controle não teve um aumento de parâmetro de 20% para as hastes de controle em seu padrão histórico normal.
  7. Não havia atividade do teclado da tela de controle quando o parâmetro foi alterado.
  8. A Sala de Controle não tinha nenhum detector de movimento de IR acionado por pelo menos 25 minutos antes da ação.

Com uma solução integrada, as ações tentadas não teriam sido permitidas.

Cenário 2. Um intruso sobe por cima de uma cerca…

Uma instalação segura em algum lugar, algumas quando…

  1. O impacto da cerca do local e os alarmes de vibração são acionados de repente.
  2. Os alarmes da cerca do local acabaram de levar as câmeras do PTZ para a zona de alarme.
  3. A revisão das filmagens da CÂMERA na Sala de Controle em tempo real mostra uma pessoa de capuz e jeans subindo sobre a cerca do perímetro.
  4. Uma força de segurança é alertada para comparecer ao local. Eles confirmam seu ETA.
  5. Os detectores de movimento do local detectam um movimento significativo do intruso sobre as estradas e áreas gramadas fora dos horários normais de tráfego. As câmeras de segurança seguem o intruso até um prédio.
  6. A polícia local está alertada para comparecer ao local. Eles confirmam a data e a hora e seu ETA.
  7. O Controle de Acesso ao Edifício detecta um arrombamento em uma porta externa seguido de um arrombamento em uma porta interna do corredor da sala do servidor.
  8. Os detectores internos de intrusos detectam movimento no corredor.
  9. O Painel de Alarme de Incêndio detecta um detector de fumaça, no extremo do corredor, acionado para um estado de alarme.
  10. A porta da sala do servidor sinaliza uma invasão.
  11. O alarme aberto pelo gabinete do computador da sala do servidor é acionado como fora do normal.
  12. Um servidor alerta o IDS do sistema de TI como um pendrive não autorizado foi detectado em um servidor.
  13. O IDS do servidor sinaliza um grande alarme cibernético devido a mudanças significativas de arquivos e ao servidor tenta executar programas não listados.
  14. A força de segurança chega ao local tendo sido informada em tempo real para a situação real, incluindo a localização e natureza dos alarmes e potenciais esforços do intruso para mascarar seus alvos. Dispositivos inteligentes, informações baseadas em posições, câmeras corporais e fluxo de informações bidirecionais entre agentes e sala de controle e entre equipes operacionais. Estes são todos excelentes facilitadores para uma consciência situacional realista em tempo real.
  15. Ações podem ser tomadas em tempo real para mitigar ameaças reais ou ameaças potenciais com base em uma situação que se desenrola.
  16. A situação do Intruso é resolvida de forma eficaz e rápida devido à Consciência Situacional Holística totalmenteintegrada.

A tecnologia tem um papel fundamental nas soluções para melhorar a segurança, mas as interações humanas e as habilidades mais suaves também são necessárias em medidas iguais. Muito mais trabalho está sendo feito nas interações de engenharia social e operadores e os achados científicos estão sendo cada vez mais compreendidos e praticamente aplicados. Os Projetistas de Segurança precisam entender as tecnologias, mas motivos e compromissos também precisam ser compreensivos com a Psicologia, Engenharia Social, MITM, Operações Menos Privilegiadas, Política, Espionagem, Atualidades, etc….

As empresas precisam estar cientes das vantagens significativas das Soluções Holísticas de Segurança Integrada para desar riscos potenciais ameaças, melhorar as operações de negócios atuais através de eficiências, reduzir erros em sistemas diferentes e, finalmente, melhorar a moral através de maior segurança da equipe.

A Consciência Situacional Holística Integrada não é uma bala de prata para as ameaças apresentadas, mas pode produzir uma enorme melhoria se cuidadosamente projetada, e integrada às operações normais das equipes de segurança e vista como um benefício claramente percebido.

Análise

Muitos expoentes do setor estão agora tentando incluir a Segurança dentro do guarda-chuva da Segurança para garantir que os sistemas de segurança sejam seguros e que os sistemas de segurança estejam seguros. O Executivo de Saúde e Segurança do Reino Unido (HSE) divulgou recentemente orientações relativas ao IEC 62443 com sistemas integrados de segurança (SIS). Mais uma vez, isso parece uma inclusão óbvia no planejamento de negócios e nas arquiteturas de sistemas, mas tem sido carente devido a muitos fatores. A Análise de Riscos (HAZOPS/HAZANS/etc.) muitas vezes excluiu ataques intencionais de qualquer forma, uma vez que essa abordagem de exclusão reduz a complexidade da tarefa de análise e garante uma consideração sensata dos riscos e efeitos dentro dos limites normais. Infelizmente, essa apreciação provável não é mais o caso. Os hackers podem intencionalmente interromper os sistemas operacionais e de segurança e usar insiders do Man-in-the-Middle (MITM) para substituir sistemas básicos de segurança e, portanto, causar catástrofes. Múltiplas ações de compromisso de segurança podem fazer com que eventos sejam altamente improváveis, mas estes devem agora ser reavaliados. O custo da reavaliação será considerável, aumentando ainda mais o custo das novas Mitigações de Segurança também necessárias.

Tempos de mudança

Muitos hacks de contas graves que aconteceram no passado foram divulgados em 2016. No geral, um bilhão de credenciais de conta alimentaram o mercado negro.

  • A violação do LinkedIn em 2012 afetou cerca de 117 milhões.
  • A violação do MySpace expôs 427 milhões de usuários.
  • A violação de dados do Tumblr expôs 65 milhões de contas.
  • A falha de segurança da VK expôs 93 milhões de contas.
  • A falha de segurança do DropBox expôs 69 milhões de contas.

Esses hacks de contas são então usados para comprometer a identidade e as capacidades autorizadas dos funcionários. Informações ideais para ataques do MITM.

A Segurança Cibernética Industrial está agora profundamente em uma forma de corrida armamentista. Os defensores estão precisando de mais ferramentas de defesa e assistentes de monitoramento para detectar e prevenir ataques, mas apenas se eles puderem arcar com os custos de tempo e experiência dos recursos. Eles geralmente são seriamente prejudicados pela falta de orçamento e recursos. Os fornecedores de automação e segurança estão construindo sistemas cada vez mais complexos para ajudar os defensores, mas apenas se os defensores puderem pagar os preços. Os Integradores de Sistemas de Automação estão capacitando seus recursos para fornecer a experiência em segurança não fornecida ou necessária anteriormente. Governo e academia estão tentando encontrar expertise, soluções, projetos e compreensão da indústria de automação desconhecida. Os atacantes são frequentemente estatais ou organizados gangues criminosas internacionais financiadas e não têm nem o recurso, dinheiro ou limitações de tempo dos defensores. Os atacantes estão se tornando adversários mais formidáveis do que era conhecido ou esperado anteriormente.

Metodologias

Existem inúmeras abordagens para melhorar a Segurança Cibernética Industrial. As melhores abordagens consideram os muitos fatores dentro e ao redor do ambiente a serem protegidos, muitas vezes chamados de Foco de Interesse ou limite do sistema, dependendo da escala do escopo. O escopo pode ser uma empresa completa, incluindo toda a Automação de TI e Tecnologia Operacional (OT) ou pode ser uma única fábrica/fábrica ou uma linha de fabricação ou um único sistema de interesse. Os pontos importantes para garantir que sejam abordados são a natureza holística dos sistemas, e as soluções, tanto para o evento de melhoria quanto para os programas de longo prazo muito necessários. Nenhuma solução de aprimoramento é um projeto, e eles devem ser vistos e promovidos como um programa em andamento. Todas as soluções devem incluir os ciclos formulado formulado de formulação formulado de formulação de formulação de formulação de formulação de formulação de formulação de formulação de formulação de formulação de formulação de formulação de formulação de formulação de formulação de fórmulas, uma vez que não existe tal coisa como 100% seguro e os ataques mudam constantemente.

There are international methodologies for analysing and assessing the Informational and Operational security under scrutiny. No single method is “The Best” as has been found by many practitioners, since no single system and environment are the same as others. For IT Information Assurance, standards such as ISO 2700x may be suitable, and for Industrial systems the use of ISO 62443 or ANSSI or NIST methods may be suitable. Many programmes involve a form of hybrid of several methods together with customised measures designed for each system under scrutiny.

Escadaria para a Segurança

Há uma bem planejada, mas adaptável, Stairway to Security. Cada passo é uma melhoria de segurança alcançável, seja na compreensão, consciência, prontidão ou defesas. Cada passo pode ser pequeno ou grande, mas é sempre uma melhoria.

Figura 3: A Escada para a Segurança

A Equipe A de Segurança

Para alcançar o bem-sucedido Projeto de Aprimoramento de Segurança requer uma ampla gama de disciplinas e pessoas de diferentes funções. A seleção e a união de uma “Equipe A” de segurança eficaz de pessoas que são encarregadas e interessadas em realizar os aprimoramentos de uma base de projeto, uma base técnica e de garantia, e uma base social e de marketing é essencial. Todos os aspectos devem ser considerados na seleção da equipe e a formação é fundamental tanto para o sucesso prático quanto político dos programas.

Figura 4: A Equipe A de Segurança Cibernética Industrial

O Quebra-Cabeça de Segurança

Os produtos, parceiros e integradores de soluções também são partes fundamentais dos programas de aprimoramento e também devem ser pensados, pesquisados e integrados de perto nas medidas de sucesso. Muitas vezes, os projetos de melhoria da segurança são disruptivos e requerem mudanças significativas nos sulcos técnicos, sociais, operacionais, processuais e políticos bem desgastados. A construção do Jigsaw de produtos, operações, procedimentos e atividades de Segurança na solução de Segurança pode revelar pontos fortes e fracos. A criação de um mapa geral do Jigsaw de Segurança de cada sistema em consideração é útil para a comunicação e para uma verificação de peças faltantes.

Figura 5: O quebra-cabeça da segurança industrial

A equipe deve passar pelos motivos da seleção de cada peça de quebra-cabeça e registrar o raciocínio. Os registros de design de sistema podem realmente ajudar a rever as decisões tomadas em mitigações atuais e futuras. Sistemas com firewalls com portas específicas sendo bloqueadas sem motivo conhecido atualmente é um exemplo de decisões tomadas, mas não registradas.

A empresa de software americana Microsoft continuará investindo mais de US$ 1 bilhão anualmente em pesquisa e desenvolvimento de segurança cibernética nos próximos anos… enquanto o número de tentativas de ataques cibernéticos era de 20.000 por semana há dois ou três anos, esse número já havia subido para 600.000-700.000, de acordo com dados da Microsoft.

Conclusões

Ter o “A-Team” certo, o apoio político e financeiro certo, os parceiros certos e escolher algumas metodologias e padrões adequados é essencial para alcançar melhorias efetivas. Considere tanto os aspectos técnicos, os aspectos inter-departamentais (por exemplo, TI vs OT vs H&S), os aspectos financeiros e os aspectos da mudança política, e continue refinando essas considerações ao longo do programa.

Todas as indústrias devem continuar lembrando que os bandidos estão melhorando; eles têm tudo ilimitado e nossas indústrias têm recursos limitados, por isso os recursos devem ser usados com sabedoria e continuamente. Ao construir a Equipe A, assuma tanto os membros quanto os conselhos de terceiros para dar uma perspectiva alternativa, e utilizar a experiência e a experiência de outras pessoas.

Uma lista de verificação de melhoria de segurança pode seguir alguns pontos típicos, como:

  • Concordo internamente que a ação, ou investigação, é necessária, será financiada e apoiada
  • Identifique o líder interno dessa iniciativa de melhoria
  • Engajar assistência externa confiável na construção do programa
  • Crie um “A-Team”
  • Planeje o programa Stairway to Security com antecedência
  • Inicie o ciclo de Plan-Monitor-Decide-Act-Review dentro do programa
  • Envolva-se com fornecedor dos componentes do Quebra-Cabeça de Segurança
  • Treinar funcionários, consultar, parceiro, comunicar, promover, colaborar, etc.

A guerra cibernética industrial continua…

Referências:


http://www.nato.int/docu/review/2013/cyber/timeline/EN/index.htm acessado setembro de 2018

https://en.wikipedia.org/wiki/Kevin_Mitnick acessado setembro de 2018

https://ics.sans.org/media/An-Abbreviated-History-of-Automation-and-ICS-Cybersecurity.pdf acessado setembro de 2018

http://www.reuters.com/article/us-tech-cyber-microsoft-idUSKBN15A1GA acessado setembro de 2018

http://resources.infosecinstitute.com/the-biggest-cyber-security-incidents-of-2016/#gref acessado setembro de 2018

FONTE: PENTESTMAG

POSTS RELACIONADOS