0
0
Desmascarando os mitos em torno da implementação de controles cibernéticos proativos na tecnologia operacional.
À medida que a frequência de ataques cibernéticos aumenta — muitas vezes com um nível mais alto de sofisticação para evitar a detecção — é fácil ver por que as organizações estão investindo em tecnologias de segurança, como a automação, que podem responder de forma mais eficiente a potenciais ataques após certas condições terem sido atendidas.
Os efeitos desse risco podem assumir muitas formas, incluindo divulgação não autorizada de dados de clientes, perda de confiança do cliente, litígio, perda financeira (incluindo pesadas penalidades) e reputação de marca danificada. Embora esses impactos soem mal — e são — muitas vezes são pálidos em comparação com as possíveis implicações de uma violação na tecnologia operacional (OT) e ambientes críticos de infraestrutura, que também podem incluir preocupações de segurança e perda de vidas.
Ao melhorar a forma como protegem suas redes de TI, as organizações podem alcançar uma redução de risco mais imediata, reduzir o tempo necessário pelos defensores para combater um ataque e maximizar o uso de investimentos e recursos humanos. Então, por que muitas vezes vemos esforços menos proativos em OT?
Primeiro, as implicações de bloquear inadvertidamente uma conexão provavelmente não levarão a um evento catastrófico e, portanto, há um pouco mais de flexibilidade sobre onde os controles podem ser automatizados. Em segundo lugar, há uma taxa maior de ataques cibernéticos vistos nos perímetros externos do que no perímetro das redes OT, o que nos lembra que os controles na rede de negócios são muitas vezes as primeiras linhas de defesa para OT. Embora ambos sejam razões válidas, isso não significa que um nível mais alto de maturidade de segurança cibernética não possa ser alcançado em ambientes OT.
Controles proativos em OT não são novidade. Pensando nos dias do programa LOGIIC (Linking the Oil and Gas Industry to Improve Cybersecurity), o consórcio se reuniu para avaliar a lista de aplicação, uma tecnologia de segurança projetada para manter uma lista de arquivos executáveis autorizados e, em seguida, bloquear automaticamente a execução de quaisquer arquivos que não estão nessa lista. Este é um grande exemplo, de quase uma década atrás, de controles proativos usados nos níveis mais altos de OT — e o caso de negócios não era muito diferente do que é hoje.
Quando muitas pessoas pensam em redes OT, elas pensam nos sensores e atuadores que fazem tarefas, como abrir válvulas, ligar bombas, aumentar as temperaturas e adicionar produtos químicos. Esses dispositivos residem nos níveis 0, 1 e 2 do Modelo Purdue e estão no centro do que monitora e controla esse site. Como muitas tecnologias de segurança de ponto final, como a lista de aplicativos, foram projetadas para serem instaladas em dispositivos do tipo TI, como estações de trabalho e servidores, essas soluções normalmente não são aplicáveis a esses ativos industriais residentes nos níveis mais baixos.
No entanto, existem muitos outros ativos de suporte residentes nos Níveis 3 e 3.5 (o OT DMZ) que são menos críticos e podem incluir dispositivos como controladores de domínio, caixas de salto de acesso remoto, antivírus e servidores de patches, historiadores (um historiador coleta pontos de dados ao longo do tempo de muitas áreas diferentes da planta para que as decisões possam ser tomadas sobre esses dados em um ponto posterior), e muito mais. Esta é uma grande área potencial para iniciar melhorias proativas de segurança, pois se assemelha mais a dispositivos tradicionais do tipo TI que suportam o ambiente OT — mas, mais importante, muitas vezes eles não têm um impacto direto nas operações. Por essas razões, os Níveis 3 e 3.5 são um ótimo ponto de partida para automatizar controles cibernéticos em OT.
Tomar medidas proativas nesses níveis proporciona algumas vantagens significativas sobre o adversário. Um exemplo simples pode estar aproveitando uma solução contínua de monitoramento de rede para detectar tráfego malicioso ou anômo, que é onde o tráfego da rede de negócios muitas vezes passa. Em seguida, uma vez detectada a atividade, um alerta pode ser gerado seguido pela criação de uma política de firewall para bloquear automaticamente esse host e, simultaneamente, abrir um bilhete de suporte atribuído ao grupo apropriado para quaisquer ações de acompanhamento.
Outro exemplo pode ser quando um novo host, indefinido na linha de base da rede, começa a se comunicar com a interface humano-máquina ou estação de trabalho de engenharia. Uma ação apropriada pode ser bloquear automaticamente essas conexões não autorizadas, ao mesmo tempo em que, naturalmente, também gera um bilhete de alerta e suporte. Essas ações são prudentes no ambiente atual e são apenas alguns exemplos básicos que aproveitam os benefícios da automação.
Muitas opções
Embora alguns possam hesitar com a ideia de bloquear automaticamente qualquer comunicação na rede OT, existem muitas opções, que dependem do nível de conforto. Por exemplo, em qualquer um dos cenários mencionados anteriormente, um alerta e um ticket poderiam ter sido gerados sem a implementação de um bloco. Outra opção seria adicionar ou atualizar automaticamente quaisquer ativos descobertos no banco de dados de gerenciamento de configuração ou empurrar eventos críticos para o sistema de segurança e gerenciamento de eventos, desativar dispositivos USB não autorizados, alterar LANs virtuais para um ativo se determinados critérios não tiverem sido atendidos, validar e remediar antivírus ou corrigir lacunas de conformidade para laptops transitórios. As opções, embora não infinitas, certamente são abundantes e permitem uma ampla gama de ações, aproveitando os investimentos existentes que a empresa fez.
Cada uma delas é um passo na direção certa para a segurança proativa em ambientes OT. No final, trata-se de redução de riscos e equilíbrio das necessidades do negócio, garantindo que o site continue a funcionar — e funcionar com segurança — e funcionar com segurança.
Qualquer bom programa de cibersegurança não é implementado da noite para o dia, mas, sim, pode levar anos para entrar em vigor. Mesmo assim, é uma jornada em constante evolução que requer adaptação aos nossos tempos de mudança. Mas não podemos negligenciar as redes OT como parte dessa jornada, mesmo apenas dando passos gerenciáveis para bebês e trabalhando em direção a marcos nos Níveis 3 e 3.5 para cumprir as metas e objetivos de segurança da organização.
FONTE: DARK READING