0
0
Ar condicionado hackeado e elevadores caindo?
Imagine que você está em um elevador em um prédio alto quando de repente o elevador começa a despencar sem nenhum mecanismo aparente de parada além da fundação de concreto abaixo. Embora isso possa soar como algo de um filme de Hollywood, considere a ideia de que um elevador seguro e totalmente funcional é tão vulnerável quanto inteligente.
Wired.com exploraram as possibilidades de hackear uma rede elétrica através de uma unidade de ar condicionado há vários anos. Resumindo, uma companhia elétrica ofereceu aos clientes um desconto para colocar um governador em um ar condicionado. Isso permitiu que a companhia elétrica ajustasse o ar condicionado para manter o controle para evitar quedas de energia e surtos durante a demanda extrema. Ao fazer isso, a companhia elétrica introduziu um Sistema de Controle Industrial (ICS) em cada residência que aceitou a oferta.
No entanto, como explica o artigo Wired.com, esses dispositivos ICS não estavam protegidos contra acesso não autorizado, deixando-os vulneráveis a ataques generalizados que poderiam causar os problemas que estavam tentando evitar. Um invasor poderia controlar vários dispositivos, fazendo com que eles criassem um mergulho de energia, ou uma onda, fazendo o oposto do que a companhia elétrica comandava.
Há muitas razões pelas quais a cibersegurança dos sistemas de controle industrial apresenta desafios únicos. Responsabilidades pouco claras ou sobrepostas, questões técnicas, falta de consciência de segurança por parte dos operadores do ICS e conhecimento insuficiente do ICS por parte dos especialistas em segurança são apenas alguns exemplos. No entanto, a maioria desses sistemas são vitais para a continuidade dos negócios e o sucesso comercial de suas organizações; devem, portanto, ser vistas como infraestrutura crítica.
A gama é enorme, desde ar condicionado de data center, sistemas de alarme de incêndio, elevadores e sistemas eletrônicos de bloqueio até controles de geladeira e máquinas de café conectadas. Esses sistemas geralmente estão fora do controle do oficial de cibersegurança, que pode nem saber quais sistemas estão na rede. Como resultado, o risco potencial de um ataque cibernético direcionado ao sistema de ar condicionado do data center nem sequer é considerado, embora seja acessível para manutenção remota.
A transformação digital abrange vários e complexos casos de uso, incluindo aquecimento, ventilação e ar condicionado (HVAC), gerenciamento de eletricidade, controle de iluminação, videovigilância, sistemas de controle de acesso e controles de elevadores. Além disso, há sensores e dispositivos conectados, como câmeras, termostatos e sensores de luz. Cada um desses sistemas promete uma economia considerável nos custos operacionais e de energia, mas também aumenta a superfície de ataque para ameaças cibernéticas e aumenta a complexidade do gerenciamento de segurança. Cada sistema e dispositivo individual, e até mesmo cada versão e revisão de cada sistema ou dispositivo, tem seus próprios riscos cibernéticos específicos e muitas vezes únicos.
Os Riscos são Reais
Os criminosos cibernéticos já comprometeram uma rede corporativa através de um sistema HVAC no ataque cibernético bem sucedido à cadeia de varejo dos EUA Target. Do sistema HVAC, eles se deslocaram lateralmente pela rede para os sistemas financeiros do varejista, onde roubaram mais de 40 milhões de registros de cartões de crédito.
Neste verão, a Ripple20 abalou o mundo da IoT. Este é o nome dado a 19 vulnerabilidades encontradas em uma biblioteca de software TCP/IP, algumas das quais são críticas. Como todo o tráfego de rede é processado pela pilha TCP/IP, qualquer bug em uma biblioteca TCP/IP pode levar a grandes vulnerabilidades. A descoberta do Ripple20 coloca em risco uma enorme gama de aparelhos, incluindo tomadas e dispositivos médicos, mas também sensores ICS. Foi descoberto e nomeado por pesquisadores da empresa de segurança israelense JSOF, que também determinaram que os atacantes poderiam usar as vulnerabilidades para se infiltrar e executar seu próprio código (Execução remota de código) ou para exfiltrar dados críticos.
Outro ataque vetor que os criminosos cibernéticos podem usar para interromper e comprometer operações normais são protocolos industriais inseguros. Protocolos populares em automação predial e na fabricação não foram projetados com segurança em mente e contêm vulnerabilidades únicas. Os atacantes experientes conhecem essas vulnerabilidades e as exploram, por exemplo, para acessar e emitir comandos disruptivos na operação de controladores e outros dispositivos.
Cibersegurança para Pessoas, Processos e Tecnologias
Proteger pessoas, processos e tecnologias nessas condições é um sério desafio. Soluções como a instalação de atualizações, segmentação de redes ou a implementação de software antivírus muitas vezes não são possíveis pelas seguintes razões:
- As atualizações nem sempre estão disponíveis ou podem alterar o comportamento do programa que se destina a proteger.
- Protocolos de camada 2 e demandas em tempo real tornam a segmentação da rede impraticável.
- A implementação de software adicional pode anular garantias ou introduzir novos problemas.
Esses problemas indicam que a segurança pode se tornar um risco para os negócios, mas pelo menos esse risco é quantificável, desde que todos os componentes e vulnerabilidades sejam documentados de forma tão abrangente quanto todo o processo de comunicação. A melhor ferramenta para coletar essas informações é uma solução passiva de software que não impede o funcionamento de uma instalação ou sistema. Os dados coletados podem então ser usados para desenvolver uma estratégia de segurança adequada e responder às seguintes perguntas:
- Qual sistema pode ser facilmente atualizado para as versões mais recentes?
- Quais sistemas precisam ser melhor protegidos?
- Where should firewalls be positioned?
- Which facilities need enhanced protection?
You cannot protect what you cannot monitor. The obvious (although tedious and time-consuming) method would be to collect all logging data and scan them for known malicious patterns and other anomalies. You could make things a little easier for yourself by using the same solution for this task as for the documentation of your plant. With 24/7 monitoring, you can make life a lot easier for your operators, your organisation, and your security team. This monitoring should deliver all the data you need, not just about any threats, unusual behavior patterns and alerts but also about new devices on the network. The monitoring system should also keep you up-to-date about new vulnerabilities and attack methods. Ideally, it should give you a framework for evaluating (and, if necessary, enhancing) your organisation’s cybersecurity posture.
O pior cenário: o que fazer se você descobrir um ataque em andamento?
Esta é obviamente uma das perguntas-chave. Qual é o uso de descobrir um ataque se você não sabe como responder a ele? Qualquer intervenção de uma equipe de segurança cibernética pode resultar em um sistema comprometido, como o ar condicionado do data center caindo. Isso geralmente significa que o ataque não pode mais ser analisado e avaliado.
Por conseguinte, é vital estabelecer com antecedência quem deve estar envolvido na resposta a que tipo de incidente e definir processos claros de resposta a incidentes. Você também deve classificar todos os seus dispositivos e determinar quais são críticos para os negócios, o que pode interromper as operações e quais não são absolutamente necessárias para operações de rotina. Com base nesta classificação você pode agir mais rápido e de forma mais direcionada quando cada segundo conta. Uma vez que você tenha conseguido conter um ataque, você precisa decidir como restaurar sua instalação ao seu estado original e quais medidas adicionais de segurança você deseja tomar para evitar incidentes semelhantes no futuro.
Quando backups sozinhos não são suficientes
O ransomware continua sendo uma ameaça significativa, especialmente para os setores críticos de infraestrutura. Agora, existem até ofertas de “Ransomware as a Service” para atores de ameaças novatos que querem se envolver neste lucrativo ramo de crimes cibernéticos. O mesmo se aplica aos ataques direcionados às tecnologias de operações e ao ICS. Uma vez na rede, o malware muitas vezes permanece indesperizado por uma quantidade significativa de tempo sem causar danos visíveis. É por isso que os operadores não devem confiar apenas em uma boa estratégia de backup, mas também usar ferramentas que documentem quaisquer alterações, monitorem a integridade de um ambiente e cuidem do gerenciamento de configuração. Dessa forma, você pode, por exemplo, evitar reverter para um backup que foi criado depois que seu sistema foi infectado.
O Centro Nacional de Segurança Cibernética do Reino Unido também fornece recomendações para o endurecimento de componentes industriais e processos contra ataques cibernéticos. Existem muitas soluções no mercado que podem ajudá-lo a implementar, impor e evoluir suas políticas de segurança. Algumas opções facilmente implementadas incluem ferramentas de digitalização passiva, inteligência de ameaças em zonas de política de resposta dNS, soluções de detecção de alterações de configuração, inspeção profunda de pacotes para protocolos industriais e uma solução de controle de acesso à rede.
Muitas dessas abordagens já provaram seu valor em ambientes comerciais. Também vale a pena avaliar as tecnologias existentes para sua adequação às redes de processos, especialmente no que diz respeito à melhoria da transparência para a segurança cibernética.
Para fazer tudo isso de forma eficaz, no entanto, as equipes de tecnologia da informação e tecnologia operacional precisariam se entender melhor. Para promover esse entendimento, um membro de cada equipe poderia passar algum tempo trabalhando na outra equipe ou organização parceira para obter uma compreensão aprofundada e prática das operações rotineiras uns dos outros.
Violações de segurança não podem ser totalmente evitadas – sempre haverá ameaças externas, atividades internas maliciosas e erros humanos. Isso significa que as equipes de TI e OT têm que cooperar de perto para proteger os sistemas críticos em suas instalações de forma abrangente e eficaz.
As soluções industriais Tripwire fazem a ponte entre a lacuna de TI-OT para que você veja, proteja e monitore toda a sua organização de uma só vez. Você pode aprender mais sobre as soluções tripwire aqui: https://www.tripwire.com/solutions/industrial-control-systems
FONTE: TRIPWIRE