0
0
O que um oleoduto, uma estação de tratamento de água e um sistema ferroviário têm em comum? Cada um deles depende de ambientes de tecnologia operacional (OT), e todos eles foram vítimas de ataques cibernéticos que geraram manchetes em todo o mundo.
O Gasoduto Colonial, a estação de tratamento de água Oldsmar e os incidentes das Ferrovias Iranianas estão gravados em nossas memórias por causa de seu impacto no mundo real, mas as manchetes só contam parte da história. Em cada caso, há lições chave de segurança OT a serem aprendidas, para que outras organizações possam evitar a repetição da história.
Gasoduto Colonial: Uma lição de segmentação da rede
O ataque ao resgate do gasoduto colonial foi um dos ataques mais significativos em 2021 porque causou uma crise de escassez de gasolina. Quando o CEO do Colonial Pipeline Joseph Blount testemunhou perante o Congresso dos EUA, foi revelado que o ataque era completamente evitável; Blount admitiu que os hackers, o grupo Darkside ransomware, ganharam acesso através de uma VPN que não exigia autenticação multifatorial.
Embora Darkside tenha assumido o controle dos sistemas de TI do Colonial Pipeline, a segmentação da rede limitou o impacto do ataque sobre as operações do Colonial Pipeline. Uma vez que o Gasoduto Colonial soube que suas operações de TI foram afetadas, optou por desativar proativamente seus sistemas OT para evitar que o ataque se espalhasse.
Como as redes TI e OT continuam convergindo, as organizações precisam entender como essas redes estão conectadas e tomar as medidas apropriadas para proteger os ativos de alto risco. Por exemplo, não há razão para que os dispositivos de campo sejam capazes de se comunicar com câmeras de segurança IP. Com uma melhor compreensão de como as redes de TI e OT estão conectadas e se comunicando, as equipes de segurança podem responder às ameaças mais rapidamente. Por exemplo, a comunicação dos controladores lógicos programáveis (PLCs) pode ser analisada em nível de pacote para detectar anomalias ou assinaturas de ataques conhecidos. Quando um incidente é detectado na rede de TI, os dispositivos comprometidos devem ser colocados em quarentena e toda a comunicação entre TI e OT deve ser bloqueada.
Este tipo de abordagem requer monitoramento da rede e ferramentas de fiscalização para identificar as comunicações atuais na rede, para detectar ameaças e violações e para fazer cumprir as regras de segmentação. As ameaças detectadas podem ser encaminhadas aos sistemas SIEM/SOAR para investigação ou para acionar ações de resposta automatizadas.
A estação de tratamento de água em Oldsmar, Flórida: Uma lição de visibilidade
Em fevereiro, os funcionários da planta de tratamento de água notaram que os níveis de hidróxido de sódio estavam aumentando rapidamente nas telas de seus computadores. Alguém acessou remotamente o sistema, mas os funcionários impediram o hacker de se mover lateralmente para outra infra-estrutura de TI. O vetor de ataque utilizado neste incidente foi alegadamente uma ferramenta de conectividade remota chamada TeamViewer.
O uso do acesso remoto aumentou desde a pandemia, portanto as organizações precisam garantir que somente as conexões de acesso remoto aprovadas sejam permitidas pelo monitoramento contínuo de comunicações como VNC, SSH, RDP, e outras.
Felizmente, a estação de tratamento de água Oldsmar foi capaz de evitar mais danos do ataque por causa de seus funcionários de alerta, mas muitos outros sistemas OT em estações de tratamento similares podem não ter a visibilidade que as equipes de segurança precisam para identificar estes ataques.
Como os ambientes OT passam por transformações digitais, é imperativo manter a visibilidade desses dispositivos em rede. Soluções de visibilidade podem ajudar as organizações a identificar seus ativos, onde eles estão implantados na rede, se estiverem conectados à Internet, e como podem ser controlados. Soluções de visibilidade podem até ajudar a identificar vulnerabilidades, e como um ator malicioso poderia usar essas vulnerabilidades para interromper as operações.
Ferrovias Iranianas: Uma lição de gerenciamento de vulnerabilidades na cadeia de suprimentos
Em julho, a Iran Railways teve que fechar seu sistema ferroviário devido a um grupo de hackers chamado Indra infiltrando-se em um sistema de TI e espalhando malware conhecido como MeteorExpress. O Irã não se informou sobre os detalhes destes ataques, levando os pesquisadores de segurança a formar suas próprias hipóteses.
Sistemas de trens dependem de uma variedade de sistemas OT críticos que se integram com sistemas de TI. Isto inclui tudo, desde soluções de sinalização até sensores e dispositivos de unidades de freio. Todos estão conectados à rede, e muitos incluem software que permite que esses sistemas e dispositivos coletem dados e os comuniquem de volta aos centros de operações. Para permitir esta comunicação, os dispositivos conectados dependem de um software chamado TCP/IP stack.
A pesquisa Forescout revelou quase 100 vulnerabilidades em mais de uma dúzia de implementações da pilha TCP/IP. Essas vulnerabilidades – se exploradas – permitiriam que os hackers tirassem os sistemas e dispositivos do ar, incluindo uma vulnerabilidade específica em um sistema de monitoramento de trens. Tudo isso mostra que o incidente com as ferrovias iranianas poderia muito provavelmente ter ocorrido nos Estados Unidos ou em todo o mundo.
Quando se trata da responsabilidade compartilhada de proteger software de terceiros, as organizações precisam ser mais pró-ativas em suas avaliações de segurança de fornecedores. Idealmente, a indústria deveria estar recompensando os fornecedores que têm ciclos de vida de projeto de software seguro e exploração de mitigação, mas as organizações nunca deveriam assumir que isto é suficiente. Políticas de confiança zero para acesso menos privilegiado de dispositivos pode mitigar dispositivos vulneráveis, já que soluções de visibilidade podem ajudar a identificar esses riscos.
Seja pró-ativo antes de ser forçado a reagir
Os operadores de infra-estrutura crítica precisam ser mais proativos quando se trata de convergência TI/OT, segurança de confiança zero, e avaliações de segurança de fornecedores. Com o aumento dos ataques à infra-estrutura crítica, junto com o aumento da fiscalização e regulamentação governamental.
As organizações que agem agora terão menos com que se preocupar quando novas regulamentações forem introduzidas. E as organizações que aprenderam as lições da segmentação da rede, visibilidade e avaliação de risco de terceiros estarão mais bem preparadas para minimizar o impacto e a probabilidade de incidentes similares acontecerem com elas no futuro.
FONTE: HELPNET SECURITY