0
0
Nesta entrevista à Help Net Security, Dawn Cappelli, diretora da OT-CERT da empresa de segurança cibernética industrial Dragos, fala sobre os riscos de segurança do OT que as organizações de infraestrutura crítica estão enfrentando, oferece conselhos sobre como elas podem superar obstáculos que as impedem de melhorar sua postura de segurança cibernética e explica como o recém-criado OT-CERT que ela está encaminhando pode ajudar proprietários de
[As respostas foram levemente editadas para maior clareza]
Os riscos da cadeia de suprimentos são agravados para as organizações que devem proteger sua TI e o AT de ataques cibernéticos. Quais tecnologias e abordagens eles devem considerar implementar? Quais armadilhas específicas eles devem evitar e como?
A maioria dos programas de risco de terceiros é focada em TI – incluindo fornecedores que têm acesso à propriedade intelectual ou à rede da organização. Mas alguns fornecedores de OT têm acesso – físico e remoto – ao ambiente OT, para solução de problemas, manutenção, etc., e é importante que o risco representado por esses fornecedores esteja incluído no programa de risco de terceiros da empresa, uma vez que o acesso remoto ao OT apresenta riscos óbvios de segurança, e o acesso no local geralmente envolve unidades USB e outros acessos eletrônicos diretos que também podem A boa notícia é que esses fornecedores podem simplesmente ser incluídos em programas de risco de terceiros existentes.
Por outro lado, mais e mais fornecedores estão sendo afetados pelo ransomware atingindo seu ambiente OT. Isso afeta sua capacidade de fornecer seus produtos e serviços a seus clientes, o que, por sua vez, pode afetar as operações de seus clientes. Portanto, o escopo dos programas de risco de terceiros precisa ser ampliado mais uma vez para incluir fornecedores críticos no AT – aqueles cujos produtos ou serviços são críticos para as próprias operações de OT da organização. Agora, a má notícia: os programas de risco de terceiros existentes normalmente não avaliam o risco de segurança em ambientes OT. Na verdade, embora estruturas e melhores práticas estejam surgindo na segurança do AT, as organizações geralmente precisam contar com especialistas em segurança do AT para ajudar nessas avaliações e recomendações de correção.
Finalmente, vimos o aumento dos ataques cibernéticos contra a cadeia de suprimentos de software, bem como ataques direcionados a vulnerabilidades em produtos OT críticos. Ao escolher fornecedores de produtos OT críticos, é importante determinar se o fornecedor é certificado pela ISA/IEC 62443 – a principal certificação de segurança em OT. Essas certificações devem ser um fator importante na escolha de produtos para o ambiente OT.
Como as equipes de TI e OT Sec podem melhorar sua cooperação em direção ao seu objetivo comum (de manter todos os sistemas funcionando para apoiar a empresa na consecução de seus objetivos de negócios)?
O maior problema na segurança do AT é a divisão cultural entre TI e OT. A segurança de TI é um campo maduro, com padrões, estruturas e uma abundância de tecnologias maduras e emergentes. O campo de segurança OT é muito menos maduro, carece de pessoas com experiência em segurança OT, melhores práticas e estruturas estabelecidas e com uma seleção muito menor de tecnologias de segurança.
Historicamente, a TI e a OT trabalharam de forma independente na segurança, com engenheiros da OT supervisionando a segurança no ambiente OT, onde não era tão crítico devido à falta ou conectividade limitada à Internet e à empresa. Hoje, no entanto, a maioria dos ambientes OT está conectada ao ambiente de TI empresarial e à internet. Os benefícios da Indústria 4.0 e da transformação digital no OT aceleraram a conectividade no OT, inclusive para ambientes em nuvem. A prevalência de ambientes convergentes de TI/OT torna imperativo que as equipes de TI e OT trabalhem juntas para protegê-los.
O problema é essa divisão cultural. A boa notícia é que ele pode ser conquistado, reunindo as duas equipes para criar uma estratégia de segurança OT que é de propriedade conjunta de ambas as equipes. Realize um workshop com representantes de TI, segurança de TI, gerentes de OT, engenheiros de OT e pessoal de TI/segurança da OT. Use o Quadro de Segurança Cibernética do NIST como base do workshop.
Você pode achar que a atmosfera é um pouco controversa no início, mas à medida que as equipes percorrem a estrutura, começarão a entender e respeitar o “outro lado” e começarão a descobrir sinergias e desenvolver ideias de como poderiam trabalhar juntas em direção a um objetivo comum. Desde que o plano foi desenvolvido em conjunto, a propriedade conjunta do plano aumenta suas chances de sucesso à medida que a equipe trabalha no roteiro estratégico que eles criaram juntos.
A teoria de manter as redes de TI e OT seguras está lá, mas há muitos obstáculos para colocá-la em prática – especialmente quando as organizações não são grandes e bem aceitas. Quais são as mais comuns e como elas podem ser superadas?
Um programa de segurança OT deve se concentrar nos seguintes 5 controles críticos:
1. Plano de resposta a incidentes específico do ICS: Crie um plano de resposta a incidentes dedicado para cenários específicos de ameaças cibernéticas em locais específicos de AT e considere exercícios de mesa para testar e melhorar os planos de resposta.
2. Uma arquitetura defensável: endurecendo o ambiente OT – remova pontos de acesso à rede OT estranhos, mantenha um forte controle de políticas nos pontos de interface de TI/OT e mitigue vulnerabilidades de alto risco. Inclua as pessoas e os processos para mantê-lo.
3. Visibilidade e monitoramento: Você não pode proteger o que não pode ver. Mantenha um inventário de ativos, mapeie vulnerabilidades em relação a esses ativos (e planos de mitigação) e monitore ativamente o tráfego em busca de possíveis ameaças.
4. Autenticação multifatorial: A autenticação multifatorial (MFA) é um caso raro de um controle de TI clássico que pode ser aplicado adequadamente ao OT. Implemente MFA em todos os seus sistemas de sistemas para adicionar uma camada extra de segurança para um investimento relativamente pequeno.
5. Gerenciamento de vulnerabilidades importantes: Mais de 1200 vulnerabilidades específicas do OT foram lançadas no ano passado. Embora corrigir um sistema de TI como o laptop de um trabalhador seja relativamente fácil, desligar uma fábrica tem custos enormes. Um programa eficaz de gerenciamento de vulnerabilidades OT requer conhecimento oportuno das principais vulnerabilidades que se aplicam ao meio ambiente, bem como estratégias alternativas de mitigação para minimizar a exposição enquanto continua a operar.
Agora vamos examinar a abordagem para uma organização com poucos recursos. Eles precisam de um método simples para avaliar e resolver suas lacunas de segurança de AT que seja prático para eles, considerando a falta de experiência e recursos. É aí que entra o Dragos OT-CERT (Tecnologia Operacional – Equipe de Prontidão para Emergências Cibernéticas).
Forneceremos a eles um instrumento simples de autoavaliação para fornecer uma linha de base de sua postura de segurança atual. Em seguida, forneceremos um kit de ferramentas de gerenciamento de ativos, que consistirá em treinamento, um modelo de gerenciamento de ativos que eles podem usar para capturar e manter o inventário de seus ativos em OT e um guia. Esta é a base para o controle crítico #3. A seguir, haverá um kit de ferramentas de ransomware de autoatendimento para ajudá-los a se preparar para ataques cibernéticos no OT (controle crítico #1). Todos os meses, lançaremos recursos adicionais para ajudá-los a lidar com os controles críticos listados acima de uma maneira prática para eles.
Você é o primeiro diretor do centro OT CERT da Dragos. Conte-nos um pouco sobre este novo projeto e seus planos para ele.
Quando eu era CISO na Rockwell Automation, expandimos continuamente nosso programa de risco de terceiros para lidar com o aumento dos riscos de segurança cibernética da cadeia de suprimentos que discuti acima. Infelizmente, nossa análise de risco às vezes nos impediu de aceitar os riscos colocados por pequenos ou médios fornecedores com uma postura cibernética que não atendeu aos nossos requisitos.
Embora existam alguns recursos gratuitos disponíveis para segurança de TI em pequenas empresas, não consegui encontrar nenhum recurso gratuito para eles criarem um nível mínimo de segurança em seus ambientes OT. O risco de segurança cibernética da cadeia de suprimentos e a necessidade urgente de alguém acelerar e ajudar pequenas organizações a aumentar sua postura de segurança se tornaram meus problemas de “botão quente” quando me aposentei como CISO.
Nosso CEO, Rob Lee, declarou recentemente: “Quando você pensa em nossa missão de proteger a civilização… não é ‘salvaguardar as empresas que podem gerar receita mais rapidamente’… devemos fornecer respostas para todas as organizações dentro de nossa comunidade, incluindo as menores e menos carentes empresas”. É por isso que Dragos criou o OT-CERT.
Projetado para apoiar proprietários de ativos e operadores de infraestrutura industrial, o Dragos OT-CERT fornece recursos gratuitos de segurança cibernética para a comunidade do Sistema de Controle Industrial (ICS) /OT. Os recursos estão disponíveis exclusivamente no portal OT-CERT, fornecendo aos membros informações e materiais para ajudar a construir um programa de segurança cibernética OT, melhorar sua postura de segurança e reduzir os riscos OT.
A associação está aberta a organizações em todo o mundo, e empresas de qualquer tamanho são bem-vindas para participar. A associação ao OT-CERT é especialmente benéfica para organizações com recursos limitados. As pequenas e médias empresas geralmente não têm uma equipe de segurança OT dedicada ou acesso ao mesmo nível de recursos que as grandes empresas, e o Dragos OT-CERT foi criado com essas organizações especificamente em mente.
Além disso, o OT-CERT coordenará com os OEMs em relação às divulgações de vulnerabilidades descobertas pelos pesquisadores de inteligência contra ameaças da Dragos, bem como ameaças cibernéticas detectadas pela Dragos direcionadas aos produtos dos OEMs. As parcerias OEM, como as que temos com a Emerson e a Rockwell Automation, são fundamentais para a divulgação coordenada de vulnerabilidades e resposta eficaz a ameaças para proteger e apoiar a infraestrutura industrial no ambiente crescente de ameaças cibernéticas.
Tenho a honra de ser o primeiro diretor. Minha carreira de segurança começou no CERT na Carnegie Mellon University – a primeira organização de segurança cibernética do mundo. A CERT se dedica a fornecer recursos para ajudar a comunidade a se defender contra ameaças cibernéticas, para que a paixão faça parte do meu DNA.
Em quais “lutas” você espera se envolver enquanto dá vida à sua visão do projeto, e por que você acredita que vai ganhá-las? Como sua carreira até o momento o preparou para tal empreendimento?
O maior desafio que antecipo é conseguir que organizações com poucos recursos se juntem ao OT-CERT. Muitos acreditam incorretamente que isso nunca vai acontecer com eles – quem estaria interessado em atacá-los? Ou eles estão convencidos de que não têm os recursos ou conhecimentos para construir um programa de segurança e, portanto, não vão tentar. Acredito firmemente que o que planejamos fornecer é prático para pequenas e médias organizações com ambientes de AT, e é imperativo para a infraestrutura industrial que eles participem.
Minha estratégia para superar esse desafio é o nosso programa de parceria OT-CERT. Fizemos uma parceria com a Associação Nacional de Fabricantes (NAM) e quatro Centros de Compartilhamento e Análise de Informações: E-ISAC (eletricidade), ONG-ISAC (petróleo e gás natural), DNG-ISAC (gás natural a jusante) e WaterISAC. Nossos parceiros promoverão o OT-CERT para seus membros e trabalharão conosco para garantir que nossos recursos sejam úteis para eles.
Realizaremos workshops conjuntos com alguns parceiros – workshops focados em organizações de tamanho, setor e localização potencialmente geográfica semelhantes. Nos workshops, os participantes aprenderão uns com os outros, colaborarão em novas estratégias e construirão relacionamentos para o compartilhamento contínuo de informações. Além disso, as melhores práticas e outras aprendizagens dos workshops serão refletidas nos recursos do OT-CERT para o benefício de todos os membros do OT-CERT.
Eu me deparei com “novas fronteiras” duas vezes na minha carreira, e adoro conquistar um desafio construindo algo novo. Eu fui o fundador e diretor do CERT Insider Threat Center, que cresci de um estudo seminal de ameaças internas com o Serviço Secreto para o centro global de especialização em ameaças internas. Depois de 13 anos, deixei a CERT para construir um programa de risco interno para a Rockwell Automation. Naquela época, eu conhecia outras 4 pessoas que estavam construindo programas abrangentes e globais de risco interno, e criamos um grupo de compartilhamento de informações que cresceu para mais de 200 empresas com 300 membros em poucos anos. O grupo ainda está muito ativo e agora está sendo administrado pelo National Insider Threat Center da CERT na Carnegie Mellon.
Como CISO na Rockwell Automation, me deparei com outra nova fronteira: a segurança do OT. Não havia melhores práticas ou estruturas, e poucas tecnologias disponíveis, então mais uma vez formei um grupo de compartilhamento de informações de CISOs com ambientes OT para que todos pudéssemos aprender uns com os outros e desenvolver e compartilhar nossas próprias melhores práticas.
Estou animado com a oportunidade de construir uma nova comunidade de compartilhamento de informações no OT-CERT!
A segurança da TI e do AT na indústria e nas organizações do setor de energia sempre foi importante, mas com a explosão do ransomware e o fato de que essas organizações provavelmente serão peões em conflitos globais (ciber), o perigo de paralisar ataques cibernéticos é aparentemente maior do que nunca. Você pode oferecer alguns conselhos aos responsáveis pelas defesas de segurança cibernética nesses tipos de empresas – conselhos que os impedirão de simplesmente pisar na água e fazê-los avançar para uma melhor postura de segurança cibernética?
Acredito que a maioria das grandes organizações de infraestrutura industrial está trabalhando para aumentar sua postura de segurança para mitigar o ambiente de ameaças cibernéticas elevadas. Acredito que o elo fraco da segurança cibernética é a cadeia de suprimentos, e é imperativo que todos trabalhemos juntos para resolvê-la. Tanto os estados nacionais quanto os grupos de crimes cibernéticos têm como alvo fornecedores para chegar aos ambientes e/ou informações de TI de seus clientes – SolarWinds, Accellion e Kaseya são apenas alguns. Seria tolice pensar que eles não tentarão essa mesma tática em ambientes OT. Por essa razão, é imperativo que os CISOs se certifiquem de que estão incluindo seus fornecedores de AT em seus programas de risco de terceiros o mais rápido possível.
Sou grato por Dragos ter se comprometido com o OT-CERT para que possamos impactar o ecossistema de segurança da comunidade de infraestrutura industrial, mas precisamos da conscientização e apoio de organizações maiores. As equipes de segurança podem direcionar seus fornecedores que não atendem aos seus requisitos de segurança OT para o OT-CERT e outros recursos gratuitos para segurança de TI em pequenas empresas. Somente trabalhando juntos podemos proteger a infraestrutura industrial global dos impactos do ransomware e ataques cibernéticos sofisticados direcionados a ambientes OT.
FONTE: HELPNET SECURITY