0
0
Apesar do direcionamento claro que as regulação oferecem, colocar em prática todas essas práticas é o grande desafio, uma vez que segurança da informação (TI) e segurança operacional (TO) têm valores inversamente proporcionais
Por Grazziani Sousa
Em 2022, mais de 29,5% dos computadores usados para gerenciar sistemas operacionais (TO) no setor industrial foram afetados por programas maliciosos no Brasil, de acordo com o panorama de ameaças industriais feito pelo time Kaspersky ICS CERT. Esse estudo mostra que o segundo semestre do ano passado contou com uma taxa de ataques maior do que no primeiro semestre – período em que o Brasil registrou um índice de 28,7% de computadores afetados. Scripts maliciosos, phishing (JS e HTML) e ataques de DDoS foram as ameaças mais detectadas.
Outro dado importante que me chama atenção é que o setor de energia é o segmento que concentra a maioria desses ciberataques (35% das detecções) no Brasil. Ele é seguido pelas indústrias de óleo & gás (33%) e manufatura (27,4%). Já a conclusão global do estudo destaca que o segundo semestre de 2022 registrou um aumento de 6% nos ataques contra sistemas industriais na comparação com o primeiro semestre do ano e um incremento de 50% frente ao mesmo período de 2021. Os dados deixam clara a tendência de crescimento dessas ameaças e a necessidade de proteção contra elas.
Analisando o relatório além dos números, nosso time de especialistas em cibersegurança de ambientes industriais destaca a alta quantidade de vetores iniciais de infecção presentes nas redes TO. Isso mostra que, de modo geral, as medidas de proteção em vigor na indústria foram incapazes de bloquear os ataques – que chegaram a acessar suas redes operacionais, quando finalmente foram detectadas pelo endpoint.
Este análise é reforçada ainda pela presença de ameaças autopropagadas, como worms, mineradores de criptomoedas e vírus no ranking. A maioria desses worms e vírus são incidentes herdados, o que quer dizer que eles não estão ativos e que não há nenhum criminoso operando-os. Porém, a presença deles em grande quantidade reforça a conclusão de que as medidas de segurança em vigor não foram capazes de impedir sua disseminação via meio de mídia removível, compartilhamentos de rede, exploração de serviços de rede ou abuso de contas. Tão pouco a remoção da rede foi realizada.
Já quando se analisam as ameaças usadas no desenvolvimento de um ciberataque (next-stage threat), verificou-se que a diminuição linear nas percentagens desse tipo de detecção ao longo da cadeia de infecção (do vetor inicial até o estágio final do ataque) significa que cada passo é proporcional ao estágio anterior. As conclusões mostram um cenário preocupante, pois se as ameças usadas para a infecção inicial crescerem 10%, essa taxa se manterá em toda a cadeia. Lembrando, não há nada impedindo que essas infecções sejam bem-sucedidas, consequentemente a chance de um ataque contra sistemas industriais ser concluído (bem-sucedido) é alto.
Também não me surpreende que nossa análise demostre que o estágio final de um ciberataque termine em uma execução de ransomware. Chama a atenção a presença forte dos spywares – não por serem usados para acesso remoto não autorizado ou para roubo de dados –, mas pelo fato de também serem uma maneira simples de inserir ameaças mais sofisticadas e direcionadas que podem tanto causar paralisias quanto impactos físicos na operação.
Apesar dos desafios que o panorama de ameaças apresenta, a solução não é difícil. Tanto no âmbito global quanto na regulamentação brasileira, já existe um protocolo que as empresas precisam seguir para aprimorar sua segurança digital. Os modelos podem variar um pouco, mas em síntese eles focam em cinco áreas:
• Arquitetura de segurança que inclui segmentação de rede, firewall e proteção endpoint
• Governança na proteção de informações
• Inventário de vulnerabilidades dos sistemas
• Gestão de acessos
• Monitoramento e respostas à incidentes
Apesar do direcionamento claro que as regulação oferecem, colocar em prática todas essas práticas é o grande desafio, uma vez que segurança da informação (TI) e segurança operacional (TO) têm valores inversamente proporcionais. Enquanto TI valoriza o bloqueio de todas as ameaças, a indústria precisa primeiro garantir a continuidade da operação e a integridade de seus sistemas de controle – o bloqueio é o terceiro item.
Por causa dessa característica que torna o ambiente ainda mais complexo, as equipes operacionais precisam de parceiros e fornecedores que entendam sua realidade e saibam lidar tanto com as ameaças quanto com as prioridades do negócio.
Dentre todas as áreas críticas para a segurança operacional, a Kaspersky é a única empresa do setor que atende quatro das cinco exigência com apenas uma solução – a única exceção é a segmentação de rede e firewall. Essa característica simplifica a rotina de segurança, aumenta a visibilidade de incidentes e agiliza a resposta caso haja um ataque em curso.
*Grazziani Sousa é gerente de pré-vendas da Kaspersky no Brasil e especialista em cibersegurança de ambientes operacionais
FONTE: SECURITY REPORT