Melhores práticas para segurança ICS e OT

Atualizado: 12 de nov. de 2021

A infraestrutura crítica está sofrendo com uma crescente onda de ataques ransomware visando Sistemas de Controle Industrial (ICS). Esses ataques podem causar interrupções de serviço no mundo real e custar milhões de reais.


A segurança dos Sistemas de Controle Industrial (ICS) é particularmente desafiadora porque a Tecnologia Operacional (OT) é frequentemente isolada da Tecnologia da Informação (TI) nas redes conhecidas como air-gap ou zonas desmilitarizadas (DMZ).


Em teoria, esse isolamento de rede que deveria proteger a tecnologia operacional (OT) e o Sistemas de Controle Industrial (ICS), na prática, torna o gerenciamento muito mais complexo. É crucial que as organizações implementem controles de compensação para garantir que o processo de manutenção e atualização de OT e ICS não acabe criando novas vulnerabilidades.


Ataques de ransomware em série


O recente surto de ataques de ransomware contra empresas de infraestrutura crítica colocou o setor em alerta máximo. Os casos mais famosos são o da JBS que pagou US$ 11 milhões em bitcoin para os hackers e da operadora Colonial Pipeline.


O Departamento de Estado dos EUA começou a oferecer recompensas por informações sobre ataques cibernéticos apoiados por governos estrangeiros. Além do ransomware, esses ataques de estado-nação podem até causar danos físicos ao ICS, como o worm Stuxnet fez ao superaquecer centrífugas nucleares até destruí-las.


A agência de segurança americana CISA (Cybersecurity Incident Security Agency) frequentemente publica alertas para vulnerabilidades de ICS e SCADA (Supervisory Control And Data Acquisition). Para atualizar e corrigir essas vulnerabilidades é necessário instalar atualizações e patches. Normalmente eles são aplicados diretamente por um dispositivo de mídia portátil, como um pen-drive USB, que pode ser um vetor de ameaça para o comprometimento do ICS. Em 2016, uma atualização falsa contendo ransomware para controladores lógicos programáveis ​​(PLC) Rockwell apareceu em vários fóruns da Internet.


SAIBA MAIS: CISA compartilha orientações sobre como evitar sequestro de dados via ransomware


Segmentação de Rede, Redes Air-Gapped e Zonas Desmilitarizadas (DMZ)


As três melhores práticas para gerenciar OT e ICS estão intimamente relacionadas. A Segmentação de Rede é implementada na forma de redes virtuais e firewalls. As redes com air gap isolam as redes OT críticas das redes de TI conectadas à Internet. DMZs estabelecem uma hierarquia de zonas de rede chamada de Modelo Purdue, onde a comunicação de dados e as transferências de arquivos devem ocorrer apenas entre zonas adjacentes.


Mesmo que a adoção dessas práticas funcione na redução de risco, é possível contorná-las usando pen-drives USB, por exemplo. Mídias portáteis normalmente são necessárias para atualizar sistemas SCADA ou baixar arquivos de log para análise, mas infelizmente pen-drives USB também podem ser a fonte de um ataque, como ocorreu no caso Stuxnet.


Segurança Cross-Domain


A CISA costuma recomendar com frequência as melhores práticas para segurança ICS, incluindo como atualizar antivírus e instalar patches de software para sistemas de controle.


A instalação de antivírus em sistemas de controle industriais é problemática porque as atualizações precisam ser constantemente implementadas e caso não sejam, as taxas de detecção caem substancialmente. Os sistemas de TI podem ser atualizados automaticamente pelo fornecedor de antivírus, mas como ICS é isolado isso fica muito mais difícil.


Recomendações CISA:

  • Baixe as atualizações para um host dedicado

  • Grave as atualizações em mídia portátil

  • Use essa mídia para atualizar o servidor

As organizações devem ser capazes de verificar a origem da atualização e verificar se há malware nos arquivos. Isso é muito importante porque os criminosos cibernéticos conseguem comprometer os servidores e inserir códigos maliciosos dentro das atualizações.


O gerenciamento de patches é muito importante. As vulnerabilidades ICS são comuns porque há muitos sistemas legados em uso, portanto, qualquer conectividade de rede pode expor uma única vulnerabilidade a ataques. A primeira etapa no gerenciamento de patch é determinar se os sistemas são vulneráveis ​​a ataques, depois é necessário verificar a origem do patch e realizar uma varredura em busca de malware.


A mídia portátil é essencial para atualizar os sistemas antivírus e o gerenciamento de atualizações, portanto é importante tomar cuidado para evitar o vazamento de dados confidenciais. Verificar a origem dos arquivos é crucial para organizações de infraestrutura crítica.


VEJA TAMBÉM: Vulnerabilidade expõe PLCs MicroLogix a ataques DoS remotos


Segurança física para ameaças reais


A infraestrutura crítica precisa incorporar controles de segurança física, como câmeras, guardas e checkpoints porque ataques físicos podem causar interrupção do serviço. Agora que ataques cibernéticos a infraestruturas críticas estão cada vez mais frequentes, os provedores de serviço desse mercado também têm a tarefa de melhorar a segurança cibernética.


É interessante notar que as soluções de segurança cibernética também é física, ou seja, isolar fisicamente os ambientes de TI e OT é muito importante. No entanto, pen-drives USB ainda representam uma fonte física de risco e as organizações devem considerar uma segunda camada de segurança física, como o MetaDefender Kiosk.



Fonte: Security Boulevard

 

Conte com a International IT e a OPSWAT para implementar uma metodologia Zero Trust e proteger a infraestrutura crítica da sua empresa.

Descubra nuestras soluciones avanzadas, robustas y seguras para NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.

247 visualizações

Posts recentes

Ver tudo

Newsletter

Confira notícias, informações e tendências do setor de tecnologia da informação. 

Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos