Tecnologia Operacional e Tecnologia da Informação estão se fundindo. Os sistemas OT viveram por anos totalmente isolados e agora devem ser conectados a redes corporativas ou à internet. A falta de medidas de segurança nestes ambientes, significa que teremos que lidar com os mesmos problemas que profissionais de TI experientes resolveram há 20 anos.
A tecnologia OT está profundamente conectada ao ambiente físico, onde danos graves podem acontecer. Como um apagão nacional, interrupção da produção de energia, entrega de petróleo ou gás, ou algo mais simples como semáforos em uma cidade movimentada sob o controle de um invasor. Nenhum desses cenários é impossível e já estamos enfrentando estas situações.
A maioria dos ataques OT começa na TI tradicional
O ambiente OT é muito frágil e colocar ferramentas invasivas de monitoramento ou segurança, como sistemas de prevenção de intrusão ou antivírus, é quase impossível.
Portanto, as medidas de segurança geralmente se limitam a firewalls implementados no perímetro do ambiente OT, deixando todo o tráfego interno como um ponto cego.
Resolver esse problema é simples. Você pode inserir alguma tecnologia de segurança na porta SPAN (espelho) e usá-la de forma não invasiva, o que significa monitoramento e detecção. Esta é a razão pela qual os Flowmon Probes estão sendo cada vez mais utilizados no ambiente OT, oferecendo uma visão consolidada de toda a infraestrutura e permitindo a detecção de anomalias (Anomaly Detection System) em toda a organização. A principal vantagem sobre as ferramentas especializadas de segurança SCADA é sua aplicabilidade geral e capacidade de reconhecer um ataque antes que ele atinja o ambiente OT.
A maioria dos ataques de TO começa na TI tradicional, revelando-se em indicadores de comprometimento detectáveis por uma abordagem de análise de comportamento de rede. O monitoramento complexo é crucial para detecção e correção precoces antes que o ataque atinja o ambiente OT.
A partir da análise do ataque “BlackEnergy” que atingiu a rede elétrica da Ucrânia operada pelo NES@FIT (Grupo de Pesquisa em Rede e Sistemas Distribuídos), fica claro que as etapas como campanha de phishing, exploração, roubo de credenciais de VPN e descoberta de rede aconteceram antes do ataque principal. Todos esses estágios são observáveis da perspectiva do monitoramento da rede e da análise do comportamento.
Para obter benefícios reais de monitoramento de rede e detecção de anomalias (Anomaly Detection) no ambiente OT, é necessária visibilidade do protocolo OT principal. Isso geralmente está além do escopo de ferramentas comuns de monitoramento de fluxo e dados oferecidos por roteadores ou switches. Tomemos como exemplo o protocolo IEC 104 utilizado no controle da rede de distribuição de energia. Os dados de fluxo estendidos podem oferecer uma visão valiosa dos protocolos de aplicativos, incluindo especificações de OT. A visibilidade total no nível do aplicativo é tecnicamente possível devido à ausência de criptografia.
Os dados de fluxo tradicionais usados para oferecer uma visão agregada do tráfego no ambiente OT são insuficientes para entender padrões de tráfego, comandos ou até mesmo reconhecer atividades maliciosas. O relatório por pacote em um nível de cabeçalho permite reconhecer padrões em sequências de pacotes, infelizmente sem nenhuma maneira de analisar e interpretar os dados. A adição de metadados no nível do aplicativo traz um equilíbrio entre o nível de detalhes e as informações disponíveis para análise posterior. A última opção são dados de pacote completos; isso traz muitos desafios para desempenho, retenção de dados, processamento e análise em geral.
Flowmon para ampliar a visibilidade e a segurança no ambiente OT
O Flowmon ADS (Anomaly Detection System) oferece visibilidade dos protocolos OT, como IEC 104, IEC 61850 Goose e IEC 61850 MMS, DLMS e o protocolo IoT CoAP. Preencha o formulário abaixo que vamos ajudá-lo a estender o escopo dos protocolos suportados e novas técnicas de detecção de anomalias para melhorar a visibilidade e a segurança no seu ambiente de OT.
Fonte: Flowmon
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.