A infraestrutura crítica está sofrendo com uma crescente onda de ataques ransomware visando Sistemas de Controle Industrial (ICS). Esses ataques podem causar interrupções de serviço no mundo real e custar milhões de reais.
A segurança dos Sistemas de Controle Industrial (ICS) é particularmente desafiadora porque a Tecnologia Operacional (OT) é frequentemente isolada da Tecnologia da Informação (TI) nas redes conhecidas como air-gap ou zonas desmilitarizadas (DMZ).
Em teoria, esse isolamento de rede que deveria proteger a tecnologia operacional (OT) e o Sistemas de Controle Industrial (ICS), na prática, torna o gerenciamento muito mais complexo. É crucial que as organizações implementem controles de compensação para garantir que o processo de manutenção e atualização de OT e ICS não acabe criando novas vulnerabilidades.
Ataques de ransomware em série
O recente surto de ataques de ransomware contra empresas de infraestrutura crítica colocou o setor em alerta máximo. Os casos mais famosos são o da JBS que pagou US$ 11 milhões em bitcoin para os hackers e da operadora Colonial Pipeline.
O Departamento de Estado dos EUA começou a oferecer recompensas por informações sobre ataques cibernéticos apoiados por governos estrangeiros. Além do ransomware, esses ataques de estado-nação podem até causar danos físicos ao ICS, como o worm Stuxnet fez ao superaquecer centrífugas nucleares até destruí-las.
A agência de segurança americana CISA (Cybersecurity Incident Security Agency) frequentemente publica alertas para vulnerabilidades de ICS e SCADA (Supervisory Control And Data Acquisition). Para atualizar e corrigir essas vulnerabilidades é necessário instalar atualizações e patches. Normalmente eles são aplicados diretamente por um dispositivo de mídia portátil, como um pen-drive USB, que pode ser um vetor de ameaça para o comprometimento do ICS. Em 2016, uma atualização falsa contendo ransomware para controladores lógicos programáveis (PLC) Rockwell apareceu em vários fóruns da Internet.
Segmentação de Rede, Redes Air-Gapped e Zonas Desmilitarizadas (DMZ)
As três melhores práticas para gerenciar OT e ICS estão intimamente relacionadas. A Segmentação de Rede é implementada na forma de redes virtuais e firewalls. As redes com air gap isolam as redes OT críticas das redes de TI conectadas à Internet. DMZs estabelecem uma hierarquia de zonas de rede chamada de Modelo Purdue, onde a comunicação de dados e as transferências de arquivos devem ocorrer apenas entre zonas adjacentes.
Mesmo que a adoção dessas práticas funcione na redução de risco, é possível contorná-las usando pen-drives USB, por exemplo. Mídias portáteis normalmente são necessárias para atualizar sistemas SCADA ou baixar arquivos de log para análise, mas infelizmente pen-drives USB também podem ser a fonte de um ataque, como ocorreu no caso Stuxnet.
Segurança Cross-Domain
A CISA costuma recomendar com frequência as melhores práticas para segurança ICS, incluindo como atualizar antivírus e instalar patches de software para sistemas de controle.
A instalação de antivírus em sistemas de controle industriais é problemática porque as atualizações precisam ser constantemente implementadas e caso não sejam, as taxas de detecção caem substancialmente. Os sistemas de TI podem ser atualizados automaticamente pelo fornecedor de antivírus, mas como ICS é isolado isso fica muito mais difícil.
Recomendações CISA:
Baixe as atualizações para um host dedicado
Grave as atualizações em mídia portátil
Use essa mídia para atualizar o servidor
As organizações devem ser capazes de verificar a origem da atualização e verificar se há malware nos arquivos. Isso é muito importante porque os criminosos cibernéticos conseguem comprometer os servidores e inserir códigos maliciosos dentro das atualizações.
O gerenciamento de patches é muito importante. As vulnerabilidades ICS são comuns porque há muitos sistemas legados em uso, portanto, qualquer conectividade de rede pode expor uma única vulnerabilidade a ataques. A primeira etapa no gerenciamento de patch é determinar se os sistemas são vulneráveis a ataques, depois é necessário verificar a origem do patch e realizar uma varredura em busca de malware.
A mídia portátil é essencial para atualizar os sistemas antivírus e o gerenciamento de atualizações, portanto é importante tomar cuidado para evitar o vazamento de dados confidenciais. Verificar a origem dos arquivos é crucial para organizações de infraestrutura crítica.
Segurança física para ameaças reais
A infraestrutura crítica precisa incorporar controles de segurança física, como câmeras, guardas e checkpoints porque ataques físicos podem causar interrupção do serviço. Agora que ataques cibernéticos a infraestruturas críticas estão cada vez mais frequentes, os provedores de serviço desse mercado também têm a tarefa de melhorar a segurança cibernética.
É interessante notar que as soluções de segurança cibernética também é física, ou seja, isolar fisicamente os ambientes de TI e OT é muito importante. No entanto, pen-drives USB ainda representam uma fonte física de risco e as organizações devem considerar uma segunda camada de segurança física, como o MetaDefender Kiosk.
Fonte: Security Boulevard
Descubra nuestras soluciones avanzadas, robustas y seguras para NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
