A segurança cibernética industrial na APAC ainda está atrás das empresas, mas ter alguma higiene básica e um plano em vigor é “anos-luz” melhor do que nada, de acordo com a diretora de resposta a incidentes da empresa de segurança cibernética de tecnologia operacional Dragos Lesley Carhart.
Carhart recomenda que os operadores de tecnologia industrial, grandes ou pequenos, na APAC percebam que todos eles podem ser alvos, incluindo atores estatais que procuram roubar informações ou posicionar-se para um futuro evento geopolíticoe implementar e testar planos de resposta a incidentes.
A maturidade da segurança cibernética industrial ainda está atrasada em relação às empresas
Operadores de tecnologia industrial têm um nível médio de maturidade de segurança em um país como a Austrália. Operadores geralmente estão cientes do que precisa ser feito de um ponto de vista estratégico e começaram a construir mais maturidade, mas ainda têm uma série de lacunas a preencher, disse Carhart.
“Eles podem ter começado a construir um plano, mas ainda não o testaram para garantir que cada parte dele funcione. Há uma tentação de construir um plano e assumir capacidades em segurança cibernética, em infraestrutura crítica, em ambientes industriais de OT, sem realmente tê-los testado completamente você mesmo.”
Dragos viu organizações implementando planos de resposta a incidentes e monitoramento de segurança; isso as coloca “anos-luz à frente” daquelas sem plano e sem contratantes ou equipe para segurança cibernética, mas Carhart disse que elas precisam testar suposições para fazer coisas táticas por trás da estratégia.
TechRepublic Premium: Baixe agora uma política de resposta a incidentes
“Muitas vezes, há bloqueios de parada onde eles podem dizer: ‘Presumimos que tínhamos um inventário de ativos e ele não está atualizado’, ou ‘presumimos que tínhamos registro e ele não é abrangente’, ou ‘presumimos que tínhamos backups que poderíamos restaurar em nosso ambiente industrial’, ela elaborou.
“É bastante maduro no ambiente empresarial — eles têm ótima equipe, programas maduros, planos para segurança cibernética — mas quando você muda para OT, é um cenário diferente em um nível diferente de maturidade, e essas coisas simplesmente não existem com o mesmo nível de uso prático.”
Três principais desafios que impactam a segurança da tecnologia industrial
Há uma série de desafios que impedem que os operadores de ambientes de tecnologia industrial alcancem as empresas quando o assunto é segurança cibernética.
Comunicação entre engenharia de processos industriais e segurança cibernética
Houve “décadas de mal-entendidos” entre as equipes de engenharia de processo e os responsáveis pela segurança cibernética no espaço de tecnologia industrial, disse Carhart. Grande parte desse “problema humano” se resume a mal-entendidos “de prioridades e terminologia”.
VER: Como o esgotamento da segurança cibernética está criando riscos para organizações da APAC
“Tentamos impor controles de segurança cibernética empresarial em ambientes de processo, e você simplesmente não consegue fazer isso devido a coisas como a presença do fornecedor e a idade e sensibilidade do equipamento. Pode ser difícil obter movimento na implementação de controles de segurança modernos.”
Desafios técnicos devido a equipamentos de tecnologia operacional
Grande parte do mercado de tecnologia industrial utiliza equipamentos controlados por fornecedores legados. Carhart disse que, devido à forte presença de Fabricantes de Equipamentos Originais em ambientes de tecnologia industrial, isso pode restringir o que as organizações podem fazer em segurança cibernética.
Sensibilidade dos processos e equipamentos de tecnologia operacional
Organizações que operam tecnologia industrial “podem ter apenas uma interrupção de manutenção por ano quando podem trabalhar em equipamentos”, de acordo com Carhart, e estão lidando com equipamentos que geralmente permanecem em uso por longos períodos de tempo, geralmente com vida útil de até 20 anos.
“Você certamente não pode implementar controles de segurança modernos baseados em agentes. Nenhuma das ferramentas de segurança que você vê em conferências de segurança para ambientes corporativos, como ferramentas XDR ou EDR, nenhuma delas funciona bem em ambientes de processo por causa de todas essas coisas”, disse Carhart.
Três principais ameaças cibernéticas que a tecnologia industrial enfrentará em 2024
Há três principais ameaças enfrentadas pelos operadores de tecnologia operacional. Cada balde responde por cerca de um terço de cada uma das ameaças que Dragos vê enfrentando indústrias em nações desenvolvidas.
Malware e ransomware de commodities
As organizações industriais são os principais alvos dos exportadores de matérias-primas malware e ransomware. Eles são “alvos atraentes para criminosos”, disse Carhart, porque são mais propensos a serem vulneráveis a um ataque e, como estão fazendo coisas críticas, há uma probabilidade de que as pessoas paguem um resgate.
Carhart disse que malware e ransomware impactam ambientes industriais por causa da falta de ferramentas de segurança e maturidade. Embora eles possam não necessariamente impactar diretamente o equipamento de processo, eles podem interromper coisas como as telas que os operadores usam para ver se as coisas estão funcionando com segurança.
Dados recentes de Dragos’ OT 2023 Revisão do Ano da Segurança Cibernética descobriu que 13 incidentes de ransomware impactaram as organizações industriais do país. Um ataque LockBit 3.0 na DP World, embora o ransomware não tenha sido implantado, levou ao fechamento das operações portuárias terrestres por três dias e “trouxe à tona a possibilidade de efeitos em cascata e impactos do ransomware nas operações industriais, cadeias de suprimentos e consumidores”, de acordo com uma declaração da Dragos.
Ameaças internas
Ameaças internas geralmente não são maliciosas ou intencionais, mas ainda podem ter “impactos enormes”, disse Carhart. Em alguns casos, os trabalhadores podem implementar medidas de segurança de forma inadequada, ser prejudicados devido a relacionamentos humanos ruins internamente ou não entender como fazer seu trabalho corretamente.
Exemplos incluem evasão de controles de segurança de TI, como um sistema sendo conectado diretamente a uma conexão de internet celular ou dupla ou alguém trazendo uma unidade USB. Essas ameaças podem impactar equipamentos de processamento sensíveis e podem passar despercebidas por meses ou anos.
Grupos de ameaças criminosas avançadas ou atores estatais
A terceira categoria de ameaça é de grupos adversários avançados, de estilo estatal. Eles se envolvem em:
- Espionagem industrial: Essa atividade é vista especialmente em indústrias como a de manufatura e a de produção de alimentos, onde atores invadem para aprender como os processos são feitos e depois os roubam.
- Reconhecimento e acesso ao edifício: Atores estatais se estabelecendo em indústrias e infraestrutura para que possam fazer algo quando for “geopoliticamente apropriado no futuro”.
“Grupos adversários do Estado — e alguns grupos criminosos — começaram a construir grandes bancos de dados de informações sobre como os ambientes são configurados, então, se houver um motivo para fazer algo malicioso no futuro, eles saberão como fazê-lo e terão acesso para fazê-lo”, disse Carhart.
Todas as organizações industriais são alvos, independentemente do seu tamanho
Os operadores industriais geralmente ficam surpresos quando enfrentam um incidente cibernético no mundo real; Carhart disse que eles geralmente marcam caixas de seleção para fins de auditorias ou para fins de regulamentação. Em casos como esses, eles nunca praticaram, treinaram ou tiveram um plano sobre o que fazer quando um ataque acontece.
Carhart alertou que qualquer um pode ser pego de surpresa por um ataque. “Não consigo contar o número de casos em que as pessoas ficaram tipo, ‘nós não achamos que isso aconteceria conosco, não deveríamos ser alvos, então nunca realmente executamos nosso plano”, ela disse.
As organizações industriais podem ser alvos atraentes por diferentes razões
A experiência de Dragos no campo indica que pequenas organizações são frequentemente alvos porque são alvos fáceis para criminosos, que podem ganhar um pouco de dinheiro com muitas organizações facilmente. “Elas também são alvos de estados porque são um bom teste contra empresas maiores, ou podem ser uma avenida para uma empresa maior”, Carhart acrescentou.
Empresas maiores podem pensar que estão protegidas por grandes equipes e orçamentos de segurança cibernética. “Mas ter uma grande arquitetura para cobrir pode tornar muito desafiador fazer uma cirurgia cibernética abrangente, porque você pode não saber que partes da sua rede existem. E planejar em muitas instalações industriais diferentes pode ser muito difícil, assim como monitorar”, concluiu Carhart.
Conselhos de Dragos para lidar com um incidente de segurança cibernética industrial
A maior coisa que a tecnologia industrial e os operadores de infraestrutura crítica podem fazer para se preparar para um incidente cibernético, e a resposta ao incidente associado, é ter “algum tipo de plano escrito”, diz Carhart. Isso ocorre porque os incidentes de segurança “nunca acontecem em um momento oportuno”.
“São sempre tipo 17h de sexta-feira ou 2h da manhã no Natal”, ela disse. “Primeiro de tudo, é porque tudo geralmente está fechado no ambiente de processo, ou é um grupo esqueleto, e as pessoas têm tempo para realmente olhar as coisas e perceber o que está acontecendo”, ela explicou.
“E segundo, é porque pessoas más sabem quando ninguém está olhando. Então você precisa ter um plano escrito; vira uma crise muito rápido, todo mundo entra em pânico, e você tem executivos seniores respirando no seu pescoço, o que é tremendamente difícil em uma organização pequena.”
As organizações devem saber o que fazer ou para quem ligar
Dragos recomenda que as organizações documentem claramente como lidarão com uma resposta a incidentes; isso pode incluir pedir ajuda a uma organização de suporte governamental, parceiros como empresas de segurança cibernética ou colegas, onde haja acordos de ajuda mútua em vigor.
TechRepublic Premium: Fortaleça as respostas de segurança com nossa política de resposta de segurança
“Poderia ser, ‘sabemos de quem vamos obter ajuda, quem pode nos dar ajuda barata ou gratuita’, e isso é bom. Poderia ser, ‘temos pessoal e somos maduros internamente, e temos nossa própria equipe de resposta a incidentes para OT e é assim que eles vão funcionar e como vão se inter-relacionar com nossos engenheiros de processo’. Ou poderia ser, ‘temos um retentor comercial com uma empresa’ como a Dragos ou um de nossos concorrentes. De qualquer forma, você precisa ter um plano”, disse ela.
5 passos para alcançar a higiene da segurança cibernética industrial
O CEO da Dragos, Robert M. Lee, foi coautor de um whitepaper de 2022 chamado Os cinco controles críticos de segurança cibernética do ICS. Ele descreve como organizações industriais podem criar um Sistema de Controle Industrial ou um programa de segurança de tecnologia operacional para mitigar muitos riscos cibernéticos.
Enquanto higiene básica de segurança, Carhart disse que Dragos veria muito menos casos se fossem implementados em ambientes de infraestrutura. “Essas recomendações fazem uma grande diferença na defesa, em profundidade e capacidade de detectar um ator antes que ele faça algo malicioso”.
As cinco recomendações contidas no whitepaper são:
Resposta a incidentes do ICS
As organizações são aconselhadas a ter um plano de resposta a incidentes específico do ICS para levar em conta as complexidades e necessidades operacionais de seu ambiente operacional. Elas também devem conduzir exercícios para reforçar cenários de risco e casos de uso adaptados ao seu ambiente.
Arquitetura defensável
Arquiteturas defensáveis são preferidas para reduzir riscos enquanto facilitam os esforços de defensores humanos. Isso inclui arquiteturas que dão suporte a elementos como visibilidade, coleta de logs, identificação de ativos, segmentação de sistemas e “DMZs industriais” ou zonas de buffer.
Monitoramento de visibilidade de rede ICS
Lee e o coautor Tim Conway sugerem que o monitoramento contínuo da segurança da rede do ambiente ICS deve ser uma prioridade, se possível usando conjuntos de ferramentas com reconhecimento de protocolo e recursos de análise de interação do sistema de sistemas que podem informar as operações sobre os riscos potenciais a serem controlados.
Acesso remoto seguro
É recomendado que as organizações identifiquem e inventariem todos os pontos de acesso remoto e ambientes de destino permitidos. Elas também devem implementar acesso sob demanda e MFA, se possível, e ambientes de host de salto para fornecer pontos de controle e monitoramento dentro de segmentos seguros.
Gestão de vulnerabilidades baseada em risco
O sistema de controle ICS deve incluir uma compreensão dos controles digitais cibernéticos em vigor e das condições operacionais do dispositivo. Isso pode auxiliar nas decisões de gerenciamento de vulnerabilidades baseadas em risco ao aplicar patches para a vulnerabilidade, mitigar o impacto ou monitorar para possível exploração.
