FacebookTwitterLinkedIn

Ataque à estação de água alerta para vulnerabilidade das redes industriais

https://network-king.net/wp-content/uploads/2021/04/infraestruturacritica-769x414.jpg

Especialistas em segurança cibernética concordam que o ataque à a estação de tratamento de água Oldsmar, no estado americano da Flórida, era facilmente evitável. O que levanta uma “bandeira vermelha” em relação à segurança de infraestruturas críticas.

Em 5 de fevereiro deste ano, a Oldsmar enfrentou um ciberataque que resultou em uma mudança drástica na mistura química usada para o tratar da água. O invasor ficou dentro do sistema por menos de cinco minutos e o operador da planta reverteu a mudança química imediatamente.

O ataque cibernético tinha como alvo o equilíbrio químico da água, provavelmente para envenenar os cerca de 15 mil residentes da cidade. O operador da estação, que reverteu as mudanças causadas durante o ataque, disse que os níveis de hidróxido de sódio (comumente referido como soda cáustica) aumentaram de 100 partes por milhão para 11.100 partes por milhão, uma dose que pode causar complicações como irritação, queimação, vômito, e até a morte.

Um exemplo claro, portanto, de como uma invasão de infraestrutura crítica, em qualquer nível, é capaz de colocar vidas em risco. O que ressalta a necessidade de monitoramento inteligente e em tempo real de infraestruturas críticas. O monitoramento de rede com detecção de anomalias teria relatado o login na manhã do incidente como suspeito e potencialmente perigoso.

Embora nenhum dano tenha sido causado pelo incidente, ele mostra mais uma vez como as redes industriais são vulneráveis. Ele também mostra com que rapidez e facilidade uma infraestrutura crítica que atende milhares de pessoas pode ser alvo de interrupções.

Uma análise feita pela equipe do Nozomi Networks Labs afirma que o ataque à Oldsmar foi bastante simples. Se um invasor de baixa sofisticação pôde, com alguns cliques do mouse, iniciar o processo de envenenamento em massa da população, o que um invasor médio ou altamente habilidoso poderia fazer?

A hipótese mais provável é a de que o invasor tenha conseguido violar o sistema por meio de um software de acesso remoto conhecido como TeamViewer. De acordo com a publicação CSO, o software tem um histórico de insegurança, mas era a opção mais acessível para solucionar a necessidade de home office em meio à pandemia de Covid-19. O invasor acessou um Sistema de Controles Industriais (ICS) remotamente, provavelmente usando credenciais roubadas ou perdidas.

Se o TeamViewer não estivesse instalado, o ataque provavelmente não teria acontecido. Foi essa aplicação que permitiu aos invasores ter acesso a equipamentos SCADA, expostos diretamente à Internet. E essa é uma das lições mais valiosas desse episódio: sistemas de controle industrial (ICS) e os equipamentos SCADA devem ser mantidos isolados e protegidos do resto da rede de computadores.

Se os sistemas ICS ou SCADA forem expostos à Internet, controles adicionais devem ser implementados para mitigar o risco. Se um software de acesso remoto for utilizado, ele deve aproveitar uma abordagem unidirecional, de modo a limitar as ações do usuário à visualização do dispositivo remoto, apenas.  Além disso, um firewall precisa ser instalado. Conectar qualquer tecnologia à Internet sem um firewall é uma receita para o desastre.

Oldsmar destaca as vulnerabilidades das instalações ICS

Compreendendo que teremos que conviver com esses tipos de acesso remoto e riscos da cadeia de suprimentos em um futuro imprevisto, como podemos reduzir o impacto dos riscos?

Para começar, a detecção de ataques em tempo real não deve ser deixada para a chance de um operador atento. Mesmo que as camadas de segurança subsequentes provavelmente relatassem o aumento maciço do produto químico mais cedo ou mais tarde, há dúvidas de que a adulteração teria sido evitada a tempo de impedir o pior se o invasor fosse um pouco mais sofisticado.

O incidente ressalta a necessidade de um sistema de detecção de intrusão de ponta a ponta, capaz de detectar e relatar quaisquer alterações nas redes de infraestrutura crítica em tempo real, ressalta Klaus Mochalski, CEO da Rhebo, em artigo para o blog da Paesller.

Além disso, segundo ele, um sistema de proteção de endpoint industrial teria adicionado a capacidade de impedir automaticamente certas operações diretamente nos ativos controlados remotamente.

Em casos assim, mecanismos de proteção nas bordas de uma infraestrutura são de particular importância. “Eles são eficazes quando ocorre o primeiro acesso ao sistema. Por possibilitarem interromper os ataques antes que eles avancem demais. E também ajudam a evitar o movimento lateral do ataque”, comenta o executivo.

Por meio de uma combinação de proteção defensiva proativa e de visibilidade aprimorada ou monitoramento de rede, é possível aos administrados de infraestruturas críticas se posicionar melhor contra tentativas de intrusão.

Fazer e atualizar continuamente um inventário de todos os ativos de rede permite que as equipes de segurança obtenham visibilidade da rede em tempo real em seus dispositivos, conexões, comunicações e protocolos, para melhor monitorar, identificar e solucionar problemas de rede que ameaçam a confiabilidade.

Não por acaso, desde o ano passado, organizações estão dando mais ênfase à detecção de ameaças em serviços de infraestrutura crítica. Na verdade, os gastos com cibersegurança nessa área devem ultrapassar US $ 105 bilhões este ano, com a região de Ásia-Pacífico liderando os gastos, segundo a ABI Research.

Em julho de 2020, um estudo da CyberNews destacou como seria fácil para um invasor entrar na infraestrutura crítica dos EUA por meio de sistemas de controle industrial (ICS) inseguros. Isso poderia ser feito simplesmente por invasores usando motores de busca e ferramentas dedicadas a escanear todas as portas abertas e assumir remotamente o controle.

“Ataques semelhantes podem acontecer também no Reino Unido e no resto da Europa”, afirma Scott Nicholson, diretor de segurança cibernética e especialista em privacidade de dados da Bridewell Consulting, além de consultor do National Cyber ​​Security do Reino Unido Center (NCSC).

Em seu relatório “CNI Cyber Report: Risk and Resilience”, publicado recentemente, Bridewell diz existir uma grande lacuna entre a ameaça percebida de um ataque cibernético e a ameaça real à CNI. Embora 78% das 250 organizações pesquisadas por ele estejam confiantes de que a sua tecnologia operacional (OT) está protegida contra ameaças cibernéticas – e 28% muito confiantes – parece que isso não condiz com a realidade.  Tanto que 86% das organizações detectaram ataques cibernéticos em seus ambientes OT / ICS nos últimos 12 meses, com quase um quarto (24%) experimentando entre um e cinco ataques bem-sucedidos.

Água e transporte têm sido os setores que experimentaram os ataques mais bem-sucedidos. Mas os segmentos de aviação, produtos químicos, energia também são alvos constantes.

5 etapas para proteger a infraestrutura crítica

  1. Ter acesso remoto seguro – o acesso remoto é, geralmente, o caminho mais fácil para invasores se infiltrarem em uma rede. Os gerentes precisam torna-lo seguro usando proteção de endpoint, uma boa gestão de senhas e métodos seguros de autenticação e uso de firewalls.

  2. Investir no inventário de ativos – se não se consegue ver todos os dispositivos na rede, é impossível proteger ou segmentar a rede para maior resiliência. Ao manter um inventário em tempo real de todos os ativos de rede, as equipes de segurança podem obter visibilidade precisa de seus dispositivos, conexões, comunicações e protocolos.

  3. Identificar e corrigir vulnerabilidades – as redes industriais contêm milhares de dispositivos OT e IoT de vários fornecedores. Infelizmente, a maioria não foi projetada para o nível de segurança necessário para um ambiente de infraestrutura crítica. Ferramentas que identificam vulnerabilidades do sistema, usando o National Vulnerability Database (NVD), podem ajudar a determinar quais dispositivos estão em risco, priorizar e recomendar atualizações de firmware.

  4. Monitorar anomalias – As soluções automatizadas de detecção de anomalias de rede aproveitam a Inteligência Artificial para executar a detecção de anomalias em relação aos parâmetros reais que são usados ​​para controlar o processo industrial.

  5. Tornar segura a integração das redes de OT e TI – a OT sabe como cumprir as metas de produção e manter a fábrica funcionando com segurança, enquanto a TI pode resolver problemas de rede e cibersegurança. A combinação de ambos pode dar maior resiliência, reduzindo pontos cegos e riscos de segurança em torno de sistemas de controle industrial altamente conectados. Ainda assim, OT também vai requerer ferramentas de segurança dedicadas.
FacebookTwitterLinkedIn