Ataques a sistemas OT estão mais frequentes

Ao contrário do que se poderia imaginar, sistemas OT estão sendo vítimas de ataques pouco sofisticados. Isso tem tornado a ação dos cibercriminosos contra infraestruturas críticas significativamente mais frequentes nos últimos anos, de acordo com uma pesquisa realizada pela Mandiant, unidade de inteligência da FireEye que estuda ameaças e resposta a incidentes, adquirida recentemente pelo Symphony Technology Group.

Diferentemente dos sistemas de TI que lidam com informação, seus fluxos e processamento, os sistemas OT trabalham com máquinas e seus processos de controle. São vistos como mais complexos, exigindo muitos recursos e tempo quando suas operações são interrompidas por algum motivo. No entanto, a Mandiant Threat Intelligence observou que ataques a esses sistemas estão sendo conduzidos por invasores com níveis variados de habilidade e ferramentas e técnicas de TI de uso disseminado. 

Os invasores parecem ser levados por motivação financeira, ideológica ou apenas para ganhar notoriedade. Têm como alvo um amplo espectro de sistemas OT conectados à Internet supostamente vulneráveis usados em diferentes soluções, como painéis de energia solar, controle de consumo de água, automação de edifícios e segurança residencial. O que parece estar mudando desde que a Mandiant começou a monitorar esse tipo de atividade em 2012 é o crescimento significativo na frequência dos incidentes nos últimos anos.

A atividade atual mais comum envolve extorsão, mas também compartilhamento de conhecimento e experiência para explorar táticas, técnicas e procedimentos amplamente conhecidos e ferramentas amplamente usadas para acessar, interagir ou coletar informações de ativos expostos na Internet. Isso era visto muito pouco no passado, afirma o estudo.

As brechas mais frequentemente exploradas pelos ataques pouco sofisticados são serviços de acesso remoto não seguros e também interfaces gráficas homem-máquina, pois são uma representação amigável que, quando  mal-intencionada, podem levar o usuários a acionar as operações desejadas pelos invasores.

Segundo a Mandiant, a proteção contra atraques pouco sofisticados pode ser implementada a partir da conscientização sobre a exposição insegura de ativos e dados e boas práticas de segurança, como:

• Sempre que possível, deixar os ativos OT longe de redes públicas. E, se o acesso remoto for necessário, recomenda-se manter controles de acesso e monitorar o tráfego em busca de atividades suspeitas.
• Aplicar técnicas comuns de mapeamento a dispositivos edge e remotamente acessíveis, como desabilitar serviços não utilizados, alterar credenciais padrão, rever configurações dos ativos e criar listas de permissão de acesso.
• Verificar se ativos críticos podem ser descobertos usando scanners on-line.
• Promover a conscientização sobre ameaças e exploração de vulnerabilidades em sistemas OT.   
• Configurar as interfaces homem-máquina e outros elementos dos sistemas de controle para limitar meios de entrada de dados ​​e mitigar condições arriscadas.