É hora de amadurecer as defesas das infraestruturas críticas

Nos últimos anos, os dispositivos IoT tornaram-se um ponto de entrada comum para toda a rede e muitas vezes são negligenciados em comparação com plataformas de TI e sistemas operacionais amplamente implantados. Os dispositivos IoT geralmente executam sistemas operacionais simplificados com recursos de segurança removidos devido a restrições de energia e custo. Embora os sistemas OT, como equipamentos SCADA e ICS, pudessem contar com lacunas entre Wi-Fi, a Internet e a maior rede de nuvem de TI, esse não é mais o caso. As defesas de segurança precisam ser reforçadas de acordo.

Reforçar as defesas cibernéticas em ambientes OT e IoT requer uma abordagem multifacetada que geralmente inclui tecnologias complementares, supervisão e processos bem definidos e higiene de segurança necessária. Muitas vezes, equipes de segurança sobrecarregadas permitem que erros humanos comprometam até as defesas mais avançadas com senhas fracas, redes e dispositivos mal configurados ou engenharia social. Muitos ataques de ransomware começam com um usuário ingênuo clicando em um link de e-mail malicioso em uma rede bem defendida.

A segmentação de rede é outro componente fundamental de uma estratégia de defesa cibernética projetada para impedir a disseminação de malware para aplicativos críticos e processos de OT. Diversas tecnologias são úteis para segmentar redes, como VLANs e firewalls, dependendo do ambiente e dos requisitos da política. Em redes OT, o Modelo Purdue é uma maneira de criar zonas de rede que se alinham com os elementos do processo e a função do sistema. No entanto, muitas vezes encontramos organizações com redes completamente planas (segmentação mínima), onde sistemas facilmente comprometidos com aplicativos e processos de missão crítica têm pouco ou nenhum isolamento.

Apesar dessas estratégias serem bastante conhecidas, os ataques às cadeias de suprimentos seguem interrompendo milhares de organizações, dependendo de quão amplamente um componente de software comum é usado e da facilidade com que uma vulnerabilidade pode ser explorada. 

O primeiro ataque amplamente divulgado à cadeia de suprimentos ocorreu há mais de um ano, quando uma vulnerabilidade do SolarWinds comprometeu dezenas de operações críticas de rede em todos os setores e no governo federal. Desde então, temos visto mais atenção nessa área, juntamente com preocupações crescentes e vulnerabilidades e explorações reais no código-fonte aberto.

Quando as vulnerabilidades são anunciadas em software de código aberto, que pode ser usado por muitos aplicativos, o dano pode ser tão ou mais extenso do que o software de um único fornecedor. Depende de quão amplamente utilizado o componente de biblioteca é. 

Esse foi o caso da divulgação em dezembro da vulnerabilidade do Log4Shell. Log4Shell foi encontrado na biblioteca de log de código aberto Apache Log4j (pronuncia-se log-forge), amplamente utilizada em aplicativos comerciais e grandes plataformas online. Devido à simplicidade dessa exploração, os invasores conseguiram lançar ataques rapidamente antes dos esforços de correção e correção em todo o mundo. Um dos maiores grupos de ransomware conseguiu usar a exploração em uma semana, executando um ataque contra as implantações do VMware vCenter.

O mais recente relatório de segurança de OT/IoT da Nozomi Networks Labs investiga tendências, vulnerabilidades e contramedidas de ataques cibernéticos a partir das ocorrências no segundo semestre de 2022.

Conforme o estudo, houve aumento de 21% na quantidade de vulnerabilidades reportadas, em comparação com o primeiro semestre de 2021, atingindo um total de 651 CVEs. Mas houve redução na quantidade de fornecedores e produtos afetados por elas, se comparado com o segundo semestre de 2020.

Em 2022 espera-se que os ataques se movam para a Europa e outros lugares, à medida que os agentes de ameaças se movem para alvos mais fáceis em países onde há menos ameaça de retaliação do governo. Embora continuemos a ver grandes recompensas de resgate de vários milhões de dólares, provavelmente haverá um volume maior de recompensas menores usando várias táticas de extorsão, à medida que os agentes de ameaças encontram maneiras de aumentar a probabilidade de um pagamento enquanto permanecem sob o radar público. Os analistas da Nozomi Networks também esperam ver violações de alvos de ICS menores, incluindo os da indústria de alimentos, pois eles têm orçamentos menores para segurança, mas enfrentam os mesmos desafios que as instalações maiores de ICS.

A expectativa é a de que, embora os agentes de ameaças continuem a evoluir suas táticas, as vítimas também mudarão as respostas. Governos e empresas privadas provavelmente tomarão ações mais ofensivas à medida que mais organizações revidarem. A aplicação da lei fortalecerá seu esforço para recuperar o bitcoin e aumentar as recompensas por informações que levem à prisão de cibercriminosos. No lado privado, espere ver mais organizações resolverem o problema com as próprias mãos, contratando detetives cibernéticos e hackers white hat para encontrar e derrubar invasores cibernéticos.

Embora não haja dúvidas de que as ameaças cibernéticas continuarão a crescer e evoluir, os analistas apostam no amadurecimento das ações dos defensores. 

“Os cenários de ameaças que discutimos há anos — e mesmo aqueles que não discutimos – tornaram-se reais. Ao mesmo tempo, as organizações de TI e OT continuaram a se unir e se fortalecer. O mesmo acontece com sua perspectiva e abordagem à segurança cibernética. Hoje, a segurança cibernética de infraestrutura industrial e crítica é uma das principais prioridades que, em cada vez mais casos, está exigindo — e recebendo — os recursos necessários para o sucesso”, argumenta Edgard Capdevielle, CEO da Nozomi Networks. 

Outro estudo da Nozomi revelou que a maioria das organizações está finalmente tomando as medidas necessárias para amadurecer suas posturas de segurança, melhorando seus recursos de monitoramento e inteligência de ameaças.

Em que os operadores de ICS precisam se concentrar?

Embora a maioria das organizações tenha programas de monitoramento em vigor, essa outra pesquisa descobriu que elas ainda estão analisando principalmente os aspectos de TI de seus ambientes de TO. Também precisam correlacionar sua telemetria de segurança de TI e OT, bem como processar dados para realmente entender os possíveis impactos à segurança e às operações.
 
Há também uma necessidade de se concentrar em fundamentos. Muitos participantes desse estudo não tinham um programa formal para identificação e inventário de ativos. Sem essa etapa fundamental, outros investimentos em segurança podem ser inválidos, mal colocados ou acima/abaixo das necessidades reais.