Estratégias Zero Trust precisam abordar ambientes OT

Muitas organizações de todos os setores estão adotando o modelo Zero Trust para fortalecer a segurança de suas redes e incrementar sua resiliência cibernética. No entanto, na visão do Fórum Econômico Mundial (WEF), a implantação do conceito sobre sistemas de Tecnologia Operacional (OT) é frequentemente negligenciada, concentrando-se principalmente nos ambientes de Tecnologia da Informação (TI).

Visando contribuir para implantações integradas bem-sucedidas, o  WEF publicou recentemente um documento reunindo as melhores práticas Zero Trust.

O Centro de Segurança Cibernética do Fórum Econômico Mundial define Zero Trust como um “modelo baseado em princípios desenvolvido dentro de uma estratégia de cibersegurança que impõe uma abordagem centrada em dados para tratar tudo como desconhecido (e não confiável) – sejam humanos ou máquinas – para garantir um comportamento confiável”.

Embora não seja um conceito novo, o Zero Trust ganhou mais atenção nos últimos tempos por ter sido elemento central de uma Ordem Executiva Presidencial dos Estados Unidos de 2021 para melhorar a postura de segurança cibernética do país. A ordem solicita que as agências governamentais implementem Zero Trust como parte das medidas para modernizar as abordagens de segurança cibernética. Outro fato que contribuiu para a maior popularidade do Zero Trust foi a crescente onda de mudança para trabalho remoto e ambientes virtuais descentralizados.

E por que Zero Trust é importante para ambientes OT? De acordo com uma pesquisa da Skybox Security em 2022, 83% dos entrevistados disseram ter sofrido pelo menos uma violação de segurança de OT nos últimos 36 meses. Pesquisas mostram que o setor de manufatura foi de longe o mais impactado em 2021 –  61% do total de ciberataques cibernéticos a ambientes OT, enquanto a indústria de petróleo e gás, o segundo setor mais visado, respondeu por apenas 11%.

O guia do WEF destaca que, para implantar com sucesso modelos Zero Trust em ambientes OT OT, é preciso considerar três práticas principais:

1. Aumentar a visibilidade dos ativos críticos de OT para garantir melhor proteção: Falta de visibildidade sobre milhares de dispositivos conectados a redes OT é um dos grandes desafios no contexto da cibersegurança. E, segundo a Fortinet, apenas 13% das organizações têm essa visibilidade garantida. Uma das razões da baixa visibilidade vem do fato de os ambientes OT serem, com frequência, amplamente distribuídos por diversas regiões geográficas e localidades.

Além disso, muitas organizações ainda tendem a manter inventários manuais dos ativos OT, usando simples planilhas e dificultando a apresentação de imagem clara, exata e íntegra ativos.

Por isso, é essencial automatizar a gestão de inventários e manter uma visão centralizada e em tempo real dos ativos OT, para que seja possível identificar e mapear vulnerabilidades e administrar possíveis consequências e impactos da segurança comprometida.

2. Fazer a segmentação das rede em áreas críticas: Manter ambientes de IT e OT em segurança é uma demanda inquestionável. Para evitar movimentos laterais entre esses dois ambientes, é muito importante separar suas redes.

Quando bem configurada, a segmentação das redes pode ajudar a barrar invasões e minimizar os prejuízos causados por eventuais ataques. Por outro lado, se não configurada corretamente, pode permitir que invasores abram backdoors para navegar pelas redes.

Para isolar vários redes, é necessário, em resumo, ter uma boa visibilidade dos ativos dentro cada perímetro; criar segmentos de rede; e contar com um mecanismo de controle de acesso baseado em identidades.

3. Implementar políticas e práticas de controle de acesso: A autenticação de todas as atividades deve ser obrigatória, assegurando permissões mais granulares de forma a facilitar a identificação de atividades incomuns para as equipes de cibersegurança. É preciso definir quem terá acesso a sistemas e informações e sob quais condições, usando políticas adequadas para todos os momentos da jornada dos usuários.

O documento do WEF não deixa de alertar que há barreiras a serem superadas para garantir uma boa implementação de modelos Zero Trust em cenários OT. Uma delas é a percepção de que segurança pode ser um obstáculo para manter as operações em funcionamento. Além disso, um número significativo de sistemas legados no espaço OT pode não suportar esquemas de autenticação de múltiplos fatores nem gestão de identidades e acesso. E falta de competências de ciberseguança na força de trabalho dos ambientes OT é outro importante impedimento.