O que considerar ao traçar uma estratégia de segurança para IoT e OT

Cristina De Luca -

Julho 15, 2022

As tecnologias, soluções e recursos de IoT e OT estão rapidamente se tornando parte da estrutura da infraestrutura de informações das organizações. Eles representam um vetor de ameaças em evolução que está criando rapidamente novas classes e tipos de ameaças e vulnerabilidades que expandem bastante a superfície de preocupação das organizações que os utilizam. Essas ameaças e vulnerabilidades precisam ser analisadas e integradas às estratégias e planejamento de segurança e gerenciamento de risco da informação de uma organização para atender efetivamente aos requisitos, metas e objetivos de risco e segurança da informação.

As equipes de Security Operations Center (SOC) enfrentam vários desafios no monitoramento de redes IoT/OT, incluindo:

  • Falta de visibilidade : as equipes de segurança não têm visibilidade e percepção dessas redes, mesmo no nível mais básico de compreensão de quais dispositivos possuem e como estão conectados uns aos outros (inventário de ativos).
  • Falta de conhecimento  para entender incidentes envolvendo equipamentos industriais especializados, protocolos e comportamentos.
  • Organizações isoladas: geralmente há muito pouca comunicação entre IoT/OT e equipes de segurança – e falta de um vocabulário comum para descrever comportamentos suspeitos ou não autorizados.
  • Necessidade de visão em toda a empresa : para detectar ataques modernos em vários estágios, precisamos avaliar e vincular informações em todas as nossas fontes de dados, incluindo ativos de IoT/OT (PLCs, HMIs, historiadores etc.) , servidores, firewalls, identidades, aplicativos como SAP e serviços em nuvem).

Em artigo publicado esta semana pela ISACA, John P. Pironti, presidente da IP Architects, apresenta cinco principais pontos que toda empresaa deve conssiderar ao desenvolver uma estratégia integrada de segurança para IoT e OT.

  1. Descoberta de ativos de IoT e OT e segmentação de rede – Os dispositivos IoT e OT são produzidos por vários fabricantes em vários sistemas operacionais de código aberto e proprietários, e cada um tem vários níveis de poder de computação, armazenamento e taxa de transferência de rede. Cada endpoint de IoT e OT deve ser identificado e perfilado, adicionado a um inventário de ativos e monitorado continuamente quanto à sua saúde e segurança. 

    Na sua opinião, os dispositivos devem ser segmentados em redes locais virtuais (VLANs) de rede separadas e ter listas de controle de acesso (ACLs) aplicadas que limitam seus caminhos de tráfego a fontes, destinos, portas e protocolos conhecidos, sempre que possível. Eles também devem ser suportados por proxies de firewall de rede que podem permitir inspeção profunda de segurança de pacotes (e, no caso de fluxos de tráfego criptografados, recursos de decifração de camada de soquetes seguros [SSL] e segurança de camada de transporte [TLS]) e recursos de detecção de intrusão à medida que o tráfego passa entre VLANs e segmentos de rede, incluindo acesso à Internet.

  2. Monitoramento contínuo de ameaças IoT/OT – Ameaças e vulnerabilidades associadas a dispositivos e sistemas IoT e OT devem ser monitoradas constantemente e exigem ajustes e ajustes em comparação com as ferramentas e técnicas tradicionais de monitoramento de segurança. 

    Os dispositivos IoT e OT geralmente geram uma quantidade limitada de dados de log e telemetria, especialmente dados centrados em segurança. O monitoramento eficaz da segurança de TI e IoT começa com a compreensão do que é esperado e dos comportamentos normais e da telemetria que esses dispositivos devem gerar. Uma vez estabelecidas as linhas de base, margens de erro e limites para ação devem ser desenvolvidos usando uma abordagem baseada em risco para limitar as taxas de falsos positivos gerados por dispositivos IoT e OT. Pontos de dados, métricas e dados de telemetria dos dispositivos podem ser adicionados às soluções de monitoramento de incidentes e eventos de segurança (SIEM) para permitir que as organizações aprimorem sua visibilidade e monitoramento de segurança de sua infraestrutura de informações.

  3. Coleta de dados de dispositivos IoT e OT – dispositivos IoT e OT provavelmente coletam, armazenam, processam e transmitem uma quantidade significativa de informações pessoais não públicas (NPPI), informações de identificação pessoal (PII) e, no caso de ambientes de saúde, informações pessoais informações de saúde (PHI), intencionalmente ou não. Esses dados são vulneráveis ​​à exploração e têm o potencial de serem usados ​​por adversários para obter informações sobre um indivíduo ou organização. Como esses dispositivos não são facilmente reconhecidos pelos dados que coletam ou com os quais interagem, é importante ter uma compreensão e divulgação completas de como o dispositivo opera e os dados com os quais trabalha. Só então pode ser feita uma análise adequada de risco e segurança da informação.

  4. Risco e segurança do fabricante de IoT e OT – Habilitar a conectividade de rede para dispositivos que tradicionalmente não incorporavam TI em sua função e design exige que os fabricantes desenvolvam novos recursos, forneçam novas funções de suporte e integrem recursos de segurança em suas soluções de IoT e OT. Os fabricantes podem não perceber as considerações, impactos e/ou requisitos de risco e segurança que devem considerar, o que cria a oportunidade de produzir dispositivos vulneráveis. 

    É importante que os profissionais de risco e segurança desenvolvam métodos, práticas e critérios de avaliação para avaliar dispositivos IoT e OT antes de sua introdução em um ambiente ou conexão com redes internas e externas. Uma análise abrangente de ameaças e vulnerabilidades deve ser realizada para identificar as ameaças possíveis, prováveis ​​e com impacto material. Essa análise pode ser usada para informar profissionais e operadores de risco e segurança sobre as possíveis ameaças e vulnerabilidades materiais em um dispositivo IoT ou OT para que possam ser consideradas em uma avaliação de risco antes da introdução e uso de um dispositivo.

  5. Aplicação de patches, gerenciamento de configuração e manutenção – A higiene de segurança de TI é essencial para qualquer estratégia de risco e segurança bem-sucedida. Os principais elementos da higiene de segurança de TI incluem aplicação de patches, gerenciamento de configuração e manutenção do sistema. A introdução de dispositivos IoT e OT tem o potencial de tornar essa tarefa assustadora exponencialmente mais difícil para muitas organizações. É essencial que os dispositivos IoT e OT possam ser gerenciados, configurados e mantidos de forma centralizada para garantir que medidas de risco e segurança eficazes e apropriadas possam ser implementadas e mantidas. 

Por isso, ter uma solução de monitoramento hospedada permite ter acesso a todas as informações necessárias para garantir a disponibilidade e a confiabilidade da infraestrutura e rede. Trazer dados de IoT para um conceito de monitoramento maior que também inclui OT e TI não é apenas benéfico, mas necessário.