Seus sistemas OT estão bem protegidos?

Nos dias de hoje, é crucial salvaguardar os ambientes industriais. Nesse sentido, abordagens de risco com foco nas chamadas Operational Technologies (OTs) são cada vez mais necessárias.

OT é um termo abrangente que se refere ao uso de TI para gerenciar dispositivos, máquinas e processos em sistemas de controle industrial (ICS) como o SCADA.  Estende-se a uma gama de cadeias de valor em setores como aço, petróleo e gás, produtos químicos, energia renovável e manufatura, sistemas que devem funcionar 24 horas por dia, 7 dias por semana.

A convergência de TI e OT continua a ser a maior força motriz para a transformação em TI industrial. Máquinas anteriormente modularizadas agora estão conectadas e os sensores de IoT estão entregando dados sobre todos os aspectos da produção. Essa convergência tem oferecido às organizações uma visão única dos sistemas industriais, juntamente com soluções de gerenciamento de processos que garantem que informações precisas sejam entregues a pessoas, máquinas, interruptores, sensores e dispositivos, no momento certo e no melhor formato. E quando os sistemas de TI e OT trabalham em harmonia, novas eficiências são descobertas.

Agora há muito mais interfaces e pontos de contato entre várias áreas diferentes na manufatura – notavelmente, TI, OT e IIoT – do que antes, e isso traz seus próprios desafios. Mas, à medida que os sistemas industriais se tornam mais conectados, eles também ficam mais expostos a vulnerabilidades, gerando uma série de novos riscos de segurança. Ataques originados na caixa de entrada do e-mail podem agora interromper mais facilmente os processos no chão de fábrica.

Veja alguns exemplos. Em janeiro de 2020, o fabricante belga de máquinas de tecer Picanol foi atingido por um ataque de ransomware que paralisou a produção em suas fábricas na Bélgica, China e Romênia. Em março do mesmo ano, uma campanha de ataque “WildPressure” usou um cavalo de Troia para atacar alvos no Oriente Médio para extrair informações do dispositivo. E, em abril, os sistemas de controle de supervisão e aquisição de dados (SCADA) das instalações de abastecimento de água e tratamento de águas residuais de Israel foram alvo de um ataque cibernético.

Um relatório recente da Kasperksy com dados do 2º semestre de 2020 mostra que ataques contra sistemas de controle industriais (ICS) cresceram após 12 meses de queda. A porcentagem de computadores de ICS atacados nos últimos seis meses do ano passado foi de 33,4%, com um aumento de 0,85 ponto percentual. Todas as indústrias pesquisadas apresentaram crescimento de ciberataques, sendo os mais relevantes nos segmentos de energia, petróleo & gás e engenharia & integração.

A segurança sempre foi o principal motivo do isolamento da produção. Máquinas e instalações sempre foram protegidas do mundo exterior. Expor o chão de fábrica para que as máquinas possam se comunicar com os clientes (permitindo que eles façam pedidos diretos, por exemplo) e com outros aspectos da infraestrutura requer a abertura da OT de novas maneiras.

O problema

A segurança, portanto, desempenha um papel central para a convergência da TI com a OT. Mas os sistemas e protocolos proprietários, desenvolvidos para as indústrias, não são compatíveis com a TI clássica. Protocolos universais como MQTT ou padrões como Modbus TCP ou OPC UA dificultam a comunicação entre TI e OT. A maioria das ferramentas de monitoramento de TI apenas “fala TI”, o que significa que suportam apenas protocolos de TI clássicos como Ping, SNMP, Flow, Sniffing e assim por diante. Com isso, as tecnologias de segurança que funcionam no ambiente de TI podem não funcionar necessariamente no ambiente de OT.

Há uma necessidade de uma “linguagem” comum para garantir que os componentes de diferentes tecnologias se comuniquem. Para cobrir essa lacuna, o padrão OPC UA vem crescendo como uma opção amplamente adotada – e espera-se que essa tendência continue nos próximos anos.

Além disso, as ameaças podem ser diferentes nos ambientes de TI e OT. Então, uma estrutura de inteligência de ameaças precisa ser configurada para que a empresa possa estar atualizada com as informações mais recentes sobre ameaças e estar preparada para lidar com elas.

Felizmente, começam a surgir soluções que dão visibilidade completa do ecossistema. Com o seu uso e estabelecendo as políticas de segurança certas, será possível colocar em prática uma estratégia de OT eficaz, protegendo processos, pessoas e lucros, e reduzindo significativamente as vulnerabilidades e os incidentes de segurança.

O que fazer então?

Para manter os sistemas OT protegidos, os especialistas recomendam:

1. Usar soluções de monitoramento, análise e detecção de eventos;
2. Realizar regularmente auditorias de segurança nos sistemas operacionais (OT) para identificar e eliminar possíveis vulnerabilidades.
3. Atualizar regularmente os sistemas operacionais e os programas que fazem parte da rede industrial da empresa. E aplicar as correções de segurança assim que forem disponibilizadas.
4. Oferecer treinamentos específicos de segurança de sistemas industriais (ICS), tanto para a equipe de TI quanto para a equipe de OT.
5. Oferecer a essas equipes acesso a relatórios atualizados para aumentar o nível de proteção dos sistemas de controle industrial.
6. Ter uma solução de segurança criada especificamente para equipamentos e redes industriais.

Todos os riscos de OT considerados relevantes pelo gerenciamento de risco precisam ter um proprietário e ser monitorados pela função de controle, para se tornarem parte do gerenciamento de risco corporativo.  Avaliações regulares de risco em todos os ambientes devem ser realizadas para identificar vulnerabilidades e garantir que os controles de segurança apropriados estejam em vigor. Isso inclui riscos de segurança da informação e riscos cibernéticos, bem como todos os riscos operacionais comuns de OT.

Nessa linha, desde o fim do ano passado, por exemplo, a plataforma de monitoração PRTG Network Monitor, da Paessler, suporta plenamente os padrões de comunicação de ambientes de TI Industrial. Isso permite ao PRTG monitorar dados do chão de fábrica usando sensores nativos para OPC UA, MQTT e Modbus TCP. O resultado é uma abordagem holística de monitoramento da TI industrial, permitindo a visualização simultânea de dados gerados em ambientes OT e TI.

O PRTG pode ser dimensionado para infraestrutura de qualquer tamanho. Devido à sua arquitetura, permite monitorar ambientes distribuídos local e geograficamente com uma implementação, uma licença e um painel central. Isso é vital quando os ambientes de TI e OT estão crescendo juntos. Ajuda a estruturar e organizar configurações complexas e também permite o mapeamento de estruturas organizacionais complexas para painéis e serviços de negócios.

Além disso, várias camadas de defesa especializadas são necessárias. Esse conceito, conhecido como “Defesa em Profundidade”, parte do pressuposto de que, se houver várias camadas de segurança, você manterá sua rede central mais segura.

Para OT, a segmentação de rede pode oferecer uma camada de proteção. Isso pode significar que a rede OT está separada da rede de TI por uma zona desmilitarizada industrial (segmentação vertical), ou a própria rede OT é separada em várias “zonas” (segmentação horizontal). A segmentação torna mais difícil para as ameaças chegarem à rede e, se isso acontecer, é ainda mais difícil comprometer outras áreas da rede.

Os firewalls industriais geralmente fornecem outra camada. Assim como os firewalls em redes de TI, eles protegem os sistemas de controle industrial, evitando que tráfego indesejado entre na rede.

Por fim, há também a necessidade da inspeção profunda de pacotes (DPI). Um mecanismo que permite o exame do conteúdo dos pacotes de dados, desde o cabeçalho até à carga útil, para identificar o protocolo e as funções associadas a eles. Os dados também podem ser verificados em relação a um conjunto de regras para garantir que não sejam anômalos. Isso permite que sejam aplicadas regras mais complexas e detalhadas do que um firewall pode gerenciar.

A DPI forma a base para duas estratégias específicas de segurança cibernética para OT: Sistemas de prevenção de intrusão industrial (IPS) e Sistemas de detecção de intrusão industrial (IDS). Em um ambiente OT, tanto IPS quanto IDS são dispositivos ou sistemas que operam dentro da rede e têm como objetivo prevenir ou disparar uma notificação quando dados anômalos são descobertos, dependendo do sistema em uso.

Portanto, vai muito além daquela “espiadinha” na carga útil. Ajuda a obter total transparência sobre a comunicação: saber quem está participando da rede, quem está se comunicando com quem, qual protocolo está sendo usado (mesmo se criptografado), quanto tráfego existe, etc. Todas elas informações extremamente relevantes para a segurança cibernética e para o monitoramento da rede.

É importante considerar também que a criptografia ainda não é amplamente usada no OT e provavelmente não será no futuro a médio prazo devido a vários desafios.

Segmentação de rede, criptografia, firewalls, gateways, monitoramento com DPI e outras estratégias (não se esqueça do treinamento de conscientização) devem ser implantados e usados ​​sistematicamente com base na infraestrutura, arquitetura e requisitos específicos da empresa para atingir um bom nível de segurança.