Conheça seus ativos: a primeira etapa para proteger seu ambiente industrial

Conforme os sistemas de tecnologia operacional são expostos a novos riscos cibernéticos, os líderes de segurança podem maximizar a defesa de ambientes industriais críticos por meio de um inventário de ativos abrangente e detalhado.

A tecnologia operacional (OT) existe há algum tempo. Ela cresceu lado a lado, mas com uma certa separação da sua irmã mais conhecida, a TI, com algumas diferenças marcantes. 

O amadurecimento da TI sempre teve mais destaque graças ao advento do computador pessoal e da conectividade e da aplicabilidade que ele proporcionou a todos. O nome do jogo com a TI era “CIA” (confidentiality, integrity, availability), ou seja, a confidencialidade, a integridade e a disponibilidade dos dados e da rede. Em face desses requisitos, o tempo de atividade, a redundância e a segurança eram o centro das atenções, e os gerentes de TI trocavam regularmente a tecnologia mais antiga pela melhor e mais recente para assegurar que, acima de tudo, a CIA fosse mantida. 

OT nunca foi menos importante do que TI, mas em decorrência do seu propósito em executar sistemas de back-end, foi isolada do olhar público. Não havia entrada nem saída de dados e ela operava como um sistema fechado. A OT cresceu isolada, com a noção de "configurar e esquecer".O nome do jogo era confiabilidade e segurança. Em vez de os sistemas serem mudados regularmente, eles eram deixados para desempenhar sua função essencial, às vezes, por décadas. Até hoje, existem casos em que o ambiente de OT pode ser o mesmo de quando a fábrica começou a operar.

Não é o sistema de OT do seu pai

Como os sistemas de OT nunca tiveram nenhum risco cibernético associado, havia pouco a ser feito além da manutenção básica. Conforme os sistemas de OT funcionavam bem em segundo plano, sua confiabilidade se tornou um calcanhar de Aquiles. Hoje, veteranos e novatos em OT estão reexaminando essa postura, diante de uma necessidade crescente de proteger esses sistemas que foram há tanto tempo configurados e esquecidos. 

Com o fenômeno recente da conversão entre a infraestrutura de OT e as redes de TI, agora os dados se movimentam entre ambas com relativa facilidade. Mesmo em sistemas de OT nos quais a chamada proteção por “air-gap” permanece, os dispositivos de TI costumam interagir com o ambiente de OT na forma de interfaces homem-máquina (IHMs), pen drives etc. Esse ambiente híbrido abre a possibilidade de surgimento de "convergência acidental" e ameaças de segurança laterais, expondo os sistemas de OT a tantos, ou até mais riscos, do que os sistemas de TI tradicionais.

Como obter um inventário completo da sua infraestrutura de OT

A aplicação de segurança a um ambiente começa com o conhecimento do que existe lá. Essa etapa inicial é especialmente importante para ambientes de OT que existem há anos, se não décadas. Em muitos casos, a equipe original que configurou o ambiente de OT não está mais no local e, portanto, muitos ativos legados podem não ser considerados. Além disso, detalhes mais profundos, como os ativos que se comunicam entre si, a versão de firmware, as informações de backplane e os controles de acesso dos usuários finais podem não estar devidamente documentados ou atualizados. A obtenção dessa análise profunda da situação, além do simples inventário de ativos, é uma etapa crucial na aplicação da segurança necessária com base no verdadeiro estado do ambiente de OT. Em termos simples, não se pode garantir o que não se sabe que está lá.

Como identificar onde estamos mais vulneráveis

Quando obtemos uma configuração precisa do nosso cenário de OT, corrigir as fragilidades do nosso ambiente é um exercício importante e contínuo para minimizar a possível superfície de ataque. Novas vulnerabilidades são anunciadas constantemente – apenas em 2020, 18.358 foram divulgadas – e mantê-las sob controle pode sobrecarregar até mesmo as equipes de segurança mais robustas. Quando temos o conhecimento profundo advindo do nosso atual inventário de ativos, podemos focar nas vulnerabilidades que têm explorações associadas e específicas dos ativos do nosso ambiente. Isso reduz a quantidade ao nível mais administrável de algumas centenas de vulnerabilidades. 

Ao utilizar melhor o Vulnerability Priority Rating (VPR), o resultado do processo de Priorização Preditiva da Tenable, podemos usar os principais indicadores para fazer a triagem da ordem de aplicação de patches em cada exploração assim que tivermos uma janela de manutenção. Ao priorizar cada vulnerabilidade do ambiente, sua equipe pode garantir que as exposições mais críticas sejam corrigidas primeiro, reduzindo o máximo de risco com os recursos de segurança existentes. 

Como desenvolver um ecossistema de segurança

Existem muitas funcionalidades e fatores críticos que são necessários para desenvolver um sistema de segurança de OT. Isso inclui notificações e alarmes sobre comportamentos anormais, violações de políticas, acesso de usuários e gerenciamento de mudanças. Talvez a prática recomendada de segurança de OT mais elementar, mas muitas vezes esquecida, é garantir que o sistema de segurança OT "funcione bem com os outros". A segurança implementada anteriormente, como firewalls de última geração (NGFWs) e ferramentas de gerenciamento de incidentes e eventos de segurança (SEIM), entre outras opções, pode ingerir dados de OT importantes e fazer um trabalho profundo de defesa melhor quando obtém informações importantes e as perspectivas que uma solução de segurança de OT pode oferecer.

Em resumo

A segurança é uma jornada, não um destino. Agora, o fato de que OT e TI estejam no centro das atenções de segurança requer a nossa vigilância contínua e a adoção de uma opção de segurança que racionalize ambos os lados do ambiente da organização. Empregar a opção de segurança certa pode ajudar a acelerar a adoção de tecnologias novas e inovadoras sem comprometer a segurança ou expor a organização a riscos inaceitáveis.

Saiba mais

• Confira um dos nossos webinars de OT mais recentes, agora disponível sob demanda:
• Critical Infrastructure at Risk - Anatomy of an OT Breach
• OT Threat Hunting: Act Before the Breach