Proteção de ambientes de TI/OT: por que os profissionais de segurança de TI têm dificuldades
Ao fornecer segurança cibernética em ambientes convergentes de TI e tecnologia operacional, é fundamental que os profissionais de InfoSec entendam as diferenças entre os dois e usem um conjunto de ferramentas que oferece uma imagem abrangente de ambos em uma única visualização.
Se sua organização tem ambientes de TI e tecnologia operacional (OT), é muito provável que eles sejam convergentes, mesmo que você não perceba isso. Foi-se o tempo que a OT era protegida por air-gap. Em vez disso, a conectividade é fornecida por meio da infraestrutura de TI, deixando a porta aberta para que os adversários cheguem à infraestrutura crítica de OT. E, com base em nossa experiência de trabalho com organizações em todo o mundo, acreditamos que os dispositivos de TI são responsáveis por aproximadamente metade do que é encontrado em um ambiente de OT atualmente, tornando quase impossível traçar uma linha nítida entre os dois.
Como resultado, um número crescente de profissionais de segurança de TI de repente se vê gerenciando o programa de segurança para ambos os ambientes, e muitos não sabem por onde começar, já que os ambientes de TI e OT foram projetados de maneira diferente desde o início. Veja esta comparação:
Comparação entre ambientes de IT e OT
| Atributo | TI | OT |
|---|---|---|
| Controle | Centralizado | Baseado em zonas |
| Conectividade | De qualquer ponto a qualquer ponto | Baseada em contexto (hierárquico) |
| Foco | De cima para baixo: operações e sistemas necessários para administrar o negócio | De baixo para cima: planta, processos e equipamentos necessários para operar e apoiar o negócio |
| Alcance | Rede de longa distância (WAN) global | Rede de área local (LAN) |
| Postura da rede | CIA: confidencialidade, integridade, disponibilidade | AIC: disponibilidade, integridade, confidencialidade |
| Resposta a ataques | Colocar em quarentena/desligar para mitiga | Operações ininterruptas/missão crítica (nunca interromper, mesmo se houver violação) |
| Maior medo | Invasão à rede | Segurança reduzida; perda de perspectiva/controle |
| Nível de maturidade de segurança cibernética | Alta | Baixa |
| Pontos fracos | Controles de segurança rigorosos | Comportamento inseguro |
Fonte: Tenable, dezembro de 2021
Por onde começar? Um grande primeiro passo é entender as diferenças destacadas na tabela acima e considerar como essas diferenças podem afetar atitudes, crenças e, em última análise, decisões de segurança.
Significados
A palavra “segurança” assume um significado diferente em um ambiente OT. Serei eternamente grato a uma amiga e ex-colega de trabalho que me salvou de fazer papel de bobo na frente de 100 profissionais de OT quando eu estava apenas começando na segurança de TI/OT. Eu estava revendo minha apresentação com ela antes de uma palestra que estava me preparando para apresentar a este público. Nela, meu plano era dizer a eles que os profissionais de OT precisavam começar a prestar atenção e realmente priorizar a segurança. Ela me explicou que o público de OT reagiria negativamente a esta mensagem. Eles já consideram a segurança como o centro de tudo o que fazem. Então, qual foi o problema? Eu estava definindo “segurança” no contexto de minha experiência de TI, que significa segurança cibernética. No mundo de OT, "segurança" significa proteção e segurança física. Ou seja, uma palavra com significados muito diferentes.
Por que os profissionais de TI e OT veem a “segurança” de maneira tão diferente?
Em TI, os dados mandam, então é lógico que o maior medo da segurança é que possa haver uma violação da rede. Um adversário que obtém acesso à rede pode danificar a integridade dos dados, exfiltrar ou até mesmo bloqueá-los de forma que não possam ser acessados pela organização. Por outro lado, os ambientes de OT são inerentemente mais perigosos fisicamente, então o maior temor é que possa haver um acidente que interrompa as operações críticas e possivelmente coloque em risco a segurança do funcionário ou da comunidade. Como resultado, os profissionais de OT são altamente motivados para gerenciar uma operação "sempre ativa", bem como para manter um alto grau de segurança e, por extensão, os controles de segurança física do ambiente.
Estruturas totalmente diferentes
Com este cenário, o restante começa a fazer muito mais sentido. Os profissionais de segurança de TI optam pelo controle centralizado, fornecendo uma infraestrutura que possa ser usada para permitir que qualquer ativo ou pessoa acesse qualquer outro ativo, ou dados, em qualquer lugar da rede. São redes de longa distância (WAN) que hospedam os sistemas e os processos necessários para administrar o negócio.
Por outro lado, os ambientes de OT são projetados com muito mais privacidade e controle limitado. Esses ambientes altamente segmentados impossibilitam que pessoas e ativos autorizados acessem outros ativos que estão fora de seu alcance. Essas são redes de área locais (LAN) que hospedam sistemas e processos que dão suporte aos negócios. A maioria desses dispositivos destina-se a se comunicar apenas com outros dispositivos dentro de sua zona e não com o mundo exterior.
Diferentes pontos de vista
Dadas suas diferentes topologias de rede e definições do que significa ser seguro, não deveria ser surpresa que as prioridades dos grupos de segurança de TI e OT, e suas reações a ataques, estejam em pólos opostos, mesmo dentro da mesma organização. Enquanto os profissionais de segurança de TI priorizam seu mundo na forma de CIA (confidencialidade, integridade, acessibilidade), os profissionais de OT assumem a perspectiva diametralmente oposta, priorizando seu mundo como AIC. Conforme mencionado acima, para a segurança de TI, os dados são absolutamente o mais importante, portanto, garantir sua confidencialidade e integridade sempre superará a disponibilidade. Mas, para um profissional de OT preocupado com a segurança, as operações devem estar sempre disponíveis para garantir que o ambiente funcione sem problemas e sem falhas que têm o potencial de levar a catástrofes.
Como são essas diferentes prioridades em ação? No caso de um ataque, os profissionais de segurança de TI colocarão em quarentena e desligarão os sistemas afetados o mais rápido possível na tentativa de conter o problema e minimizar qualquer vazamento de dados. OT, no entanto, fará a abordagem oposta, mantendo a infraestrutura crítica em execução o tempo todo. O único desvio dessa estratégia, é claro, é se o ataque fizer com que os dispositivos de OT funcionem mal e possivelmente representem um perigo para a empresa, seus funcionários ou a comunidade ao redor.
Variedade de ferramentas
Provavelmente, o maior desafio enfrentado pelos profissionais de segurança de TI ao tentarem entender a segurança de OT é o fato de que muitas de suas ferramentas tradicionais de segurança de TI não funcionam em um ambiente de OT. Na verdade, a ferramenta de segurança de TI mais básica de todas, o verificador, pode travar uma rede de OT. Portanto, você precisa ter certeza de escolher um verificador comprovado em um ambiente OT. Contudo, você passa a correr o risco de ter dois conjuntos de ferramentas de segurança, um para cada ambiente. Embora isso certamente ajude a garantir que você tenha as ferramentas certas para cada trabalho, pode se tornar um desafio, na melhor das hipóteses, quando se trata de gerenciar todas elas e garantir que sua equipe seja treinada para usá-las adequadamente.
A questão é: descobrir como mesclar todos os dados discrepantes, de dois ambientes completamente diferentes, em um painel para que você possa visualizar todos os ativos e priorizar todos os problemas de segurança em toda a sua superfície de ataque. Sem essa capacidade de visualizar e avaliar de forma abrangente todos os ambientes em toda a superfície de ataque estendida em uma solução única e totalmente integrada, sua equipe gastará exponencialmente mais tempo entendendo o panorama completo da segurança. Além disso, você corre o risco real de perder os principais problemas de segurança.
Conclusão
Se você é responsável por gerenciar o programa de segurança para uma rede convergente de TI/OT, é essencial que entenda as diferenças e os desafios únicos de um ambiente de OT. Também é extremamente importante garantir que você esteja utilizando as ferramentas de segurança certas para o trabalho, aquelas que darão suporte a um ambiente OT, e que se integrem totalmente com ferramentas de segurança de TI complementares, para fornecer uma imagem abrangente do cenário de segurança da organização. Então, de uma perspectiva de pessoas e processos:
- Certifique-se de que seus profissionais de segurança de TI se reúnam com os líderes de OT para entender verdadeiramente as diferenças inerentes que são exclusivas dos ambientes de OT.
- Reserve um tempo para realmente entender as necessidades e as prioridades de OT, e por que são importantes, em vez de impor filosofias de segurança de TI.
- Entenda que os ambientes de OT experimentaram conectividade externa apenas por um período relativamente curto de tempo, então os líderes de OT ainda estão nas fases iniciais de maturidade de segurança.
- Conquistar corações e mentes é essencial, portanto, esteja aberto para fazer mudanças graduais, em vez de pressionar pela solução de segurança “ideal” da noite para o dia.
Saiba mais
- Assista ao webinar, An Ecosystem Approach to Bettter Protect Converged IT/OT Environments
- Baixe o relatório, Forrester Wave: Industrial Control System (ICS) Security Solutions
- Leia o guia da Gartner: 2021 Market Guide for Vulnerability Assessment
Artigos relacionados
CISA Directive 22-01: How Tenable Can Help You Find and Fix Known Exploited Vulnerabilities
November 10, 2021While U.S. federal agencies are required to remediate the vulnerabilities outlined in the U.S. Cybersecurity and Infrastructure Security Agency's Binding Operational Directive 22-01, any organization would do well to consider prioritizing these flaws as part of their risk-based vulnerability management program.
How to Choose an OT Cybersecurity Solution Vendor
November 4, 2021Hint: choose a leader in ICS security.
As a Busy 2021 Draws to a Close, What is Capitol Hill Focusing on Next?
October 14, 2021Cybersecurity priorities like zero trust, infrastructure security and more must remain top of mind for Congress in 2022 2021 has proven to be a big year for cybersecurity. Zero trust, a concept...
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Energy Industry
- Executive Management
- OT Security
- SCADA
- Threat Management
- Vulnerability Scanning