Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog da Tenable

Inscrever-se

As implicações da Diretiva de dutos DHS-TSA 2021-1

O Departamento de Segurança Interna dos EUA emitiu orientações importantes para as operações de petróleo e gás após as recentes ameaças cibernéticas. Veja a seguir três maneiras práticas de interromper as vias de ataque na sua infraestrutura de OT. 

O setor de petróleo e gás depende muito da automação para várias operações diferentes. A sinfonia de operações necessária para encontrar, extrair, refinar, misturar, colaborar e, por fim, fornecer petróleo e gás depende da infraestrutura de tecnologia operacional (OT).

Interrupções recentes em ambientes de OT de infraestrutura crítica, incluindo o incidente da Colonial Pipeline, ressaltaram a suscetibilidade da infraestrutura crítica a vulnerabilidades de segurança cibernética, ameaças e possíveis paradas. 

Outros ataques ao setor de petróleo e gás incluem:

  • Fevereiro de 2020 — Ocorreu um ataque cibernético a uma unidade de gás natural, criptografando simultaneamente as redes de TI e OT e bloqueando o acesso à interface homem-máquina, aos historiadores de dados e aos servidores de pesquisa. O pipeline precisou permanecer fechado por dois dias.
  • Dezembro de 2018 — Uma empreiteira italiana do setor de petróleo e gás foi vítima de um ataque cibernético que atingiu servidores localizados no Oriente Médio, na Índia, na Escócia e na Itália.

  • Abril de 2018 — Um ataque cibernético a uma 
rede de dados compartilhada obrigou quatro operadores de dutos de gás natural dos EUA a interromper temporariamente as comunicações de computador com seus clientes.

  • Agosto de 2017 — O grupo de hackers Xenotime forçou a o desligamento de uma instalação de petróleo e gás natural da Arábia Saudita.


A diretiva de dutos DHS-TSA 2021-1

Em 28 de maio de 2021, a Administração de Segurança de Transportes (TSA) do Departamento de Segurança Interna (DHS) dos EUA emitiu a Diretiva de segurança 2021-1 especificamente para as operações de dutos. Embora outras normas tenham sido promulgadas anteriormente para o setor de petróleo e gás (veja a lista abaixo), essa diretiva foi emitida em decorrência da ameaça contínua à segurança das operações de dutos dos EUA. Ela representa um ponto de inflexão importante na proteção de ambientes de infraestrutura crítica que, de outra forma, poderiam estar em risco.

A Diretiva de segurança de dutos 2021-1 orienta os operadores de dutos em três áreas principais:

  1. Proprietários e operadores de operações de dutos devem relatar incidentes de segurança à Cybersecurity and Infrastructure Security Agency (CISA).

  2. Um coordenador de segurança cibernética deve ser designado e estar disponível 24 horas para coordenar as práticas de segurança, cumprir os requisitos específicos descritos na diretiva e reagir na ocorrência de incidentes.

  3. As instalações de petróleo e gás devem avaliar suas práticas e atividades de segurança cibernética atuais para abordar os riscos cibernéticos de acordo com as Diretrizes de segurança de dutos da TSA 2018, identificar as lacunas em suas atuais práticas de segurança cibernética e as lacunas listadas nas diretrizes e desenvolver planos de correção para preenchê-las. 


As principais normas relevantes ao setor de petróleo e gás

National Institutes of Standards and Technology (NIST) Cybersecurity Framework (CSF): a preeminente estrutura adotada por empresas de todos os setores. As empresas de petróleo e gás natural orientam cada vez mais os programas corporativos em direção ao NIST CSF.


International Electrotechnical Commission (IEC) 62443: família de normas de segurança dos sistemas de controle industrial (ICS). Amplamente adotada pelo segmento de produção do setor de petróleo e gás natural. Aplicável a qualquer tipo de ICS para petróleo e gás natural.


Norma API 1164: conteúdo exclusivo para dutos não mencionados pela NIST CSF e pela IEC 62443.


Modelo de maturidade do recurso de segurança cibernética do Departamento de Energia: processo voluntário que utiliza as práticas recomendadas aceitas no setor para calcular a maturidade dos recursos de segurança cibernética de uma organização e fortalecer as operações.


Organização internacional para padronização ISO 27000: principal norma que fornece os requisitos para um sistema de gerenciamento de segurança da informação (ISMS).


Três importantes práticas recomendadas de segurança de OT para diminuir o risco

Embora a Diretiva DHS-TSA 2021-1 destaque as principais necessidades dos operadores de petróleo e gás, o maior desafio para a maioria das organizações é como operacionalizar os três componentes da diretiva.

  • identificar riscos; 

  • eliminar lacunas de segurança; e

  • mitigar incidentes, quando ocorrerem. 


Veja a seguir as três principais práticas recomendadas de segurança de OT que, na nossa opinião, devem ser implementadas de forma minuciosa e urgente para proteger as operações dos dutos e mantê-las resilientes.

  1. Obtenha visibilidade e perspectivas aprofundadas. O setor de petróleo e gás requer operações sincronizadas em toda a infraestrutura, bem como acesso a credenciais por um público amplo e heterogêneo. O Active Directory (AD) ocupa aqui um papel fundamental e, no caso da Colonial Pipeline, o ataque de ransomware tirou vantagem desse vetor de ataque. O público que utiliza o AD pode incluir funcionários autorizados, parceiros, representantes e prestadores de serviço. Os requisitos de acesso podem se estender além da usina real, até dutos ou locais de perfuração remotos no mundo todo. Consequentemente, é essencial manter o controle de acesso e de configuração que se estende da unidade principal a todos os locais, independentemente de quanto sejam remotos ou distribuídos. A solução de segurança de OT deve sempre ter intel de dispositivos individuais em todos os locais, incluindo, entre outros, controladores lógicos programáveis (PLCs), controladores de HMI, estações de engenharia, equipamentos de rede, gateways e outros dispositivos críticos para as operações regulares de rede. Ter um conhecimento profundo é essencial, incluindo visibilidade de todos os tipos de dispositivos, níveis de patch, versões de firmware e informações do backplane. É fundamental também levar em conta os dispositivos inativos que não se comunicam regularmente pela rede.
  2. Identifique as ameaças. Embora as operações de OT de provedores de petróleo e gás já tenham sido isoladas, hoje elas estão conectadas à TI com acesso de qualquer lugar. Essa convergência cria um ambiente que pode afetar a integridade da exploração, da extração, do refinamento e do fornecimento de petróleo. A eliminação da proteção por air-gap permite que invasores penetrem em partes do ambiente de operações, do lado da TI ou da OT. Para identificar uma variedade de comportamentos suspeitos, é essencial usar três mecanismos de detecção:

    • Mapeamento e visualização do tráfego para identificar e alertar sobre tentativas de comunicação de fontes externas, além de dispositivos que não deveriam estar se comunicando entre si;

    • Detecção de anomalias para apontar padrões de tráfego que estão fora da operação regular da rede;
    • Detecção baseada em assinatura para identificar ameaças conhecidas que são usadas pelos invasores.

  3. Feche as vulnerabilidades mais rápido. A maioria dos ambientes de petróleo e gás contém uma combinação de dispositivos mais antigos que não costumam ser encontrados em ambientes de TI. Com vários níveis de patches em cada tipo de dispositivo, é difícil manter um programa atualizado de gerenciamento de patches. Como os ambientes de petróleo e gás podem não ter janelas de manutenção suficientemente longas ou frequentes, as vulnerabilidades conhecidas podem deixar de receber patches por um longo período. É fundamental manter um profundo conhecimento do estado e das características de todos os dispositivos. Isso inclui uma correspondência precisa entre as condições específicas dos dispositivos e a base de conhecimento de vulnerabilidades disponível que tenha as explorações associadas. Em decorrência da natureza dinâmica dos ambientes de petróleo e gás, esses conhecimentos precisam ser mantidos em sincronia com as vulnerabilidades recém-descobertas. O Vulnerability Priority Rating (VPR) da Tenable, por exemplo, pode fornecer uma lista triada de vulnerabilidades, da mais grave à menos grave, com base em uma série de fatores, como a pontuação do Common Vulnerability Scoring System (CVSS), a severidade da vulnerabilidade, a explorabilidade etc. 


Em suma

Agora, a segurança cibernética de OT é amplamente reconhecida como um ingrediente central para garantir uma infraestrutura crítica confiável, eficiente e segura, da qual a sociedade depende. Você precisa de visibilidade completa, segurança e controle de todos os seus ativos operacionais. Nunca foi tão crítico aplicar abordagens superiores à segurança de OT no que se refere ao cumprimento das normas existentes e da diretiva do DHS recém-lançada, e como parte do dever de cuidar das nossas comunidades. As condições de ameaças em constante mudança requerem uma visibilidade situacional profunda e em tempo real, no nível da rede e dos dispositivos. A visibilidade situacional deve ser atualizada regularmente e mantida em sincronia com as vulnerabilidades, as ameaças e as lacunas recém-descobertas. Todo desvio deve ser percebido em tempo real e devidamente documentado. Registros completos de todas as mudanças no ambiente são essenciais. Capturar e manter essas informações detalhadas pode ajudar a agilizar a resposta a incidentes, destacar e priorizar vulnerabilidades recém-descobertas e demonstrar conformidade proativa internamente e com as devidas organizações de conformidade.

Saiba mais:

Artigos relacionados

Você está vulnerável às últimas explorações?

Insira seu e-mail para receber os alertas de cyber exposure mais recentes em sua caixa de entrada.

tenable.io

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste gratuitamente o Nessus Professional

GRÁTIS POR 7 DIAS

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Comprar o Nessus Professional

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Compre uma licença para vários anos e economize. Inclua o Suporte avançado para ter acesso ao suporte por telefone, pela comunidade e por bate-papo 24 horas por dia, 365 dias por ano.

Selecione sua licença

Compre uma licença para vários anos e economize.

Adicionar suporte e treinamento

Tenable.io

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

Tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste o Tenable.io Web Application Scanning

Tenha acesso completo à nossa oferta mais recente de verificação de aplicações Web desenvolvida para aplicações modernas como parte da plataforma do Tenable.io. Verifique com segurança por vulnerabilidades em todo o seu portfólio online com um alto grau de precisão sem grandes esforços manuais ou interrupção de aplicações Web críticas. Inscreva-se agora mesmo.

Comprar o Tenable.io Web Application Scanning

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

5 FQDNs

US$ 3.578,00

Compre já

Teste o Tenable.io Container Security

Tenha acesso completo à única oferta de segurança de contêiner integrada a uma plataforma de gerenciamento de vulnerabilidades. Monitore imagens de contêiner por vulnerabilidades, malware e violações de segurança. Unifique sistemas de integração contínua e implantação contínua (CI/CD) para dar suporte às práticas de DevOps, reforçar a segurança e ajudar na conformidade com as políticas da empresa.

Comprar o Tenable.io Container Security

O Tenable.io Container Security habilita com perfeição e segurança os processos de DevOps ao fornecer visibilidade da segurança das imagens de contêiner, incluindo vulnerabilidades, malware e violações de segurança através da integração com o processo de compilação.

Avalie o Tenable Lumin

Visualize e explore sua Cyber Exposure, monitore a redução do risco ao longo do tempo e faça uma análise comparativa com outras empresas do mesmo setor com o Tenable Lumin.

Compre o Tenable Lumin

Entre em contato com um representante de vendas para ver como o Lumin pode ajudar você a obter informações sobre toda a organização e gerenciar o risco cibernético.

Experimente o Tenable.cs

Aproveite o acesso completo para detectar e corrigir erros de configuração da infraestrutura da nuvem e ver vulnerabilidades no tempo de execução. Inscreva-se para uma avaliação gratuita agora mesmo.

Entre em contato com um representante de vendas para comprar o Tenable.cs

Entre em contato com um representante de vendas para saber mais sobre o Tenable.cs Cloud Security e veja como é fácil integrar suas contas na nuvem e obter visibilidade das configurações incorretas e vulnerabilidades da nuvem em questão de minutos.

Teste o Nessus Expert gratuitamente

GRÁTIS POR 7 DIAS

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Já tem uma licença do Nessus Professional?
Atualize para o Nessus Expert gratuitamente por 7 dias.

Comprar o Nessus Expert

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Selecione sua licença

Compre uma licença para vários anos e economize.

Adicionar suporte