Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Pesquisa Recurso - BlogRecurso - WebinarRecurso - RelatórioRecurso - Eventoícones_066 ícones_067ícones_068ícones_069ícones_070

Blog da Tenable

Inscrever-se

Zero Day Vulnerabilities in Industrial Control Systems Highlight the Challenges of Securing Critical Infrastructure

A divulgação de vulnerabilidades de dia zero em vários sistemas de controle industrial da Schneider Electric destaca a necessidade de renovar as práticas de segurança cibernética em ambientes de tecnologia operacional. 

Uma divulgação de dia zero de várias vulnerabilidades nos sistemas de controle industrial (ICS) da Schneider Electric exemplifica as lutas do mundo real do ecossistema de infraestrutura crítica. 

As vulnerabilidades, que afetam os produtos de controle EcoStruxure Control Expert, EcoStruxure Process Expert, SCADAPack REmoteConnect x70 e Modicon M580 e M340 da empresa, apresentam vários riscos, incluindo a possibilidade de bypass de autenticação completo, execução arbitrária de código e perda de confidencialidade e integridade. 

A pesquisa Zero Day Research da Tenable é um dos vários fornecedores que divulgou vulnerabilidades à Schneider por meio de práticas de divulgação padrão. Você pode ver nosso relatório técnico aqui. Embora sejamos fortes defensores da divulgação completa, neste caso optamos por ocultar certos detalhes técnicos específicos de nossos documentos de divulgação pública. A postura de segurança de sistemas de tecnologia operacional (OT) ainda precisa ser aprimorada para estar em pé de igualdade com suas contrapartes de TI e, como tal, esta é uma situação rara em que a divulgação completa não deve ser seguida. Em nossa opinião, o risco de uma exploração no mundo real bem-sucedida era muito grande e a infraestrutura crítica em risco era muito sensível para prosseguirmos com a divulgação completa meses antes da divulgação de patches pelo fornecedor.

Os fatores que cercam a divulgação da Schneider destacam os muitos desafios envolvidos na proteção da infraestrutura crítica. Desenvolver e implantar patches para sistemas de controle industrial e outras tecnologias usadas no ambiente de tecnologia operacional é notoriamente difícil. Por quê? Porque os sistemas devem ser desativados e totalmente testados cada vez que uma atualização é feita. Ainda assim, os modelos operacionais existentes para a maioria dos ambientes OT, como usinas de energia, gasodutos e fábricas, deixam pouca margem para tempo de inatividade. É claro que é preciso haver mais discussões no setor para determinar se os parâmetros de fornecedor usados para divulgações de dia zero em ambientes de TI são apropriados para infraestrutura crítica.

Em um ambiente de TI típico, os fluxos de trabalho e processos para corrigir sistemas de negócios digitais são bem estabelecidos e foram comprovados ao decorrer do tempo. Na maioria dos ambientes de OT, por outro lado, não há um fluxo de trabalho claro para atualizar o software, que é o ponto fraco de nossa infraestrutura crítica. Há uma batalha contínua entre a produção interna e a segurança, e cada uma obedece a diferentes métricas de sucesso em relação ao tempo de atividade e ao desempenho do sistema. 

Em um ambiente de OT, é comum que sistemas dependentes de software sejam colocados em serviço e nunca mais sejam tocados nos próximos 10 anos. As atualizações regulares de software para tecnologias OT simplesmente não são incorporadas aos processos padrão na maioria das organizações de infraestrutura crítica. 

Acreditamos que cabe a uma ampla gama de partes interessadas internacionais, incluindo órgãos governamentais, órgãos policiais, pesquisadores, fornecedores e proprietários e operadores de instalações de infraestrutura crítica, priorizar a colaboração global com o objetivo de desenvolver as melhores práticas para proteger os sistemas OT que possam ser aplicadas independentemente da localização. 

Acreditamos que essas discussões precisam reconhecer que os fornecedores e os operadores de OT têm muito a aprender com seus colegas de TI e precisam se tornar mais adeptos do desenvolvimento e do gerenciamento do software que sustenta sistemas cruciais. Não se engane, a responsabilidade não recai exclusivamente sobre os proprietários e os operadores de ambientes de infraestrutura crítica. Os fornecedores devem ser responsáveis pela busca contínua de bugs e pela garantia de qualidade em seu próprio software, dedicando recursos para gerenciar com eficácia as divulgações de vulnerabilidades e acelerar os tempos de lançamento de atualização. 

Os desafios dependem tanto das pessoas e processos quanto das tecnologias. Os operadores de ambientes de infraestrutura crítica precisam renovar suas práticas de governança, risco e conformidade de segurança cibernética. O gerenciamento e a remediação de vulnerabilidades de software em sistemas OT devem ser uma parte tão rotineira da manutenção da fábrica quanto a manutenção mecânica de hardware é hoje.

Nos EUA, já vimos um movimento positivo na forma da Ordem Executiva sobre Melhoria da Segurança Cibernética da Nação do governo Biden em 12 de maio, que exige orientação de segurança para cadeias de suprimentos de software para incorporar programas de divulgação de vulnerabilidades, e o informativo da Casa Branca de 18 de maio, que afirma que “segurança cibernética é uma parte essencial da resiliência e da construção da infraestrutura do futuro”.

Ao mesmo tempo, reconhecemos a necessidade de ações mais imediatas que os proprietários e operadores de ambientes de infraestrutura crítica podem implantar hoje. Abaixo, fornecemos três ações de alto nível, bem como duas etapas táticas que as organizações podem realizar para se protegerem após a divulgação da Schneider.

Três itens de ação para proteger ambientes de infraestrutura crítica

Não há solução mágica para proteger ambientes OT. Assim como com a segurança de TI, é importante acertar no básico, e estamos bem cientes de que a simplicidade da orientação contraria a complexidade de realmente implantar as recomendações. No entanto, acreditamos que estes itens de ação devem ser repetidos, pois são fundamentais para qualquer estratégia sólida de segurança cibernética, especialmente quando os sistemas não podem ser atualizados:

  1. Implantar uma postura de proteção em profundidade. Ambientes de infraestrutura crítica não podem contar com a segurança de nenhum dispositivo. As organizações precisam implantar uma arquitetura de segurança robusta com controles de compensação para proteger os dispositivos que estão em maior risco.

  2. Desenvolver políticas sólidas de governança e recuperação de desastres. Elas são essenciais para lidar com ransomware e outras formas de ataque cibernético e devem levar em consideração não apenas as tecnologias, mas também as pessoas e os processos em vigor em qualquer organização. Exercite e teste seus planos de backup antes de precisar deles. Como a escassez de habilidades cibernéticas é particularmente crítica em ambientes de OT, atingir esse nível de governança continua sendo um desafio para muitas organizações.

  3. Escolher tecnologias com sabedoria. Sem as pessoas e políticas certas em vigor, é impossível obter o valor total de qualquer tecnologia adquirida. Ao mesmo tempo, há certos recursos obrigatórios ao escolher tecnologias. Por exemplo, o ambiente de OT requer o mesmo nível de análise contínua em tempo real que pode ser encontrado no mundo de TI. Os operadores de OT precisam implantar tecnologias que forneçam o tipo de recursos de detecção e recuperação necessários para contornar sofisticados agentes de ameaças. 


Dois itens de ação para usuários dos sistemas Schneider afetados

Se sua organização usa os sistemas Schneider afetados por esta divulgação de dia zero, estes são os dois itens de ação que você pode adotar imediatamente:

  1. Revise e siga as recomendações do fornecedor detalhadas na divulgação da Schneider aqui.

  2. Os clientes da Tenable podem aprender mais aqui sobre como detectar os sistemas afetados em seu ambiente.


Conclusão

É essencial que pesquisadores, governos, organizações do setor privado e fornecedores de tecnologia adotem ações táticas imediatas, bem como ações estratégicas de longo prazo, para enfrentar os desafios consideráveis de segurança cibernética que nossa infraestrutura crítica enfrenta. Da mesma forma, é importante desmontar os silos de TI, OT e infosec que existem na maioria das organizações e repensar como essas equipes são incentivadas a garantir que a segurança cibernética seja priorizada. 

Saiba mais

Artigos relacionados

Você está vulnerável às últimas explorações?

Insira seu e-mail para receber os alertas de cyber exposure mais recentes em sua caixa de entrada.

tenable.io

GRÁTIS POR 30 DIAS


Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste gratuitamente o Nessus Professional

GRÁTIS POR 7 DIAS

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Comprar o Nessus Professional

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Compre uma licença para vários anos e economize. Inclua o Suporte avançado para ter acesso ao suporte por telefone, pela comunidade e por bate-papo 24 horas por dia, 365 dias por ano.

Selecione sua licença

Compre uma licença para vários anos e economize.

Adicionar suporte e treinamento

Tenable.io AVALIAÇÃO GRATUITA POR 30 DIAS

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

Tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste o Tenable.io Web Application Scanning

GRÁTIS POR 30 DIAS

Tenha acesso completo à nossa oferta mais recente de verificação de aplicações Web desenvolvida para aplicações modernas como parte da plataforma do Tenable.io. Verifique com segurança por vulnerabilidades em todo o seu portfólio online com um alto grau de precisão sem grandes esforços manuais ou interrupção de aplicações Web críticas. Inscreva-se agora mesmo.

Comprar o Tenable.io Web Application Scanning

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

5 FQDNs

US$ 3.578,00

Compre já

Teste o Tenable.io Container Security

GRÁTIS POR 30 DIAS

Tenha acesso completo à única oferta de segurança de contêiner integrada a uma plataforma de gerenciamento de vulnerabilidades. Monitore imagens de contêiner por vulnerabilidades, malware e violações de segurança. Unifique sistemas de integração contínua e implantação contínua (CI/CD) para dar suporte às práticas de DevOps, reforçar a segurança e ajudar na conformidade com as políticas da empresa.

Comprar o Tenable.io Container Security

O Tenable.io Container Security habilita com perfeição e segurança os processos de DevOps ao fornecer visibilidade da segurança das imagens de contêiner, incluindo vulnerabilidades, malware e violações de segurança através da integração com o processo de compilação.

Avalie o Tenable Lumin

GRÁTIS POR 30 DIAS

Visualize e explore sua Cyber Exposure, monitore a redução do risco ao longo do tempo e faça uma análise comparativa com outras empresas do mesmo setor com o Tenable Lumin.

Compre o Tenable Lumin

Entre em contato com um representante de vendas para ver como o Lumin pode ajudar você a obter informações sobre toda a organização e gerenciar o risco cibernético.

Experimente o Tenable.cs

GRATUITO POR 30 DIAS Aproveite o acesso total para detectar e corrigir configurações incorretas da infraestrutura de nuvem nas fases de projeto, criação e tempo de execução do ciclo de vida de desenvolvimento de software.

Compre o Tenable.cs

Entre em contato com um representante de vendas para saber mais sobre a segurança na nuvem e como você pode proteger cada etapa do código na nuvem.