Vulnerabilidades de dia zero em sistemas de controle industrial destacam os desafios de proteger a infraestrutura crítica
A divulgação de vulnerabilidades de dia zero em vários sistemas de controle industrial da Schneider Electric destaca a necessidade de renovar as práticas de segurança cibernética em ambientes de tecnologia operacional.
Uma divulgação de dia zero de várias vulnerabilidades nos sistemas de controle industrial (ICS) da Schneider Electric exemplifica as lutas do mundo real do ecossistema de infraestrutura crítica.
As vulnerabilidades, que afetam os produtos de controle EcoStruxure Control Expert, EcoStruxure Process Expert, SCADAPack REmoteConnect x70 e Modicon M580 e M340 da empresa, apresentam vários riscos, incluindo a possibilidade de bypass de autenticação completo, execução arbitrária de código e perda de confidencialidade e integridade.
A pesquisa Zero Day Research da Tenable é um dos vários fornecedores que divulgou vulnerabilidades à Schneider por meio de práticas de divulgação padrão. Você pode ver nosso relatório técnico aqui. Embora sejamos fortes defensores da divulgação completa, neste caso optamos por ocultar certos detalhes técnicos específicos de nossos documentos de divulgação pública. A postura de segurança de sistemas de tecnologia operacional (OT) ainda precisa ser aprimorada para estar em pé de igualdade com suas contrapartes de TI e, como tal, esta é uma situação rara em que a divulgação completa não deve ser seguida. Em nossa opinião, o risco de uma exploração no mundo real bem-sucedida era muito grande e a infraestrutura crítica em risco era muito sensível para prosseguirmos com a divulgação completa meses antes da divulgação de patches pelo fornecedor.
Os fatores que cercam a divulgação da Schneider destacam os muitos desafios envolvidos na proteção da infraestrutura crítica. Desenvolver e implantar patches para sistemas de controle industrial e outras tecnologias usadas no ambiente de tecnologia operacional é notoriamente difícil. Por quê? Porque os sistemas devem ser desativados e totalmente testados cada vez que uma atualização é feita. Ainda assim, os modelos operacionais existentes para a maioria dos ambientes OT, como usinas de energia, gasodutos e fábricas, deixam pouca margem para tempo de inatividade. É claro que é preciso haver mais discussões no setor para determinar se os parâmetros de fornecedor usados para divulgações de dia zero em ambientes de TI são apropriados para infraestrutura crítica.
Em um ambiente de TI típico, os fluxos de trabalho e processos para corrigir sistemas de negócios digitais são bem estabelecidos e foram comprovados ao decorrer do tempo. Na maioria dos ambientes de OT, por outro lado, não há um fluxo de trabalho claro para atualizar o software, que é o ponto fraco de nossa infraestrutura crítica. Há uma batalha contínua entre a produção interna e a segurança, e cada uma obedece a diferentes métricas de sucesso em relação ao tempo de atividade e ao desempenho do sistema.
Em um ambiente de OT, é comum que sistemas dependentes de software sejam colocados em serviço e nunca mais sejam tocados nos próximos 10 anos. As atualizações regulares de software para tecnologias OT simplesmente não são incorporadas aos processos padrão na maioria das organizações de infraestrutura crítica.
Acreditamos que cabe a uma ampla gama de partes interessadas internacionais, incluindo órgãos governamentais, órgãos policiais, pesquisadores, fornecedores e proprietários e operadores de instalações de infraestrutura crítica, priorizar a colaboração global com o objetivo de desenvolver as melhores práticas para proteger os sistemas OT que possam ser aplicadas independentemente da localização.
Acreditamos que essas discussões precisam reconhecer que os fornecedores e os operadores de OT têm muito a aprender com seus colegas de TI e precisam se tornar mais adeptos do desenvolvimento e do gerenciamento do software que sustenta sistemas cruciais. Não se engane, a responsabilidade não recai exclusivamente sobre os proprietários e os operadores de ambientes de infraestrutura crítica. Os fornecedores devem ser responsáveis pela busca contínua de bugs e pela garantia de qualidade em seu próprio software, dedicando recursos para gerenciar com eficácia as divulgações de vulnerabilidades e acelerar os tempos de lançamento de atualização.
Os desafios dependem tanto das pessoas e processos quanto das tecnologias. Os operadores de ambientes de infraestrutura crítica precisam renovar suas práticas de governança, risco e conformidade de segurança cibernética. O gerenciamento e a remediação de vulnerabilidades de software em sistemas OT devem ser uma parte tão rotineira da manutenção da fábrica quanto a manutenção mecânica de hardware é hoje.
Nos EUA, já vimos um movimento positivo na forma da Ordem Executiva sobre Melhoria da Segurança Cibernética da Nação do governo Biden em 12 de maio, que exige orientação de segurança para cadeias de suprimentos de software para incorporar programas de divulgação de vulnerabilidades, e o informativo da Casa Branca de 18 de maio, que afirma que “segurança cibernética é uma parte essencial da resiliência e da construção da infraestrutura do futuro”.
Ao mesmo tempo, reconhecemos a necessidade de ações mais imediatas que os proprietários e operadores de ambientes de infraestrutura crítica podem implantar hoje. Abaixo, fornecemos três ações de alto nível, bem como duas etapas táticas que as organizações podem realizar para se protegerem após a divulgação da Schneider.
Três itens de ação para proteger ambientes de infraestrutura crítica
Não há solução mágica para proteger ambientes OT. Assim como com a segurança de TI, é importante acertar no básico, e estamos bem cientes de que a simplicidade da orientação contraria a complexidade de realmente implantar as recomendações. No entanto, acreditamos que estes itens de ação devem ser repetidos, pois são fundamentais para qualquer estratégia sólida de segurança cibernética, especialmente quando os sistemas não podem ser atualizados:
- Implantar uma postura de proteção em profundidade. Ambientes de infraestrutura crítica não podem contar com a segurança de nenhum dispositivo. As organizações precisam implantar uma arquitetura de segurança robusta com controles de compensação para proteger os dispositivos que estão em maior risco.
- Desenvolver políticas sólidas de governança e recuperação de desastres. Elas são essenciais para lidar com ransomware e outras formas de ataque cibernético e devem levar em consideração não apenas as tecnologias, mas também as pessoas e os processos em vigor em qualquer organização. Exercite e teste seus planos de backup antes de precisar deles. Como a escassez de habilidades cibernéticas é particularmente crítica em ambientes de OT, atingir esse nível de governança continua sendo um desafio para muitas organizações.
- Escolher tecnologias com sabedoria. Sem as pessoas e políticas certas em vigor, é impossível obter o valor total de qualquer tecnologia adquirida. Ao mesmo tempo, há certos recursos obrigatórios ao escolher tecnologias. Por exemplo, o ambiente de OT requer o mesmo nível de análise contínua em tempo real que pode ser encontrado no mundo de TI. Os operadores de OT precisam implantar tecnologias que forneçam o tipo de recursos de detecção e recuperação necessários para contornar sofisticados agentes de ameaças.
Dois itens de ação para usuários dos sistemas Schneider afetados
Se sua organização usa os sistemas Schneider afetados por esta divulgação de dia zero, estes são os dois itens de ação que você pode adotar imediatamente:
- Revise e siga as recomendações do fornecedor detalhadas na divulgação da Schneider aqui.
- Os clientes da Tenable podem aprender mais aqui sobre como detectar os sistemas afetados em seu ambiente.
Conclusão
É essencial que pesquisadores, governos, organizações do setor privado e fornecedores de tecnologia adotem ações táticas imediatas, bem como ações estratégicas de longo prazo, para enfrentar os desafios consideráveis de segurança cibernética que nossa infraestrutura crítica enfrenta. Da mesma forma, é importante desmontar os silos de TI, OT e infosec que existem na maioria das organizações e repensar como essas equipes são incentivadas a garantir que a segurança cibernética seja priorizada.
Saiba mais
- Leia a documentação da Schneider sobre vulnerabilidades elaborada pela equipe de Zero Day Research da Tenable
- Veja o alerta de fornecedor aqui
- Participe do webinar Beefing Up Security at the Intersection of Active Directory and OT.
Artigos relacionados
Securing IT-OT Environments: Why IT Security Professionals Struggle
December 6, 2021When providing cybersecurity in converged IT and operational technology environments, it’s critical for infosec pros to understand the differences between the two and utilize a toolset that delivers a comprehensive picture of both in a single view.
CISA Directive 22-01: How Tenable Can Help You Find and Fix Known Exploited Vulnerabilities
November 10, 2021While U.S. federal agencies are required to remediate the vulnerabilities outlined in the U.S. Cybersecurity and Infrastructure Security Agency's Binding Operational Directive 22-01, any organization would do well to consider prioritizing these flaws as part of their risk-based vulnerability management program.
How to Choose an OT Cybersecurity Solution Vendor
November 4, 2021Hint: choose a leader in ICS security.
Tenable and Thales Collaborate to Provide Cyber Defense Simulations to Better Secure Operational Technology Environments
April 18, 2024The heart of the Welsh Valleys is home to the Thales Ebbw Vale campus, a world-class facility jointly funded by the Welsh government as part of its regeneration program for the region. At the core of the facility is the Cyber Range, a simulation and virtualization platform for training, testing, exercising and R&D. Tenable has joined the lineup of solutions used to run real world simulations in this controlled environment.
Oracle April 2024 Critical Patch Update Addresses 239 CVEs
April 17, 2024Oracle addresses 239 CVEs in its second quarterly update of 2024 with 441 patches, including 38 critical updates.
Strengthening the Nessus Software Supply Chain with SLSA
April 16, 2024You know Tenable as a cybersecurity industry leader whose world-class exposure management products are trusted by our approximately 43,000 customers, including about 60% of the Fortune 500. But sometimes we like to give you a peek behind the curtain to share how we protect our own house against cyberattacks – and that’s what this blog is about. Today we’re sharing our experience adopting the supply-chain security framework SLSA, with the hopes that the lessons we learned will be helpful to you.
- Energy Industry
- Executive Management
- Federal
- Government
- OT Security
- SCADA
- Threat Management
- Vulnerability Management
- Vulnerability Scanning