Dada a importância das infraestruturas críticas, conheça estratégias de defesa para proteger ambientes OT.
Por Tyler Chase e Derek Dunkel – JahanTigh – Leia o original em inglês.
A tecnologia operacional (OT) serve como espinha dorsal e infraestrutura da qual o mundo depende para fornecer recursos críticos. Por isso, requer operações resilientes para fornecer serviços e produtos confiáveis. Os ventos contrários enfrentados pelos serviços de OT incluem, por exemplo, o fato de muitas empresas operarem suas redes de OT com tecnologia legada envelhecida. Além disso, muitas redes de negócios não fornecem segmentação adequada entre TI e OT, e os sistemas de OT estão frequentemente operando com vulnerabilidades críticas. Ou seja, isso estabelece OT como um fácil alvo para ameaças de segurança cibernética.
Ataque à Colonial Pipeline
A Colonial Pipeline, um oleoduto dos EUA que fornece 45% de todo o combustível consumido na Costa Leste, foi vítima de roubo de dados e ataques de ransomware que afetaram seu ambiente de TI em maio de 2021. Depois de confirmar o ataque, a Colonial Pipeline desligou imediatamente uma parte de seus sistemas OT. A empresa permaneceu off-line até que sentisse que era seguro continuar as operações de dutos.
O incidente da Colonial Pipeline foi apenas um exemplo do impacto comercial que um ataque cibernético tem em uma infraestrutura crítica quando as operações são interrompidas. Os operadores de oleodutos estão constantemente sob o cerco de agentes de ameaças, geralmente financiados por estados-nação. O governo dos EUA tomou medidas para proteger essas e outras infraestruturas críticas do país. Inclusive, houve uma intensificação deesforços para melhorar os recursos de detecção e resposta dos operadores de infraestrutura crítica.
Resposta do governo dos EUA ao ataque Colonial Pipeline
Este ataque levou o governo americano sob a administração Biden a emitir vários novos regulamentos de segurança cibernética para proprietários e operadores de oleodutos críticos. A nova regulamentação deve impactar na melhora do tempo de resposta a ameaças no setor de oleodutos. A diretiva de segurança inicial de maio de 2021 da Administração de Segurança de Transporte (TSA) exige que proprietários e operadores de oleodutos críticos relatem incidentes de segurança cibernética confirmados e potenciais ao Departamento de Segurança Interna (DHS) e designem um coordenador de segurança cibernética disponível 24 horas por dia, 7 dias por semana. Esta diretiva também exige que proprietários e operadores revisem as práticas atuais de proteção cibernética e identifiquem vulnerabilidades cibernéticas existentes. Além disso, medidas de correção relacionadas para identificar riscos cibernéticos e relatar os resultados ao DHS devem ser identificadas dentro de 30 dias. Além disso, os incidentes de segurança cibernética e segurança física devem ser relatados em até 12 horas após a identificação.
Uma diretiva de segurança adicional , divulgada pela TSA em 20 de julho de 2021, esclareceu ainda que os operadores de dutos devem “implementar medidas de mitigação específicas para proteger contra ataques de ransomware e outras ameaças conhecidas à tecnologia da informação e sistemas de tecnologia operacional, desenvolver e implementar uma contingência de segurança cibernética e plano de recuperação e realizar uma revisão do projeto de arquitetura de segurança cibernética.” Entre os principais itens para revisão estão as práticas de sanitização cibernética, como aplicação de patches, segmentação adequada e implementação de autenticação multifator.
O ataque Colonial Pipeline atraiu a atenção de outros órgãos reguladores de infraestrutura crítica, como o Electricity Information Sharing and Analysis Center (E-ISAC). O E-ISAC está se unindo à North American Electric Reliability Corporation (NERC) e outras empresas de segurança industrial para permitir o setor de serviços públicos de eletricidade para compartilhar dados de inteligência de ameaças anonimamente por meio de várias plataformas que as empresas de serviços públicos podem aproveitar para aprimorar os recursos de detecção.
Em uma resposta sem precedentes, o governo recuperou US$ 2,3 milhões do pagamento do resgate da Colonial Pipeline. Além disso, de acordo com um comunicado de imprensa da Casa Branca , ransomware visando infraestrutura crítica tem sido um tópico de discussão entre o presidente Joe Biden e o presidente russo Vladimir Putin. Essas ações esclarecem que o governo americano levará a sério qualquer outro ataque direcionado à infraestrutura crítica. Ou seja, os estados-nação que visam a infraestrutura crítica devem esperar ações escalonadas.
Estratégias de defesa para organizações com infraestruturas críticas
Dada a importância das infraestruturas críticas, o aumento de ataques e a nova orientação da TSA, oferecemos algumas estratégias táticas de defesa. Essas são algumas ações que as organizações de infraestruturas críticas podem adotar para proteger seus ambientes OT:
Avalie o ambiente OT quanto a possíveis riscos de segurança cibernética que possam comprometer a resiliência operacional e afetar as operações comerciais em andamento. Essa estratégia de defesa começa com a avaliação das ameaças à organização e a maturidade dos controles existentes para atender a vários cenários de ameaças. O modelo deve começar com a identificação das ameaças mais preocupantes, o impacto potencial para o negócio e a probabilidade de ocorrência. Quaisquer lacunas devem ser classificadas com base na probabilidade de ameaças específicas, mitigando controles em vigor e o impacto na organização e nos processos críticos. Medidas preventivas e de detecção devem ser implementadas para quaisquer riscos residuais para indicar um sinal de alerta precoce para um ataque cibernético .
Implemente ou aprimore a segmentação de rede para minimizar o impacto de um ataque de segurança cibernética na infraestrutura crítica de uma organização. A segmentação de rede entre ambientes TI e OT é uma das defesas mais valiosas para evitar o comprometimento ou desligamento da rede de controle. As principais práticas recomendam que a segmentação e a segregação da rede sejam implementadas para limitar ao máximo o tráfego de rede de/para o ambiente OT. A separação lógica, uma alternativa altamente eficaz, protege as organizações que oferecem suporte às infraestruturas críticas.
Uma preocupação comum ao segmentar redes, no entanto, é fornecer acesso remoto a fornecedores terceirizados para manutenção. É fundamental garantir que esses gateways de acesso remoto sejam restritos ao pessoal apropriado que tenham autenticação forte (incluindo autenticação multifator sempre que possível), que haja monitoramento de segurança em vigor, que contas de fornecedores sejam removidas imediatamente após o encerramento e dados sejam criptografados em trânsito . Gateways remotos inseguros são um vetor comum para agentes de ameaças contornarem a segmentação de rede e obterem acesso direto a ambientes OT.
Teste e simule o plano de resposta a incidentes por meio de exercícios de mesa e determine a resposta da organização a ataques cibernéticos . Testar o plano de resposta a incidentes é uma das melhores maneiras de identificar lacunas nos procedimentos de resposta de uma organização. Recomendamos um exercício para simular um incidente e percorrer o plano de RI com stakeholders de todas as unidades pertinentes, para que entendam suas funções e responsabilidades. Os resultados podem ser aproveitados para corrigir lacunas, como falha na coleta de dados de registro importantes ou na identificação do pessoal adequado do local ou informações de contato desatualizadas. Além disso, aconselhamos as equipes de RI a criar manuais específicos para ambiente de OT. Ou seja, materiais que identifiquem funções e responsabilidades para o pessoal de OT no local.
Desenvolva recursos de caça a ameaças para procurar possíveis incidentes de segurança de forma proativa no ambiente OT. A busca por ameaças — procurar um invasor não detectado pelos recursos de monitoramento existentes — é eficaz para descobrir possíveis ameaças no ambiente OT antes que ocorra um impacto significativo. Essa etapa deve ser concluída assim que as prevenções fundamentais de cibersegurança e os mecanismos e processos de detecção estiverem em vigor.
Os três principais tipos de caça à ameaça são:
- Caça a ameaças baseada em indicadores – usando indicadores de comprometimento para procurar atividades maliciosas;
- Caça baseada em ataque – usando metodologias de ataque conhecidas para encontrar sinais de violações internas; e
- Caça a ameaças comportamentais ou baseadas em anomalias – procurando eventos ou atividades incomuns dentro da organização.
Proteção de Infraestruturas Críticas: Conclusão
A natureza em evolução dos ataques cibernéticos contra ambientes OT requer uma estratégia para proteger as infraestruturas críticas. Assim, é indispensável criar práticas operacionais resilientes que detectam rapidamente incidentes de segurança, mitigam o impacto com eficiência e reduzem o tempo de inatividade.