Quatro estratégias para prever e bloquear ataques digitais contra ambientes OT e TI
Arthur Capella*
Historicamente, o setor industrial tem grande importância para a economia brasileira. Segundo a Confederação Nacional da Indústria (CNI), a cada R$ 1,00 produzidos na indústria, R$ 2,43 são gerados na economia como um todo.
Em 2021, o crescimento industrial será fundamental para impulsionar a recuperação do nosso país. Uma das alavancas para esse avanço é a convergência entre áreas industriais e a área de TI. Essa nova realidade é uma das colunas da Indústria 4.0, modelo em que setores da infraestrutura industrial que sempre existiram de forma isolada conectam-se, agora, a clientes e fornecedores. É essa conexão que permite, por exemplo, a aceleração da fabricação on-demand de produtos customizados e em menor volume. Para isso, as áreas de OT e TI da indústria têm de operar de forma integrada e em tempo real.
Pesquisa realizada pela Deloitte do Reino Unido em 2019 com 500 executivos do C-Level mostra que 14% desse grupo estava ativamente investindo na integração OT/IT. E, desse total, 90% dos entrevistados afirmaram ter sofrido ataques digitais nos últimos dois anos – vazamento de dados confidenciais e a interrupção dos processos industriais foram alguns dos problemas enfrentados por essas empresas.
Um dos casos mais emblemáticos de ataques contra ambientes industriais aconteceu com a gigante norueguesa de fabricação de aço Norsk Hydro em 2019. O exploit de ransomware utilizado bloqueava o acesso aos sistemas críticos da empresa. O bloqueio criminoso durou vários dias, quase imobilizou a linha de produção – foi necessário recorrer a notas fiscais e planilhas em papel para dar continuidade aos processos da Norsk Hydro – e gerou prejuízos de 45 milhões de Euros (cerca de R$ 301 milhões). A empresa reportou a invasão à divisão de cyber crimes do governo norueguês, que segue investigando o incidente. O time de ICT Security reconstruiu todo o ambiente, adicionando novos controles. Segundo a própria Norsk Hydro, novas tentativas de ataques seguem acontecendo.
Há estratégias que podem contribuir para evitar quadros como este.
1 – Analisar OT e TI para ter uma visão completa da superfície de ataque da empresa
Além de ativos de OT, os líderes de segurança industrial precisam ter visibilidade sobre dispositivos de TI e Internet das Coisas (IoT). Essas tecnologias baseadas em endereçamento IP englobam entre 20% e 50% dos ambientes industriais modernos. É necessário, também, utilizar recursos de consulta ativa para descobrir os cerca de 30% de ativos de OT dormentes e invisíveis na rede. Muitas vezes, trata-se de tecnologias que só podem ser detectados de forma passiva. É essencial eliminar pontos cegos em todo o ambiente.
2 – Ganhar visibilidade sobre cada dispositivo e sobre os caminhos de comunicação entre dispositivos
Descobrir os dispositivos “em risco” é o principal objetivo do esforço de reconhecimento de vulnerabilidades. Para defender todo o inventário de ativos, será necessária uma ampla compreensão da versão e integridade (checar se as correções foram implementadas) de cada dispositivo. Isso inclui informações como marca, modelo, firmware, detalhes de backplane, vulnerabilidades sem correção etc.
É fundamental, ainda, entender a orientação de cada dispositivo dentro da rede, incluindo os caminhos de comunicação entre ativos similares – caso de controladores lógico programáveis e estações de trabalho. Esses elementos podem se tornar vetores de ataque se um ator malicioso se infiltrar em seus sistemas.
3 – Usar a vetorização de ataques para diminuir a vulnerabilidade dos ambientes OT
Por causa de seu histórico isolamento e pelo uso de protocolos pouco conhecidos fora dos ambientes industriais, a segurança de OT costuma adotar uma postura reativa: aguarda-se que um ataque aconteça para só depois lidar com o problema. “Vetorização de ataques”, a investigação de possíveis rotas que um invasor pode usar, possibilita, por meio do uso de tecnologias de Inteligência Artificial e Machine Learning, uma abordagem proativa para proteger a organização. Ao identificar, por exemplo, os caminhos de alto risco, portas abertas e vulnerabilidades sem correções, será possível prever o comportamento de um ataque focado no ambiente de OT. Realizar simulações pode revelar pontos fracos, apontando dispositivos que exigem intervenções de segurança para efetivamente bloquear os ataques.
4 – Ser proativo na gestão da segurança de ambientes OT e TI
A conexão do chão de fábrica a outros ambientes digitais acelera os negócios – por essa razão, a era do isolamento dos setores industriais acabou.
Dispositivos nativos desse ambiente – como Controladores Lógicos Programáveis -, além de sensores IoT e outros dispositivos com endereçamento IP são, hoje, alvo de ataques cibernéticos. Essa realidade exige que os líderes de segurança adotem uma abordagem proativa para defender ambientes industriais contra a próxima ameaça. É importante lembrar que malware pode se movimentar lateralmente de dispositivos de TI para redes de OT e vice-versa. Por essa razão, o uso de soluções convergentes de OT e TI deve estar no centro da segurança industrial.
Por sua extrema criticidade, o setor industrial é um alvo atraente para os criminosos digitais.
Um ataque a uma planta pode parar a produção. Embora muitos ataques de ransomware contra indústrias tenham como alvo pagamentos em dinheiro, outros são disparados por nações estado que, por motivos políticos, buscam bloquear processos essenciais para o funcionamento de uma planta industrial crítica para uma cidade, um país. Em 2021, é fundamental que a indústria brasileira esteja protegida contra esses males.
*Arthur Capella é country manager da Tenable Brasil.