Segurança de tecnologia operacional (OT) em 2024

A digitalização da tecnologia operacional (OT) continua a avançar este ano. A interconexão de máquinas, sistemas ciberfísicos, dispositivos IoT e equipamentos de todos os tipos está longe de estar concluída. Esta tendência afeta não apenas a indústria e a produção, mas também uma variedade de setores como a saúde, fornecedores de energia e muitos outros.

A digitalização também significa otimização. As máquinas são monitorizadas, os erros são detetados antes de acontecerem, e a qualidade e a eficiência são aperfeiçoadas. Tudo isto reduz custos, mas tem um preço. A rede significa sempre vulnerabilidade. Este problema pode ser resolvido, mas não deve ser ignorado.

O maior desafio é a superfície de ataque em constante crescimento. Internamente, as máquinas em ambientes OT são frequentemente expostas em redes grandes e planas. À medida que as redes empresariais crescem e mudam, as empresas adicionam mais máquinas, dispositivos e sistemas de controlo sem ajustar e segmentar adequadamente a arquitetura de rede. Por causa do ciclo de vida longo dos sistemas OT, da abordagem cautelosa a patches de software e do uso de protocolos vulneráveis e inseguros, há um sério risco de falhas em larga escala. Uma única pen USB errada, um clique não considerado num link ou um laptop contaminado de um técnico de manutenção pode ser suficiente para paralisar as operações. Em algumas indústrias, isto pode ser verdadeiramente perigoso.

As empresas também são vulneráveis ​​do exterior. Os serviços em nuvem e serviços externos causam uma abertura para a internet; a separação de redes é definitivamente uma coisa do passado. O manuseio descuidado de políticas de firewall e aplicações e serviços permitidos facilita a vida de um atacante. Um dos maiores e frequentemente ocultos problemas permanece em pontos de acesso de manutenção remota abertos. Funcionários da empresa e técnicos de terceiros usam frequentemente o acesso remoto para gerir dispositivos em redes OT. Os problemas surgem quando não existe uma solução uniforme ou aplicação de acesso remoto seguro em vigor e quando as empresas não têm uma visão geral da gestão de OT. Muitos técnicos usam muitas aplicações diferentes ou ferramentas de compartilhamento de tela reaproveitadas para aceder à tecnologia operacional. Embora essas ferramentas possam funcionar, elas carecem de recursos de segurança para proteger totalmente a tecnologia crítica. A exposição das aplicações OT geridas remotamente e das interfaces de gestão diretamente à internet oferece aos atacantes muitas oportunidades. Combinado com a falta ou inexistência de segmentação interna, isso apresenta um alvo fácil.

O que pode ser feito?

Sem aderir a todas as novas modas tecnológicas, as empresas devem reduzir a superfície de ataque o máximo possível, o que significa primeiro reduzi-la ao essencial. As equipas de segurança de TI e OT devem garantir que todos os serviços indispensáveis que não podem ser consolidados sejam atualizados para os padrões de segurança atuais.

A falta de sensibilização para os riscos de segurança e vulnerabilidades é também um problema. O pessoal de OT deve ser envolvido em medidas de sensibilização e formação sobre segurança. Estes indivíduos muitas vezes têm um conhecimento imenso sobre processos, ferramentas e serviços utilizados e podem ser extremamente úteis na implementação de medidas de segurança se estiverem envolvidos.

Os projetos de segurança OT têm um ciclo contínuo e representam um processo contínuo. Ao abordar esta questão, é importante definir metas realistas, começar com as maiores lacunas de segurança e depois refinar.

Gestão de ativos e vulnerabilidades

Depois de a empresa conhecer o âmbito e esforço pretendidos, os gestores de TI/OT devem obter uma visão geral. Isto envolve determinar quais os ativos e sistemas de controlo existentes e como são estabelecidos os caminhos de comunicação entre eles. Idealmente, este processo identifica quais os sistemas que são vulneráveis a ameaças conhecidas, e esses sistemas são protegidos em conformidade. Este é um processo difícil para muitas empresas, mas os scanners de rede e as ferramentas de deteção de anomalias podem ser muito úteis na avaliação da situação inicial.

Superfície de ataque externa

A experiência mostra que os serviços de acesso remoto externo a redes OT criam a maior lacuna na segurança OT. Idealmente, a empresa deve aprovar e gerir uma única ferramenta para todos os acessos remotos internamente ou através de um Provedor de Serviços Geridos. É altamente recomendável usar uma ferramenta de Zero Trust Network Access (ZTNA) porque permite a ativação individual de aplicações e protocolos com base no grupo de utilizadores, o que impede o acesso generalizado à rede a partir do exterior, como muitas vezes acontece com as conexões VPN tradicionais. As soluções ZTNA também podem realizar verificações de postura no dispositivo final e garantir que o dispositivo e o utilizador cumpram com as políticas de segurança.

Independentemente das opiniões sobre ferramentas de VPN, qualquer coisa é melhor do que serviços expostos diretamente na internet. Desative imediatamente o acesso irrestrito a compartilhamento de tela, interfaces web, sessões de protocolo de desktop remoto (RDP) e APIs, caso estes estejam presentes na rede. Proibir este tipo de acesso é necessário, pois é um absoluto não na cibersegurança. Evitar hosts de salto na rede interna ou numa DMZ também é importante, pois eles servem como pontos únicos de falha e alvos de alto valor para atores de ameaça. Se houver uma necessidade absoluta de tornar ativos acessíveis, a organização deve restringir o acesso com base nas funções dos utilizadores. Nem todos precisam de acesso a tudo; “privilégio mínimo” é o conceito de escolha.

superfície de ataque interna

Confiar apenas na segurança do perímetro é míope nos dias de hoje. Claro que devemos afastar todos os ataques e manter o malware fora, mas o design das medidas de defesa deve sempre assumir que um atacante acabará por violar a rede interna, e existem muitos vetores de ataque. Implementar medidas de segurança é necessário para conter um compromisso e evitar um fracasso total. Mesmo que um atacante consiga estabelecer uma base, não é tarde demais para uma defesa bem-sucedida. Para ambientes OT, isso significa dividir e estruturar redes planas. Existem diferentes métodos para micro-segmentação, dependendo das necessidades individuais da empresa. Muitos seguem o Modelo Purdue, o que faz sentido. O maior desafio é segmentar uma rede sem a reconstruir totalmente. Devemos minimizar o tempo de inatividade e não negligenciar o risco de que algumas máquinas podem não suportar uma redefinição da rede. Portanto, ao escolher uma solução adequada, é aconselhável garantir uma implementação sem interrupções em Modo Transparente.

O que fazer quando ocorre uma violação

É importante responder a esta pergunta prontamente. A deteção e resposta a incidentes são críticas, e uma empresa não pode responder a um incidente se não souber o que está a acontecer na infraestrutura. Para além dos meios técnicos para visibilidade e análise, os gestores de segurança devem também estabelecer a tecnologia e os processos de continuidade de negócio. Os incidentes de segurança raramente acontecem nas manhãs de segunda-feira, mas sim quando são menos convenientes.

O fator humano

...continua a ser o elo mais fraco da cadeia. Por conseguinte, todas as empresas devem cultivar uma cultura de vigilância e implementar medidas de sensibilização e formação para que os colaboradores possam reconhecer tentativas de ataque. É também muito importante que todos os envolvidos aceitem as medidas de segurança e compreendam porque são necessárias.

Os ciberataques estão a tornar-se cada vez mais sofisticados tecnicamente, os atores de ameaças estão melhor preparados para contingências, e as vítimas são pré-selecionadas e estrategicamente alvo. A inteligência artificial (IA) está a ser utilizada por organizações de cibercrime para melhorar e acelerar todas as fases dos ciberataques. O cibercrime organizado, grupos de Estados-nação, clusters de ameaças vagamente afiliados e atores individuais estão todos a tornar-se mais eficazes a roubar os nossos dados e informações sensíveis.

A solução da Barracuda para segurança OT

Na Barracuda, recomendamos a utilização da nossa solução premiada , especialmente concebida para Secure Connector em infraestruturas IoT dispersas. O Secure Connector utiliza o protocolo VPN TINA (Traffic Independent Network Architecture) proprietário da Barracuda através de ethernet, Wi-Fi ou 4G/LTE e está disponível como hardware normal ou robusto. Estes appliances compactos funcionam com Barracuda CloudGen Firewall ou Barracuda SecureEdge para conectar dispositivos remotos e microrredes aos recursos corporativos, proporcionando segurança de última geração e servindo efetivamente como um hub de conectividade para todas as conexões entre os dispositivos IoT e a internet. O Secure Connector também suporta computação de borda, permitindo que os técnicos criem lógica personalizada de controlo e vigilância para dispositivos protegidos.

Barracuda SecureEdge é uma solução de Secure Access Service Edge (SASE) de nível empresarial que fornece capacidades completas de visibilidade e gestão para redes híbridas e convergentes. O SecureEdge facilita a transição para uma solução SASE completa ao seu próprio ritmo. Consulte este post no blog para mais informações sobre a introdução do SASE no seu ambiente de segurança existente.