Os sistemas de controle industrial (ICS) têm sido de incrível valor para as empresas industriais. A capacidade de controlar o processo de produção e fabricação de bens e serviços tem sido um marco importante em nosso mundo modernizado. No entanto, tudo vem com riscos. “Atores mal-intencionados”, invasores e hackers são termos usados para descrever os indivíduos que tentam intencionalmente causar danos por meios virtuais e físicos aos sistemas responsáveis por nossos estilos de vida modernos. Esses ataques podem resultar em má imprensa e multas do governo. Além disso, eles podem causar sérios danos ou morte a indivíduos ou mesmo comunidades inteiras, destruindo sistemas de purificação de água, desativando usinas de energia e prolongando interrupções críticas do sistema.
Cruzando fronteiras de segurança cibernética Ataques de segurança cibernética, explorações de vulnerabilidades e espionagem digital cruzaram as fronteiras para o que antes era considerado alvos fora do limite. Hackers e ataques cibernéticos sempre foram considerados uma “arte obscura” focada principalmente em tirar pequenos sistemas do ar, roubar dados e manter informações para resgate. Mas os tempos mudaram. Os ataques de segurança cibernética evoluíram e se tornaram armados com a capacidade de destruir sistemas de infraestrutura crítica que suportam a vida cotidiana. Um exemplo de tal arma cibernética foi o worm STUXNET que infectou a Siemens Industrial Systems.
Noções básicas sobre vulnerabilidades comuns de rede
É necessário tempo e experiência para entender como os invasores obtêm acesso às redes e exploram vulnerabilidades nas fontes que as geram. Não existe um método simples que forneça 100% de proteção contra ataques cibernéticos. Em vez disso, a lista a seguir deve ser um pequeno elemento de um kit de ferramentas mais amplo usado como parte do ciclo de vida da segurança cibernética.
1. Falta de treinamento dos funcionários. Os engenheiros de ICS geralmente se encontram lidando com dispositivos da Internet Industrial das Coisas (IIoT) que precisam de configurações avançadas e suporte de terceiros. Em muitos casos, os engenheiros têm acesso limitado aos recursos necessários para configurações estáveis. Em vez disso, engenheiros com apenas uma compreensão básica dos sistemas de tecnologia da informação (TI) assumem a responsabilidade de configurar manualmente os dispositivos e colocá-los em suas redes. Devido à falta de treinamento formal em redes, políticas de segurança de TI, protocolos e segurança cibernética, os dispositivos geralmente são mal configurados e repletos de falhas e vulnerabilidades de segurança.
2. Configurações incorretas. Os sistemas que foram configurados incorretamente apresentam grandes vulnerabilidades de segurança. Por exemplo, configurações de segurança mal definidas podem limitar diferentes tipos de tráfego em uma interface, mas deixar portas comumente usadas abertas para intrusos explorarem
3. Ameaças internas. Insiders são muitas vezes responsáveis por violações de segurança cibernética, tanto inadvertidamente quanto deliberadamente. Um funcionário descontente pode “surfar” funcionários negligentes e roubar senhas à medida que são inseridas. Isso fornece acesso injustificado a sistemas e conhecimento do funcionamento da planta que pode levar a estragos.
4. Acesso desnecessário do usuário. Conceder permissão a usuários não qualificados para acessar comandos de dispositivo e outros recursos de programação é uma vulnerabilidade comum. Os usuários que não entendem completamente as políticas de segurança da empresa, a complexidade de como os dispositivos interagem uns com os outros ou as ramificações de como uma configuração incorreta pode afetar uma rede não devem ter permissão para configurar ou fazer alterações em sistemas importantes ou dispositivos críticos.
5..Alienação de ativos. O descarte de equipamentos antigos que costumavam fazer parte da rede de uma empresa deve ser feito com cuidado, higienizando quaisquer vestígios da rede. Quaisquer dados capturados de ativos expirados podem ser usados para fornecer reconhecimento da rede.
6. Terceirização de terceiros. Empreiteiros, fornecedores e consultores externos fornecem orientação e experiência no assunto para fabricantes, bem como outras empresas que precisam de sua assistência. Ter pessoal externo acessando sistemas críticos de locais remotos é uma ocorrência diária típica que muitas vezes é negligenciada por administradores e engenheiros ocupados. Embora a pessoa inicial que eles contrataram possa ser devidamente examinada, o empreiteiro pode então se virar e entregar tarefas servis a alguém que é descuidado, não teve a autorização de segurança adequada ou não está qualificado para ter acessibilidade à rede.
7. Hardware/software legado. Hardware e tecnologias legadas que operam dentro de sistemas industriais é uma prática comum que ainda vemos hoje. Muitas empresas que estão operando sistemas legados não têm os recursos essenciais para fazer as atualizações necessárias e, em vez disso, optam por corrigir e substituir componentes conforme necessário. No entanto, este tipo de modelo operacional abre as portas para vulnerabilidades de segurança que podem ser facilmente exploradas por um hacker experiente devido a sistemas desatualizados que têm pouco ou nenhum suporte de fabricação em termos de segurança cibernética, enquanto patches e atualizações do sistema são inexistentes.
8. Hardware inadequado. As empresas geralmente tentam economizar dinheiro comprando hardware inadequado que não foi projetado para um aplicativo específico. Comprar produtos mais baratos e “fazê-los funcionar” normalmente leva a configurações incorretas, soluções alternativas e programação desonesta, o que abre a porta para lacunas de segurança e exploração de vulnerabilidades.
9. Falhas de design de hardware. Os sistemas de controle industrial interagem com uma ampla variedade de dispositivos projetados com recursos limitados de segurança cibernética. Por exemplo, analisadores de energia ou sensores de controle de fluxo de líquido podem ser considerados inteligentes porque se comunicam com um sistema de gerenciamento centralizado, mas podem ser suscetíveis a erros simples de programação e código de software que podem ser facilmente substituídos, tornando-os alvos ideais para a execução de código malicioso.
10. Sem backups. Não ter cópias seguras das configurações de backup locais para sistemas críticos pode levar a uma ampla gama de vulnerabilidades. Muitas vezes é o caso em que um sistema crítico ou peça de equipamento falhou e precisa urgentemente ser substituído. Quando não existem backups em funcionamento, as configurações complexas que devem aderir às políticas de segurança da empresa são mal configuradas e apresentam lacunas de segurança para os intrusos explorarem.
11. Atualizações de software. Não ter a versão mais recente do software para um dispositivo pode levar a problemas de segurança e vulnerabilidade. Quando os fabricantes lançam atualizações de software, normalmente é para resolver problemas conhecidos de segurança e funcionalidade e adicionar funcionalidades que podem impedir que problemas futuros ocorram.
12. Sobrecarga de memória. A sobrecarga de memória ocorre quando um invasor obtém acesso não autorizado a um dispositivo. Neste ponto, o invasor pode executar código simples para inserir mais dados do que o dispositivo pode conter, sobrecarregando a memória armazenada e fazendo com que o dispositivo trave, reinicie ou forneça entrada para comandos de baixo nível que podem ser reprogramados para apontar para códigos mal-intencionados que podem ser executados posteriormente.
13. Sem validação de download. O download de software para aplicativos e patches de segurança às vezes pode levar usuários desavisados a um site semelhante que oferece o que parece ser um software legítimo. Não ter mecanismos para validar o software pode levar a uma ampla gama de falhas de segurança e vulnerabilidades que podem prejudicar uma rede.
14. Mau design de rede. As redes operacionais tornaram-se tão complicadas e robustas quanto suas contrapartes de TI e geralmente exigem isolamento segmentado para várias funções e processos por meio de redes locais virtuais (LANs) ou firewalls. Projetos de rede ruins não fornecem isolamento necessário para a segurança e, em vez disso, são configurados como uma grande rede que fornece acesso ao invasor a tudo dentro da rede.
15. Avaliações da rede. Redes totalmente funcionais geralmente são deixadas sozinhas e com o mínimo de ferramentas de monitoramento e relatórios do sistema operando em segundo plano. É raro que os administradores tomem a medida extra de avaliar a rede em busca de falhas de segurança, vulnerabilidades e prontidão operacional. Estes tipos de medidas adicionais são necessários para garantir que as redes de tecnologia operacional (OT) são totalmente protegidas e atualizadas com os mais recentes patches de vulnerabilidade, atualizações de segurança e configurações ideais.
16. Visibilidade limitada da rede. Administradores e engenheiros responsáveis pelo gerenciamento de redes OT normalmente têm ferramentas de monitoramento que podem rastrear a disponibilidade de dispositivos de hardware e aplicativos em execução na rede. No entanto, nas redes complicadas de hoje, com vários recursos de segmentação de rede e acesso remoto, os administradores precisam ser mais vigilantes com a maneira como monitoram o tráfego. Os firewalls secundários monitoram o tráfego em um nível de pacote e garantem que nenhum pacote de dados desconhecido atravesse a rede ou mapeie destinos e assinaturas de hardware para uso posterior como um ataque planejado à rede.
17. Falta de documentação. Não ter documentação atualizada em sua rede, dispositivos conectados, políticas de segurança e procedimentos operacionais pode levar a uma ampla gama de vulnerabilidades de segurança, como recursos de segurança configurados incorretamente, brechas de software não corrigidas, redes segmentadas incorretamente, acesso aberto e disponibilidade que deve ser protegida.
18. Teletrabalho. Nos últimos dois anos, houve um aumento significativo de trabalhadores remotos e posições de telecomunicações. Em muitos casos, esses funcionários precisam ter acesso a recursos internos da empresa para fins de trabalho. As empresas que fornecem recursos de acesso remoto a trabalhadores remotos normalmente usam uma rede virtual privada (VPN) ou outro software de conexão para fornecer uma camada adicional de segurança. No entanto, as empresas estão descobrindo que esses funcionários têm segurança básica a pouca em suas redes domésticas e têm brechas de segurança que podem ser facilmente comprometidas. Uma vez que um computador ou laptop da empresa se conecta à rede doméstica local, ele é atacado e, por meio de código malicioso, pode ser assumido mais tarde. Uma vez que a máquina está conectada à rede da empresa por meio de uma VPN, o invasor pode obter acesso aos recursos da empresa.
19. Aplicações remotas. Ter aplicativos remotos para acesso a recursos da empresa, suporte técnico e monitoramento e alertas em tempo real pode ser extremamente benéfico. No entanto, esses tipos de aplicativos apresentam um grande risco de segurança e vulnerabilidades à sua natureza aderente. Um invasor que pode roubar credenciais para esses tipos de aplicativos pode causar estragos em uma rede OT. Certifique-se de impor políticas de senha rigorosas e autenticação de dois fatores para garantir que somente usuários concedidos possam acessar esses tipos de aplicativos na rede.
20. Phishing. Phishing e golpes por e-mail sempre foram as principais fontes de explorações de vulnerabilidades e execução de códigos maliciosos. O processo é simples e altamente eficaz. Usuários desavisados baixam um arquivo do que parece ser uma fonte confiável ou clicam em um link da web. O processo baixa um pequeno pedaço malicioso de código que pode ser usado mais tarde para baixar um pedaço secundário de código ou software e permite que os invasores acessem os sistemas.
21. Soluções alternativas de autenticação de dois fatores. A autenticação de dois fatores é uma excelente maneira de reduzir a probabilidade de que a pessoa errada obtenha acesso às informações, mas pode ser derrotada se um hacker assumir o controle do computador após a autenticação de dois fatores ter ocorrido. Um técnico de sistema de controle de automação industrial remoto pode registrar a partir de uma rede doméstica, pensando que as informações em trânsito são seguras graças à VPN. Mas um vírus ou trojan de acesso remoto (RAT) que foi acidentalmente instalado anteriormente pode ser ativado pela presença da VPN, e o acesso pode ser concedido sem saber, oferecendo uma mensagem inócua dizendo que o primeiro login falhou e para tentar novamente.
22. Soquetes de dados não seguros. O uso de soquetes de dados padrão ou comumente conhecidos ou portas de comunicação para aplicativos dentro de uma rede OT apresenta enormes vulnerabilidades. Os invasores estão cientes das configurações de porta comuns e escrevem código mal-intencionado direcionado diretamente a essas portas.
23. Serviços desnecessários. A execução de todos os serviços padrão em aplicativos que não são necessários pode deixar lacunas de segurança na rede OT. Descubra quais serviços são necessários para executar o hardware e os aplicativos e desligar todo o resto.
24. Regras de firewall fracas. Os firewalls são uma parte intrincada das redes corporativas. No entanto, no caso de redes OT, muitos firewalls não são configurados tão completamente e, em vez disso, são configurados apenas com parâmetros básicos de funcionalidade. Nesses tipos de cenários, os firewalls podem ser facilmente contornados e a rede levemente protegida pode ser acessada.
25. Bypass de autenticação. Os usuários geralmente se cansam de fazer login nos sistemas para fazer pequenas alterações, especialmente se senhas longas e complicadas forem necessárias para autenticação. Em muitos casos, os usuários desativarão a autenticação, expondo inadvertidamente seu sistema a invasores.
Considerações finais
Abordar a maioria dessas vulnerabilidades requer uma abordagem holística que aborde todos os elos da cadeia. Isso inclui pessoas envolvidas com esses sistemas em todos os níveis, e não apenas as ferramentas que eles utilizam.
Adicionar comentário