Mitigar vulnerabilidades crescentes em sistemas de controle industrial
Um número crescente de vulnerabilidades está expondo nossa infraestrutura nacional crítica (CNI) a Ataques cibernéticos ameaça os atores com motivos geopolíticos ou de espionagem corporativa, procurando causar perturbação, danos econômicos ou danos à saúde e ao bem-estar dos cidadãos.
Essas vulnerabilidades são encontradas em sistemas de controle industrial (ICS) que são críticos para o funcionamento da CNI. Se os atores da ameaça obtiverem o controle de qualquer um desses sistemas, eles podem mudar a forma como funcionam ou impedir que funcionem inteiramente, o que pode ter consequências de longo alcance.
Para evitar que seu ICS seja assumido por agentes de ameaça, organizações em setores-chave como energia, manufatura e farmacêutico precisam saber quais são essas vulnerabilidades e quais etapas precisam ser executadas para mitigá-las.
Sobre o autor
Amir Preminger é vice-presidente de pesquisa da Claroty
Aumento de vulnerabilidades
Nossa pesquisa recente revelou que o número de falhas de segurança ICS publicadas pelo The National Vulnerability Database (NVD) e em alertas de vulnerabilidade relatados pela Equipe de Resposta a Emergências Cibernéticas do Sistema de Controle Industrial (ICS-CERT) aumentou ao longo do ano. após ano.
Descobrimos que o número de alertas ICS-CERT publicados no primeiro semestre de 2020 foi quase um terço maior do que no mesmo período de 2019, enquanto as 365 vulnerabilidades relatadas pelo NVD em 2020 aumentaram 10,3% em relação ao ano anterior .
Para setores específicos, esses aumentos foram ainda maiores. Por exemplo, o setor de água e esgoto experimentou um aumento de 122,1% nas vulnerabilidades ICS-CERT, a fabricação crítica experimentou um aumento de 87,3%, enquanto o setor de energia foi de 58,9% .
Esse crescimento se deve a uma série de fatores, incluindo o fato de que os ICSs estão agora mais conectados à Internet do que nunca; no entanto, atualizá-los com os patches mais recentes pode ser problemático. Também é importante observar que esse aumento também se deve, em parte, ao aumento da conscientização sobre essas vulnerabilidades, com pesquisadores e fornecedores priorizando sua identificação e correção da maneira mais eficaz possível.
Maior conectividade
Tradicionalmente, as equipes ICS e as redes de tecnologia operacional (OT) nas quais eles são executados eram completamente isoladas (ou com espaços vazios) de redes de TI, tornando quase impossível para os agentes de ameaça atacá-las remotamente. . No entanto, em um esforço para alcançar maior eficiência por meio de tecnologias de automação, as empresas têm cada vez mais integrado sua infraestrutura de OT com suas redes de TI.
À medida que isso se torna mais comum, a responsabilidade pelo gerenciamento da segurança da rede OT recai cada vez mais sobre as equipes de segurança de TI, muitas das quais assumem erroneamente que podem simplesmente aplicar os protocolos de segurança de TI com os quais estão familiarizados com a rede OT. No entanto, este não é o caso, pois, por exemplo, o tempo de atividade tem precedência sobre a proteção de dados em redes OT, o que significa que é difícil realizar atividades de segurança de TI padrão, como patching e manutenção. de software. Apesar dessa e de outras diferenças óbvias entre TI e OT, as organizações ainda estão avançando com seus planos de integração de TI / OT sem serem mais sábias.
Exploração remota
Nossa pesquisa descobriu que mais de 70% das vulnerabilidades publicadas pelo NVD podem ser exploradas remotamente, destacando que as redes OT com espaços abertos são agora excepcionalmente raras. Por exemplo, uma forma de o entreferro ter sido fechado é por meio de estações de trabalho de engenharia (EWS) que se conectam às redes de OT e TI sem necessidade. Esse link os torna um alvo atraente para os agentes de ameaças, pois, depois de se infiltrarem na rede de TI, eles podem usar o EWS para entrar na rede OT. Depois de obter o controle, os atores da ameaça podem acessar outras áreas do OT, incluindo controladores lógicos programáveis (PLCs), que lhes permitem manipular processos físicos.
A pesquisa também descobriu que os produtos EWS continham mais da metade das vulnerabilidades descobertas, enquanto os PLCs representavam um quarto. Usando essas vulnerabilidades, os agentes de ameaças podem executar ações como execução remota de código (RCE), permitindo que eles enviem comandos remotamente para estabelecer a permanência e realizar movimentos laterais. O RCE foi possível com quase metade das vulnerabilidades identificadas (49%), seguido pela capacidade de ler dados do aplicativo (41%), causar negação de serviço (DoS) (39%) e ignorar mecanismos de proteção (37%) .
Revelar vulnerabilidades
Embora possa parecer contra-intuitivo, compartilhar as vulnerabilidades descobertas com a comunidade ICS é essencial para manter os atores da ameaça afastados. Não apenas permite que fornecedores e pesquisadores encontrem novos métodos para mitigar esses riscos, mas também avisa outras pessoas que usam os mesmos sistemas para tomar medidas para limitar a capacidade dos agentes de ameaças de explorar essas vulnerabilidades.
Alguns podem relutar em compartilhar seu conhecimento, acreditando que isso poderia torná-los alvos de ameaças; no entanto, é importante observar que se um fornecedor for afetado por um grande número de vulnerabilidades, isso não significa necessariamente que ele tenha uma postura de segurança insatisfatória. Em vez disso, é mais provável que signifique que a empresa está dedicando recursos para testar seus produtos a fim de encontrar proativamente essas vulnerabilidades e trabalhar para resolvê-las.
Para ajudar a indústria em geral, as organizações CNI devem implementar um sistema para coletar automaticamente informações sobre vulnerabilidades divulgadas e compará-las com seu próprio ICS. No entanto, isso só pode ser eficaz se todos os fornecedores estiverem abertos sobre suas vulnerabilidades e dispostos a compartilhá-las.
Proteger o ICS nem sempre é fácil
Os ICS são, por natureza, sistemas complexos e multifacetados e não há uma solução simples para mitigar todas as vulnerabilidades presentes. Em vez disso, é necessária uma abordagem em várias camadas.
Como mostra nossa pesquisa, a CNI e as principais indústrias de manufatura devem tomar medidas para proteger as conexões de acesso remoto. Isso agora é mais importante do que nunca, já que um grande número de trabalhadores tem que operar sistemas remotamente devido às restrições de desligamento do COVID-19.
Devem ser introduzidas permissões de acesso granular para permitir que os funcionários usem apenas as funções exatas necessárias para realizar seus trabalhos para evitar que os agentes da ameaça se movam facilmente pela rede, pulando de um dispositivo para outro. Controlando essas permissões com autenticação multifator (MFA), as organizações podem impedir hackers que usam técnicas como força bruta para quebrar senhas e obter acesso à rede. O MFA também ajuda a mitigar alguns dos perigos representados pela engenharia social, na qual os agentes de ameaças usam e-mails e sites falsos para fazer com que os funcionários revelem suas credenciais de login. Para reduzir ainda mais o perigo de ameaças com base na engenharia social, os funcionários também devem ser treinados sobre como detectar e-mails maliciosos e o que fazer se eles receberem um.
Além disso, a colaboração entre as equipes de segurança de TI e OT é vital para manter todo o ambiente ICS seguro. Desta forma, qualquer vulnerabilidade na rede de TI pode ser analisada para determinar se ela terá algum impacto na OT e vice-versa. Essa capacidade só pode ser eficaz se você tiver uma visão unificada das redes de OT e TI, bem como especialistas que entendam as nuances entre elas.
Como a conectividade entre OT e TI inevitavelmente aumenta devido às demandas por maior eficiência, o mesmo acontecerá com as vulnerabilidades potenciais que precisam ser mitigadas. Portanto, agora é mais importante do que nunca que as equipes de segurança que trabalham na CNI implementem medidas que lhes permitam detectar e responder com rapidez e eficácia a qualquer ameaça, seja ela na rede de TI ou OT.