Recurso patrocinado A conectividade com a Internet mudou tudo, incluindo os ambientes industriais da velha guarda. À medida que as empresas modernizam suas operações, estão conectando mais máquinas à web. É uma situação que está criando preocupações de segurança claras e atuais, e o setor precisa de novas abordagens para lidar com elas.
A adoção da Internet das Coisas Industrial (IIoT) está avançando rapidamente. Estudos da Inmarsat descobriu que 77% das organizações pesquisadas implantaram totalmente pelo menos um projeto de IIoT, com 41% delas fazendo isso entre os segundos trimestres de 2020 e 2021.
A mesma pesquisa também alertou que a segurança era a principal preocupação das empresas que embarcavam em implantações de IIoT, com 54% dos entrevistados reclamando que isso os impedia de usar seus dados de maneira eficaz. Metade também citou o risco de ataques cibernéticos externos como um problema.
As soluções de IIoT são fundamentais para a convergência de TI e OT (tecnologia operacional). As plataformas OT, geralmente sistemas de controle industrial (ICS), ajudam as empresas a gerenciar seus dispositivos físicos, como prensas e correias transportadoras que alimentam a produção industrial ou as válvulas e bombas que mantêm o fluxo de água municipal.
Ao fazer isso, eles geram grandes quantidades de dados que são úteis para fins de análise. Mas colocar essas informações nas ferramentas corporativas apropriadas significa preencher a lacuna entre TI e TO.
Os operadores também querem que esses sistemas OT sejam acessíveis remotamente. Dar aos aplicativos de TI convencionais a capacidade de controlar esses dispositivos significa que eles podem ser vinculados aos mesmos processos de back-end definidos nos sistemas de TI. E permitir o acesso remoto para técnicos que não podem ou não querem fazer uma viagem de ida e volta de vários quilômetros apenas para fazer uma mudança operacional também pode economizar tempo e dinheiro.
Essa necessidade de acesso remoto acentuou-se durante a crise do COVID-19, quando o distanciamento social e as restrições de viagem impediram os técnicos de fazer qualquer visita ao local. A Inmarsat descobriu que a pandemia foi a causa raiz da adoção acelerada da IIoT, por exemplo, com 84% relatando que eles aceleraram ou acelerarão seus projetos como uma resposta direta à pandemia.
Assim, para muitos, a convergência de TI e OT é mais do que apenas conveniente; é essencial. Mas também criou uma tempestade perfeita para as equipes de segurança. Um sistema ICS acessível externamente aumenta a superfície de ataque para hackers.
Ataques ICS em ação
Às vezes, essa convergência de TI/OT pode ser tão simples quanto alguém instalando software de acesso remoto em um PC em uma instalação. Essa é a configuração que permitidas hackers a sistemas de controle de acesso por meio da instalação de uma ferramenta de acesso remoto na usina municipal de água em Oldsmar, Flórida, em 2021, antes de tentar envenenar os moradores locais com hidróxido de sódio. O PC comprometido pelo invasor tinha acesso ao equipamento OT na fábrica. O xerife da cidade informou que o intruso invisível havia arrastado o cursor do mouse na frente de um de seus trabalhadores.
Não está claro o que levou os hackers a tentar envenenar moradores inocentes da Flórida, mas alguns ataques têm motivos financeiros. Um exemplo é o ataque de ransomware EKANS que acertar Honda em junho de 2020, encerrando as operações de fabricação no Reino Unido, nos EUA e na Turquia.
Os invasores usaram o ransomware EKANS para atingir servidores internos da empresa, causando grandes interrupções em suas fábricas. Em um análise do ataque, a empresa de segurança cibernética Darktrace explicou que o EKANS era um novo tipo de ransomware. Os sistemas de ransomware que visam redes OT normalmente o fazem atingindo primeiro o equipamento de TI e depois girando. O EKANS é relativamente raro, pois visa diretamente a infraestrutura ICS. Ele pode atingir até 64 sistemas ICS específicos em sua cadeia de eliminação.
Especialistas acreditam que outros ataques do ICS sejam patrocinados pelo Estado. O malware Triton, direcionado pela primeira vez a plantas petroquímicas em 2017, é ainda uma ameaça segundo o FBI, que atribui os ataques a grupos russos apoiados pelo Estado. Esse malware é especialmente desagradável, de acordo com o Bureau, porque permitiu danos físicos, impacto ambiental e perda de vidas.
As soluções de segurança padrão não funcionarão aqui
As abordagens tradicionais de segurança cibernética não são eficazes para resolver essas vulnerabilidades de OT. As empresas podem usar ferramentas de segurança de endpoint, incluindo antimalware, para proteger seus PCs. Mas e se o endpoint fosse um controlador lógico programável, uma câmera de vídeo habilitada para IA ou uma lâmpada? Esses dispositivos geralmente não têm a capacidade de executar agentes de software que possam verificar seus processos internos. Alguns podem não ter CPUs ou instalações de armazenamento de dados.
Mesmo que um dispositivo IIoT tivesse a largura de banda de processamento e os recursos de energia para dar suporte a um agente de segurança integrado, os sistemas operacionais personalizados que eles usam provavelmente não dariam suporte a soluções genéricas. Os ambientes IIoT geralmente usam vários tipos de dispositivos de diferentes fornecedores, criando um portfólio diversificado de sistemas não padronizados.
Depois, há a questão da escala e distribuição. Administradores e profissionais de segurança acostumados a lidar com milhares de PCs padrão em uma rede encontrarão um ambiente IIoT, onde os sensores podem chegar a centenas de milhares, muito diferentes. Eles também podem se espalhar por uma área ampla, especialmente à medida que os ambientes de computação de ponta ganham força. Eles podem limitar suas conexões à rede em alguns ambientes mais remotos para economizar energia.
Avaliando estruturas tradicionais de proteção ICS
Se as configurações convencionais de segurança de TI não conseguem lidar com esses desafios, talvez as alternativas centradas em OT consigam? O modelo padrão é o modelo de segurança cibernética Purdue. Criado na Purdue University e adotado pela International Society of Automation como parte de seu padrão ISA 99, ele define vários níveis que descrevem o ambiente de TI e ICS.
O nível zero lida com as máquinas físicas – os tornos, prensas industriais, válvulas e bombas que fazem as coisas. O próximo nível envolve os dispositivos inteligentes que manipulam essas máquinas. Esses são os sensores que transmitem informações das máquinas físicas e os atuadores que as acionam. Em seguida, encontramos os sistemas de controle supervisório e aquisição de dados (SCADA) que supervisionam essas máquinas, como controladores lógicos programáveis.
Esses dispositivos se conectam aos sistemas de gerenciamento de operações de fabricação no próximo nível, que executam fluxos de trabalho industriais. Essas máquinas garantem que a planta continue operando de forma otimizada e registram seus dados de operação.
Nos níveis superiores do modelo Purdue estão os sistemas corporativos que repousam diretamente no domínio da TI. O primeiro nível contém os aplicativos específicos da produção, como o planejamento de recursos empresariais que trata da logística de produção. Em seguida, no nível mais alto está a rede de TI, que coleta dados dos sistemas ICS para gerar relatórios de negócios e tomada de decisões.
Antigamente, quando nada falava com nada fora da rede, era mais fácil gerenciar ambientes ICS usando essa abordagem porque os administradores podiam segmentar a rede ao longo de seus limites.
Uma camada de zona desmilitarizada (DMZ) foi deliberadamente adicionada para dar suporte a esse tipo de segmentação, localizada entre as duas camadas corporativas e as camadas ICS mais abaixo na pilha. Ele atua como um espaço aéreo entre a empresa e os domínios ICS, usando equipamentos de segurança, como firewalls, para controlar o tráfego entre eles.
Nem todo ambiente de TI/OT terá essa camada, já que a ISA a introduziu recentemente. Mesmo aqueles que enfrentam desafios.
Os ambientes operacionais de hoje são diferentes dos da década de 1990, quando o modelo Purdue evoluiu e a nuvem como a conhecemos não existia. Os engenheiros desejam fazer login diretamente nas operações de gerenciamento no local ou nos sistemas SCADA. Os fornecedores podem querer monitorar seus dispositivos inteligentes nos sites dos clientes diretamente da Internet. Algumas empresas desejam transferir toda a sua camada SCADA para a nuvem, como a Severn Trent Water decidido fazer em 2020.
A evolução do ICS como serviço (ICSaaS), gerenciado por terceiros, turvou ainda mais as águas para as equipes de segurança que lidam com a convergência de TI/OT. Todos esses fatores correm o risco de abrir vários buracos no ambiente e contornar quaisquer esforços anteriores de segmentação.
Cortando toda a bagunça emaranhada
Em vez disso, algumas empresas estão adotando novas abordagens que vão além da segmentação. Em vez de depender de limites de rede que desaparecem rapidamente, eles examinam o tráfego no nível do dispositivo em tempo real. Isso não está muito longe das propostas originais de desperimetrização avançadas pelo Fórum de Jericho do Open Group no início dos anos XNUMX, mas analisar o tráfego em tantos pontos diferentes da rede era difícil. Hoje, os defensores são mais capazes de manter um olhar atento graças ao advento da IA.
Darktrace é aplicação alguns desses conceitos dentro de seu Sistema Imunológico Industrial. Em vez de observar assinaturas maliciosas conhecidas nas fronteiras dos segmentos de rede, ele começa aprendendo o que é normal em todos os ambientes de TI e OT, incluindo qualquer parte desse ambiente hospedada na nuvem.
Estabelecendo uma linha de base evolutiva de normalidade, o serviço analisa todo o tráfego em busca de atividades que estejam fora dela. Ele pode alertar administradores e analistas de segurança sobre esses problemas, pois fez para um cliente de fabricação europeu.
O serviço também é autônomo. Quando um cliente confia em suas decisões o suficiente para acionar o interruptor, o Sistema Imunológico pode passar de um mero alerta para uma ação proporcional. Isso pode significar bloquear certas formas de tráfego, impor o comportamento normal de um dispositivo ou, em casos graves, colocar todos os sistemas em quarentena, incluindo equipamentos nas camadas OT/ICS.
Os executivos da Darktrace esperam que essa mudança para um modelo mais granular de análise de tráfego constante e onipresente, combinada com avaliação em tempo real contra o comportamento normal conhecido, ajude a impedir a crescente onda de ataques cibernéticos de ICS. Espera-se que isso também permita que as empresas se tornem mais ágeis, suportando acesso remoto e iniciativas de ICS baseadas em nuvem. No futuro, você não terá que arriscar alguém apagando as luzes em sua busca para mantê-las acesas.
Patrocinado por Darktrace
- AI
- arte ai
- gerador de arte ai
- ai robô
- inteligência artificial
- certificação de inteligência artificial
- inteligência artificial em bancos
- robô de inteligência artificial
- robôs de inteligência artificial
- software de inteligência artificial
- blockchain
- conferência blockchain ai
- Coingenius
- inteligência artificial conversacional
- conferência de criptografia ai
- dall's
- deep learning
- google ai
- aprendizado de máquina
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- escala ai
- sintaxe
- O registro
- zefirnet
