Segurança de tecnologia operacional (TO)

Segurança de tecnologia operacional (TO)

A internet das coisas estendida (XIoT) está mudando para melhor a forma como as empresas operam. Dispositivos inteligentes estão possibilitando automação, análise e inovações de maneiras que eram impraticáveis em ambientes puramente mecânicos e analógicos. No entanto, essa mudança traz consigo uma ampla gama de novos vetores de ataque que podem ser explorados por atores de ameaças. Isso representa um desafio particularmente grande na tecnologia operacional (TO), uma subcategoria da XIoT que frequentemente ocupa a interseção entre a indústria e a tecnologia moderna. 

Os ciberataques a sistemas de TO — que muitas vezes são a espinha dorsal da infraestrutura crítica de setores como manufatura, energia e transporte — podem ter consequências devastadoras no mundo real. Por exemplo, a CISA emitiu recentemente um alerta de cibersegurança relacionado a exploits de PLCs (programmable logic controllers, controladores lógicos programáveis) em instalações de água e esgoto. 

As práticas de segurança de TO permitem que as organizações protejam os sistemas de controle responsáveis pelas operações físicas contra ciberataques. Este artigo explora a importância da segurança de TO, seus componentes principais e estratégias práticas eficazes para mitigar os riscos de segurança em TO. 

Entendendo a tecnologia operacional

A tecnologia operacional gerencia processos que interagem com o mundo físico. Por exemplo, um fabricante de automóveis pode construir veículos com soldadores, robôs de montagem e cabines de pintura automatizadas. Os sistemas de TO gerenciam essas máquinas, monitoram continuamente seu desempenho e ajustam as entradas de controle para otimizar a produção. 

Para entender melhor como proteger sistemas de TO, vamos analisar como a TO se compara à TI, exemplos de sistemas de TO e a evolução da TO. 

As diferenças entre TO e TI

Embora frequentemente interajam e façam parte do universo geral da XIoT, os sistemas de TO e de TI envolvem casos de uso e questões de segurança diferentes. As equipes de segurança precisam entender essas diferenças para gerenciar riscos e implementação de forma eficaz.
Sistemas de TI: facilitam a comunicação e a transferência de dados entre dispositivos dentro da rede de uma organização, permitindo o acesso a informações e aplicações compartilhadas. 

• Sistemas de TO: maximizam a produção industrial, mantendo a segurança das pessoas e dos equipamentos. 

Exemplos de sistemas de TO 

A TO é uma categoria ampla que inclui tipos diferentes de dispositivos e tecnologias que monitoram e controlam processos físicos em diversos setores. Exemplos comuns de sistemas de TO incluem:

• CNC (computer numeric control, controle numérico computadorizado): controla a parte móvel de uma máquina individual (por exemplo, um braço de controle, um bico de pulverização de tinta, uma pistola de solda, a posição de abertura de uma válvula etc.).

• PLC: gerencia a operação de uma única máquina, incluindo todas as partes móveis, sua fonte de alimentação e quaisquer outros sistemas complementares.

• DCSs (distributed control system, sistema de controle distribuído): gerencia a operação de máquinas interconectadas que têm um objetivo comum (por exemplo, vários robôs trabalhando em paralelo para pintar um carro). 

• SCADA (supervisory control and data acquisition, sistema de supervisão e aquisição de dados): concentra-se nas operações de uma organização maior (mesmo se for geograficamente distribuída), priorizando a aquisição de dados e a manutenção do controle supervisório, em vez da operação em tempo real. 

Evolução da TO

Historicamente, o objetivo da TO é reduzir a intervenção humana na produção industrial, começando com as máquinas de CNC que permitem o controle preciso das máquinas por meio da lógica computacional. Os primeiros CNCs eram controlados por dispositivos robustos em tempo real isolados da rede externa. Posteriormente, os CNCs evoluíram e passaram a incluir PLCs, DCSs e SCADA, que fornecem capacidades de controle e monitoramento remoto em tempo real via rede. 

Em ambientes modernos, a TO está intimamente ligada à infraestrutura de TI da organização e exposta às mesmas vulnerabilidades. A TI também evoluiu e passou a armazenar e gerenciar os dados acumulados pelos sistemas de TO para aprimorar os processos. Esses dados são então usados para alimentar modelos de IA/machine learning (ML) em operações como detecção de anomalias e manutenção preditiva. 

A importância da segurança TO

A TO situa-se na intersecção entre o mundo físico e o digital, o que torna os sistemas de TO um alvo privilegiado para atores de ameaças sofisticados. Organizações que implementam TO devem ser proativas na prevenção de ataques de segurança que possam interromper processos reais e causar resultados potencialmente catastróficos. 

Riscos e ameaças da TO

Tradicionalmente, os sistemas industriais eram fisicamente isolados e desconectados de redes que pudessem servir como pontos de entrada para invasores. No entanto, o surgimento de sistemas de TO inteligentes resultou na conexão de sistemas de TO e TI, criando uma nova superfície de ataque que as estratégias de segurança da XIoT devem abordar. 

Muitos sistemas de TO são suscetíveis às vulnerabilidades comuns encontradas em sistemas de TI. Grandes ataques documentados, como a notória campanha Stuxnet, exploraram vulnerabilidades como:

• Software desatualizado e não corrigido: muitas vezes, as organizações ignoram a atualização ou a correção de sistemas de TO; em outros casos, os fabricantes deixam de corrigir esses sistemas por longos períodos. Ambas as situações podem deixar os endpoints de TO vulneráveis a exploits conhecidos. 

• Autenticação fraca: a falta de controles de acesso adequados e de plataformas de autenticação robustas oferece uma oportunidade para invasores. 

• Falta de segmentação de rede: a segmentação de rede envolve a separação das redes com base em casos de uso e fluxo lógico de dados, e cada sub-rede atua como uma unidade independente. Sem segmentação de rede, um invasor que obtiver acesso a um dispositivo terá acesso total a todos os outros dispositivos da organização. 

• Gestão deficiente do inventário de ativos: a documentação completa de todos os ativos — incluindo redes conectadas e ativos com os quais se interage durante as operações normais — é um fator de segurança crítico, porém frequentemente negligenciado. 

• Atrito entre as equipes de TO e TI: a maioria dos ataques a sistemas de TO tem origem em sistemas de TI, o que torna imprescindível reduzir o atrito entre essas duas equipes. 

• Fatores humanos: treinamento inadequado, processos falhos e até mesmo intenções maliciosas podem levar a ataques ou facilitar o acesso físico de invasores à rede. 

Impacto dos ataques de segurança na TO

Um ataque de segurança contra um sistema de TO pode causar interrupções ou comportamentos inesperados que impactam diretamente a produção da organização. Para uma organização de manufatura ou logística, cada segundo em que as máquinas estão paradas resulta em perda de receita. Essas interrupções podem afetar o volume de produção, bem como as obrigações contratuais, o que pode causar ainda mais perdas financeiras e danos à reputação.

No entanto, as implicações de um ataque à TO vão muito além da perda de tempo e do volume de produção durante os ataques. Por exemplo, um ataque de à TO em uma empresa de bens de consumo de alta rotatividade poderia resultar em composição química incorreta de um produto alimentício ou em um incidente de segurança no local, devido ao mau funcionamento de um equipamento. Isso pode resultar tanto em violações regulatórias quanto em danos à reputação da organização.

Os três principais componentes da segurança de TO

Um programa eficaz de segurança de TO requer uma abordagem tríplice que assegure que a organização aborde todos os aspectos da cibersegurança dos seus sistemas de TO. 

Avaliação e gerenciamento de risco

Identificar os ativos críticos e as vulnerabilidades da sua organização é o primeiro passo para assumir o controle da segurança da TO. Isso envolve catalogar todos os dispositivos do seu sistema de TO e documentar os pontos de entrada deles na rede, permissões de acesso e quaisquer outros dispositivos complementares que o sistema de TO utilize para operar normalmente. A próxima etapa do gerenciamento de risco é realizar auditorias de segurança e corrigir vulnerabilidades que possam expor os sistemas. 

Além disso, é essencial que as equipes quebrem as barreiras entre a TO e a TI. Compreender a relação entre os ativos nos ambientes de TI e TO é um pré-requisito para a implementação de controles de segurança robustos. 

Adesão aos frameworks e padrões de segurança

Seguir frameworks de segurança bem documentados e revisados por pares agiliza o processo de avaliação e gerenciamento de riscos. Alguns desses frameworks incluem: 

• O CSF (Cybersecurity Framework, Framework de cibersegurança) do NIST: fornece um conjunto de diretrizes voluntárias para melhorar a postura de segurança de uma organização, incentivando o investimento em seis funções principais: governar, identificar, proteger, detectar, responder e recuperar. 

• ISA/IEC 62443: define processos para gerenciar a segurança de TO em sistemas de automação e controle, como funções de usuário, níveis de maturidade de processo, níveis de segurança e segmentação de sistema.

• O modelo Purdue: detalha as práticas recomendadas relevantes para a conexão de sistemas de controle industrial e redes de TI. O modelo Purdue é particularmente relevante para organizações que precisam integrar e proteger sistemas de TI e de TO. 

Planejamento de resposta a incidentes (IR)

A gestão deve desenvolver um plano de resposta a incidentes específico para TO a fim de definir as etapas exatas que a organização deve seguir em resposta a um ataque. Este plano difere do planejamento de resposta a incidentes de TI. Durante seu desenvolvimento, as partes interessadas em TO devem ser responsáveis por ele e trabalhar em estreita colaboração com os colegas de segurança de TI. No entanto, apenas definir o plano não é suficiente; a organização também deve praticá-lo por meio de exercícios e simulações para garantir que ele seja seguido durante um incidente. 

Estratégias para aprimorar a segurança de TO

A segurança de TO exige uma abordagem estratégica que inclua o envolvimento dos níveis hierárquicos mais altos da organização. As quatro estratégias abaixo ajudam as equipes a construir programas de cibersegurança de TO bem-sucedidos e a evitar erros comuns e antipadrões que podem impedir o progresso.  

Colaboração entre as equipes de TI e TO

Com as fronteiras entre TO e TI cada vez mais tênues, as organizações devem fomentar a colaboração entre essas duas equipes. A intenção não é fundi-las em uma equipe só, mas sim fazê-las operar em conjunto, cada uma mantendo suas responsabilidades distintas. A comunicação bidirecional deve ocorrer antes e depois da resposta a incidentes. A criação de equipes multifuncionais, capacitadas pela tecnologia adequada, pode reduzir a lacuna entre as equipes de TI e de TO. 

Entenda a jornada de segurança

Etapas na jornada da cibersegurança 

Atingir a maturidade em segurança não é um evento pontual — é uma jornada que exige compreender onde você está hoje, construir suas capacidades estrategicamente e manter e aprimorar suas práticas de segurança ao longo do tempo. Embora não existam duas jornadas de cibersegurança iguais, a TO apresenta desafios únicos que as organizações devem abordar de forma gradual e progressiva.

Por exemplo, a capacidade de "ver tudo" (ou seja, ter visibilidade sobre todos os ativos internos e externos) é a base da qual todas as outras práticas de segurança dependem. Por isso, a descoberta de ativos é fundamental nas etapas iniciais da jornada de cibersegurança de uma organização. Para conhecer um exemplo prático de como uma organização amadureceu suas práticas de cibersegurança, confira o estudo de caso da jornada de cibersegurança de todo o estado de Nova York. 

Implementação de tecnologias de segurança avançadas

Os sistemas de TO devem possuir firewalls, sistemas de detecção de intrusão, controles robustos de identidade e acesso, proteção de endpoints (por exemplo, detecção e resposta de endpoint (EDR)/plataformas de proteção de endpoint) e sistemas de detecção de ameaças. Devido à enorme variedade de táticas dos invasores, as estratégias tradicionais baseadas em regras já não são eficazes na detecção de intrusões e ameaças. Sistemas de detecção baseados em IA e ML fazem uma grande diferença nesse aspecto. Eles conseguem detectar anomalias e vulnerabilidades e até prever ataques com base em fatores externos. 

Para organizações que não possuem internamente recursos ou capacidades para implementar soluções avançadas de segurança de TO e detectar e responder efetivamente a ameaças, serviços gerenciados de provedores de cibersegurança e provedores de sistemas de controle industrial podem fornecer a expertise necessária a uma fração do custo que o desenvolvimento interno dessas capacidades teria. 

Monitoramento contínuo e inteligência de ameaças

O gerenciamento de riscos é um processo contínuo, e a prevenção é o melhor método de mitigação. O monitoramento em tempo real e a contínua inteligência de ameaças auxiliam na defesa proativa. No entanto, nenhum sistema de prevenção é perfeito, e a visibilidade que permite a detecção rápida quando um ataque ocorre é um componente necessário de uma estratégia de segurança de TO. A inteligência de ameaças e o monitoramento contínuo também podem resolver esse aspecto reativo da proteção de sistemas de TO. Além disso, é fundamental que as organizações implementem detecção e resposta de endpoint (EDR), análise comportamental e resposta automatizada a incidentes. 

Conclusão

Um ataque de segurança de TO pode interromper a produção, causar incidentes de segurança, prejudicar a reputação e levar a perdas financeiras substanciais. As organizações devem priorizar a segurança de TO promovendo a colaboração entre as equipes de TO e TI, implementando monitoramento baseado em IA e em ML e aproveitando a inteligência contínua de ameaças. 

A plataforma CrowdStrike Falcon® enfrenta esses desafios de frente, aprimorando a visibilidade em toda a rede, usando IA e ML para detecção e resposta a ameaças em tempo real e fornecendo proteção de endpoints juntamente com a aplicação automatizada de políticas de segurança, para garantir uma conformidade inabalável.

Descubra como a plataforma Falcon pode transformar a segurança da sua TO: comece hoje mesmo sua avaliação gratuita de 15 dias.