Utilizamos inteligência artificial para as traduções dos sítios e, embora nos esforcemos por garantir a exatidão, estas podem nem sempre ser 100% precisas. Agradecemos a sua compreensão.
APT37, ficheiros LNK e o USB em ambientes isolados
Por
OPSWAT
Partilhar esta publicação
Informações recentes sobre o APT37 destacaram a realidade preocupante de que muitas organizações continuam a considerar as redes isoladas fisicamente como impenetráveis, apesar das evidências em contrário. Quando os adversários não conseguem aceder através de pontos de entrada na rede, recorrem a vetores físicos. Em ambientes industriais, de defesa e de infraestruturas críticas, esse vetor é quase sempre um suporte removível.
USB continuam a ser operacionalmente necessários para tarefas como atualizações de firmware, extração de registos, manutenção por parte do fornecedor e transferência de ficheiros de engenharia. A utilização de ficheiros de atalho LNK maliciosos pelo APT37 constitui um exemplo clássico de como esta superfície de ataque é explorada com um mínimo de complexidade técnica e um impacto operacional máximo.
Por que é que os ficheiros LNK representam uma ameaça significativa para ambientes isolados
Um ficheiro LNK é um atalho nativo do Windows. A sua aparência é indistinguível da de uma pasta ou documento legítimo, um pormenor que um atacante exploraria deliberadamente.
Por trás da sua aparência inofensiva, um ficheiro LNK que tenha sido explorado é capaz de:
Iniciar o PowerShell ou outros interpretadores nativos do sistema
Executar scripts ocultos armazenados no dispositivo removível
Preparação e ativação de cargas úteis sem necessidade de conectividade externa
Aproveitar utilitários de confiança do sistema operativo para evitar a deteção
Nenhuma destas vias de execução requer acesso à rede, aprovação de macros por parte do utilizador ou a presença de um ficheiro binário de malware autónomo. Isto faz com que o próprio atalho seja o mecanismo de propagação da ameaça, o que pode ter um impacto significativo num ambiente isolado. Por exemplo, um operador insere uma USB , clica duas vezes no que parece ser um documento de engenharia comum e a infeção inicia-se silenciosamente no ambiente local, sem disparar alarmes imediatos.
A realidade operacional dos Media removíveis
O problema subjacente não é a existência da tecnologia USB . É a ausência de regulamentação quanto à sua utilização. Em muitos ambientes de OT, a situação atual revela uma lacuna significativa em termos de controlo:
Os suportes removíveis são inseridos diretamente nas estações de trabalho de produção e engenharia sem qualquer verificação prévia
Os ficheiros são abertos sem serem submetidos a qualquer tipo de verificação de conteúdo
Não existe uma visão centralizada sobre quais dados foram transferidos, quando ou por quem
As políticas que regulam os tipos de ficheiros executáveis, tais como ficheiros LNK, EXE ou de script, ou não existem, ou são aplicadas de forma inconsistente
Os autores de ameaças sofisticados não precisam de contornar os controlos técnicos quando as práticas operacionais lhes proporcionam um caminho livre de obstáculos. É esta a diferença entre o APT37 e outros autores semelhantes que exploram ativamente essas falhas.
O pressuposto mais perigoso na segurança de redes operacionais (OT) é que o isolamento físico equivale a proteção. Em todos os ambientes de infraestruturas críticas com os quais já trabalhei, os suportes removíveis são operacionalmente necessários, e é precisamente nessa necessidade que os autores das ameaças apostam. Quando um USB contorna a inspeção e chega a uma estação de trabalho de engenharia, já não se trata de um problema de rede. Trata-se de lidar com as consequências.
Itay Glick
Gerente Geral, Hardware OT Security Hardware OT Security
Por que razão um Kiosk USB Kiosk um elemento de controlo essencial
Confiar na deteção nos terminais após a inserção de um USB num recurso de produção constitui uma abordagem reativa. Em ambientes OT, uma abordagem reativa faz com que seja demasiado tarde para conter uma violação. A abordagem mais adequada do ponto de vista operacional consiste em aplicar a inspeção de conteúdos antes de os suportes removíveis chegarem a qualquer sistema de produção.
Um quiosque USB é uma solução que estabelece um ponto de controlo obrigatório e controlado entre o ambiente externo e a fronteira da rede OT/ICS. Uma vez que os suportes removíveis são processados numa estação de inspeção adequada antes da sua utilização, cada dispositivo é submetido a:
Análise de malware com vários motores para detetar ameaças conhecidas
Desativação e reconstrução do conteúdo dos ficheiros para neutralizar o conteúdo ativo dentro dos ficheiros
Aplicação de políticas relativas aos tipos de ficheiros para impedir a entrada de formatos não aprovados no ambiente
Inspeção ao nível do dispositivo para avaliar a integridade do próprio suporte
Registo abrangente de auditorias para manter uma cadeia de responsabilidade completa para cada transferência
Esta arquitetura separa fisicamente o processo de inspeção dos sistemas de produção, garantindo que os conteúdos de alto risco sejam neutralizados antes de chegarem a qualquer recurso operacional.
Como os quiosques mitigam diretamente as cadeias de ataques baseadas em LNK
Um fluxo de trabalho de quiosque de digitalização devidamente configurado trata, por predefinição, os ficheiros LNK e artefactos semelhantes com capacidade de execução como objetos de alto risco. Em termos operacionais, isto significa:
Os ficheiros de atalhos e de scripts são automaticamente bloqueados na fase de verificação
O conteúdo executável é removido dos tipos de ficheiros aprovados
As estruturas de comando suspeitas incorporadas nos ficheiros são identificadas e neutralizadas
Apenas os tipos de ficheiros explicitamente autorizados podem ser introduzidos no ambiente OT
Se um agente malicioso incorporar uma carga maliciosa num ficheiro LNK, esta é interceptada e neutralizada antes mesmo de o USB chegar a uma estação de trabalho de engenharia. Se a política da organização proibir totalmente os ficheiros de atalho, estes são filtrados no quiosque, e a cadeia de ataque é interrompida antes de poder ser iniciada.
Proteção do perímetro físico
As barreiras físicas oferecem a máxima garantia de segurança quando os controlos são aplicados na camada física. Um quiosque USB proporciona às organizações:
Aplicação centralizada de políticas em instalações e locais operacionais distribuídos
Aplicação consistente de controlos que reduz a dependência do critério individual do utilizador
Visibilidade operacional completa de toda a atividade das unidades removíveis
Documentação preparada para auditoria, em conformidade com os quadros regulamentares e setoriais
Menor exposição ao risco para estações de trabalho de engenharia, sistemas de segurança e outros ativos de alto impacto
Isto é especialmente crítico em ambientes em que um único terminal comprometido pode propagar-se e afetar a continuidade da produção, a segurança do pessoal ou a fiabilidade da rede.
A inspeção antes da inserção não é a melhor prática. É a única prática que colmata a lacuna.
Itay Glick
Gerente Geral, Hardware OT Security Hardware OT Security
Como OPSWAT Secure a Secure infraestrutura crítica
Os ambientes isolados fisicamente não são comprometidos por estarem ligados. São comprometidos porque os suportes removíveis são considerados confiáveis por predefinição. Com campanhas sofisticadas e direcionadas contra infraestruturas críticas, essa suposição por predefinição é um risco que as organizações já não podem continuar a correr. Quando os suportes removíveis fazem parte do seu fluxo de trabalho operacional, as soluções Media Periféricos e Media Removíveis OPSWAT oferecem controlos em várias camadas que colmatam esta lacuna.
MetaDefender Kiosk™: Secure Media Secure no ponto de entrada
Para se defender contra vetores de ataque USB, MetaDefender Kiosk funciona como uma estação de verificação física para proteger os ativos das organizações. Integra-se com soluções e tecnologias comprovadas e líderes do setor para sanitizar os dados antes de estes entrarem em ambientes críticos. Em combinação com soluções como MetaDefender File Transfer™ (MFT) eMedia MetaDefender Media ,Kiosk MetaDefender Kiosk camadas adicionais de defesa que podem ser adicionadas para apoiar transferências seguras de ficheiros e aplicar políticas de verificação.
MetaDefender Endpoint™: Proteção pré-execução e controlo de dispositivos
MetaDefender Endpoint reforça a segurança dos terminais e oferece proteção para dispositivos periféricos e suportes removíveis em ambientes críticos. Deteta e bloqueia ativamente os dispositivos de suportes removíveis até que sejam completamente analisados e verificados como estando livres de ameaças, antes de lhes conceder acesso ao sistema.
Validação Media como camada extra de defesa
OPSWAT soluções adicionais para apoiar uma estratégia de defesa em profundidade, permitindo uma proteção em várias camadas através da validação de suportes de dados e da aplicação de políticas de análise e limpeza.
MetaDefender Media Firewall é uma solução de hardware fácil de utilizar para proteger sistemas host críticos contra ameaças veiculadas por suportes removíveis. Funciona em conjunto com MetaDefender Kiosk uma camada física em ambientes OT para garantir que nenhum suporte removível não verificado consiga contornar os pontos de entrada.
MetaDefender Validation é uma ferramenta leve instalada nos terminais que funciona como um ponto de controlo para garantir que apenas os ficheiros analisados pelo MetaDefender Kiosk ser abertos, copiados, selecionados e acedidos pelo terminal.
Tecnologias líderes no setor
TantoKiosk MetaDefender Kiosk Endpoint MetaDefender Endpoint tecnologias comprovadas e reconhecidas a nível mundial, tais como o Metascan™ Multiscanning, que alcança taxas de deteção de malware de 99,2% através da utilização de mais de 30 motores antimalware. Além disso, recorrem à tecnologia Deep CDR™ para remover proativamente conteúdos maliciosos dos ficheiros sem comprometer a funcionalidade. Para além de realizarem avaliações de vulnerabilidade para identificar falhas de software conhecidas em suportes removíveis e de fornecerem uma proteção robusta contra fugas de dados confidenciais, ambas as soluções oferecem uma defesa profunda e em várias camadas para redes de TI/OT contra ameaças de periféricos e suportes removíveis.
Conclusão para os executivos
O APT37 não conseguiu contornar o isolamento do «air-gap» ao contornar a arquitetura de segurança da rede. Em vez disso, explorou funcionalidades do sistema operativo e fluxos de trabalho relacionados com suportes removíveis, que se encontram inteiramente sob o controlo da organização.
Para fazer face a este desafio, a prevenção deve ocorrer antes de a execução chegar ao ponto final, caso os suportes removíveis façam parte do seu fluxo de trabalho operacional. Na maioria dos ambientes OT/ICS, é esse o caso. Consequentemente, deve ser rigorosamente regulamentada, tal como qualquer controlo do perímetro da rede:
Inspecionar antes da implementação: Nenhum dispositivo deve chegar a um sistema de produção sem uma verificação prévia
Registar antes da transferência: todas as interações com os meios de comunicação devem gerar um registo auditável
Corrigir antes de aceder: o risco deve ser neutralizado na fonte, e não detetado a posteriori
Para saber como OPSWAT ajudá-lo a neutralizar ameaças relacionadas com suportes removíveis e periféricos antes que estas atinjam o seu ambiente crítico, fale hoje mesmo com um especialista.
