OPSWAT infraestruturas críticas; no entanto, tal proteção não se limita ao que os governos definem como «infraestruturas críticas», mas sim ao que o utilizador considera crítico.
No centro dessa infraestrutura estão os dados críticos – dados que garantem operações seguras, estáveis e contínuas.
Nos ambientes de ICS (SistemasIndustrial ) e OT, estes dados refletem as funções e os processos essenciais da empresa. No entanto, quando ocorre um incidente cibernético, uma das principais prioridades passa a ser a contenção.
O dilema da contenção
O primeiro passo na contenção consiste em isolar os sistemas afetados e interromper as vias de conectividade que possam propagar o ataque. As orientações da CISA (Agência de Cibersegurança e Segurança das Infraestruturas) sobre a resposta a ransomware, por exemplo, recomendam explicitamente o isolamento imediato dos sistemas afetados e a desconexão dos dispositivos, sempre que possível(1). Trata-se de um conselho sensato – mas, em ambientes industriais, pode criar um dilema operacional:
| A segurança exige separação | As operações precisam de visibilidade |
|---|---|
| Impedir o movimento lateral | Os sistemas continuam a funcionar em segurança? |
| Acabar com o modelo de comando e controlo | Os sistemas estão estáveis ou a apresentar desvios fora dos limites de tolerância? |
| Impedir a propagação | Devemos encerrar as atividades ou podemos continuar a operar sem incidentes? |
Os díodos óticos eliminam qualquer margem para dúvidas
Um díodo de dados ótico permite que as organizações desativem vias bidirecionais, tais como firewalls, VPNs, acesso remoto e relações de confiança, sem impedir que os dados críticos de telemetria sejam transmitidos para o exterior. Este método proporciona um mecanismo para o acompanhamento dos processos, maior segurança e uma melhor tomada de decisões com base em dados em tempo real.
Core
Embora se «feche a porta» entre as redes de TI e OT durante a contenção, ainda é possível deixar uma «abertura» para que os dados de processo em modo de leitura saiam do ambiente OT – tudo isto sem criar uma via de rede de regresso.
A contenção, enquanto parte da resposta a incidentes (IR), está em conformidade com as orientações de longa data do NIST em matéria de segurança das tecnologias operacionais (OT). O NIST refere que uma alternativa a uma firewall é um gateway unidirecional ou um diodo de dados que permite apenas comunicações autorizadas e configuradas num único sentido(2).
O que acontece quando tudo fica escuro
Como é possível gerir a produção sem automação e infraestruturas? Um exemplo frequentemente citado de «contenção através da desconexão» é o incidente de ransomware da Norsk Hydro em 2019, no qual a empresa bloqueou o acesso à rede para impedir a propagação e recorreu a processos manuais durante algum tempo. O ransomware LockerGoga afetou mais gravemente algumas das suas fábricas de processamento de alumínio, e o impacto financeiro chegaria a ultrapassar os 71 milhões de dólares. Funcionários aposentados da fábrica, que conheciam o antigo sistema em papel, ofereceram-se para regressar às suas fábricas para manter a produção em funcionamento(3).
É importante compreender este caso, pois ilustra os custos operacionais e financeiros decorrentes da perda de conectividade digital e de visibilidade centralizada dos processos automatizados durante a resposta a incidentes. Foi a decisão certa.
Visibilidade de nível de decisão com contenção
Em muitas organizações industriais, a visibilidade dos processos depende do fluxo de dados provenientes de fontes OT, tais como:
- Servidores OPC UA (valores em tempo real, alarmes, dados contextualizados)
- Os historiadores apreciam o AVEVA PI (séries temporais + eventos + contexto do Asset Framework)
Durante a contenção, é comum desativar firewalls e regras ou bloquear o acesso remoto para impedir que os dados de telemetria da OT se liguem às ferramentas da empresa. Uma arquitetura de díodos altera esse modo de falha:
- Pode desativar as regras do firewall/servidor para o tráfego de entrada de risco.
- Ainda é possível obter dados de telemetria unidirecionais para manter a consciência situacional e agilizar a triagem de incidentes em tempo real.
- Se estiver a utilizar outras ferramentas de visibilidade que dependem da visibilidade do tráfego de rede para a deteção de ameaças, pode manter esses dados a circular através de um diodo
Exemplo de cenário
Incidente
Um ransomware ataca a rede da empresa. A equipa de resposta a incidentes isola e desativa o tráfego entre as redes de TI e OT para evitar a contaminação da infraestrutura de OT.
Problema
As equipas centrais perdem o acesso aos painéis de controlo de OT e às visualizações do histórico que proporcionam visibilidade do ambiente, permitindo responder às perguntas: «É seguro? É estável?»
Com um díodo, a OT continua a transmitir dados de telemetria apenas para leitura para uma rede de receção, onde a direção do SOC/operações pode visualizar as principais tendências, alarmes e dados de segurança – sem qualquer comunicação de controlo de volta para o ambiente OT.
Embora um diodo não «resolva o problema do ransomware» (consulte as tecnologias preventivas do MetaDefender Core), este reduz o alcance do impacto ao impedir o acesso à rede proveniente de zonas de maior risco, mantendo simultaneamente um nível mínimo de visibilidade operacional.
Dados práticos a enviar
Para manter a eficácia operacional, defina um conjunto de dados de visibilidade de crises na fase de planeamento do seu plano de resposta a incidentes. Inclua dados como:
- Valores de processo críticos para a segurança (pressão, temperatura, níveis, bloqueios)
- Indicadores de modo/estado (automático/manual, permissivo, disparos)
- Resumos de alarmes (contagens + alarmes mais frequentes)
- Telemetria do estado da rede (switches/roteadores críticos, dispositivos/portas ativos/inativos, dados históricos de estado)
- Contexto mínimo (nomes de ativos/unidades para que as equipas possam interpretar rapidamente)
Referências
1. CISA. https://www.cisa.gov/ransomware-response-checklist; CISA. [Online]
2. NIST. SP800-82r3. NIST. [Online] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r3.pdf.
3. Briggs, Bill. Hackers atacam a Norsk Hydro com ransomware. A empresa respondeu com transparência. Microsoft.com. [Online] 16 de dezembro de 2019. https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/.
