Orientações recentes do FBI (Federal Bureau of Investigation) e da Cybersecurity and Infrastructure Security Agency (CISA) destacam uma ameaça urgente e em constante evolução aos ambientes de OT. Num aviso conjunto, as agências alertaram que agentes maliciosos ligados ao Irão têm explorado ativamente controladores lógicos programáveis (PLCs) ligados à Internet em setores de infraestruturas críticas dos EUA, incluindo sistemas de água e de tratamento de águas residuais, energia e instalações governamentais. O comunicado, AA26-097A, destaca um padrão que muitos no setor há muito suspeitavam, mas que agora está a ser observado em incidentes reais: estes agentes já não dependem de vulnerabilidades de software ou de explorações de dia zero para afetar ambientes industriais. Em vez disso, estão a aproveitar vias de acesso legítimas, protocolos industriais nativos e ferramentas de engenharia padrão para interagir diretamente com os sistemas de controlo.
Caminhos de controlo expostos, não vulnerabilidades
São as vias de controlo expostas, e não as vulnerabilidades não corrigidas, que constituem o principal risco para os ambientes OT. As estratégias tradicionais centradas na identificação de vulnerabilidades, na aplicação de correções aos sistemas e na monitorização de comportamentos maliciosos continuam a ser importantes, mas o último aviso deixa claro: se um atacante conseguir aceder ao seu ambiente OT, poderá agir dentro dele.
Em vários casos observados, os atacantes conseguiram ligar-se diretamente a PLCs ligados à Internet utilizando portas de comunicação industrial padrão , tais como 44818, 2222, 102 e 502. Recorrendo a software de engenharia amplamente disponível, estabeleceram sessões válidas com estes dispositivos e interagiram com eles como se fossem operadores autorizados.
A distinção entre «acessível» e «vulnerável» representa uma mudança fundamental. A questão já não se resume apenas a saber se um sistema é vulnerável, mas sim se é acessível. Se for possível aceder a um sistema de controlo através de uma rede, é possível controlá-lo. E se for possível controlá-lo, é possível perturbá-lo.
Como são executados os ataques OT modernos
O padrão de ataque descrito no aviso segue um percurso simples:
- Acesso inicial: exposição de PLCs ou sistemas OT a redes externas, seja diretamente ou através de vias de acesso remoto, como VPNs ou servidores intermediários
- Interação através de meios legítimos: A partir daí, os atacantes utilizam ferramentas de engenharia legítimas, como o Studio 5000 Logix Designer, para estabelecer ligações com o dispositivo. Utilização de estações de trabalho de engenharia, ferramentas do fornecedor ou protocolos nativos (por exemplo, Modbus, EtherNet/IP)
- Execução:
- Alteração da lógica de controlo
- Carregamento/transferência de ficheiros de projeto
- Emissão de comandos para processos físicos
- Impacto: perturbações operacionais, riscos de segurança e potenciais perdas financeiras
O que torna esta abordagem eficaz é o facto de contornar muitos controlos de segurança tradicionais. Não existe nada de natureza «maliciosa» ao nível do protocolo ou da ferramenta que possa desencadear a deteção.
Os controlos tradicionais já não são suficientes
Atualmente, a maioria dos ambientes de TI recorre a uma combinação de firewalls, VPNs, estratégias de segmentação e controlos de acesso remoto. Embora necessárias, estas medidas apresentam limitações inerentes:
- As firewalls dependem de uma configuração correta e de uma gestão adequada das regras; além disso, permitem os protocolos necessários por definição.
- As VPNs e o acesso remoto dependem da integridade das credenciais
- Os sistemas de deteção/monitorização entram em funcionamento após o acesso já ter sido estabelecido
Nos cenários destacados pela CISA, os atacantes não precisaram de contornar esses controlos no sentido convencional. Limitaram-se a utilizar o acesso que já existia.
É por isso que o comunicado dá grande ênfase à eliminação de exposições desnecessárias e ao reforço da segmentação da rede.
Combinação de segmentação e isolamento determinístico
A segmentação é, há muito tempo, uma prática recomendada, mas nem todas as formas de segmentação são iguais.
A segmentação lógica, aplicada através de software e políticas, pode reduzir o risco, mas não o elimina. Erros de configuração, comprometimento de credenciais ou vias de acesso indiretas podem ainda criar ligações indesejadas entre os ambientes de TI e de OT.
O que é necessário em ambientes de alto risco é o isolamento determinístico.
Eliminar a via de ataque através da comunicação unidirecional
Uma abordagem mais eficaz consiste em eliminar completamente a possibilidade de acesso de entrada.
Os díodos de dados garantem uma comunicação unidirecional baseada em hardware entre redes. Isto permite que os dados operacionais saiam do ambiente de controlo para fins de monitorização, análise ou conformidade, tornando tecnicamente impossível que quaisquer dados, comandos ou ligações voltem a entrar.
No contexto dos padrões de ataque descritos pela CISA, isto tem um impacto direto:
- Nenhum comando remoto consegue chegar aos PLCs
- Nenhuma ferramenta de engenharia pode estabelecer ligação a partir de redes externas
- Nenhum malware ou tráfego não autorizado pode entrar no ambiente de controlo
Não se trata de detetar ou bloquear atividades maliciosas. Trata-se de eliminar completamente a possibilidade de que isso aconteça.
Em conformidade com as recomendações da CISA
As orientações de mitigação da CISA destacam três medidas fundamentais:
- Retirar os recursos de TI da exposição direta à Internet
- Reforço da separação entre as redes de TI e de OT
- Restringir e controlar o acesso remoto
As arquiteturas de comunicação unidirecional concretizam estas recomendações com um nível de segurança mais elevado, garantindo que os sistemas de controlo críticos não sejam acessíveis, mesmo que as redes a montante sejam comprometidas.
Repensar OT Security: da defesa ao design
O Parecer AA26-097A defende que os pressupostos defensivos devem evoluir a par das ameaças a que se destinam. Se os atacantes já não precisam de explorar vulnerabilidades, então concentrar-se exclusivamente na deteção e na prevenção é insuficiente. A prioridade deve passar a recair sobre controlos arquitetónicos que eliminem classes inteiras de risco. Tornar os sistemas OT inacessíveis a partir de redes externas é um desses controlos.
Priorizar a segurança
O último aviso da CISA sublinha uma realidade que as organizações já não podem ignorar:
- A exposição equivale a risco em ambientes de terapia ocupacional
- À medida que os atacantes recorrem cada vez mais ao acesso legítimo e às funcionalidades nativas, a defesa mais eficaz não consiste apenas num melhor monitorização ou em políticas mais rigorosas, mas sim na eliminação total da conectividade desnecessária.
- Conceber ambientes de TI de forma a torná-los inacessíveis por definição já não é apenas uma boa prática teórica. Está a tornar-se um requisito prático para garantir a resiliência operacional.
