Os suportes amovíveis continuam a ser um dos vectores de ataque mais comuns em ambientes OT (tecnologia operacional) e ICS (sistema de controlo industrial). Uma recente publicação especial emitida pelo NIST (National Institute of Standards and Technology), NIST SP 1334, fornece recomendações práticas para organizações que operam OT e ICSs. Intitulado "Reduzir os riscos de cibersegurança dos Media de armazenamento portáteis em ambientes OT", o documento inclui diretrizes para reduzir os riscos de cibersegurança relacionados com a utilização de dispositivos periféricos e de suportes amovíveis.
De acordo com um Relatório de Cibersegurança ICS/OT de 2025 da SANS, 27% dos ataques foram iniciados por suportes amovíveis e dispositivos transitórios comprometidos. Em ambientes com ar condicionado, os suportes portáteis são frequentemente utilizados para transferir dados como actualizações de firmware, ficheiros de configuração e registos. Isto aumenta o risco de malware, explorações de dia zero e adulteração da cadeia de fornecimento, contornando as defesas existentes. O NIST SP 1334 tem como objetivo ajudar os operadores e fabricantes de OT a gerir os riscos associados aos suportes de armazenamento portáteis, incluindo USBs, cartões SD e discos rígidos portáteis, em ambientes OT/ICS.
Porque é que é importante para os ambientes OT
Ao contrário dos ambientes de TI, os ambientes OT/ICS enfrentam frequentemente desafios e restrições no que diz respeito à cibersegurança devido aos requisitos comuns de isolamento e segregação da rede. O alinhamento das práticas de cibersegurança com as diretrizes do NIST SP 1334 ajuda as organizações a reduzir a superfície de ataque, a apoiar as suas medidas de proteção de defesa em profundidade e a controlar melhor a utilização e as transferências de ficheiros através de suportes portáteis.
Os desafios mais comuns para os ambientes OT/ICS incluem:
- Utilização de sistemas antigos: Muitos dispositivos e sistemas OT ainda dependem de sistemas antigos que não possuem medidas modernas de cibersegurança e já não podem ser actualizados. A substituição destes sistemas pode ser dispendiosa e fora de alcance.
- Requisitos de alta disponibilidade: O tempo de inatividade e as interrupções de serviço podem causar danos físicos, riscos de segurança ou enormes perdas operacionais.
- Operação em ambientes com barreiras de ar: As redes OT são muitas vezes segregadas, isoladas ou com air-gap, introduzindo limitações às defesas baseadas em rede.
- Utilização inevitável de Media amovíveis: A utilização de suportes amovíveis é muitas vezes inevitável para actualizações de software, diagnósticos e transferência de dados.
Principais conclusões do NIST SP 1334
O NIST SP 1334 dá ênfase aos controlos em camadas em quatro domínios-chave: processual, físico, técnico e de transporte.
Controlos processuais
As organizações devem desenvolver políticas claras para gerir a utilização de suportes de dados. Estas incluem a aquisição de suportes de dados pertencentes à organização com encriptação de hardware (certificada por FIPS), a proibição de dispositivos não autorizados e o estabelecimento de procedimentos rigorosos para o aprovisionamento, higienização e eliminação de suportes de dados. O registo dos detalhes de utilização, como a identidade do utilizador, o número de série do dispositivo e os carimbos de data/hora, e a formação do pessoal sobre as políticas também são essenciais.
Controlos físicos
Os controlos físicos nas diretrizes NIST SP 1334 incluem o armazenamento de suportes de dados portáteis num local fisicamente seguro e com acesso controlado, bem como a inventariação e rotulagem de suportes de dados aprovados com detalhes de utilização como parte fundamental do seu programa de gestão de activos para minimizar o risco.
Controlos técnicos
As organizações são aconselhadas a estabelecer controlos técnicos para a proteção dos suportes de dados. Estes controlos incluem a desativação de portas desnecessárias, a utilização de listas de permissões para restringir a execução de dispositivos e ficheiros, a análise de suportes de dados antes e depois da utilização, a reformatação de dispositivos antes da reutilização, a ativação da proteção contra escrita para ficheiros só de leitura, a desativação da execução automática, a utilização de dispositivos encriptados e a configuração de alertas para actividades de suportes de dados amovíveis.
Controlos de transporte e higienização
São necessários controlos físicos e lógicos adicionais para mitigar o risco do transporte de suportes de dados. Estes controlos incluem a utilização de encriptação ou de contentores trancados para o transporte interno seguro, a realização de verificações de hash ou de soma de verificação ao transferir ficheiros entre partes e a realização de uma higienização completa (conforme descrito no NIST SP 800-88, Revisão 2) antes de eliminar os suportes de dados.
Como OPSWAT ajuda a prevenir ataques a periféricos e Media amovíveis
OPSWAT oferece uma gama de soluções concebidas para proteger ambientes OT críticos contra ameaças de periféricos e suportes amovíveis. Estas soluções ajudam as organizações a alcançar a conformidade com as diretrizes regulamentares, incluindo NIST, ISA/IEC 62443, NEI 18-08, NERC CIP, ISO27001, ANSSI, NIS2 e GDPR.
Mitigação de ameaças Media amovíveis no ponto de entrada
Projetado para proteger os ambientes mais desafiadores, MetaDefender Kiosk™ escaneia e higieniza mídias removíveis no ponto de entrada de ambientes com air-gap, protegendo os fluxos de dados em sistemas OT. MetaDefender Kiosk também ajuda as organizações a aumentar a resiliência operacional, reduzindo o risco de tempos de paragem não planeados, interrupções de produção e incidentes de segurança. Foi reconhecido como parte da DeltaV Silver Alliance da Emerson, comprovando a sua eficácia em vários ambientes e casos de utilização.
Proteção de Endpoint e controlo de dispositivos antes da execução
MetaDefender Endpoint™ reforça a segurança dos terminais e fornece proteção avançada para ambientes operacionais. Analisa e detecta ativamente os suportes amovíveis e periféricos aquando da sua inserção, antes de se tornarem acessíveis aos sistemas críticos. Esta capacidade ajuda as organizações a alinharem-se com os requisitos de cibersegurança para suportes de armazenamento portáteis descritos no NIST SP 1334. Também permite que os utilizadores apaguem dados de suportes amovíveis de forma segura, ajudando a cumprir os requisitos de higienização de suportes das normas.
Monitorização da proteção a partir de um único painel de vidro
Quando integrados com o My OPSWAT™ Central Management, MetaDefender Endpoint e MetaDefender Kiosk suportam a aplicação centralizada de políticas para controlar o acesso aos dispositivos, monitorizar e gerir a utilização de suportes portáteis e o registo de actividades.
Validação Media como camada extra de defesa
OPSWAT também oferece uma gama de soluções para melhorar a sua estratégia de defesa em profundidade. MetaDefender Endpoint Validation, OPSWAT Media Validation Agent e MetaDefender Media Firewall™ fornecem uma camada adicional de segurança, aplicando políticas de digitalização e sanitização.
MetaDefender Endpoint Validation e o OPSWAT Media Validation Agent são ferramentas leves instaladas nos endpoints que funcionam tanto em ambientes air-gapped como em ambientes conectados. Servem como ponto de verificação para garantir que apenas os ficheiros analisados pelo MetaDefender Kiosk podem ser abertos, copiados, selecionados e acedidos pelo terminal.
MetaDefender Media Firewall é uma solução de hardware plug-and-play para proteger os sistemas anfitriões críticos contra ameaças transportadas por suportes amovíveis. Funciona com o MetaDefender Kiosk como uma camada física fácil de usar para proteger os ambientes OT e garantir que nenhum suporte amovível não digitalizado possa contornar os pontos de entrada. Esta solução também ajuda as organizações a aplicar políticas de digitalização que se alinham com as normas de conformidade regulamentar.
Tecnologias de Core líderes na indústria
MetaDefender Kiosk e MetaDefender Endpoint são alimentados por tecnologias líderes de mercado e de confiança mundial, incluindo:
- Metascan™ Multiscanning: Atinge até 99,2% de taxas de deteção de malware com mais de 30 mecanismos anti-malware
- Deep CDR™: Sanitiza recursivamente os ficheiros para remover potenciais ameaças sem comprometer a sua funcionalidade para evitar ameaças desconhecidas, incluindo explorações de dia zero, com mais de 200 tipos de ficheiros suportados
- File-Based Vulnerability Assessment: Detecta vulnerabilidades conhecidas com mais de 3.000.000 de pontos de dados recolhidos de dispositivos activos e mais de 30.000 CVEs associados com informações de gravidade
- Proactive DLP™: Utiliza modelos alimentados por IA para localizar e redigir automaticamente informações sensíveis como PII, PHI, PCI em mais de 110 tipos de ficheiros
- País de origem: Detecta a origem geográfica dos ficheiros para identificar locais e fornecedores restritos, apoiando a conformidade regulamentar
Proteger as infra-estruturas críticas contra ataques a Media amovíveis
Descubra porque é que as organizações de infra-estruturas críticas confiam nas soluções da OPSWATpara fortificar os seus ambientes OT/ICS contra ameaças periféricas e de suportes amovíveis. Agende uma demonstração hoje mesmo falando com um de nossos especialistas.
