Utilizamos inteligência artificial para as traduções dos sítios e, embora nos esforcemos por garantir a exatidão, estas podem nem sempre ser 100% precisas. Agradecemos a sua compreensão.
Início/
Blogue
/
Navegando no cenário de segurança cibernética de ICS e...
Navegando no cenário de segurança cibernética de redes ICS e OT: Insights e soluções
por
OPSWAT
Partilhar esta publicação
Introdução
No mundo em constante evolução da cibersegurança, as redes de Sistemas de Controlo Industrial (ICS) e de Tecnologia Operacional (OT) representam uma área de preocupação significativa. Estes sistemas não são apenas vitais para a continuidade das operações comerciais, mas são também componentes integrais da infraestrutura crítica de uma nação. A equipa MetaDefender Sandbox daOPSWAT (anteriormente conhecida como Filescan Sandbox) tem vindo a monitorizar diligentemente os riscos ICS/OT e tem observado actividades persistentes e potencialmente de elevado impacto.
O atual cenário de ameaças
Os padrões recentes das ameaças à cibersegurança revelaram uma tendência preocupante de ataques: grupos patrocinados pelo Estado começaram a especializar-se em ICS, como o Sandworm (Rússia) e o Volt Typhoon (China), enquanto os cibercriminosos estão conscientes da gravidade do impacto contra os sistemas industriais. As forças de segurança de todos os sectores reconhecem a importância destas ameaças para todos os sectores da indústria, o que levou à publicação de relatórios e campanhas conjuntos destinados a reforçar a segurança dos ICS.
Problemas persistentes e recomendações
Uma das recomendações de longa data para mitigar esses riscos é reduzir a exposição do sistema. No entanto, a prevalência de sistemas expostos continua a ser uma questão preocupante no panorama da cibersegurança. À medida que as técnicas de reconhecimento e exploração se tornam mais amplamente divulgadas, a ameaça de ataques oportunistas aumenta, permitindo que os agentes de ameaças com menor nível de sofisticação tenham impacto nos sistemas críticos. Um relatório de setembro destacou uma tendência alarmante: Os incidentes de cibersegurança OT/ICS nos últimos três anos ultrapassaram o total registado de 1991 a 2000. Esta estatística, por si só, sublinha os desafios crescentes enfrentados pelos responsáveis pela segurança destes ambientes.
Defender-se da ameaça
Quadros e actualizações
Reconhecendo a necessidade de atenção especializada, a corporação MITRE desenvolveu uma matriz ATT&CK específica para ICS, para fornecer uma linguagem comum para a comunicação inter-setorial e para capacitar os sectores sub-representados a alavancar os seus mapeamentos, promovendo uma comunicação significativa sobre riscos e ameaças. A relativamente nova matriz continua a ser meticulosamente actualizada, tendo a última versão sido lançada no mês passado.
A interligação de IT e OT
A equipa OPSWAT MetaDefender Sandbox , ao mesmo tempo que se mantém a par destas actualizações, enfatiza a ligação intrínseca entre IT e OT, uma vez que os activos IT estão presentes em todos os níveis do Modelo Purdue, e não apenas no topo.
O comprometimento do IT leva a uma OT comprometida. Os inquiridos estão predominantemente preocupados com incidentes ICS que envolveram ameaças de malware ou atacantes que violaram a rede comercial IT . Estas violações permitem muitas vezes o acesso e a articulação no ambiente ICS/OT. Os comprometimentos nos sistemas IT que levaram a ameaças que entraram nas redes OT/ICS foram os mais elevados, seguidos por comprometimentos de estações de trabalho de engenharia e serviços remotos externos.
Relatório de Cibersegurança SANS 2023 ICS/OT
patrocinado por OPSWAT
O denominador comum: Ficheiros maliciosos
Em todo o espetro de ciberataques relacionados com ICS, a presença de ficheiros maliciosos é um fator consistente, independentemente do vetor de entrada - seja IT ou sistemas OT. É aqui que soluções como o MetaDefender Sandbox entram em ação. Estas ferramentas foram concebidas para analisar os ficheiros que atravessam os perímetros definidos da rede de uma organização, adaptadas a diferentes contextos para um desempenho ótimo, incluindo em ambientes com barreiras de ar.
ASandbox Adaptive daOPSWAT combina diferentes conjuntos de indicadores de ameaças utilizando analisadores internos e outros amplamente conhecidos, como as regras Yara. Ambos os ataques anteriormente referidos, do Volt Typhoon e do Sandworm, basearam-se fortemente em binários Living-Off-the-Land (LOLBINS), para os quaisSandbox MetaDefender implementa muitos indicadores. No entanto, o ataque mais antigo representa um bom exemplo da combinação de indicadores devido à disponibilidade de amostras. A primeira carga útil relatada é um script em lote que contém um comando Powershell codificado em base64, que aciona dois indicadores interessantes para este caso, entre outros.
Figura 1 Análise da carga útil do Volt Typhoon Report Link
A origem do indicador anteriormente apresentado é a emulação do script, onde também podem ser observados outros indicadores relevantes. A captura de ecrã seguinte mostra um indicador diferente com maior gravidade, desencadeado a partir do conteúdo base64 descodificado do script. Para além disso, ambos os elementos identificados são devidamente mapeados com as técnicas MITRE ATT&CK correspondentes.
Figura 2 Análise da carga útil do Volt Typhoon Report Link
Além disso, este mesmo ataque envolveu a utilização de amostras do Fast Reverse Proxy que, apesar de estarem embaladas em UPX, o MetaDefender Sandbox conseguiu descompactar, permitindo que vários indicadores adicionais correspondessem ao ficheiro extraído e identificassem a ameaça.
Figura 3 Amostra de FRP do Volt Typhoon desembalada Relatório Link
Figura 4 Yara identificando a amostra não embalada como FRP Relatório Link
Conclusão
À medida que o cenário de ameaças evolui, o mesmo acontece com as nossas defesas. OPSWAT O compromisso da KPMG com a segurança das redes ICS e OT permanece inabalável e a equipa MetaDefender Sandbox dedica-se a fornecer soluções ativamente actualizadas que abordam estes desafios emergentes. Mantenha-se informado, preparado e seguro.
