Utilizamos inteligência artificial para as traduções dos sítios e, embora nos esforcemos por garantir a exatidão, estas podem nem sempre ser 100% precisas. Agradecemos a sua compreensão.
Início/
Blogue
/
Navegando no cenário de segurança cibernética de ICS e...
Navegando no cenário de segurança cibernética de redes ICS e OT: Insights e soluções
Por
OPSWAT
Partilhar esta publicação
Introdução
No mundo em constante evolução da cibersegurança, os sistemas Industrial (ICS) e as redes de tecnologia operacional (OT) representam uma área significativa de preocupação. Esses sistemas não são apenas vitais para a continuidade das operações comerciais, mas também são componentes essenciais da infraestrutura crítica de um país. A equipa MetaDefender (anteriormente conhecida como Filescan Sandbox) OPSWAT tem monitorizado diligentemente os riscos de ICS/OT e observado atividades persistentes e potencialmente de alto impacto.
O atual cenário de ameaças
Os padrões recentes das ameaças à cibersegurança revelaram uma tendência preocupante de ataques: grupos patrocinados pelo Estado começaram a especializar-se em ICS, como o Sandworm (Rússia) e o Volt Typhoon (China), enquanto os cibercriminosos estão conscientes da gravidade do impacto contra os sistemas industriais. As forças de segurança de todos os sectores reconhecem a importância destas ameaças para todos os sectores da indústria, o que levou à publicação de relatórios e campanhas conjuntos destinados a reforçar a segurança dos ICS.
Problemas persistentes e recomendações
Uma das recomendações de longa data para mitigar esses riscos é reduzir a exposição do sistema. No entanto, a prevalência de sistemas expostos continua a ser uma questão preocupante no panorama da cibersegurança. À medida que as técnicas de reconhecimento e exploração se tornam mais amplamente divulgadas, a ameaça de ataques oportunistas aumenta, permitindo que os agentes de ameaças com menor nível de sofisticação tenham impacto nos sistemas críticos. Um relatório de setembro destacou uma tendência alarmante: Os incidentes de cibersegurança OT/ICS nos últimos três anos ultrapassaram o total registado de 1991 a 2000. Esta estatística, por si só, sublinha os desafios crescentes enfrentados pelos responsáveis pela segurança destes ambientes.
Defender-se da ameaça
Quadros e actualizações
Reconhecendo a necessidade de atenção especializada, a corporação MITRE desenvolveu uma matriz ATT&CK específica para ICS, para fornecer uma linguagem comum para a comunicação inter-setorial e para capacitar os sectores sub-representados a alavancar os seus mapeamentos, promovendo uma comunicação significativa sobre riscos e ameaças. A relativamente nova matriz continua a ser meticulosamente actualizada, tendo a última versão sido lançada no mês passado.
A interligação de IT e OT
A equipa OPSWAT MetaDefender , ao mesmo tempo que se mantém a par destas atualizações, enfatiza a ligação intrínseca entre TI e OT, uma vez que os ativos de TI estão presentes em todos os níveis do Modelo Purdue, e não apenas no topo.
O comprometimento do IT leva a uma OT comprometida. Os inquiridos estão predominantemente preocupados com incidentes ICS que envolveram ameaças de malware ou atacantes que violaram a rede comercial IT . Estas violações permitem muitas vezes o acesso e a articulação no ambiente ICS/OT. Os comprometimentos nos sistemas IT que levaram a ameaças que entraram nas redes OT/ICS foram os mais elevados, seguidos por comprometimentos de estações de trabalho de engenharia e serviços remotos externos.
Relatório de Cibersegurança SANS 2023 ICS/OT
patrocinado por OPSWAT
O denominador comum: Ficheiros maliciosos
Em todo o espectro de ciberataques relacionados com ICS, a presença de ficheiros maliciosos é um fator consistente, independentemente do vetor de entrada — seja em sistemas de TI ou OT. É aqui que entram em cena soluções como o MetaDefender . Essas ferramentas são projetadas para examinar ficheiros que atravessam os perímetros definidos da rede de uma organização, adaptadas a diferentes contextos para um desempenho ideal, inclusive em ambientes isolados.
Sandbox Adaptive SandboxOPSWAT combina diferentes conjuntos de indicadores de ameaças usando analisadores internos e outros amplamente conhecidos, como as regras Yara. Ambos os ataques mencionados anteriormente, do Volt Typhoon e do Sandworm, dependiam fortemente de binários Living-Off-the-Land (LOLBINS), para os quais MetaDefender implementa muitos indicadores. No entanto, o ataque mais antigo é um bom exemplo da combinação de indicadores devido à disponibilidade de amostras. A primeira carga útil relatada é um script em lote contendo um comando Powershell codificado em base64 que aciona dois indicadores interessantes para este caso, entre outros.
Figura 1 Análise da carga útil do Volt Typhoon Report Link
A origem do indicador anteriormente apresentado é a emulação do script, onde também podem ser observados outros indicadores relevantes. A captura de ecrã seguinte mostra um indicador diferente com maior gravidade, desencadeado a partir do conteúdo base64 descodificado do script. Para além disso, ambos os elementos identificados são devidamente mapeados com as técnicas MITRE ATT&CK correspondentes.
Figura 2 Análise da carga útil do Volt Typhoon Report Link
Além disso, esse mesmo ataque envolveu o uso de amostras Fast Reverse Proxy que, apesar de estarem compactadas com UPX, MetaDefender conseguiu descompactar, permitindo que vários indicadores adicionais correspondessem ao ficheiro extraído e identificassem a ameaça.
Figura 3 Amostra de FRP do Volt Typhoon desembalada Relatório Link
Figura 4 Yara identificando a amostra não embalada como FRP Relatório Link
Conclusão
À medida que o panorama das ameaças evolui, as nossas defesas também precisam evoluir. O compromisso OPSWAT com a segurança das redes ICS e OT permanece inabalável, e a equipa MetaDefender está empenhada em fornecer soluções atualizadas ativamente que respondam a esses desafios emergentes. Mantenha-se informado, preparado e seguro.
