Existe uma ideia generalizada no setor de que as soluções tradicionais de cibersegurança são ineficazes em ambientes modernos. Tal como qualquer ideia que tenha ganho popularidade, também esta contém alguma verdade. A realidade é que as soluções tradicionais de cibersegurança só se tornam ineficazes quando os ambientes que se destinam a proteger sofrem alterações fundamentais.
Veja-se o caso das redes industriais modernas. Estas combinam os sistemas de TI empresariais com a OT (tecnologia operacional), que controla diretamente os equipamentos de produção, criando um ecossistema complexo. Assim, como é que uma ferramenta de segurança concebida para a TI ou para a OT pode realmente proteger algo que é ambas as coisas?
A maioria das soluções foi concebida para se destacar naquilo para que foi criada: identificar ameaças, bloqueá-las e eliminá-las. E fazem isso bem. Mas, em ambientes de produção, o verdadeiro desafio nem sempre é uma ameaça visível que afeta ativamente os seus sistemas. Por vezes, o perigo esconde-se (e move-se) à vista de todos.
Quando as redes de TI e OT operam na mesma rede, a comunicação entre os sistemas internos (máquinas, controladores, servidores) pode passar despercebida. Se não houver uma violação evidente ou uma anomalia imediata, as equipas do SOC não têm como saber se algo está errado.
E é nessa zona cinzenta que os atacantes prosperam.
Imagine que um atacante consegue aceder à sua rede através de um ataque de phishing bem-sucedido. O movimento lateral resultante, que permite o acesso a sistemas de produção interligados, pode passar praticamente despercebido até ser tarde demais. Quando as equipas do SOC se apercebem, os atacantes podem já ter penetrado em todos os sistemas críticos.
Esta é a lacuna de visibilidade que o nosso cliente se propôs colmatar, tendo MetaDefender NDR centro da sua estratégia.
A monitorização de segurança tradicional deixou passar atividades críticas da rede
O principal problema do nosso cliente era a falta de visibilidade.
Embora dispusessem de soluções para detetar intrusões iniciais ou anomalias em fases avançadas, as suas equipas do SOC não dispunham das ferramentas necessárias para monitorizar a movimentação lateral numa rede interligada de TI/TO. Esta situação deu origem a alguns problemas que poderiam ter tido consequências graves, caso se tivesse verificado uma violação de segurança.
O movimento lateral passou despercebido
Os atacantes poderiam camuflar o movimento lateral como tráfego de rede legítimo e navegar entre sistemas interligados sem ativar os mecanismos de deteção tradicionais.
Eficácia reduzida da monitorização
A integração entre TI e TO criou padrões de comunicação complexos, nos quais os movimentos laterais podiam ser facilmente confundidos com o tráfego gerado pelas operações fabris, pelos dispositivos industriais e pelas aplicações empresariais. Consequentemente, caso a rede fosse violada, os atacantes poderiam passar despercebidos enquanto tentavam obter acesso a redes de produção, propriedade intelectual ou dados operacionais confidenciais.
Detecção tardia de ameaças
Quando as equipas de SOC detectavam comportamentos suspeitos, os atacantes já podiam ter acedido a sistemas de produção críticos, o que levava a uma exposição a riscos operacionais.
Implementação OPSWAT MetaDefender NDR reforçar a resiliência cibernética
Para colmatar estas lacunas de visibilidade, a organização implementou MetaDefender NDR segmentos estratégicos das suas redes de produção e corporativas.
MetaDefender NDR comunicações de comando e controlo associadas a ciberataques. Para tal, analisa a telemetria da rede para identificar padrões de tráfego anormais e detetar movimentos laterais entre sistemas.
Com os seus modelos de deteção assistidos por IA, analisa continuamente os comportamentos da rede para identificar anomalias subtis que possam indicar a atividade de atacantes numa fase mais precoce do ciclo de vida do ataque. A implementação centrou-se na resolução de três questões fundamentais.
Ampliação da visibilidade da rede
Os sensores instalados nos pontos de agregação da rede permitiram às equipas do SOC monitorizar as comunicações entre os sistemas de produção, as aplicações empresariais e as ligações externas.
Pela primeira vez, os analistas obtiveram uma visão unificada da atividade da rede em toda a infraestrutura de produção da organização.
Detecção precoce do comportamento dos atacantes
A análise comportamental, combinada com informações integradas sobre ameaças e a deteção de anomalias baseada em IA, permitiu à equipa do SOC identificar atividades suspeitas associadas aos movimentos dos atacantes dentro da rede.
Padrões de comunicação anteriormente ocultos passaram a ser detetados numa fase mais precoce do ciclo de vida do ataque.
Investigações de segurança mais rápidas
MetaDefender NDR dados detalhados de telemetria de rede e informações contextuais sobre ameaças, o que permitiu aos analistas do SOC investigar rapidamente atividades suspeitas.
Em vez de terem de correlacionar alertas fragmentados em vários sistemas, os analistas poderiam investigar incidentes recorrendo a uma visão abrangente, ao nível da rede, das potenciais ameaças.
Impacto mensurável na visibilidade do SOC e na segurança operacional
Com MetaDefender NDR, o nosso cliente melhorou significativamente a sua capacidade de detetar e investigar atividades suspeitas na rede numa fase mais precoce do ciclo de vida do ataque.
| Área de impacto | Resultado mensurável |
|---|---|
| Visibilidade da rede | Visibilidade aprofundada das comunicações nas redes de produção e empresariais. |
| Velocidade de deteção de ameaças | Identificação precoce de tráfego suspeito e movimentos laterais. |
| Eficiência das investigações | Análise mais rápida das causas principais para os analistas do SOC. |
| Proteção operacional | Maior proteção dos sistemas de produção e das infraestruturas industriais. |
| Resposta a incidentes | Melhor coordenação entre as equipas de operações de segurança. |
| Preparação para o cumprimento das normas | Monitorização reforçada, em conformidade com as normas de cibersegurança industrial. |
Impulsionar uma defesa cibernética proativa para as organizações industriais modernas
As ameaças cibernéticas dirigidas a empresas do setor industrial não param de evoluir. Os cibercriminosos estão constantemente à procura de formas de aceder a propriedade intelectual valiosa e a sistemas de produção críticos.
As organizações do setor industrial não precisam apenas de impedir os atacantes no ponto de entrada. Precisam de ter uma visibilidade contínua do que se passa no interior da rede, tanto na área de TI como na de OT.
ComNDR MetaDefender NDR , o nosso cliente deu um passo significativo no sentido de uma cibersegurança proativa. As suas equipas do SOC podem agora aceder às informações necessárias para detetar ameaças ocultas, investigar atividades invulgares com maior rapidez e responder antes que os problemas se transformem em perturbações reais.
Para os fabricantes que procuram proteger a sua produção e a sua propriedade intelectual, é essencial dispor desse nível de visibilidade e de deteção de ameaças comportamentais.
Se também atua no setor da indústria transformadora e identificou problemas de visibilidade nos seus ambientes, vamos conversar para ver se MetaDefender NDR tambémNDR ser útil para si.
