Zero Trust para a Tecnologia Operacional: O que o novo guia da CISA exige da sua arquitetura de segurança

O Zero Trust para OT (tecnologia operacional) é uma arquitetura de segurança que elimina a confiança implícita nas redes industriais, exigindo que cada utilizador, dispositivo e transferência de dados seja continuamente verificado com base na identidade, no contexto e no risco, antes de ser concedido acesso a qualquer sistema operacional ou processo físico. Ao contrário da TI, o Zero Trust para OT deve funcionar sem interromper as operações contínuas, os sistemas de segurança ou os equipamentos antigos que não suportam agentes de segurança modernos.

Cinco agências governamentais dos EUA: a CISA (Agência de Cibersegurança e Segurança de Infraestruturas), o Departamento de Defesa, o Departamento de Energia, o FBI e o Departamento de Estado, publicaram a declaração mais autoritária até à data sobre cibersegurança industrial: «Adaptar os Princípios do Zero Trust à Tecnologia Operacional». A mensagem é inequívoca. O Zero Trust já não é uma estrutura reservada aos ambientes de TI. É agora a postura de segurança esperada para todas as organizações que operam sistemas de tecnologia operacional (OT), desde redes de energia a instalações de tratamento de água e instalações governamentais.

Se é um responsável pela segurança de redes operacionais (OT) a ler isto, a questão não é se o modelo Zero Trust é o caminho certo a seguir. A questão é como colmatar a lacuna entre os requisitos de conformidade e auditoria impostos pelo governo e uma instalação que utiliza equipamento com décadas de idade, uma equipa sobrecarregada e um conselho de administração a questionar o que está a fazer a esse respeito. Este artigo responde a isso: o que o guia da CISA exige efetivamente em cada pilar e de que forma a plataforma OPSWAT se alinha com cada um deles.

O guia identifica três pilares que qualquer programa OT Zero Trust deve abordar: visibilidade abrangente dos ativos, IAM (gestão de identidades e acessos) robusta e gestão proativa dos riscos da cadeia de abastecimento. Identifica também os adversários que justificam a urgência — grupos ligados a Estados-nação, como o Volt Typhoon, que a CISA observou a posicionar-se previamente dentro de redes OT para manter a persistência e aguardar a ativação.

Na área das TI, o modelo Zero Trust é implementado através de software — fornecedores de identidade, agentes de terminais e políticas de acesso que podem ser atualizadas em poucas horas. Os ambientes OT operam sob restrições que tornam as abordagens diretas de TI inviáveis: PLCs (Controladores Lógicos Programáveis) legados com ciclos de vida de 20 anos que não conseguem executar agentes de autenticação modernos, requisitos rigorosos de tempo de atividade em que um pacote de detecção pode causar um encerramento não planeado e uma ligação direta entre a cibersegurança e a segurança física que a TI simplesmente não possui.

O guia da CISA é franco quanto a estas limitações. A implementação do modelo Zero Trust em infraestruturas industriais envelhecidas leva anos e requer um investimento significativo. Essa tensão é real.

O que o guia deixa claro é que o panorama de ameaças não vai esperar que esses planos amadureçam. À medida que os sistemas OT se tornam cada vez mais interligados com as redes de TI e monitorizados remotamente, o pressuposto tradicional do «air-gap» já não se sustenta. Os atacantes já se adaptaram. Os controlos que as organizações implementam hoje — mesmo que sejam incrementais — determinam a extensão da superfície de ataque que fica exposta enquanto a transformação de longo prazo está em curso. A questão não é se se deve começar. É por onde.

O guia da CISA identifica três prioridades para a abordagem Zero Trust na OT: visibilidade abrangente dos ativos, gestão robusta de identidades e acessos e gestão proativa dos riscos da cadeia de abastecimento. Além disso, destaca os autores de ameaças específicos — Volt Typhoon e grupos ligados a Estados — que já estão a explorar as lacunas que estes controlos se destinam a colmatar.

A plataforma OPSWAT foi concebida precisamente para isso. Detecção passiva de ativos OT sem tocar num único dispositivo. Isolamento Hardware que torna fisicamente impossíveis inteiras categorias de ataques remotos. Tecnologia Deep CDR™ aplicada em todos os pontos de transferência de ficheiros — rede, USB, transferência de dados. Controlo de identidade e acesso ao nível da sessão, antes de qualquer ligação chegar a um sistema de controlo.

Em ambientes de OT, a visibilidade dos ativos significa manter um inventário completo e continuamente atualizado de todos os dispositivos na rede industrial — incluindo PLCs antigos, RTUs (Unidades de Terminal Remoto) e HMIs (Interfaces Homem-Máquina) — juntamente com as versões de firmware e os protocolos, utilizando métodos de monitorização passiva que não geram tráfego suscetível de perturbar sistemas de controlo sensíveis.

É aqui que a maioria dos programas de segurança OT apresenta a sua maior lacuna por resolver; e as razões são de natureza arquitetónica, não organizacional. Industrial são construídas em torno de um conjunto de dispositivos fundamentalmente diferente do dos ambientes de TI. Uma rede OT típica contém PLCs, RTUs, controladores DCS, sensores, relés, HMIs, estações de trabalho de engenharia e uma camada crescente de dispositivos IIoT, cada um comunicando no protocolo específico para o qual foi projetado: Modbus, EtherNet/IP, DNP3, PROFINET, OPC-UA e dezenas de variantes proprietárias. As ferramentas de descoberta de TI padrão não conseguem analisar estes protocolos. Não compreendem a semântica de um código de função Modbus, não conseguem interpretar um objeto de dados DNP3 e não têm um modelo para distinguir o que constitui um comportamento normal versus anómalo numa troca de mensagens implícita EtherNet/IP. Quando essas ferramentas encontram dispositivos OT, ou devolvem dados incompletos ou geram tráfego inesperado que o dispositivo recetor nunca foi concebido para processar.

Esse segundo cenário não é hipotético. A análise ativa em ambientes OT já causou interrupções não planeadas nos processos e bloqueios de dispositivos em instalações de produção. É por isso que o guia da CISA recomenda a monitorização passiva como o método adequado para a deteção de ativos OT, e é por isso que essa recomendação não é negociável em ambientes com requisitos rigorosos de tempo de atividade. A recolha passiva, implementada através de TAPs de rede ou portas SPAN, escuta o tráfego sem injetar consultas que possam perturbar sistemas de controlo sensíveis. Observa o que está a comunicar, como está a comunicar e o que é considerado normal, sem tocar num único dispositivo na rede monitorizada.

O problema de cobertura que esta abordagem deve resolver é agravado pela natureza dos padrões de comunicação da OT. Muitos dispositivos comunicam apenas durante eventos operacionais específicos: um PLC pode transmitir apenas durante um ciclo de produção, um relé pode comunicar apenas durante uma condição de falha, um sensor de campo pode apresentar tráfego intermitente em rajadas, separado por longos intervalos de silêncio. Uma janela de monitorização que não tenha em conta toda a gama de modos operacionais produzirá um inventário incompleto — e os ativos que faltam nesse inventário são exatamente os ativos que não podem ser protegidos, segmentados ou monitorizados. De acordo com os dados do SANS 2025 State of ICS/OT Cybersecurity, a visibilidade dos ativos continua a ser a principal prioridade de investimento em segurança para as organizações industriais, mas menos de 1 em cada 8 relata visibilidade total em todo o seu ambiente, desde o acesso inicial à rede até ao potencial impacto nos processos físicos. A lacuna não é um problema de financiamento. É um problema de metodologia.

O Volt Typhoon explora precisamente esta lacuna. A abordagem documentada do grupo consiste em misturar-se nas operações normais da rede — utilizando protocolos legítimos, vias autorizadas e ferramentas administrativas padrão — para estabelecer um acesso persistente no interior de ambientes OT. Sem uma visibilidade total do que se encontra na rede e de como se apresenta o comportamento normal, essas técnicas tornam-se efetivamente invisíveis.

MetaDefender Security™, a plataforma de segurança OT OPSWAT, resolve esta questão através da deteção passiva de ativos e da análise aprofundada dos protocolos OT. Ao monitorizar o tráfego de rede em vez de o gerar, a plataforma cria um inventário completo de ativos e uma linha de base comportamental sem interferir nos dispositivos monitorizados — a par da gestão de vulnerabilidades e atualizações e da elaboração de relatórios de conformidade, tudo numa única interface nativa para OT. Sessões anómalas, comunicações inesperadas entre dispositivos e interações de protocolo não autorizadas tornam-se detetáveis — antes de se traduzirem em impacto operacional.

O maior desafio em matéria de IAM no setor da OT reside no facto de os atacantes recorrerem cada vez mais a vias de acesso legítimas — credenciais válidas, sessões remotas autorizadas e ferramentas de engenharia padrão — em vez de vulnerabilidades de software. Os agentes ligados ao Irão, descritos num aviso conjunto recente do FBI e da CISA, ligaram-se a PLCs expostos à Internet através de portas de comunicação industrial padrão e interagiram com os sistemas de controlo como se fossem operadores autorizados.

A solução de acesso remoto mais amplamente implementada em ambientes OT — a VPN — introduz uma categoria de risco que é estrutural, e não configuracional. As VPNs estabelecem uma conectividade direta ao nível da rede que rompe o isolamento hierárquico do Modelo Purdue, permitindo o acesso de fornecedores terceiros a segmentos da rede de controlo sem controlo granular das sessões e sem qualquer mecanismo para a aplicação do princípio do privilégio mínimo. Qualquer dispositivo comprometido ou seguro na extremidade do fornecedor desse túnel herda um caminho de rede direto para os sistemas de produção. Para terminais OT legados sem capacidade de autenticação nativa, a exposição agrava-se ainda mais. Estes dispositivos não podem registar eventos de acesso, não podem aplicar políticas de sessão e não podem encerrar ligações não autorizadas. Qualquer aplicação de regras que exista tem de situar-se inteiramente a montante do dispositivo, ou então não existe de todo. MetaDefender Industrial , a firewall industrial OPSWAT para redes OT, aborda o problema da segmentação diretamente — aplicando a segmentação baseada em zonas e controlando o movimento lateral mesmo quando uma sessão de um fornecedor já se encontra dentro da rede.

O guia da CISA torna bem clara a consequência de não se resolver esta questão. Agentes maliciosos ligados ao Estado acederam e controlaram PLCs ligados à Internet utilizando portas de comunicação industrial padrão, não através de vulnerabilidades de software, mas simplesmente ligando-se da mesma forma que um operador autorizado o faria. As credenciais pareciam válidas. Os protocolos pareciam os esperados. Nada sinalizou a sessão, porque não havia nada implementado para avaliar a legitimidade da sessão na camada de acesso.

MetaDefender OT Access Zero Trust ao nível da sessão, antes de qualquer ligação chegar a um ativo OT. Cada sessão remota — quer se trate de um engenheiro interno, de uma janela de manutenção agendada por um OEM ou de um prestador de serviços externo que se liga pela primeira vez — é autenticada individualmente, limitada ao acesso mínimo necessário, tem duração limitada e é totalmente registada. As sessões são gravadas, monitorizadas continuamente e podem ser encerradas em tempo real se o comportamento se desviar dos parâmetros esperados. Não há acesso permanente à rede, túnel persistente ou caminho para ativos fora do que essa sessão específica requer explicitamente. E para dispositivos legados que não podem participar na autenticação moderna — MetaDefender OT Access a aplicação na camada de gestão de ligações, pelo que o controlo existe independentemente das capacidades do próprio dispositivo.

Na OT, o risco da cadeia de abastecimento abrange tanto eventos de transferência digitais como físicos: atualizações de software distribuídas através de redes, computadores portáteis de fornecedores trazidos para as instalações, firmware carregado a partir de USB e ficheiros de engenharia transferidos do departamento de TI para redes de controlo isoladas. Cada um destes eventos representa uma potencial introdução de conteúdo malicioso nos sistemas que, uma vez comprometidos, pode afetar diretamente os processos físicos.

Antes de qualquer artefacto de software atingir a fronteira da OT, a sua integridade já deve estar comprovada. MetaDefender Software Chain™ aborda esta questão no lado da TI da cadeia de transferência — validando as ferramentas de engenharia, os pacotes de firmware e as atualizações de software industrial fornecidos pelos fornecedores em relação aos dados da SBOM, confirmando que os artefactos não foram adulterados durante o transporte e identificando componentes desconhecidos antes de serem autorizados para transferência. Quando um ficheiro chega ao ponto Kiosk ou ao fluxo de trabalho MFT , já passou na verificação de integridade da camada de TI. Assim, os controlos de limite reforçam uma decisão já tomada, não compensando uma que nunca foi tomada

Esta é a superfície de ataque que os controlos baseados na rede não conseguem abordar na totalidade — mas a aplicação de medidas na camada de rede continua a desempenhar um papel fundamental assim que um fornecedor está dentro do sistema.Firewall MetaDefender Industrial Firewall essencial para inspecionar a carga útil real do protocolo industrial de cada sessão de um fornecedor. Mesmo quando uma ligação de terceiros é autorizada, o firewall verifica se os comandos se mantêm dentro dos códigos de função e intervalos de valores esperados para essa sessão — bloqueando em tempo real comandos maliciosos provenientes de uma ferramenta de fornecedor comprometida ou de uma atualização adulterada. Também impõe percursos de comunicação rigorosos: um dispositivo ligado a um fornecedor só pode aceder aos sistemas específicos para os quais foi definido, contendo qualquer comprometimento da cadeia de abastecimento antes que possa mover-se lateralmente através das zonas OT. E para CVEs conhecidas em componentes OT onde o patch do fornecedor ainda não foi lançado — o que em OT demora frequentemente meses — o Industrial Firewall patches virtuais ao nível da rede, bloqueando a exploração sem tocar no dispositivo.

MetaDefender , a solução de segurança para suportes removíveis OPSWAT, intercepta e inspeciona todos os suportes removíveis antes de estes entrarem numa zona segura. Cada ficheiro é analisado através do Metascan™ Multiscanning mais de 30 motores antimalware, avaliado pela IA Predictive Alin para deteção de zero-day pré-execução e processado através da tecnologia Deep CDR™, que reconstrói o ficheiro para um estado conhecido como seguro — removendo ameaças incorporadas enquanto preserva o conteúdo legítimo de que um técnico necessita para realizar o seu trabalho.Firewall MetaDefender Media Firewall, a solução de verificação de suportes removíveis OPSWAT, alarga esta aplicação às USB ao nível do terminal — aplicando uma validação baseada em hardware que garante que apenas os suportes removíveis já verificados e aprovados pelo MetaDefender Kiosk ligar a uma estação de trabalho protegida, independentemente da sua localização nas instalações. MetaDefender , a solução avançada de proteção de terminais OPSWAT, é implementado em terminais críticos para validar se os ficheiros provenientes de dispositivos de suportes removíveis foram previamente verificados e processados pelo MetaDefender Kiosk. Isto garante que apenas ficheiros validados podem ser abertos, copiados ou acedidos pelo terminal, e que ficheiros não autorizados ou não verificados são impedidos de chegar a ambientes críticos.

Para transferências que atravessam zonas de rede — da TI para a OT, ou de sistemas ligados à nuvem para ambientes de controlo isolados — MetaDefender Diode™, a solução de diodo de dados OPSWAT, proporciona um fluxo de dados unidirecional imposto por hardware. Isto inclui dados operacionais, como valores do histórico, telemetria de sensores e dados de processo que fluem da rede OT para sistemas de TI, plataformas de análise ou infraestrutura na nuvem para monitorização e geração de relatórios. Nenhum comando de entrada, pedido de ligação, atualização de software ou carga útil pode atravessar a fronteira na direção inversa. A garantia de segurança não depende de uma configuração correta, de software regularmente atualizado ou da integridade das credenciais de acesso, porque nenhum desses fatores da camada de software tem qualquer caminho para anular a restrição de hardware. Para organizações que operam sistemas de controlo legados que não podem ser atualizados, não podem executar agentes de ponto final e não podem tolerar tempo de inatividade induzido por questões de segurança, esta é a arquitetura em que o guia da CISA e a comunidade de segurança industrial em geral convergiram como a resposta técnica adequada.

MetaDefender File Transfer™ (MFT) responde às necessidades de transferência estruturada das organizações que precisam de transferir ficheiros operacionais entre zonas, com inspeção completa, registo de auditoria e controlo do fluxo de trabalho. Impõe a verificação do conteúdo em cada transferência, garantindo que o próprio canal de transferência de ficheiros não se torne um ponto de entrada não monitorizado.

Nem todas as fronteiras podem ser protegidas por políticas. Algumas requerem medidas físicas. As Soluções Interdomínios (CDS) impõem fronteiras ao nível do hardware entre as redes OT e IT, onde nenhuma configuração incorreta de software, credenciais roubadas ou vulnerabilidades de dia zero podem abrir uma via de acesso. MetaDefender Optical Diode MetaDefender Security Gateway™ possuem ambos a certificação Common Criteria EAL4+ e [apoiam a conformidade com NERC CIP, IEC 62443, NRC 5.71, NIST 800-82 e ISO 27001](opswat) — o conjunto completo de normas que regem as infraestruturas críticas nos setores da energia, nuclear, químico e da defesa.

O guia da CISA está alinhado com as funções do NIST CSF (Cybersecurity Framework) 2.0 — Governar, Identificar, Proteger, Detetar, Responder, Recuperar. A tabela abaixo estabelece a correspondência entre cada requisito e a OPSWAT relevante OPSWAT :

O Zero Trust na OT não é um produto que se compra. O guia da CISA é claro quanto a este ponto — as ferramentas e tecnologias são necessárias, mas insuficientes por si só. O que as organizações precisam é de uma plataforma concebida para ambientes onde a disponibilidade, a segurança e a conformidade são inegociáveis. A Plataforma MetaDefender™ OPSWAT oferece essa arquitetura em todo o âmbito do mandato da CISA — desde a caixa de entrada, onde o acesso inicial começa, até à fronteira imposta pelo hardware, onde terminam os comandos para sistemas críticos.

Como mostra a tabela acima, OPSWAT todas as categorias de controlo alinhadas com a CISA nas seis funções do NIST CSF 2.0 numa única plataforma — um âmbito que nenhum fornecedor especializado exclusivamente em OT consegue igualar. Está pronto para avaliar a situação do seu ambiente OT em relação ao quadro Zero Trust da CISA?

Fale com um especialista →