Como planejar sua resposta a incidentes de segurança cibernética ICS

As organizações que operam sistemas críticos devem planejar e se preparar para responder a incidentes cibernéticos de Sistemas de Controle Industrial (ICS), sejam eles causados ​​por usuários internos não intencionais ou invasores mal-intencionados.

O planejamento adequado de resposta a incidentes cibernéticos (IR) de ICS minimiza as perdas financeiras de tempo de inatividade do sistema, perda de dados, prêmios de seguro mais altos, imagem corporativa manchada e redução da segurança pública e de funcionários. Este documento se aplica apenas a ICS (por exemplo, sistemas de controle de supervisão e aquisição de dados, sistemas de gerenciamento de edifícios) porque a maioria das organizações já tem plano de IR (IRPs) de tecnologia da informação (TI) em vigor. Ele fornece uma visão de alto nível dos estágios de RI, afirma Robert Talbot, gerente sênior de TI da Parsons Information Security Office e Jack D. Oden, gerente de projeto principal, Parsons Critical Infrastructure Operations.

Justificação

Os ICS de hoje são comumente gerenciados por interfaces homem-máquina baseadas em Windows ou LINUX, comunicam-se por meio de protocolos de Internet e se conectam à rede de área local da empresa e à Internet. A nova arquitetura oferece benefícios significativos, incluindo economia de custos, redução da dependência de fornecedores de equipamentos proprietários e transferência de dados mais fácil / rápida para o departamento de contabilidade e para a alta administração.

Infelizmente, com os benefícios vêm os riscos aumentados devido a ataques cibernéticos baseados na Internet. Já não é uma questão de saber se haverá um ataque, mas quando. Nenhuma empresa ou organização pode evitar todos os ataques cibernéticos, mas a maioria das organizações ICS permanece despreparada.

Preparação pré-incidente

Embora seja aconselhável criar um IRP e uma equipe de IR (IRT) para ICS, a prevenção de incidentes cibernéticos economiza tempo e dinheiro significativos. Embora os escritórios funcionem com eficácia sem e-mail por um dia ou mais, o ICS não pode se permitir o tempo de inatividade. O controle do acesso ao ICS reduz os caminhos disponíveis para os invasores inserirem malware. Como a maioria dos ataques ICS vem através da empresa, esse acesso deve ser protegido primeiro. Além disso, sistemas de detecção de intrusão que reconhecem protocolos ICS surgiram recentemente no mercado, tornando possível identificar como um invasor obteve acesso ao sistema.

Algumas etapas básicas reduzem os efeitos de um incidente e ajudam a colocar o ICS online novamente mais rápido. Testar fitas de backup periodicamente garante que as configurações de ICS de backup funcional estejam disponíveis. Usar sistemas de detecção de intrusão capazes de protocolos proprietários é essencial porque os sistemas proprietários são suscetíveis a ataques cibernéticos e vulneráveis ​​a indivíduos com conhecimento do sistema.

Preparação para resposta a incidentes

Reúna uma equipe de Resposta a Incidentes Cibernéticos

Montar um IRT cibernético é a primeira de duas etapas importantes no desenvolvimento de uma capacidade de IR eficaz. A equipe deve incluir engenheiros e administradores ICS, administradores de rede e sistema, operadores de instalações e representantes de TI, segurança cibernética, recursos humanos, comunicações e jurídico. O IRT deve se coordenar com várias agências de aplicação da lei, reguladores do setor e fornecedores.

A composição do IRT deve equilibrar a equipe interna com especialistas externos com experiência em RI, perícia, coleta e preservação de evidências, ataques e explorações ou vários outros campos de segurança cibernética. Especialistas externos podem ser mais rápidos e completos, enquanto a equipe do ICS possui conhecimento de sistemas.

Criar um plano de resposta a incidentes

Um IRP eficaz é tão importante quanto o IRT. Depois que um ICS cai, os profissionais de resposta precisam de tempo para encontrar a fonte e a extensão da infecção, apesar da pressão organizacional.

Uma vez que o plano foi revisado e finalizado por todo o IRT, várias tarefas importantes devem ser realizadas:

• Teste inicial e periódico
• Relações com as autoridades policiais
• Listas de contatos com entidades externas
• Caminhos de comunicação alternativos
• organograma IRT e informações de contato
• Armazenamento seguro de senha do sistema

Plano de Resposta a Incidentes

Escopo e propósito

O IRP se aplica a incidentes de segurança cibernética ICS suspeitos ou verificados. Ele descreve as diretrizes gerais para detectar, classificar e responder aos incidentes de segurança cibernética do ICS a fim de minimizar interrupções nas operações do ICS.

Procedimentos de tratamento de incidentes

Seguir os procedimentos comprovados permitirá um reinício mais rápido da produção e diminuirá a chance de cometer erros. Vários sites da Internet descrevem as boas práticas recomendadas que o IRT pode usar para desenvolver procedimentos específicos da empresa.

Identificação do incidente

Encontrar, conter e erradicar violações durante as primeiras 24 horas é crucial. Os administradores do ICS devem trabalhar com a equipe de RI de maneira rápida, mas cuidadosa, para caracterizar com precisão a situação como um incidente cibernético ou apenas um mau funcionamento do sistema.

Notificações

Quando um incidente é confirmado, o líder da IRT, o diretor de segurança da informação, a gerência executiva e o departamento jurídico devem ser notificados. Se apropriado, as autoridades policiais devem ser contatadas.

Contenção

É fundamental identificar os sistemas infectados, quando infectados e o ponto de entrada usado. Com a segmentação de rede adequada e conexões externas protegidas, o firewall e outros logs podem ajudar a determinar quando o malware entrou na rede. Para um crime cibernético, preserve as evidências e mantenha a cadeia de custódia; evidência comprometida é inadmissível em um tribunal. Além disso, identifique quaisquer testemunhas.

Erradicação

Uma vez contido, o malware deve ser limpo de cada sistema infectado e do registro do Windows. Se algum vestígio permanecer, os sistemas serão reinfectados quando reconectados à rede.

Restauração do sistema

Antes de reiniciar o sistema, restaure os dados corrompidos usando dados de backup não corrompidos. Se não tiver certeza de quando o malware entrou no sistema, recarregue o sistema operacional e os aplicativos dos backups originais.

Lições aprendidas

O IRT deve formalizar as lições aprendidas para documentar sucessos e oportunidades de melhoria e padronizar o IRP.

Desafios

O RI bem-sucedido depende do planejamento e do financiamento para um incidente e deve fazer parte do programa de risco geral da empresa. Como nenhuma entidade fornece financiamento para segurança cibernética de TI e ICS, é necessário um pouco de diplomacia e dever de casa. Normalmente, um gerente de alto nível entende a importância de um IRT. Se recrutado como o campeão da equipe, esse gerente pode convencer outros gerentes seniores a fornecer membros para a equipe.

As avaliações por si só não protegem os sistemas. O estabelecimento de controles é melhor alcançado com o envolvimento de uma organização externa qualificada para realizar avaliações de vulnerabilidade de TI e ICS.

Embora o mundo da TI tenha percebido há mais de 20 anos que os incidentes cibernéticos causam perdas financeiras, o mundo do ICS demorou a reconhecer os benefícios da segurança cibernética, apesar de incidentes como o Stuxnet e os ataques de ponto de venda Target ™.

Conclusão e recomendações

Ataques amplamente divulgados aumentaram a conscientização sobre a necessidade de proteger o ICS e possuir capacidade de IR por meio de um IRP eficaz e um IRT bem treinado. É necessária uma mudança de cultura para avançar na prevenção e recuperação de incidentes cibernéticos. A mudança está chegando, mas lentamente. As empresas devem acelerar o desenvolvimento de RI cibernético para ICS.

Os autores deste blog são Robert Talbot, gerente sênior de TI, Parsons Information Security Office e Jack D. Oden, gerente de projeto principal, Parsons Critical Infrastructure Operations

Aqui está o link de volta para a Antologia completa