Desenvolvimento de uma estratégia de segurança cibernética de infraestrutura crítica

As vantagens incluem o seguinte:

• A proteção da infraestrutura crítica é uma prioridade de longa data, mas muitas organizações ficam para trás em sua resposta às ameaças cibernéticas.
• COVID-19 ampliou a definição de infraestrutura crítica, ao mesmo tempo que fornece um lembrete para as empresas questionarem quais sistemas são essenciais para as operações. Este artigo se baseia no conselho do capítulo um desta série em “Enfrentando os desafios de segurança de IoT da nuvem até a borda.”
• Organizações que gerenciam infraestrutura crítica devem desenvolver uma postura proativa de segurança cibernética, mas as interrupções causadas pelo coronavírus aumentam o desafio.

Agora, a necessidade de segurança cibernética abrangente para infraestrutura crítica é clara. As contas públicas são generalizadas quanto ao risco de agentes mal-intencionados visando a rede elétrica, barragens, sistemas de votação e outras infraestruturas críticas designadas pelo governo federal. Mas a maioria das organizações que fornecem serviços essenciais deu apenas passos incrementais para lidar com o risco cibernético. “Muitas organizações [de tecnologia operacional] têm programas de segurança cibernética incipientes”, disse Sean Peasley, sócio da Deloitte.

O termo “infraestrutura crítica” inicialmente se referia a obras públicas, como infraestrutura de transporte e serviços públicos, mas, desde a década de 1990, a definição tem se expandido continuamente. Os setores sob a rubrica agora incluem, entre outras coisas, saúde, energia e serviços públicos e vários fabricantes. “E, na prática, estamos descobrindo na era do COVID, que a infraestrutura crítica é ainda mais ampla do que pensávamos”, disse Kieran Norton, diretor da Deloitte. Os fabricantes de equipamentos de proteção individual, por exemplo, desempenham um papel na mitigação da crise. “Também aprendemos que a interrupção da cadeia de suprimentos durante uma pandemia, por exemplo, pode ser potencialmente catastrófica”, disse Norton. Não surpreendentemente, as empresas de logística consolidaram seu papel como essenciais. O governo dos EUA declarou que as indústrias de celulose e papel e de embalagem de carne também são essenciais. Portanto, a sobreposição entre a infraestrutura crítica e a segurança da tecnologia operacional (OT) continua a se confundir. Não importa o nome, poucas indústrias neste domínio alcançaram um alto grau de eficácia cibernética, de acordo com uma pesquisa sobre segurança industrial do Ponemon Institute subscrita pela TÜV Rheinland.

[IoT World, o maior evento de IoT da América do Norte, está se tornando virtual de 11 a 13 de agosto com uma experiência virtual de três dias colocando IoT, AI, 5G e borda em ação em todos os setores da indústria. Inscreva-se hoje]

As entidades tradicionais de infraestrutura crítica podem ter décadas de experiência com iniciativas tradicionais de gerenciamento de risco e segurança, mas, para muitas, a segurança cibernética é uma prioridade relativamente nova. E, de modo geral, as organizações que gerenciam infraestrutura crítica tendem a se mover lentamente. “Minha experiência geral é que a segurança de OT está cerca de 10 a 15 anos atrás do espaço de segurança de TI”, disse Andrew Howard, CEO da Kudelski Security.

Enquanto isso, o cenário de ameaças para organizações de infraestrutura crítica continua a se tornar mais precário. O número de invasores que visam essa infraestrutura está aumentando, assim como o número de dispositivos conectados em muitos ambientes de infraestrutura crítica. De acordo com o Índice de Inteligência de Ameaças X-Force 2020 da IBM, o volume de ataques a sistemas de controle industrial em 2019 foi maior do que nos três anos anteriores combinados.

Esses ataques chegaram às manchetes em 2020. Os atacantes de ransomware visaram com sucesso a Honda e a concessionária de energia de Taiwan e uma instalação de gás natural dos EUA. O abastecimento de água de Israel foi alegadamente atacado. A empresa japonesa de telecomunicações NTT teve sua rede interna violada.

R avaliação do isk continuamente

Se você não pode medir algo, você não pode melhorar. Mas esse conselho se aplica duplamente à segurança cibernética de infraestrutura crítica, onde o risco e a redução de risco podem ser difíceis de quantificar. Muitas organizações lutam para manter um inventário de ativos preciso, devido à diversidade e complexidade de seus ambientes. Enquanto isso, os especialistas especializados em segurança cibernética de OT são escassos. Para agravar esse risco está a natureza complicada do gerenciamento de risco de terceiros, incluindo a avaliação de vulnerabilidades potenciais introduzidas por meio de hardware, software ou empreiteiros adquiridos.

Embora a avaliação de risco deva ser um processo contínuo, as organizações de infraestrutura crítica devem começar com avaliações de risco detalhadas e periódicas, projetadas para quantificar ameaças, vulnerabilidades e consequências potenciais de ataques cibernéticos e outras causas de interrupção operacional. As vulnerabilidades potenciais incluem senhas compartilhadas, sistemas sem patch, software e hardware de origem desconhecida e firewalls excessivamente permissivos.

Mas essas avaliações de segurança podem ser difíceis de executar. Há uma variedade de tipos de dispositivos para rastrear, desde bombas e válvulas, controladores legados e uma miríade de dispositivos de computação. Além disso, compreender as ramificações de uma violação de sistema industrial exige um conhecimento operacional aprofundado. Em um ambiente com muitos sistemas diferentes, o problema é agravado.

As técnicas tradicionais de varredura de rede exigem cuidado. Redes ativas e técnicas de varredura de vulnerabilidade de sistemas de controle industrial podem travar os sistemas de controle. Usar a digitalização ativa com segurança em um ambiente de infraestrutura crítica geralmente pode ser feito com segurança, de acordo com Dale Peterson, consultor especializado em segurança de sistema de controle industrial. Mas é necessário trabalhar em estreita colaboração com as operações para lidar com o risco. Embora as técnicas passivas de monitoramento de rede sejam menos intrusivas, elas também são menos precisas. “Esse debate é frequentemente onde a visão de segurança de TI entra em conflito com a visão de OT. O responsável pela segurança de TI tende a usar a varredura ativa, mas a pessoa encarregada de monitorar um sistema de infraestrutura crítica geralmente prefere uma abordagem passiva porque não quer colocá-la em risco ”.

Especialmente com avaliações aprofundadas, as organizações tendem a descobrir uma longa lista de problemas e questionar a correção a priorizar. Além disso, para agravar o problema, muitos profissionais de segurança cibernética geralmente não têm experiência direta com todos os equipamentos em auditoria e, portanto, devem contar com entrevistas com proprietários e operadores experientes de ativos para avaliar seu risco cibernético.

As organizações devem pesar a gravidade e a facilidade de correção. O controle de acesso é frequentemente um tema aqui, disse Miklovic. “As interfaces de limite sempre são a parte mais fraca de qualquer problema de segurança cibernética, seja um limite de protocolo ou um limite físico”, disse ele. “Mesmo no mundo da segurança cibernética industrial, um dos maiores pontos de violação ainda são os drives USB.”

Embora seja rápido e barato para um membro da equipe usar super cola ou solda para conectar unidades USB não utilizadas, algumas organizações se concentram muito em abordar as “coisas fáceis” em sua correção, disse Howard. “Sim, existem atenuações de limite que você deve eliminar imediatamente. Mas depois disso, você deve priorizar com base no risco. ”

Quantificar esse risco é possível usando uma matriz dois por dois que pesa a probabilidade de impacto de uma vulnerabilidade e a gravidade potencial, de acordo com Joe Saunders, CEO da RunSafe.

Construir um perfil de risco para cada sistema raramente é simples. Entrevistas com proprietários e operadores de ativos são fundamentais para entender o impacto se um determinado sistema travar. “Você pode ter uma máquina que parece ser vulnerável e de alto risco”, disse Miklovic. Mas se cair, pode causar apenas problemas isolados, em vez de levar tudo "a uma paralisação".

Outro fator que pode complicar a avaliação de risco é a tendência de as organizações priorizarem as prioridades cibernéticas apenas com base no tempo ou dinheiro investido. “O que uma organização pensa que é valioso pode ser bem diferente do que um cibercriminoso pensa que é valioso”, disse Bill Malik, vice-presidente de estratégias de infraestrutura da Trend Micro.

Quando se trata de equipamentos legados, as organizações podem ser limitadas em sua capacidade de reduzir o risco. Um dispositivo que executa um sistema operacional com décadas de idade provavelmente não pode ser atualizado. “A estratégia que normalmente é adotada nesses sistemas é isolar e monitorar”, disse Howard. “Minha experiência é que o isolamento geralmente é muito poroso.”

Novos riscos no novo normal

O gerenciamento de riscos em infraestrutura crítica tornou-se cada vez mais desafiador com o aumento das preocupações com a segurança cibernética. A necessidade de essas organizações desenvolverem planos de resposta COVID-19 enquanto expandem o trabalho remoto para alguns funcionários aumenta a complexidade. “Acho que o principal tipo de mudança que vemos em ambientes de infraestrutura crítica é o cenário de trabalho em casa”, disse Jamil Jaffer, vice-presidente sênior de estratégia, parcerias e desenvolvimento corporativo da IronNet Cybersecurity.

O paradigma do trabalho em casa complicou a proteção de sistemas vulneráveis, disse Howard. “Agora, você tem funcionários usando VPN para se conectar aos sistemas de produção de casa para fazer alterações”, disse ele. "Eles provavelmente não teriam feito isso antes."

Da mesma forma, algumas organizações podem ser tentadas a conceder a terceiros, como fornecedores e técnicos, acesso remoto a sistemas confidenciais. “Provavelmente há menos foco na segurança cibernética quando muitas pessoas estão focadas em realizar seu trabalho e mantê-lo”, disse Norton.

A disponibilidade da rede é outra consideração para organizações que buscam aumentar os recursos de trabalho remoto em contextos de infraestrutura crítica. “No passado, havia organizações com 10% a 20% de seus funcionários usando infraestrutura de acesso remoto tradicional”, disse Norton. Conforme as organizações aumentaram os recursos de trabalho remoto, “muitas tiveram problemas com largura de banda, escala e recursos de implantação”, disse Norton.

Embora a expansão da conectividade para ativos industriais possa potencialmente criar mais vulnerabilidades, COVID-19 também destacou o risco de planos de contingência antiquados que dependem da presença física dos trabalhadores, processos manuais e papelada.

Embora tradicionalmente lentas para mudar, as organizações de infraestrutura crítica não devem se esquivar de fazer mudanças em massa em sua arquitetura de tecnologia enquanto repensam os principais processos e fluxos de trabalho. “Se este for o novo normal, você provavelmente precisará redesenhar sua infraestrutura”, disse Norton.

Rumo à cibersegurança pró-ativa

Em última análise, as organizações de infraestrutura crítica buscam fazer a transição de processos manuais arraigados que oferecem redução de risco incremental em direção a uma postura de segurança cibernética mais proativa. “Os ambientes industriais tendem a ser complexos e em constante evolução”, disse Natali Tshuva, CEO da Sternum. “Os controles de segurança são necessários não apenas para avaliar o status atual, mas também para oferecer proteção sustentável e paz de espírito nos próximos anos.”

Tradicionalmente, a segurança da infraestrutura industrial e crítica significava segurança física, abrangendo proteção e controle de acesso dentro de um perímetro físico. Muitos protocolos industriais tradicionais são fundamentalmente inseguros porque seus projetistas presumiram que apenas pessoal autorizado teria acesso a eles. Mas a ascensão do trabalho remoto, computação em nuvem e IIoT minou o modelo de segurança castelo e fosso. A influência desse modelo legado, no entanto, é uma das razões pelas quais muitas organizações de infraestrutura crítica - bem como empresas corporativas - têm uma abordagem de segurança reativa.

A ênfase de tal redesenho deve ser a criação de fluxos de trabalho robustos e eficientes com base em políticas de segurança universais. “Mova os controles de segurança o mais próximo possível dos ativos”, aconselhou Norton.

O processo inclui a criação de uma política de segurança abrangente e em evolução para os seguintes ativos:

• Equipamentos e dispositivos :Esse tipo de hardware pode variar de equipamentos industriais legados a dispositivos IoT e laptops corporativos. “Entender esses dispositivos no contexto em relação aos usuários é muito importante”, disse Norton. As organizações devem proteger os controladores industriais, aconselhou Joe Saunders, CEO da RunSafe Security. Proteger sensores e gateways, por outro lado, é relativamente simples. “Mas os controladores são sensíveis ao desempenho e estão profundamente inseridos na infraestrutura.”
• Redes e usuários :Quanto aos usuários, a equipe de segurança deve restringir o acesso tanto quanto possível, com base nos controles descritos em uma política de segurança organizacional. “Você pode ter um mecanismo de política que se comunica com os controles de segurança que permite aplicar dinamicamente, por meio do contexto do usuário e do aplicativo, a lógica”, disse Norton. As organizações também devem investir em recursos de detecção de violação de rede.
• Dados . A classificação e a descoberta de dados são ferramentas valiosas para avaliar o nível de controle necessário para proteger um determinado tipo de dados.
• Fluxo de trabalho, cargas de trabalho e processos. O grau de proteção necessário é responsável pelo valor intrínseco desses processos para a sua organização e a probabilidade de adversários interferirem neles. Essa tarefa também inclui fortalecer a cadeia de suprimentos e garantir que contratados e fornecedores cumpram um determinado nível de controle de segurança.
• Processos de desenvolvimento de software. Organizações de infraestrutura crítica “devem incluir segurança no desenvolvimento de software, para que o software implantado seja resiliente”, disse Saunders.

Embora a higiene cibernética seja vital, uma armadilha comum na segurança é não priorizar a detecção, a resposta e a recuperação de ameaças. “Uma regra prática rápida é gastar 50% de seus esforços na prevenção e detecção e gastar 50% de seus esforços na recuperação da resposta”, disse Matt Selheimer, executivo da PAS Global. “Tradicionalmente, a abordagem que muitas organizações adotam é colocar os controles preventivos em primeiro lugar”, disse Norton. Mas, devido à complexidade de examinar o risco em ambientes de infraestrutura crítica, a resposta e a recuperação às vezes ficam em segundo plano. “Se algo der errado, você deve ser capaz de identificá-lo rapidamente e desligá-lo”, disse Norton. “Isso é tão importante quanto prevenir algo, porque você sabe que, eventualmente, algo vai dar errado.”

As organizações que desejam fazer a transição para uma postura proativa de segurança cibernética podem se inspirar em várias estruturas, que vão desde o abrangente ISO 27002 e padrões específicos para sistemas de controle industrial, como ISA / IEC 62443. Um novato relativo é o Cybersecurity Maturity Model Certification (CMMC) da Departamento de Defesa - projetado para especificar o nível de segurança necessário para as organizações licitarem em vários programas governamentais. Dividido em cinco camadas, as três primeiras especificam higiene cibernética básica, intermediária e boa. As duas camadas superiores exigem um gerenciamento de segurança cibernética mais sofisticado. A quarta estipula que “todas as atividades cibernéticas são revisadas e avaliadas quanto à eficácia”, com os resultados da revisão compartilhados com a gerência. A camada superior adiciona documentação padronizada e abrangente relacionada a todas as unidades relevantes.

CMMC Nível 1	Higiene cibernética básica (realizada)	As práticas selecionadas são documentadas onde necessário
CMMC Nível 2	Higiene cibernética intermediária (documentada)	Cada prática é documentada e existe uma política para todas as atividades
CMMC Nível 3	Boa higiene cibernética (gerenciada)	Além das práticas acima, existe um plano cibernético que é operacionalizado para incluir todas as atividades.
CMMC Nível 4	Proativo (revisado)	Todas as atividades cibernéticas são revisadas e avaliadas quanto à eficácia. Os resultados são compartilhados com a administração.
CMMC Nível 5	Progressivo avançado (otimização)	Além das práticas acima, este estágio adiciona uma documentação padronizada em toda a organização.

“É a primeira estrutura que vimos com um modelo de maturidade mapeado específico para integradores e seus subcontratados licitando em programas governamentais sensíveis”, disse Tony Cole, diretor de tecnologia da Attivo Networks. A estrutura pode encorajar organizações de infraestrutura crítica a desenvolver uma compreensão mais sofisticada do risco cibernético interno, bem como a devida diligência exigida de terceiros. Há um nível de objetividade na estrutura que pode ser útil, disse Cole. “De acordo com o modelo, um auditor terceirizado deve entrar e confirmar o nível de segurança cibernética de um contratado. Nenhuma pesquisa auto-relatada ”, disse ele. “Alguém tem que fazer uma auditoria.”

A automação também é um elemento a ser considerado ao projetar uma estratégia de segurança proativa. Técnicas como aprendizado de máquina podem ajudar as organizações a automatizar tarefas rotineiras de monitoramento de segurança, como detecção de violação de rede e implementar controles para impedir a propagação de ataques.

As proteções de segurança incorporadas, que estão cada vez mais disponíveis em diversos dispositivos com recursos limitados, fornecem proteção intrínseca contra ameaças. A proteção no dispositivo também deve “incluir recursos abrangentes de gerenciamento de ativos”, disse Tshuva. Esses controles oferecem suporte à visibilidade da rede e podem fornecer alertas automáticos para ataques.

As organizações que correm para encontrar maneiras de automatizar o monitoramento de segurança sem uma política de segurança robusta e contextual frequentemente enfrentam uma explosão de alarmes falsos, alertou Selheimer. Mas, no final, todas as organizações devem planejar investir tempo no ajuste dos controles de segurança. “Não é diferente em OT do que em TI. As pessoas no [centro de operações de segurança] passam muito tempo ajustando regras de firewall e informações de segurança, regras de correlação de gerenciamento de eventos para reduzir o ruído ”, disse Selheimer.

Para complicar ainda mais as coisas, está o cenário de infraestrutura crítica exclusivo e variado, que pode complicar a implantação de ferramentas de IA e automação de segurança prontas para o uso. “Certamente existem algumas limitações. Mas também existem maneiras de resolver isso ”, disse Norton. As organizações podem, por exemplo, isolar sistemas operacionais sensíveis e usar ferramentas de automação e orquestração para proteger o enclave resultante. “Por meio da automação e orquestração, automatize o máximo que puder e orquestre onde não for possível automatizar para garantir que você tenha recursos eficazes e esteja respondendo e se ajustando às ameaças”, disse Norton.

No final, as ameaças à segurança da infraestrutura crítica provavelmente mudarão rapidamente. “Ser proativo significa que você está constantemente ajustando sua postura cibernética para lidar com o que está acontecendo em termos de impactos diretos contra a organização e também com o que você está vendo acontecer do ponto de vista da indústria”, disse Norton.