Vulnerabilidade da Cadeia de Abastecimento IoT representa uma ameaça à segurança IIoT

A maioria das empresas que constroem produtos com a ajuda de IIoT as operações provavelmente manterão o controle da cadeia de suprimentos que fornece um fluxo previsível de matérias-primas e serviços que lhes permite produzir produtos e manter os negócios funcionando.

Mas uma segunda cadeia de suprimentos subjacente recebe menos escrutínio. E se a segurança dessa cadeia de suprimentos for de alguma forma comprometida, os negócios podem ser paralisados.

Essa cadeia de suprimentos negligenciada fornece os componentes que constroem uma infraestrutura IIoT. O comprador desses dispositivos está no final da cadeia de abastecimento que - do ponto de vista da segurança - carece de transparência suficiente na cadeia. Na verdade, seria um desafio rastrear as origens dos elementos internos que compõem os dispositivos IIoT entregues.

Como resultado, não é incomum que componentes vinculados à IIoT sejam fornecidos com vulnerabilidades de segurança exploráveis. A complexidade e o alcance global da cadeia de suprimentos da IIoT apenas agravam o problema - um único dispositivo pode ser feito de peças fornecidas por dezenas de fabricantes de componentes.

“Dezenas de componentes feitos de empresas em todo o mundo passam por várias camadas de fornecedores e integradores até serem colocados em uma placa, testados e embalados pelo OEM”, conforme observado em “Avaliação da Cadeia de Suprimento de Estado Finito , ”Um relatório de 2019 da Finite State, uma empresa de segurança cibernética de IoT.

Os riscos para as infraestruturas IIoT são reais e muitos

A maioria das operadoras de rede reconhece os riscos da cadeia de suprimentos da IIoT, mas vulnerabilidades específicas são difíceis de isolar. Essas implantações costumam ser de longo alcance, indo além das paredes do fabricante para transportadores, comerciantes e outros parceiros comerciais. E, à medida que a rede se estende e inclui pontos de integração adicionais, o risco de que um fragmento arriscado de código malicioso seja replicado apenas aumenta. Na verdade, o código em si pode não ser malicioso, mas pode apresentar uma porta aberta que pode comprometer os sistemas.

“Apenas ver em primeira mão quantas vulnerabilidades tendem a estar em sistemas embarcados - é aí que os proprietários de ativos não percebem que essas vulnerabilidades existem em seus sistemas”, observou Matt Wyckhouse, CEO da Finite State.

Depois que um ambiente IIoT é violado, os agentes mal-intencionados podem usá-lo como uma entrada para se aprofundar nos sistemas corporativos. Os sistemas de controle industrial (ICS) e outros sistemas de produção podem estar em risco, mas se os intrusos puderem escapar dos bloqueios de segurança e se aprofundar ainda mais, os principais aplicativos corporativos e dados relacionados também podem ser expostos. Tudo isso pode ser atribuído ao firmware questionável que entrou na cadeia de suprimentos que produz sensores, atuadores e outros IIoT operacionais.

“Quando uma vulnerabilidade é relatada, leva um tempo para um fabricante responder a essa vulnerabilidade, obter um patch e, em seguida, para os proprietários de ativos executar a atualização para esse dispositivo e executar a versão mais recente do firmware para ele”, explicou Wyckhouse , descrevendo como até mesmo vulnerabilidades conhecidas podem persistir.

Em “The State of Industrial Cybersecurity”, um relatório de pesquisa de julho de 2019 conduzido pelo ARC Advisory Group para Kaspersky, um provedor de segurança, mais de um quarto (26%) dos entrevistados disseram que consideravam “ameaças de terceiros, como fornecimento rede ou parceiros ”ser uma grande preocupação, e outros 44% disseram que era uma preocupação menor. Curiosamente, todas as outras principais preocupações de segurança - como ransomware (70%) e ataques direcionados (68%) - podem ser lançadas contra uma empresa por meio de uma violação da cadeia de abastecimento.

[Para obter mais informações sobre segurança de IoT, registre-se em nosso IoT Security Summit em dezembro.]

Na mesma pesquisa, 28% dos entrevistados observaram que era "muito provável" ou "bastante provável" que o ICS ou a rede de controle industrial de sua empresa fosse o alvo.

A “Pesquisa Global Connected Industries Cybersecurity”, outra pesquisa de 2019 realizada pela Irdeto, uma empresa de segurança com sede na Holanda, enfatizou que muitas empresas já foram queimadas por ataques IoT invasivos:“O estudo descobriu que apenas 17% dos dispositivos IoT usaram ou fabricados por grandes empresas não sofreram um ataque cibernético nos últimos 12 meses. ”

Como as cadeias de suprimentos da IIoT são comprometidas

Normalmente, a maior preocupação com a cadeia de abastecimento que alimenta as linhas de produção de uma empresa é que a atividade de produção pode ser interrompida, causando uma desaceleração ou paralisação da produção. Para a cadeia de suprimentos da IIoT, a ameaça é muito mais velada e pode levar semanas ou meses antes que seus efeitos sejam aparentes.

Normalmente, quando ocorre uma corrupção da cadeia de abastecimento IIoT, é mais o resultado de um efeito dominó, que mascara a fonte de vulnerabilidade.

“Os atacantes têm algumas vítimas em mente, mas em vez de ir diretamente às vítimas, eles vão a fornecedores industriais de IoT de nível 2, comprometem seus sites e substituem firmware e software legítimos por versões Trojanizadas”, descreveu Eric Byres, CEO da Adolus, um empresa que fornece um serviço de verificação de firmware.

Os administradores de rede IIoT involuntários que realizam a manutenção apropriada da rede podem proliferar inadvertidamente o código hostil. “Eles vão e imediatamente baixam e levam para suas instalações”, disse Byres, “e de repente há esse malware que agora está dominando dentro de suas instalações, dentro dos firewalls, dentro de tudo”.

Com o pé na porta, os intrusos podem abrir caminho nas redes industriais e violar as redes de dados corporativos. “Os bandidos atacam um site e obtêm esse efeito multiplicador confiável”, continuou Byres. “É um ótimo retorno do investimento para um invasor.”

A maioria dos ambientes IIoT inclui centenas ou milhares de dispositivos mais antigos - sensores e outros componentes que podem estar em funcionamento há uma década (ou mais). Os especialistas concordam que quanto mais antigo o equipamento, maior a probabilidade de apresentar um risco de segurança, pois atrasa no suporte e nas atualizações.

Por exemplo, o relatório do Estado Finito descreveu um componente fabricado pela Huawei que incluía código usando uma versão do OpenSSL lançada em 2003 - e era bem conhecido (e documentado) como extremamente vulnerável.

Algumas falhas de segurança da cadeia de suprimentos da IIoT podem ter sido inseridas intencionalmente - inocentemente ou com motivos maliciosos. Um exemplo é uma porta dos fundos. Um backdoor em um pedaço de software permite o acesso às partes centrais do firmware e, portanto, ao próprio componente sem ter que passar pelo processo de autenticação usual.

As portas traseiras bem-intencionadas são freqüentemente deixadas abertas pelos fabricantes de componentes para fornecer um ponto de entrada para os técnicos apoiarem e monitorarem o dispositivo. Freqüentemente chamados de portas de depuração, esses backdoors também permitem o acesso fácil de agentes mal-intencionados. Da mesma forma, as interfaces de programação de aplicativos (ou APIs) destinadas a permitir a integração com sistemas de controle industriais podem, inadvertidamente, oferecer outro meio de comprometer a operação de um dispositivo. Os backdoors mais nefastos são frequentemente deixados entreabertos pelos países em seus produtos exportados, pois eles esperam usá-los mais tarde para roubar propriedade intelectual (IP) ou outros dados.

Geralmente, a cadeia de suprimentos da IIoT é mais do Oeste Selvagem do que bem controlada.

“A IoT ainda é uma tecnologia grosseiramente não regulamentada em termos de padrões de segurança”, observou “Segurança da Cadeia de Abastecimento de IoT:Visão Geral, Desafios e o Caminho à Frente”, um artigo de pesquisa publicado por Muhammad Junaid Farooq e Quanyan Zhu da Escola Tandon da Universidade de Nova York de Engenharia. “Não há controle sobre a cadeia de abastecimento a montante do ponto de vista do proprietário do dispositivo. Nem todos os fornecedores estão prontos para articular claramente suas práticas de segurança cibernética e divulgar suas informações da cadeia de suprimentos ”.

Metas de atores maliciosos e o que eles desejam

As incursões da cadeia de suprimentos da IIoT podem resultar em qualquer uma das situações comprometidas que vimos, causadas por outros tipos de violações de rede. Mas, devido à sua própria natureza e função, dispositivos IIoT “com vazamento” podem resultar em várias atividades maliciosas e interrupções.

O ransomware ainda se destaca como a principal motivação para um ataque. Isso também é verdade para muitas infiltrações na cadeia de abastecimento da IIoT, pois os malfeitores podem atrasar ou afetar negativamente a produção até que o pagamento do resgate seja feito.

As interrupções na produção podem causar estragos ainda maiores em um ambiente industrial. Ao alterar o fluxo de dados de sensores e outros dispositivos IIoT, as configurações da máquina podem ser manipuladas, o que, por sua vez, pode causar problemas invisíveis no processo de fabricação, o que pode resultar em produtos defeituosos ou máquinas de chão de fábrica, como dispositivos robóticos, para operar em um ambiente inseguro maneiras.

Um relatório de Melhores Práticas de Segurança da OT de março de 2020 observou que as violações do sistema de controle industrial podem ter efeitos profundos:"Algumas delas incluem risco significativo para a saúde e segurança de vidas humanas, sérios danos ao meio ambiente e questões financeiras, como perdas de produção, e impacto negativo na economia de uma nação. ”

Certos setores da indústria também se tornaram alvos importantes.

“Se você deseja um ambiente rico em alvos com muitos alvos interessantes, vá para a energia, vá para a rede elétrica, vá para o petróleo e o gás”, disse Adolus 'Byres. “E agora outro ambiente rico em alvo que estamos vendo é o médico por causa da pandemia.”

Wyckhouse da Finite State também aponta os cuidados de saúde como um alvo principal. “Estamos realmente vendo um aumento de ataques destrutivos e com risco de vida no setor de saúde agora nas últimas semanas, com ataques de ransomware derrubando hospitais no meio da pandemia.”

Um grande dia de pagamento nem sempre é o objetivo dos invasores - às vezes, a informação, como em propriedade intelectual (IP) crítica, é o objetivo.

Atravessar as rachaduras em um ambiente IIoT para chegar à rede de dados corporativa também é uma manobra comum. “A superfície de ataque está crescendo e se tornando mais complicada a cada dia”, disse Wyckhouse. “Existem certos casos em que devemos nos preocupar com o fato de um ator usar a cadeia de suprimentos como o mecanismo de acesso inicial.”

Como lidar com as deficiências da cadeia de suprimentos da IIoT

Para a maioria das empresas, criar um ambiente IIoT mais seguro será uma tarefa significativa, simplesmente por causa do grande número de dispositivos nas redes e seus históricos complicados. Você estará um passo à frente se já tiver um inventário detalhado e abrangente desses dispositivos - e se não tiver, este é o lugar para começar.

Depois de estabelecer a configuração do terreno, uma avaliação de risco da cadeia de abastecimento é a próxima etapa. Identifique os riscos “macro”, como situações de resgate, corrupção de dados ou roubo de IP. Mas a avaliação de risco também precisará chegar a um nível mais granular, onde cada dispositivo é avaliado quanto à vulnerabilidade potencial e como essa vulnerabilidade pode ser combinada em uma intrusão de rede mais ampla.

Um olhar mais atento sobre as redes da empresa e como elas se integram também é importante. Pode ser possível, por exemplo, isolar uma IIoT da Internet usando air-gapping para separar o ambiente de tecnologia de operações das redes de TI.

Os fornecedores de dispositivos IIoT também devem ser avaliados, para que o nível de seus esforços de segurança seja compreendido. O melhor momento para isso é quando sua empresa está avaliando produtos para compra porque "o momento no ciclo de vida de um dispositivo em que a operadora tem mais influência sobre o fabricante é durante a compra desse dispositivo", de acordo com Wyckhouse.

Se as compras de dispositivos IIoT forem muitas e frequentes, seria uma boa ideia configurar um processo de avaliação formal para garantir que todos os fornecedores e produtos sejam avaliados de forma adequada.

“Não leve apenas um pequeno pedaço de papel que diga:‘ Levamos a segurança a sério ’”, observou Byres. “Obtenha um relatório adequado deles ou vá a um terceiro e obtenha uma análise adequada e realmente descubra se o seu fornecedor está fazendo o dever de casa sobre segurança”.

Você também pode acessar recursos como o National Vulnerability Database (NVD) do Instituto Nacional de Padrões e Tecnologia (NIST) para verificar sua lista de Vulnerabilidades e Exposições Comuns (CVEs).

Novas classes de serviços e aplicativos estão surgindo, especificamente para lidar com a situação da cadeia de suprimentos da IIoT. Adolus e Finite State são exemplos de empresas com serviços que ajudam os usuários a determinar a segurança dos equipamentos que já instalaram ou estão considerando.

Adolus começou como um projeto do Departamento de Segurança Interna dos EUA antes de evoluir para um serviço disponível comercialmente. Ele é construído sobre um banco de dados que coleta informações publicadas e anedóticas relacionadas a milhares de dispositivos IoT, incluindo uma compilação de quaisquer vulnerabilidades conhecidas. Os usuários finais ou fabricantes de dispositivos podem acessar o banco de dados para rastrear a linhagem de um componente e encontrar detalhes sobre suas peças constituintes e fornecedores.

“Nossa tecnologia é para construir essa lista de materiais de software”, disse Eric Byres, CEO da Adolus. “Assim, poderíamos ter toda uma proveniência não apenas do produto básico que você acabou de comprar e instalar, mas de todos os componentes que o acompanham.”

O Estado Finito também adota uma nova abordagem para esse problema. A tecnologia da empresa pode analisar efetivamente o firmware para determinar se ele apresenta riscos para uma infraestrutura IIoT. Isso é particularmente importante porque, como o CEO da Finite State Matt Wyckhouse aponta, “quando uma atualização de firmware é aplicada, esse firmware substitui todo o software naquele dispositivo. Ele o substitui completamente e, portanto, pode alterar completamente o perfil de risco do dispositivo. ”