Protegendo a IoT Industrial:Adotando uma abordagem de próxima geração - Parte 2

Trevor Daughney, VP de Marketing de Produto da Exabeam
A digitalização de ativos industriais está levando a uma consciência crescente da importância de proteger os ambientes de OT conectados de ataques cibernéticos que danificam a produção, as instalações e os ativos - e expõem dados confidenciais, afirma Trevor Daughney, vice-presidente de marketing de produto da Exabeam

Como descobrimos no artigo anterior, as ameaças cibernéticas estão cada vez mais sendo direcionadas a sistemas de controle industrial (ICS) com o objetivo de desligar linhas de produção ou infligir grandes danos físicos a equipamentos.

Com ameaças às redes industriais no local, os funcionários responsáveis ​​pelo gerenciamento e proteção de TI e OT precisarão colaborar de perto para identificar vulnerabilidades em potencial e priorizar onde as lacunas de segurança precisam ser fechadas. Ao fazer isso, as equipes de TI e OT obtêm o entendimento profundo de que precisam sobre as inter-relações entre os ambientes OT, redes de negócios e o próprio ecossistema industrial mais amplo - que também pode incorporar fornecedores, vendedores e parceiros.

Isso não é uma tarefa fácil quando você considera como, até agora, os problemas de segurança de TI e OT foram amplamente tratados em seus respectivos silos. Além do mais, o desafio de abordar a segurança das OTsolutions não é fácil de superar.

Sistemas com gap de ar não são uma solução viável

Quando se trata de proteção de sistemas de controle industrial, muitas organizações ainda empregam uma abordagem conhecida como air gap, ou segurança por isolamento, em uma tentativa de reforçar a segurança de sistemas OT legados contra ataques cibernéticos. No entanto, embora seja eficaz como uma medida temporária de segurança, a abertura de ar não é uma solução ideal a longo prazo. E certamente não deve ser utilizado isoladamente. Pegue o ataque do worm Stuxnet, por exemplo, que foi projetado para violar seu ambiente de destino por meio de um stick USB infectado - atravessando qualquer lacuna de ar. Com a existência de worms de computador mal-intencionados como esse, o air gap por si só não é uma segurança adequada.

Além do fato de que air-gappingsystems limita significativamente a capacidade das organizações de alavancar os dados em tempo real que esses sistemas geram para cortar custos, reduzir o tempo de inatividade e melhorar a eficiência, muitas das arquiteturas modernas de hoje agora permitem a conexão do legacy OT à internet para fins de comando e controle operacional modernos. Na verdade, 40% das instalações industriais têm pelo menos uma conexão direta com a Internet pública - o que coloca essas redes OT diretamente na linha de fogo quando se trata de exposição potencial a adversários e malware.

Lidando com a complexidade

Infelizmente, muitas das soluções de segurança projetadas para o mundo de TI não foram personalizadas para lidar com as complexidades dos ambientes de OT conectados de hoje. Isso ocorre porque os dispositivos IIoT utilizados nos sistemas OT não foram concebidos para serem integrados com as ferramentas de monitoramento e gerenciamento de segurança projetadas para redes de TI corporativas.

As implicações disso para as organizações são profundas:elas não têm visibilidade dos eventos ou ativos da rede OT. E sem uma visão de toda a empresa de todos os riscos, vulnerabilidades e pontos de infiltração em potencial, a detecção rápida de ameaças e os recursos de resposta dessas empresas estão seriamente comprometidos.

Isso não é uma boa notícia para as equipes de segurança empenhadas em proteger os ambientes IIoT de um número crescente de agentes de ameaças que têm como alvo os sistemas de controle de vários setores.

Lidando com os riscos do dispositivo com UEBA

A boa notícia é que monitorar dispositivos OT de maneira eficiente e eficaz não é uma tarefa impossível. Normalmente projetados para operar sem ação humana, esses dispositivos "se comportam" de uma determinada maneira. Por exemplo, eles se comunicam usando portas específicas, com determinados endereços IP e dispositivos, em horários esperados. Essas ações podem ser reinterpretadas como "comportamento" e analítica de comportamento de entidade de usuário (UEBA) implantada para aumentar as capacidades de monitoramento de segurança que podem ser integradas com informações de segurança e gerenciamento de eventos (SIEM) para realizar monitoramento de infraestrutura abrangente de uma maneira verdadeiramente unificada.

Em vez de passar dias ou semanas usando o sistema SIEM alegacy para consultar e dinamizar manualmente cada uma das centenas ou milhares de logs por segundo gerados por um único ponto de controle OT, o UEBA torna mais rápido e fácil descobrir indicadores de comprometimento.

Usando análises para modelar um perfil comportamental normal abrangente de todos os usuários e entidades em todo o ambiente, as soluções UEBA identificarão qualquer atividade que seja inconsistente com essas linhas de base padrão. A análise empacotada pode então ser aplicada a essas anomalias para descobrir ameaças e incidentes potenciais.

Dessa forma, é possível monitorar sistematicamente as saídas volumosas de dispositivos IIoT, junto com dispositivos IT, para encontrar ameaças de segurança em potencial. Outras atividades, como devicelogins, também podem ser monitoradas.

Adotando uma abordagem integrada à segurança

Como vimos, as limitações das soluções legadas e modernas de IIoT, OT e IoT são persistentes, mas há passos que as empresas podem tomar para garantir a integridade de suas operações comerciais.

A chave aqui é evitar uma abordagem de 'solução pontual' e, em vez disso, optar por uma solução integrada que combina UEBA com uma plataforma SIEM moderna para fornecer uma visão corporativa de TI e segurança de OT. Tornando possível iniciar o monitoramento centralizado muito importante que permite a detecção aumentada de ameaças - incluindo técnicas difíceis de detectar, como movimento lateral.

Com isso implementado, uma única equipe SOC pode aproveitar o SIEM para ingerir e analisar dados de todas as fontes da organização e obter uma visão em tempo real de toda a segurança - incluindo visibilidade total de todos os dispositivos em seus ambientes de OT.

O autor é Trevor Daughney, vice-presidente de Marketing de Produto da Exabeam