Protegendo a Internet das Coisas Industrial

Enquanto as organizações projetam e implantam esforços para a Internet das Coisas Industrial, o termo não tem sentido para profissionais de segurança porque a Internet das Coisas Industrial (IIoT) é um conceito. É difícil para os líderes de segurança proteger os conceitos.

Isso é de acordo com Katell Thielemann, analista VP da Gartner Inc.

“[Os profissionais de segurança] precisam abordar o problema com detalhes, entendendo que eles estão lidando com sistemas ciberfísicos que têm características muito específicas e entender essas características é a chave para definir como criar uma abordagem de segurança”, disse ela.

Muitas vezes, a velocidade de implantação inicial tem precedência sobre uma estratégia de segurança que deve abranger todo o ciclo de vida dos sistemas, disse Thielemann. Muitas organizações trazem uma visão centrada em TI para segurança em ambientes industriais quando se trata de esforços de IIoT.

Embora a tecnologia operacional de segurança (OT) esteja ganhando atenção de nível executivo e visibilidade para as autoridades regulatórias, a capacidade de colocá-las sob total visibilidade e proteção cibernética, bem como garantir vigilância contínua, é um desafio em vários níveis, disse Santha Subramoni, é líder global, segurança cibernética serviços em Tata Consultancy Services.

No nível básico, a própria superfície de ameaça (ou área que pode ser atacada) é complexa e variada, tornando a descoberta e integração de ativos um desafio de arquitetura de segurança corporativa, disse Subramoni. Sensor, dispositivos de borda, conectividade junto com dados relacionados, aplicativos e ecossistemas de hospedagem são o núcleo do ecossistema IIoT distribuído.

Há uma prevalência significativa de tecnologias legadas e proliferação de redes independentes, fora dos perímetros de rede corporativa, disse Subramoni. E a falta de visibilidade do terminal limita a capacidade de tomar medidas preventivas.

“As organizações precisam detectar e manter um catálogo de vulnerabilidades em vários níveis e manter o conhecimento e a tecnologia necessária para o mesmo dentro do ecossistema industrial, que normalmente ainda precisa amadurecer para uma escala gerenciável e confiabilidade”, disse Subramoni.

Como um fabricante de materiais de construção está protegendo a IIoT

A fabricante de materiais de construção HIL Ltd. deu o primeiro passo em sua jornada de digitalização e implementação de IIoT quando lançou a tecnologia de chão de fábrica digital em quatro de suas fábricas na Índia, disse Murali Raj, CTO da HIL. O chão de fábrica digital conecta todas as máquinas a uma rede, otimizando a eficiência e a qualidade.

“Agora estamos passando para a próxima fase de manutenção preditiva”, disse Raj. “Portanto, estamos fazendo POCs [provas de conceito] na manutenção preditiva e também estamos fazendo POCs na qualidade preditiva. Portanto, também precisamos cuidar das medidas de segurança. ”

No chão de fábrica, os parâmetros da máquina em tempo real são capturados por meio de sensores, controladores lógicos programáveis ​​(PLCs) e sistemas de controle supervisório e aquisição de dados (SCADA). Os dados são então transferidos para a nuvem por meio da rede de TI da HIL, onde são analisados ​​em tempo real, disse Raj. Além disso, o sistema gera alertas instantâneos que a equipe de operações pode usar para tomar medidas corretivas.

“Anteriormente, os sistemas SCADA existiam como uma ilha, não conectados à Internet”, disse Raj. “Então, quando você tem suas máquinas de fabricação e seus PLCs em cima disso, eles agem juntos na sala de controle, onde o supervisor controlava todo o [processo] de fabricação. Agora, esses dados precisam sair da rede. ”

Consequentemente, o HIL teve que implementar firewalls no lado da TI para se conectar com segurança à Internet. Para conectar seus dispositivos de ponta e sensores à Internet para transferir dados, a empresa garantiu que esses dispositivos aderissem aos padrões de segurança apropriados, disse Raj. E a HIL também precisava garantir que seu software e firmware fossem corrigidos e atualizados regularmente.

Depois de lidar com a tecnologia, a HIL também analisou as pessoas e os processos.

“Anteriormente, os engenheiros de manutenção, engenheiros elétricos que controlam o SCADA e PLC e a planta nem mesmo interagiam com nenhum de nossos engenheiros de TI, engenheiros de rede ou o líder que estava procurando segurança para a organização”, disse Raj.

Agora, essas equipes precisam se reunir e se entender e colocar em prática um processo para se manter atualizado sobre o que está acontecendo em suas áreas, disse ele. O HIL também treinou alguns de seus engenheiros de TI em segurança de OT e OT e pediu que a equipe da fábrica tivesse pelo menos uma consciência sobre segurança cibernética.

“Também trouxemos uma perspectiva externa em que a EY e a Deloitte nos ajudaram a criar uma estrutura de compreensão de TI e OT juntas”, disse Raj. “Como essa capacidade não existia internamente na organização, às vezes ajuda uma perspectiva externa.”

Na frente do processo, o HIL garantiu que as medidas de segurança de TI, como permissões de função, redefinições de senha e acesso de usuário, também estivessem sendo seguidas no lado do OT.

“Portanto, a equipe da fábrica, que não estava acostumada com esses tipos de procedimentos rígidos, precisava aceitá-los”, disse ele.

Certifique-se de que dispositivos / ativos críticos estão totalmente protegidos

Embora os ataques à IIoT sejam menos comuns do que os ataques de TI, suas consequências ainda podem ser tremendas, incluindo perda de produção, impacto na receita, roubo de dados, danos significativos a equipamentos, espionagem industrial e até mesmo lesões corporais, disse Asaf Karas, cofundador e chefe de tecnologia oficial da Vdoo, um provedor de cibersegurança automatizada para dispositivos conectados e IIoT.

Portanto, não é suficiente reduzir estatisticamente o número de ataques, mas garantir que dispositivos e ativos críticos sejam totalmente protegidos assim que entrarem em produção, disse ele.

Karas ofereceu algumas abordagens para ajudar as organizações a melhorar sua segurança de IIoT:

• Adote processos de gerenciamento de riscos e ameaças específicos para seus ambientes de indústria.
• Antes de implantar novos dispositivos, certifique-se de que eles estejam protegidos por design e que nenhuma vulnerabilidade primária ou de terceiros seja encontrada no código ou na configuração do dispositivo.
• Pós-implantação, use ferramentas de gerenciamento de ativos para descobrir e identificar ativos industriais relevantes
• Implemente agentes de aplicativos de tempo de execução de endpoint projetados exclusivamente para esses dispositivos para garantir monitoramento e proteção contínuos.

Gerenciar Hiperconectividade

O maior desafio de muitos dos dispositivos hoje é que eles não foram desenvolvidos com a segurança cibernética em mente, disse Kyle Miller, diretor / diretor da Booz Allen Hamilton. Eles frequentemente executam sistemas operacionais legados simplificados em tempo real que não oferecem suporte ao mesmo nível de proteção de segurança dos sistemas de TI tradicionais. Como resultado, eles têm o potencial de aumentar consideravelmente a superfície de ataque de uma organização, disse ele.

Agora, esses dispositivos estão sendo solicitados a se conectar diretamente das redes industriais à rede corporativa, à Internet e à nuvem, em muitos casos, disse Miller.

“[É importante] realmente gerenciar essa hiperconectividade, os fluxos de dados e a construção. . . um ambiente de confiança zero onde você está realmente gerenciando o que aquele dispositivo pode falar, com o que ele não pode falar e, no caso de um comprometimento, ser capaz de realmente limitar seu raio de explosão ”, disse ele.

Antes de implementar sistemas IIoT, as organizações também devem ter um bom entendimento dos tipos de riscos que estão assumindo, disse David Forbes, diretor / diretor da Booz Allen Hamilton.

Para obter esse entendimento, uma empresa deve obter a postura de segurança atual de seus fornecedores, as soluções e a implementação de software, bem como os dispositivos que está implementando em sua rede IIoT, disse a Forbes.

Por exemplo, quando uma organização implementa tecnologias de fornecedores terceirizados, ela precisa fazer perguntas aos fornecedores, como:

• Eles construíram seu próprio software em uma plataforma segura?
• Eles estão usando comunicações criptografadas quando necessário?
• Existem recursos de controle de acesso em vigor?

“Isso é muito importante para entender o risco e como você está voluntariamente mudando o cenário de ameaças de sua rede ao assumir esses sistemas IIoT”, disse Forbes.

As empresas devem garantir que esses dispositivos e sistemas IIoT sejam segmentados, quando apropriado, de outras redes de TI e OT, disse ele. Esses dispositivos devem ser rigidamente controlados para garantir que possam permanecer protegidos, mas também para que um vetor de ataque não possa criar acesso a outro.

Ciber-higiene organizacional

“Essas são coisas organizacionais”, disse Forbes. “Acho que realmente o que estamos vendo e quando você olha para as descobertas em algumas dessas violações e ataques, muito disso remonta à higiene cibernética organizacional e disciplina e protocolos que podem ou não ter sido implementados para começar com."

Os ambientes industriais são uma nova fronteira para os malfeitores e tudo indica que eles estão cada vez mais visando esses ambientes.

Em 2020, houve um aumento significativo de vulnerabilidades e ameaças voltadas para ambientes industriais, de acordo com Thielemann. E não é surpreendente, considerando que as empresas criam valor por meio de operações.

“Seja para espionagem industrial ou para tentativa de ransomware, esses ambientes são as joias da coroa para a maioria das empresas”, disse ela. “[E] isto não é sobre conformidade de segurança; trata-se de resiliência de negócios. ”

Para enfrentar esses desafios, as organizações precisam entender as características principais dos esforços da IIoT em consideração, disse Thielemann. Por exemplo:

• Quais são os resultados comerciais buscados pelos esforços?
• Onde os sistemas IIoT serão implantados?
  • Quem terá acesso a eles, tanto no mundo físico quanto no cibernético?
  • Como eles serão arquitetados?
• Quais soluções de segurança virão incorporadas ou precisarão ser colocadas em camadas?
• Os fornecedores precisarão se conectar remotamente para manutenção ou atualizações?
• Os fluxos de dados passarão pelas redes existentes? Sem fio?

“As organizações precisam ter uma visão do ciclo de vida dos esforços da IIoT”, disse ela. “Desde o projeto de requisitos até a compra, implantação, manutenção e aposentadoria, as considerações de segurança devem ser consideradas em cada etapa.”

Os líderes de segurança precisam perceber que os ambientes industriais são muito diferentes dos ambientes de TI centrados na empresa, disse Thielemann. Por exemplo, considerações de restrições de localização física, resiliência operacional ou mesmo segurança, precisam fazer parte da estratégia de segurança. As empresas precisam alterar suas abordagens de segurança centradas em TI para levar em conta esses ambientes, bem como suas abordagens de patching, monitoramento e autenticação.

Normalmente, a IIoT está sob a supervisão dos departamentos de engenharia e produção, e não de TI, disse Subramoni.

“No entanto, é preciso haver organização e supervisão da transformação junto com a modernização da tecnologia”, disse ela. “A maioria das empresas precisará de tecnologia confiável e de parceiros de integração de sistemas para escalar sob demanda e gerenciar os custos de proteção de sistemas industriais. Esta é uma necessidade em rápida evolução e a comunidade de tecnologia está se preparando para o desafio. ”