Detecção de comportamento cibernético anormal antes de um ataque cibernético

A promessa de tecnologias de fabricação avançadas - também conhecidas como fábricas inteligentes ou Indústria 4.0 - é que, conectando nossas máquinas, computadores, sensores e sistemas em rede, iremos (entre outras coisas) permitir a automação, melhorar a segurança e, por fim, nos tornar mais produtivos e eficientes. E não há dúvida de que a manufatura já se beneficiou dessa transformação.

Conectar todos esses sensores e dispositivos aos nossos sistemas de controle industrial (ICS), e o aumento do trabalho e monitoramento remoto, resulta em redes de fabricação com maiores vulnerabilidades a ataques cibernéticos. Essa é uma dinâmica cada vez mais desafiadora, à medida que os fabricantes decidem como adotar padrões comerciais de tecnologia da informação (TI) que sejam compatíveis com seus padrões de tecnologia operacional (OT).

Novos recursos baseados em padrões ajudarão os fabricantes

O Centro de Excelência de Segurança Cibernética Nacional do NIST (NCCoE), em conjunto com o Laboratório de Engenharia do NIST, divulgou recentemente um relatório que demonstrou um conjunto de recursos de detecção de anomalias comportamentais (BAD) para apoiar a segurança cibernética em organizações de manufatura. O uso desses recursos permite que os fabricantes detectem condições anômalas em seus ambientes operacionais para mitigar ataques de malware e outras ameaças à integridade de dados operacionais críticos.

Em outras palavras, os fabricantes serão capazes de monitorar continuamente os sistemas em tempo real ou quase em tempo real em busca de evidências de comprometimento. O desenvolvimento de controles cibernéticos baseados em padrões é um aspecto importante dos requisitos de segurança dos fabricantes.

Como o monitoramento RUIM se traduz em detecção precoce de ameaças cibernéticas

A detecção de anomalias comportamentais envolve o monitoramento contínuo dos sistemas para eventos ou tendências incomuns. O monitor procura em tempo real evidências de comprometimento, em vez do próprio ataque cibernético. A detecção precoce de possíveis incidentes de segurança cibernética é fundamental para ajudar a reduzir o impacto desses incidentes para os fabricantes. As violações cibernéticas são normalmente detectadas após o ataque.

As ferramentas BAD são implementadas em ambientes ICS e OT e podem ser monitoradas por uma interface de controle humano, que muitos fabricantes usam para monitorar suas operações. A operadora seria capaz de ver o tráfego da rede e ser alertada sobre a adição de qualquer dispositivo ou conexão autorizado ou não autorizado.

Por exemplo, o sistema saberia quais comunicações são autorizadas com um controlador lógico programável (PLC), então qualquer novo contato geraria um alerta. Da mesma forma, qualquer conversa anormal entre máquinas conectadas, modificações na lógica da interface homem-máquina (HMI) ou outras anomalias seriam observadas.

A solução BAD é uma abordagem modular relativamente barata e uma maneira eficiente de detectar anomalias. No entanto, os alertas BAD são passivos por natureza e não necessariamente tomariam ações corretivas, como desligar o processo de produção.

Os fabricantes continuam sendo um alvo para ataques cibernéticos

De acordo com o Departamento de Segurança Interna dos EUA, a manufatura foi a indústria mais visada por ataques à infraestrutura em 2015, e os fabricantes de pequeno e médio porte (SMMs) continuam a ser os principais alvos cibernéticos.

Há uma maior demanda por segurança cibernética devido à crescente dependência dos fabricantes em tecnologia e dados como impulsionadores de produtividade e eficiência. Tradicionalmente, os SMMs enfrentam o desafio de como gerenciar as preocupações com a segurança cibernética por vários motivos:

• O mix de tecnologia de manufatura inclui TI (redes e software de negócios, como e-mail, finanças e ERPs) e OT (tecnologia operacional, como máquinas e sistemas de controle).
• O Cyber ​​compete com muitas outras áreas em termos de financiamento, conscientização e educação.
• É difícil dedicar recursos especializados para pessoal interno.
• A cibersegurança não tem sido uma prioridade na construção do OT, o que significa que, à medida que TI e OT estão conectados, as vulnerabilidades dos sistemas legados tornam-se passivos em potencial para toda a rede.

Quais são as novidades do NIST Labs e NCCoE para segurança cibernética

O trabalho para desenvolver a capacidade BAD usou 16 casos de teste, ou classificações. Alguns eram alertas simples para um evento, como falhas de senha e autenticação, e outros envolviam algum nível de análise, como notificação de instalações de software não autorizadas e um alerta de negação de serviço.

O próximo projeto conjunto do NCCoE e do Laboratório de Engenharia do NIST, Protegendo Informações e Integridade do Sistema em Ambientes de Sistema de Controle Industrial, tem uma abordagem mais abrangente para proteção contra hacks de integridade de dados. Esses recursos incluem:

• Monitoramento de incidentes e eventos de segurança;
• Lista de permissões de aplicativos;
• Detecção e mitigação de malware;
• Gerenciamento de controle de mudanças;
• Autenticação e autorização do usuário;
• Controle de acesso com privilégios mínimos; e
• Mecanismos de verificação de integridade de arquivo

Nove fornecedores e integradores de manufatura assinaram acordos cooperativos de pesquisa e desenvolvimento (CRADA) com a NCCoE para ajudar a desenvolver a capacidade.

Entre em contato com o seu centro MEP local para obter conselhos de especialistas em segurança cibernética

Os especialistas em segurança cibernética que trabalham no setor de manufatura veem a educação como a chave para a adoção do SMM. Mais SMMs estão examinando as consultas cibernéticas de maneira semelhante a como podem buscar expertise em finanças ou seguros.

Se você não tiver certeza de por onde começar com a segurança cibernética para sua empresa de manufatura, verifique esta ferramenta de avaliação e a Estrutura de Segurança Cibernética do NIST. Você também pode navegar pela coleção NIST MEP de recursos de segurança cibernética para fabricantes.

Para necessidades específicas, o caminho mais conveniente para encontrar a orientação adequada é entrar em contato com um especialista em segurança cibernética em seu MEP Center local.