
“A única maneira eficaz de as indústrias de manufatura protegerem seus perímetros de segurança é monitorando todas as atividades que ocorrem nas redes de automação (TO) da planta industrial.”
Um “sanduíche de firewall” representa pouco mais que pequenos obstáculos no caminho para hackers profissionais. Para proteger os perímetros de segurança distribuídos pela fábrica, as empresas devem monitorar todas as atividades nas redes TO.
Autor: Michael Yehoshua
Vice-presidente de marketing global, SCADAfence
Tradução: Paolo Capecchi
Diretor da Westcon Instrumentação Industrial Ltda
Nos últimos cinco anos, os ciberataques a instalações industriais têm aumentado, tanto em termos de frequência quanto de gravidade. Diante de atores de ameaças determinados, que usam malware e técnicas, táticas e procedimentos (TTPs) em nível de estado/nação, as indústrias de manufatura de ambos os lados do Atlântico até agora demoraram a desenvolver defesas eficazes contra o nível de ataques planejados por grupos de hackers altamente capacitados e apoiados por governos de alguns países.
De acordo com o Ministério da Defesa do Reino Unido (MoD), os cibercriminosos que usam tecnologias desenvolvidas por certos países e algumas nações que patrocinam grupos de hackers para atingir instalações industriais específicas, criaram a linha divisória entre crimes cibernéticos e guerra cibernética.
“O ciberespaço já é um campo de batalha ativo, em que os atores são nações ou indivíduos/grupos que buscam, continuamente, as vulnerabilidades dos adversários, tentando obter informações secretas, desenvolvendo armas e ocasionalmente usando-as”, relata o programa Global Strategic Trends do MoD, acrescentando que “cyber ataques podem ser usados para desativar instalações industriais …”.
Em 2014, a indústria de manufatura na Europa e nos Estados Unidos tomou ciência, de forma brutal, de sua crescente vulnerabilidade cibernética quando hackers se infiltraram no sistema de controle de uma siderúrgica alemã. Os hackers assumiram o controle quase total do sistema de controle, manipulando-o com tanta eficácia que impediram os operadores da usina de paralisar a operação de um alto-forno, resultando em danos significativos.
Em maio de 2017, ataques usando o ransomware WannaCry, que se acredita terem sido originalmente desenvolvidos pela Coréia do Norte, paralisaram muitas fábricas em vários países em diversos continentes. Em 18 de março deste ano, um ataque de ransomware à fabricante norueguesa de alumínio Norsk Hydro custou à empresa US$52 milhões.
Embora a fonte exata da vulnerabilidade da Norsk Hydro esteja sendo debatida, os ciberataques sucessivos nas instalações de manufatura em todo o mundo revelam fraquezas flagrantes nas defesas cibernéticas em geral implementadas pelo setor manufatureiro. Muitas empresas veem a instalação de um firewall como uma bala de prata para a cibersegurança no momento em que seus perímetros de segurança se expandiram muito além dos perímetros dos firewalls existentes.
A quarta revolução industrial, às vezes chamada de Indústria 4.0, está acelerando o já rápido processo de digitalização que vem ocorrendo no setor de manufatura. O ritmo atual da digitalização frequentemente determina o uso de serviços e sistemas de terceiros, fornecendo aos hackers mais meios para burlar firewalls. A recente inclusão de sistemas anteriormente independentes, como câmeras de vigilância e sistemas de gerenciamento de edifícios (BMS – Building Management Systems) na Internet das Coisas (IoT), também cria mais vulnerabilidades nas industriais de manufatura e outros “edifícios inteligentes”.
À medida que as distribuidoras de energia buscam novos fornecedores para hardware, software e serviços de TI, elas abrem novas portas em potencial para hackers. Qualquer organização que trabalha em estreita colaboração com uma indústria de manufatura precisa ser protegida com a mesma eficácia que os sistemas que operam a própria instalação de distribuição de energia. Grupos de hackers organizados vêm se tornando cada vez mais proficientes no uso de sistemas de terceiros com pouca segurança para infiltrar malware em
organizações já protegidas.
Firewalls por si só também fazem pouco para proteger as instalações contra a maior falha de segurança de todos – o erro humano. Os engenheiros de software que trabalham em prazos apertados, por exemplo, às vezes cometem erros de configuração que podem ser identificados e explorados pelos hackers antes que possam ser corrigidos. É difícil prever ou detectar esse tipo de violação, pois a equipe pode tentar encobrir os erros de procedimentos.
Os funcionários que usam o email estão vulneráveis a ataques de engenharia social (tipo spear phishing) cada vez mais sofisticados. Depois de rastrear a vítima em redes sociais como LinkedIn e Twitter, os hackers montam um perfil detalhado do funcionário ou executivo para executar um ataque bem-sucedido de “spear phishing” ou “whaling”. Normalmente, o email parece vir de um colega de confiança e contém um link que, se aberto, transmite malware projetado para se infiltrar no sistema de controle da produção da fábrica.
Com tantos vetores de ataque para escolher e com acesso a TTPs em nível de nação/governamental, os hackers agora veem os firewalls como obstáculos puramente temporários. A implantação de vários firewalls, chamada de “sanduíche de firewall”, representa pouco mais do que uma série de obstáculos no caminho para os hackers organizados.
A única maneira eficaz de as fábricas protegerem seus perímetros de segurança distribuídos é monitorar todas as atividades que ocorrem na rede de tecnologia operacional (TO) da planta. O ideal é usar tecnologias passivas para monitorar atividades na rede TO sem afetar sua eficiência de forma alguma. Para conseguir isso, uma plataforma passiva deve ser capaz de atender às saídas muito altas geradas pelo aumento da digitalização da TO a fim de garantir um número mínimo de falsos positivos.
As plantas industriais devem ter como objetivo criar uma réplica virtual do tráfego de rede para identificar indicadores de um possível ataque antes que ele se materialize. Isso deve ser seguido por uma resposta em tempo real à ameaça, seguida por uma investigação rápida do incidente para conter ataques recebidos, protegendo-o contra ameaças futuras.
LEIA MAIS