Mantenha redes críticas muito seguras

A visão na minha tela era, francamente, assustadora. Pude ver claramente os dispositivos na rede de tecnologia operacional (OT) de um grande aeroporto e pude ver os dados que eles estavam relatando. Em uma tela estavam os controles para a ponte do jato, em outra as luzes da pista e, em outra, o passageiro se manifestava para um próximo vôo, completo com todos os detalhes do passageiro. Qualquer pessoa com acesso a essa rede poderia usar os dados para desviar informações pessoais, encontrar os relacionamentos necessários para atacar as operações do aeroporto e ver o equipamento real que controlava os dispositivos em toda a instalação. Em outras palavras, eles poderiam, com o mínimo de esforço, desligar o aeroporto.

Sharon Rosenman, vice-presidente de marketing da Cyberbit, estava me mostrando os recursos do dispositivo SCADAShield Mobile de sua empresa e estava usando um aeroporto real para fazer isso (e não, não vou lhe dizer qual aeroporto era). Sua empresa foi contratada para ajudar os operadores aeroportuários a encontrar e corrigir suas vulnerabilidades.

O dispositivo SCADAShield Mobile é um analisador de OT portátil, do tamanho de uma mala, destinado a examinar toda a rede OT em busca de sinais de ataque, além de encontrar vulnerabilidades que podem não ser óbvias para os administradores de rede. Rosenman disse que o dispositivo compreende todos os protocolos de rede que serão encontrados nessa rede e é capaz de analisar o tráfego usando esses protocolos.

(Crédito da imagem: Statista)

Redes OT e segurança

Uma rede OT é aquela que fornece comunicações para dispositivos de controle de supervisão e aquisição de dados (SCADA). Esses dispositivos são usados ​​em tudo, desde fabricação e controle de processos até as mesmas unidades que exibem meus dados do aeroporto. E os dados que eles processam podem variar bastante - desde a exibição de vôos nos quadros de mensagens até os computadores nas cidades que controlam os semáforos. É a rede principal para dispositivos da Internet das Coisas (IoT).

Um fato infeliz sobre muitas redes OT é que elas têm pouca ou nenhuma segurança. O pior é que eles quase sempre estão interconectados à rede de TI de uma organização, que é a que você está acostumado a lidar diariamente - e a que está cada vez mais em risco de malware e hackers sofisticados.

"Muitos administradores não percebem que as redes de TI e OT estão conectadas", disse Rosenman. Além disso, os administradores das redes de TI e OT freqüentemente não são as mesmas pessoas. Essa pode ser uma das razões pelas quais as redes OT tendem a ser menos seguras. Outra é que as motivações para os administradores de rede são diferentes. De acordo com Rosenman, os administradores de rede da OT precisam manter suas redes funcionando, porque mesmo um pouco de inatividade pode ter um impacto extremamente negativo na produção.

"As redes OT frequentemente não são corrigidas", disse Rosenman. "As redes OT geralmente não são criptografadas e os administradores podem nem saber o que está funcionando em suas redes", disse ele. Além disso, as operações do Protocolo de transferência de arquivos (FTP) geralmente ocorrem em texto sem formatação, permitindo que os invasores obtenham todas as credenciais necessárias.

Redes OT e correções

Além da complexidade, a maior parte do tráfego em uma rede OT é proveniente da rede de TI da organização. Isso ocorre em parte porque a rede OT freqüentemente não é segmentada da rede de TI e em parte porque os protocolos de rede de TI são usados ​​por muitos dos dispositivos SCADA e IoT, o que significa que eles precisam ser vistos na rede de TI.

Parte do motivo da falta de segurança é a relutância dos administradores em arriscar o tempo de inatividade ao corrigir seus dispositivos de rede. Mas isso é agravado pelo fato de que muitos desses dispositivos simplesmente não podem ser corrigidos porque, apesar de seus fabricantes terem instalado um sistema operacional (SO), eles deixaram de implementar qualquer meio de aplicar atualizações. O equipamento médico é um infrator notável nesta área.

Rosenman disse que também existe a crença de que sistemas que não estão conectados à Internet estão protegidos contra hackers. Mas ele observou que isso não é verdade, como foi demonstrado durante o Stuxnet, quando uma operação conjunta dos Estados Unidos / Israel cortou com sucesso e destruiu as centrífugas de urânio no Irã. Ele também observou que essas lacunas de ar na verdade não existem porque os trabalhadores encontraram maneiras de contorná-las para facilitar seu próprio trabalho ou porque nunca existiram em primeiro lugar devido ao mau design da rede.

Rosenman disse que a falta de visibilidade dos dispositivos SCADA, da IoT e das redes OT dificulta a proteção deles, e é por isso que a Cyberbit construiu os dispositivos móveis SCADAShield Mobile, principalmente para as CERTs (Computer Emergency Response Teams) e outros socorristas, especialmente nas áreas de infraestrutura crítica. O SCADAShield Mobile é um dispositivo portátil e também existe uma versão fixa que pode ser instalada permanentemente em redes vulneráveis.

Riscos e Consequências

A falta de segurança nas redes OT tem consequências muito reais e os riscos são enormes. É exatamente esse tipo de lapso de segurança em um sistema SCADA e a falta de segmentação que permitiu a violação do Target em 2013, e pouco aconteceu desde então para melhorar as coisas.

Enquanto isso, os russos da Agência de Pesquisa da Internet (IRA) em São Petersburgo estão invadindo rotineiramente os sistemas de controle da rede elétrica dos EUA, invadiram os sistemas de controle em pelo menos uma usina nuclear e estão em vários de sistemas de controle industrial em fabricantes norte-americanos. Esses mesmos sistemas são vulneráveis ​​aos fornecedores de ransomware e alguns desses sistemas já foram atacados.

Classifico os problemas de segurança das redes OT como "intencionais" porque, em geral, essas redes são gerenciadas por profissionais de TI, e qualquer administrador qualificado deve perceber o perigo de conectar dispositivos desprotegidos e sem patches a uma rede de TI voltada para a Internet. Desmarcado, esses tipos de lapsos de segurança afetarão a infraestrutura crítica dos EUA, tanto privada quanto pública, e os resultados podem ser caros e devastadores.

• Worm Stuxnet criado por EUA e Israel para impedir o programa nuclear do Irã Worm Stuxnet criado por EUA e Israel para impedir o programa nuclear do Irã
• O melhor software de proteção e segurança de endpoint hospedado para 2019 O melhor software de proteção e segurança de endpoint hospedado para 2019
• A melhor proteção de ransomware para negócios em 2019 A melhor proteção de ransomware para negócios em 2019

Se você deseja fazer sua parte para aliviar esses problemas, basta aplicar protocolos de segurança de TI testados pelo tempo à sua rede OT (e seus dispositivos), caso sua organização tenha um. Isso significa:

• Verificando vulnerabilidades.
• Segmentar a rede para restringir seu fluxo de dados apenas aos dados que precisam estar lá.
• Aplique atualizações de patch ao seu sistema OT e seus dispositivos em rede.
• Se você encontrar dispositivos que não possuem mecanismo de correção, identifique-os e comece o processo de substituí-los por dispositivos que possuem.

No geral, não é um trabalho difícil; é apenas demorado e provavelmente um pouco entediante. Mas comparado ao inferno que poderia acontecer se sua rede de OT sofrer uma falha catastrófica e o inferno subsequente de gerentes seniores descobrirem mais tarde que a interrupção poderia ter sido evitada… bem, levarei tempo e tedioso e demorado.