Demonstração ao vivo: A plataforma Nozomi Networks em 15 minutos
Assista
Uma maneira simples de comparar OT TO e a TI é a seguinte: A TI valoriza a integridade, a confidencialidade e a disponibilidade dos dados. OT valoriza o tempo de atividade, a segurança e a confiabilidade do processo.
A TI é onipresente em uma organização e é usada por quase todos os funcionários, em todos os centros de custo. Portanto, a segurança de TI se concentra na proteção de dados contra acesso ou modificação não autorizados, com ênfase no acesso baseado em funções e no treinamento de usuários, o elo mais fraco, em práticas seguras de segurança cibernética.
Os ativos e as redes de OT normalmente gerenciam e controlam as joias da coroa que geram receita para uma organização (ou fornecem serviços públicos essenciais), muitas vezes de forma autônoma. Portanto, a segurança OT envolve garantir a operação segura e confiável dos processos físicos.
O grande volume e a diversidade dos dispositivos de OT e IoT os tornam mais difíceis de gerenciar do que os dispositivos de TI, além disso, cada componente de uma rede de OT faz parte de um processo maior em um ambiente muito distribuído. Se uma máquina tiver um problema, é preciso saber imediatamente do que ela depende e o que depende dela.
Historicamente, as redes de OT eram "air-gapped" - sem conectividade com a Internet ou com as redes de TI da empresa, as ameaças cibernéticas não eram uma preocupação. Esses dias já se foram há muito tempo, mas, com muita frequência, a segurança cibernética em ambientes OT ainda é uma reflexão tardia. Graças à digitalização industrial, os ambientes de produção atuais incluem centenas de sistemas digitais interconectados que aumentam a eficiência, mas também introduzem novos riscos. Muitos dispositivos OT não são gerenciados e não podem ser corrigidos como os computadores e servidores de TI. Quando a aplicação de patches é possível, ela não pode ser automatizada. Com algumas exceções, a detecção de ameaças depende da inspeção profunda de pacotes e de técnicas de detecção de anomalias baseadas em comportamento, projetadas especificamente para ambientes OT.
Os ataques de ransomware estão nas manchetes, mas as configurações incorretas da rede ou dos processos do dia a dia, os erros operacionais, os picos de uso de recursos e outras anomalias têm muito mais probabilidade de ameaçar os ambientes OT que os ataques externos. Uma anomalia é qualquer coisa que se desvie do desempenho da linha de base. Podem ser valores instáveis de processos, medições incorretas de processos e configurações incorretas que podem levar ao mau funcionamento.
Os dados que circulam pelos ativos e processos OT (como valores de processos) são relevantes apenas por um instante, e pode haver milhões desses pontos de dados por minuto. Portanto, a segurança cibernética de OT se concentra menos na exfiltração de dados e mais em garantir que os dados sejam movimentados somente entre dispositivos autorizados e que estejam atualizados a cada instante.
A maior parte da TI tem um ciclo de vida curto, com obsolescência incorporada. O software é descontinuado ou passa por uma grande atualização a cada poucos anos, e o hardware precisa ser substituído com frequência. OT geralmente tem um ciclo de vida longo, que pode chegar a várias décadas em alguns casos. Dispositivos como os CLPs geralmente são criados especificamente para ambientes de produção robustos - e feitos para durar. Muitos dispositivos OT ainda dependem de tecnologia legada que é "insegura por design", com vulnerabilidades bem documentadas que muitas vezes não são corrigidas. E pode levar anos para que os testes de aceitação no local e autorizados pela fábrica ocorram, portanto, pequenos ajustes não são incentivados.
Alguns sistemas OT - e seus componentes - funcionam continuamente por anos, com pequenas janelas para manutenção programada. As operações contínuas ajudam a garantir a segurança e a confiabilidade, pois o tempo de inatividade pode levar a falhas críticas em ambientes industriais. Os patches (se disponíveis) e outras atualizações não são frequentes e devem ser programados durante janelas de manutenção estreitas.
A TI usa sistemas operacionais padrão e se comunica usando protocolos padrão. Muitos dispositivos OT têm sistemas operacionais proprietários específicos para seu uso. Os sistemas de OT também usam centenas de protocolos para se comunicar, muitos deles específicos do setor e inerentemente inseguros. Esses protocolos são adaptados para monitoramento e controle em tempo real de processos e dispositivos físicos, priorizando a confiabilidade, os tempos de resposta determinísticos e a resiliência em relação à velocidade e à flexibilidade. Os sistemas de detecção de intrusão (IDS) de TI e os sistemas de detecção e resposta de endpoints (EDRs) não entendem os protocolos industriais e, portanto, não podem detectar ameaças OT. Na melhor das hipóteses, eles seriam ineficazes; na pior, poderiam consumir muitos recursos ou quebrar algo.
Em um determinado dia, os fabricantes podem ter dezenas de técnicos terceirizados fazendo login remotamente para monitorar a produção e solucionar problemas de equipamentos, geralmente usando suas próprias ferramentas de acesso remoto. O uso negligente de credenciais fracas e senhas padrão deixa as empresas abertas a ataques por meio da execução remota de códigos.
Especialmenteno caso de equipamentos não tripulados, as senhas padrão podem nunca ser alteradas, o que facilita a invasão de agentes mal-intencionados, e a autenticação multifator (MFA) é impraticável. Em vez disso, o monitoramento contínuo é usado para autenticar os dispositivos e garantir a integridade da comunicação entre eles.
A segmentação é um controle de compensação essencial para limitar as comunicações e proteger os dispositivos que podem ser remediados com pouca frequência, se for o caso. Para isolar as joias da coroa industrial e evitar que os incidentes cibernéticos nas redes de TI se desloquem lateralmente para as redes OT , os ambientes industriais usam zonas e conduítes seguros que controlam e monitoram o tráfego entre os segmentos
Compreender o risco de segurança cibernética, introduzir práticas recomendadas de segurança e criar uma cultura de conscientização em ambientes industriais são mudanças culturais importantes. Por exemplo, fazer com que os engenheiros OT aceitem a mitigação do risco de segurança cibernética como manutenção programada exige uma mudança de pensamento. Como os CISOs adotam o gerenciamento de riscos corporativos e OT está cada vez mais sob sua autoridade, essa mudança deve ocorrer.
Apesar do ceticismo inicial, os operadores de OT obtêm muitos benefícios do monitoramento contínuo de ativos e redes. Ele coleta uma grande quantidade de informações sobre os ativos e processos monitorados, o que é útil para detectar mudanças importantes, tanto anomalias da linha de base quanto ameaças à segurança cibernética. Além disso, uma vez iniciado o monitoramento contínuo, ele normalmente expõe problemas de longa data que os operadores não sabiam que existiam.
Assim que a plataforma Nozomi Networks é instalada, os sensores de rede começam a analisar o tráfego da rede ICS e criam uma visualização interativa do mesmo. Os operadores e a equipe de segurança cibernética veem os nós da rede industrial visualizados, geralmente pela primeira vez. Eles percebem rapidamente aspectos de seu ambiente dos quais não estavam cientes anteriormente e podem se aprofundar facilmente para encontrar mais informações.
Os operadores podem ver não apenas alterações de configuração e anomalias, mas também quem está conectado a um dispositivo, com quais outros dispositivos ele está se comunicando e quais protocolos está usando. Duas grandes vitórias são a visibilidade do tráfego Leste-Oeste em níveis mais baixos de Purdue e conexões USB não autorizadas.
Os centros de operações de segurança (SOCs) de OT mesclados são onde as duas culturas realmente se confrontam. Eles estão ganhando popularidade por motivos óbvios, como supervisão central do CISO, convergência de OT , melhores tempos de resposta e, é claro, economia de custos. No entanto, em vez de um SOC mesclado, o que se vê com mais frequência é a equipe tradicional do SOC de TI prestando um serviço a um novo cliente, a unidade de negócios de OT . Frequentemente, o que acontece é um exemplo clássico de como o provedor de serviços não entende seu cliente. É necessário que ocorra uma grande transferência de conhecimento, mas isso não acontece.
Uma maneira simples de comparar OT TO e a TI é a seguinte: A TI valoriza a integridade, a confidencialidade e a disponibilidade dos dados. OT valoriza o tempo de atividade, a segurança e a confiabilidade do processo.
A TI é onipresente em uma organização e é usada por quase todos os funcionários, em todos os centros de custo. Portanto, a segurança de TI se concentra na proteção de dados contra acesso ou modificação não autorizados, com ênfase no acesso baseado em funções e no treinamento de usuários, o elo mais fraco, em práticas seguras de segurança cibernética.
Os ativos e as redes de OT normalmente gerenciam e controlam as joias da coroa que geram receita para uma organização (ou fornecem serviços públicos essenciais), muitas vezes de forma autônoma. Portanto, a segurança OT envolve garantir a operação segura e confiável dos processos físicos.
O grande volume e a diversidade dos dispositivos de OT e IoT os tornam mais difíceis de gerenciar do que os dispositivos de TI, além disso, cada componente de uma rede de OT faz parte de um processo maior em um ambiente muito distribuído. Se uma máquina tiver um problema, é preciso saber imediatamente do que ela depende e o que depende dela.
Historicamente, as redes de OT eram "air-gapped" - sem conectividade com a Internet ou com as redes de TI da empresa, as ameaças cibernéticas não eram uma preocupação. Esses dias já se foram há muito tempo, mas, com muita frequência, a segurança cibernética em ambientes OT ainda é uma reflexão tardia. Graças à digitalização industrial, os ambientes de produção atuais incluem centenas de sistemas digitais interconectados que aumentam a eficiência, mas também introduzem novos riscos. Muitos dispositivos OT não são gerenciados e não podem ser corrigidos como os computadores e servidores de TI. Quando a aplicação de patches é possível, ela não pode ser automatizada. Com algumas exceções, a detecção de ameaças depende da inspeção profunda de pacotes e de técnicas de detecção de anomalias baseadas em comportamento, projetadas especificamente para ambientes OT.
Os ataques de ransomware estão nas manchetes, mas as configurações incorretas da rede ou dos processos do dia a dia, os erros operacionais, os picos de uso de recursos e outras anomalias têm muito mais probabilidade de ameaçar os ambientes OT que os ataques externos. Uma anomalia é qualquer coisa que se desvie do desempenho da linha de base. Podem ser valores instáveis de processos, medições incorretas de processos e configurações incorretas que podem levar ao mau funcionamento.
Os dados que circulam pelos ativos e processos OT (como valores de processos) são relevantes apenas por um instante, e pode haver milhões desses pontos de dados por minuto. Portanto, a segurança cibernética de OT se concentra menos na exfiltração de dados e mais em garantir que os dados sejam movimentados somente entre dispositivos autorizados e que estejam atualizados a cada instante.
A maior parte da TI tem um ciclo de vida curto, com obsolescência incorporada. O software é descontinuado ou passa por uma grande atualização a cada poucos anos, e o hardware precisa ser substituído com frequência. OT geralmente tem um ciclo de vida longo, que pode chegar a várias décadas em alguns casos. Dispositivos como os CLPs geralmente são criados especificamente para ambientes de produção robustos - e feitos para durar. Muitos dispositivos OT ainda dependem de tecnologia legada que é "insegura por design", com vulnerabilidades bem documentadas que muitas vezes não são corrigidas. E pode levar anos para que os testes de aceitação no local e autorizados pela fábrica ocorram, portanto, pequenos ajustes não são incentivados.
Alguns sistemas OT - e seus componentes - funcionam continuamente por anos, com pequenas janelas para manutenção programada. As operações contínuas ajudam a garantir a segurança e a confiabilidade, pois o tempo de inatividade pode levar a falhas críticas em ambientes industriais. Os patches (se disponíveis) e outras atualizações não são frequentes e devem ser programados durante janelas de manutenção estreitas.
A TI usa sistemas operacionais padrão e se comunica usando protocolos padrão. Muitos dispositivos OT têm sistemas operacionais proprietários específicos para seu uso. Os sistemas de OT também usam centenas de protocolos para se comunicar, muitos deles específicos do setor e inerentemente inseguros. Esses protocolos são adaptados para monitoramento e controle em tempo real de processos e dispositivos físicos, priorizando a confiabilidade, os tempos de resposta determinísticos e a resiliência em relação à velocidade e à flexibilidade. Os sistemas de detecção de intrusão (IDS) de TI e os sistemas de detecção e resposta de endpoints (EDRs) não entendem os protocolos industriais e, portanto, não podem detectar ameaças OT. Na melhor das hipóteses, eles seriam ineficazes; na pior, poderiam consumir muitos recursos ou quebrar algo.
Em um determinado dia, os fabricantes podem ter dezenas de técnicos terceirizados fazendo login remotamente para monitorar a produção e solucionar problemas de equipamentos, geralmente usando suas próprias ferramentas de acesso remoto. O uso negligente de credenciais fracas e senhas padrão deixa as empresas abertas a ataques por meio da execução remota de códigos.
Especialmenteno caso de equipamentos não tripulados, as senhas padrão podem nunca ser alteradas, o que facilita a invasão de agentes mal-intencionados, e a autenticação multifator (MFA) é impraticável. Em vez disso, o monitoramento contínuo é usado para autenticar os dispositivos e garantir a integridade da comunicação entre eles.
A segmentação é um controle de compensação essencial para limitar as comunicações e proteger os dispositivos que podem ser remediados com pouca frequência, se for o caso. Para isolar as joias da coroa industrial e evitar que os incidentes cibernéticos nas redes de TI se desloquem lateralmente para as redes OT , os ambientes industriais usam zonas e conduítes seguros que controlam e monitoram o tráfego entre os segmentos
Compreender o risco de segurança cibernética, introduzir práticas recomendadas de segurança e criar uma cultura de conscientização em ambientes industriais são mudanças culturais importantes. Por exemplo, fazer com que os engenheiros OT aceitem a mitigação do risco de segurança cibernética como manutenção programada exige uma mudança de pensamento. Como os CISOs adotam o gerenciamento de riscos corporativos e OT está cada vez mais sob sua autoridade, essa mudança deve ocorrer.
Apesar do ceticismo inicial, os operadores de OT obtêm muitos benefícios do monitoramento contínuo de ativos e redes. Ele coleta uma grande quantidade de informações sobre os ativos e processos monitorados, o que é útil para detectar mudanças importantes, tanto anomalias da linha de base quanto ameaças à segurança cibernética. Além disso, uma vez iniciado o monitoramento contínuo, ele normalmente expõe problemas de longa data que os operadores não sabiam que existiam.
Assim que a plataforma Nozomi Networks é instalada, os sensores de rede começam a analisar o tráfego da rede ICS e criam uma visualização interativa do mesmo. Os operadores e a equipe de segurança cibernética veem os nós da rede industrial visualizados, geralmente pela primeira vez. Eles percebem rapidamente aspectos de seu ambiente dos quais não estavam cientes anteriormente e podem se aprofundar facilmente para encontrar mais informações.
Os operadores podem ver não apenas alterações de configuração e anomalias, mas também quem está conectado a um dispositivo, com quais outros dispositivos ele está se comunicando e quais protocolos está usando. Duas grandes vitórias são a visibilidade do tráfego Leste-Oeste em níveis mais baixos de Purdue e conexões USB não autorizadas.
Os centros de operações de segurança (SOCs) de OT mesclados são onde as duas culturas realmente se confrontam. Eles estão ganhando popularidade por motivos óbvios, como supervisão central do CISO, convergência de OT , melhores tempos de resposta e, é claro, economia de custos. No entanto, em vez de um SOC mesclado, o que se vê com mais frequência é a equipe tradicional do SOC de TI prestando um serviço a um novo cliente, a unidade de negócios de OT . Frequentemente, o que acontece é um exemplo clássico de como o provedor de serviços não entende seu cliente. É necessário que ocorra uma grande transferência de conhecimento, mas isso não acontece.
