Nota aos nossos clientes e parceiros no Oriente Médio
Mais informações
Ao compreender os riscos exclusivos associados aos ambientes OT e implementar medidas de segurança adequadas, as organizações podem reduzir significativamente a probabilidade e o impacto de ataques cibernéticos e interrupções operacionais.
A gestão de riscos é muito mais complexa do que a gestão de vulnerabilidades. Especialmente em OT , onde muitas vezes as correções precisam ser adiadas até a próxima janela de manutenção — supondo que ela exista —, é fundamental compreender a relação entre exposição, risco e tolerância. Isso envolve, em primeiro lugar, saber quais ativos são vulneráveis e, em seguida, ponderar a probabilidade de que uma ameaça conhecida os explore contra o impacto de uma exploração e a tolerância da organização a esse risco. Um evento de alto impacto com uma probabilidade mínima de ocorrer pode ser considerado menos crítico do que um evento de menor impacto que se sabe que ocorre várias vezes por semana. Usando essa fórmula, é fácil priorizar a mitigação de ativos que são vulneráveis a eventos que são tanto de alto impacto quanto prováveis de ocorrer.
Essa abordagem geral ao risco se aplica a todos os riscos cibernéticos, mas aqui estão as principais diferenças entre a forma como o risco é avaliado em OT de TI e OT .
Talvez a maior diferença seja que, na OT levar em conta tanto os riscos cibernéticos quanto os operacionais, incluindo os riscos de processo, pois anomalias operacionais não relacionadas a ameaças cibernéticas são muito mais comuns. No lado de TI, se o servidor de e-mail de uma empresa ficar fora do ar, o impacto nos negócios é mínimo. (Alguns funcionários podem até aproveitar a pausa!) Mas se um servidor crítico ficar fora do ar em um ambiente operacional, o risco pode ser enorme. A Colonial Pipeline é um ótimo exemplo. Quando os hackers do DarkSide exigiram resgate pelos dados de sua rede de TI, o ataque derrubou os sistemas de faturamento e contabilidade, o que certamente causaria uma confusão dispendiosa. Mas a empresa foi forçada a fechar o oleoduto porque os operadores perderam acesso a uma ferramenta de monitoramento de segurança e não podiam verificar se o próprio oleoduto havia sido violado — um risco enorme que eles obviamente não podiam tolerar.
Na OT, a avaliação de riscos é totalmente focada nas consequências, como segurança física, meio ambiente e continuidade das operações. Seja na avaliação de riscos em uma instalação de processamento postal, em uma fábrica de embalagens de carne, em um navio de carga ou em um depósito, com a OT você está sempre planejando o pior dia. Que catástrofe poderia acontecer que poderia afetar milhares de pessoas?
Cada componente de uma rede OT faz parte de um processo maior em um ambiente muito distribuído. Tudo está conectado e tem consequências. Em um data center, você provavelmente poderia reiniciar todos os outros servidores sem nenhum impacto. Em OT, se uma máquina tiver um problema, você precisa saber imediatamente do que ela depende e o que depende dela. A partir daí, quais são as consequências de um desligamento de emergência? Em uma refinaria de petróleo, se alguém apertar o botão de desligamento de emergência, milhões de dólares serão perdidos em um instante e alguns meses para que o local volte a funcionar.
NaTI, o risco do dispositivo baseia-se apenas nas vulnerabilidades, e você pode praticamente eliminar o risco com a aplicação de patches. Em OT, ele é multicamadas. A plataforma Nozomi Networks calcula o risco do ativo com base em cinco fatores: risco de vulnerabilidade, risco de alerta, risco de comunicação, risco do dispositivo, criticidade do ativo e controles de compensação. Os clientes podem usar essas pontuações prontas para uso ou podem ajustar o peso de cada variável até que o cálculo reflita com precisão como sua organização atribui o risco, portanto, é útil.
Especialmente no nível da fábrica e do diretor, as partes interessadas OT têm pouca utilidade para pontuações numéricas de risco. Nossos clientes costumam nos dizer: "Não preciso de um número; só preciso mostrar ao meu chefe um gráfico com uma linha descendente que indique que nosso risco está diminuindo ao longo do tempo, o que significa que nosso programa cibernético está funcionando". Não existe uma escala Richter para o risco de OT em que um 5.1 significa a mesma coisa de região para região ou mesmo de fábrica para fábrica.
Como o tempo de inatividade industrial deve ser evitado, além das questões de segurança, as partes interessadas industriais têm uma tolerância muito maior ao risco. Suponhamos que um dispositivo esteja exposto ao Telnet, mas no Nível 2 da Purdue ele tem firewalls acima e abaixo dele, e nada pode falar nessa porta. Esse é um cenário comum devido à natureza dos sistemas OT . O proprietário do ativo pode optar por silenciar um alerta que está sendo disparado porque o dispositivo está exposto à Telnet (ou pelo menos reduzir o risco de vulnerabilidade na regra de alerta), enquanto um analista de TI veria o alerta e desejaria corrigir o dispositivo imediatamente, o que você não pode e não precisa fazer.
Qualquer avaliação de risco começa com a realização de uma análise de impacto nos negócios para identificar suas joias da coroa e priorizar sua proteção. Em ambientes industriais, isso é mais complexo porque não se trata apenas de analisar o risco dos ativos; é preciso também identificar os processos mais críticos e como protegê-los. Uma correia transportadora dentro da fábrica que leva o minério de ferro para o forno é mais arriscada do que uma correia transportadora que leva a correspondência do prédio principal para o depósito. Elas podem usar a mesma tecnologia e os mesmos protocolos, mas os níveis de risco são muito diferentes.
Vários fornecedores oferecem pontuações de risco calculadas para ajudá-lo a entender o risco dos ativos. Elas podem parecer impressionantes em um POC, mas até que ponto elas o ajudam a monitorar e reduzir os riscos no dia a dia? Se elas não refletirem a forma como sua organização calcula o risco, você provavelmente as desconsiderará.
Networks Nozomi Networks identifica, avalia, mitiga e monitora os riscos em seu ambiente, ajudando operadores e equipes de SOC a colaborar para priorizar esforços e tomar as medidas mais eficazes para reduzir riscos e aumentar a resiliência. Ela atribui pontuações de risco a cada um dos seus ativos para ajudá-lo a priorizar esforços de segurança, lidar primeiro com os riscos mais críticos e tomar as medidas corretas para mitigar ameaças potenciais de forma eficaz. Ela calcula o risco dos ativos com base em cinco fatores: risco de vulnerabilidade, risco de alerta, risco de comunicação, risco de dispositivo, criticidade do ativo e controles compensatórios. Você pode usar nossas pontuações prontas para uso – ou pode personalizar totalmente o peso de cada variável até que o cálculo reflita com precisão como sua organização atribui riscos. Você pode até mesmo aplicar suas regras ajustadas por zona.
Ao analisar o risco dos ativos OT , você precisa ver rapidamente quais ativos são mais arriscados por zona, local, fornecedor e qualquer outra forma de categorizá-los. E você precisa ser capaz de se aprofundar para entender o que os torna arriscados e o que você pode fazer a respeito. Também é importante ver como as pontuações de risco individuais contribuem para a pontuação de risco de nível mais alto do site ou da zona à qual o ativo pertence e, por fim, para a pontuação de risco de toda a empresa. Mesmo com todo esse contexto, as pontuações de risco de ativos individuais têm pouco valor. Para um gerenciamento de risco adequado, você precisa entender as mudanças nas pontuações de risco ao longo do tempo.
O painel de controle Nozomi Networks mostra suas pontuações de risco atuais por zona, local e outras categorias que você selecionar. Se o risco estiver tendendo para a direção errada, você pode detalhar para ver por que e onde precisa adicionar os controles certos. Talvez você precise bloquear seus protocolos inseguros ou reforçar sua segmentação. Independentemente do que você decidir fazer, sua pontuação de risco refletirá o grau de impacto de suas ações, usando suas próprias suposições de risco. Se a sua pontuação de risco começou em 70 globalmente e caiu para 52, agora você tem um ROI difícil para justificar o seu investimento.
O recurso Asset Risk oferece uma visão geral abrangente do risco associado aos seus ativos OTIoT , com insights claros, personalizáveis e acionáveis sobre a postura de segurança de ativos individuais, zonas, locais, sensores e em todo o ambiente. Os usuários podem avaliar o desempenho da segurança e acompanhar as melhorias ao longo do tempo, o que o torna uma ferramenta essencial para manter e aprimorar a resiliência operacional.
