Sistemas de controle industrial: o novo alvo do malware

Sistemas de controle industrial: o novo alvo do malware. 2020 representou um aumento de 660% nos alertas cibernéticos em relação a 2019, durante o qual a CISA emitiu cinco alertas cibernéticos durante todo o ano.

Durante 2020, a CISA emitiu 38 alertas cibernéticos que variam de atores de estado-nação como Irã e Coreia do Norte a ransomware conhecidos especificamente direcionados a operações de gasodutos e notavelmente o último alerta emitido em 17 de dezembro de 2020, “”Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations”, para o da ataque à cadeia de suprimentos SolarWinds .

Organizações em toda a linha também viram um número crescente de adversários visando e atacando sistemas de controle industrial (ICS) e redes de tecnologia operacional (OT). É uma tendência que está claramente continuando no novo ano ( ‘Coisas Perigosas’: Hackers Tentaram Envenenar o Abastecimento de Água da Cidade da Flórida ).

Segundo o site Mission Secure E como a superfície de ataque continua a se expandir para infraestrutura crítica com proprietários e operadores adotando novas tecnologias para melhorar a eficiência operacional, espera-se que aumentem as vulnerabilidades e o direcionamento de sistemas ICS e redes OT.

Visando redes OT e o aumento de malware focado em ICS

No lado da casa da TI, o malware é uma grande indústria. O ransomware (um tipo de malware que restringe o acesso por um pagamento de resgate), por exemplo, deve atingir US $ 20 bilhões em custos de danos globais neste ano, quase o dobro do número em 2019 e triplicar o número de 2018.

E há um precedente claro para a natureza de pagamento rápido e o ROI das atividades de ransomware. No ano passado, a Garmin foi vítima do WastedLocker e supostamente pagou um resgate de US $ 10 milhões. Outras vítimas de ransomware em 2020 incluem o fabricante de eletrônicos Foxconn , um oleoduto dos EUA , e o Toll Group – que foi atingido duas vezes durante o ano – para citar alguns.

Também houve um aumento no nível de programação e flexibilidade do malware nos últimos anos. E essa nova geração de malware modulares tem sido cada vez mais implantada durante os ataques – impactando tanto os sistemas de TI quanto de OT.

Modular Malware: módulos ICS contaminados com malware de TI

Modular Malware, como o nome sugere, contém diferentes módulos. Esses módulos podem ser carregados dinamicamente nos sistemas de destino e em um ambiente específico. Por exemplo, se a vítima tiver um PC com Windows 7, um módulo com exploits do Windows 7 pode ser carregado para atingir aquele ativo específico. Esta não é uma nova tática.

Mas muitos grupos adversários também têm criado malware com foco em ICS e SCADA. O malware TRITON, designado o “malware mais assassino do mundo” pelo MIT Technology Review , ataca especificamente os sistemas instrumentados de segurança (safety instrumented systems – SIS). Um sistema instrumentado de segurança executa “ação automatizada para manter uma planta em um estado seguro, ou para colocá-la em um estado seguro, quando condições anormais estão presentes;” O SIS é a última linha de defesa em um processo industrial, muitas vezes evitando desastres catastróficos.

Os ataques do TRITON contra os sistemas de segurança foram um toque de clarim – indo além dos ataques iniciais às operações de produção para a terra dos danos físicos e potenciais calamidades de vida e segurança.

A progressão lógica é então incluir mais módulos baseados em Internet das Coisas (IoT) e Internet das Coisas Industrial (IIoT). A experiencia em campo realizando avaliações de risco cibernético e testes de penetração, mostra que muitas vezes existem sistemas baseados em TI online que estão inadvertidamente ou propositalmente vinculando um sistema conectado à Internet com a rede OT. No jargão da segurança cibernética, isso é conhecido como ponto de pivô, permitindo que um invasor pivote o ataque com sucesso em um host habilitado para internet para atacar a rede OT, que não deveria ter uma conexão direta com a internet.

Depois que um ponto de apoio é estabelecido em um host conectado ao OT, geralmente resta pouca proteção para um adversário superar. Se a operação tiver visibilidade em suas redes de OT e puder detectar a intrusão, ainda será necessário tempo para isolar e remediar as ações adversárias. E isso assumindo que a intrusão seja detectada imediatamente quando a realidade é que os adversários muitas vezes passam meses sem serem detectados nos sistemas OT.

Além da visibilidade e detecção, poucos têm proteções para salvaguardar ativos OT críticos – como o SIS. Por exemplo, se o controlador lógico programável (PLC) e as leituras do SIS fossem manipulados, o operador saberia? Geralmente a resposta é não. (O SIS verifica os PLCs, mas nada está validando o SIS.)

A capacidade de adicionar vários módulos dentro do malware permite que um adversário personalize seu ataque para cada ambiente exclusivo. O seu HMI está conectado a uma porta em um telefone VoIP que não está suficientemente isolado? Um módulo pode atacar esse telefone e usá-lo como um ponto de articulação na rede de sistemas de controle industrial.

Intensificando a segurança cibernética de OT: Proteja ativos essenciais

Todos os anos, mais e mais vulnerabilidades são descobertas em equipamentos OT. E os agentes mal-intencionados estão incorporando ataques contra essas vulnerabilidades ICS em seus pacotes. Esses ataques serão usados. E é preciso perguntar o quão preparada está a operação para perceber, reagir e se defender contra esses ataques. Suas operações (e resultados financeiros) podem sobreviver às tentativas?

Parece cenários da indústria do entretenimento, mas eles são do mundo real. O telefone VoIP é um exemplo intencional. Durante uma avaliação de risco cibernético em uma operação industrial, a organização tinha um roteador WIFI em uma sala de conferências vulnerável a um ataque de reinstalação de chave (KRACK). Uma vez que os pen-testers OT entraram na rede WIFI explorando essa vulnerabilidade, encontraram uma vulnerabilidade no telefone VoIP, executaram um ataque bem-sucedido contra esse telefone, contornaram um firewall e ganharam uma posição em uma rede OT – em minutos e por meio de um dispositivo aparentemente inócuo: Roteador WIFI em uma sala de conferências.

O malware modular permite que um invasor encadeie ataques específicos do ambiente e os automatize para explorar falhas muito específicas. Ele também pode simplificar mais facilmente os conjuntos de ferramentas adversárias ou dividir as fases de reconhecimento e exploração em etapas mais bem delineadas realizadas por equipes diferentes.

O ataque de 2020 contra a Garmin é um exemplo da aceleração em ataques híbridos de TI / OT, ​​pois o ataque de ransomware bem-sucedido não apenas interrompeu as operações de TI, mas supostamente os serviços e a fabricação. E é um lembrete: assim como a segurança, para evitar desastres, as operações devem tomar medidas proativas para proteger suas operações, funcionários e partes interessadas em geral.

Convergência de redes TI e OT

A convergência que possibilita novos modelos de negócios ágeis também traz novos riscos consideráveis, muitos dos quais pegam as organizações de surpresa. A maioria das violações da arquitetura de Controle e Aquisição de Dados e Sistemas de Controle Industrial (SCADA/ICS) causou um impacto alto ou significativo nos negócios, comprometendo a capacidade de atender aos requisitos de conformidade e diminuindo a funcionalidade e estabilidade financeira, além de afetar a segurança dos funcionários. Para as organizações de OT responsáveis pela infraestrutura crítica, qualquer tipo de impacto precisa ser levado a sério.

Estas são apenas algumas das descobertas de um estudo realizado pela Forrester Consulting, que analisa o estado atual da proteção da infraestrutura crítica, incluindo seus desafios, prioridades e estratégias relacionados. Este estudo, entrevistou 429 tomadores de decisão globais responsáveis pela segurança da infraestrutura crítica, proteção IP, IoT e/ou sistemas SCADA e concluiu que:

  • A maioria das organizações reconhece a importância da segurança SCADA/ICS e já realizou várias medidas para proteger seus sistemas SCADA/ICS, mas também planejam aumentar os gastos com segurança SCADA/ICS, mais do que em qualquer outro segmento de sua rede de TI ou OT. Parte do motivo deste aumento de investimento é que quase todos os tomadores de decisão reconhecem que há desafios de segurança muito graves relacionados à convergência de TI e OT.
  • As principais preocupações de CSOs/CISOs incluem a incapacidade de identificar, medir e rastrear adequadamente os riscos, as interrupções nos sistemas que afetam os processos de cliente e nas operações de negócios causadas por uma catástrofe. Além disso, existe um número insuficiente de profissionais especializados em segurança, não apenas na própria equipe interna, como também nos fornecedores de serviços de segurança terceirizados. Isso não é apenas resultado da crescente lacuna de capacitação em cibersegurança em toda a indústria de computação, pois inclui o fato de que, mesmo entre os profissionais de segurança disponíveis, poucos têm experiência em ambientes de OT.
  • Esse enfoque na segurança está sendo reforçado por uma série de problemas, sendo que o maior deles é a inclusão de soluções na nuvem a sistemas ICS, além da incapacidade de identificar ou agir no risco resultante da visibilidade e do controle limitados que a infraestrutura e os serviços na nuvem podem oferecer. Depois das preocupações com os ambientes na nuvem, os próximos cinco vetores de ataque à segurança SCADA/ICS que tiram o sono dos líderes de segurança em termos de ambientes de OT são: vírus, hackers internos ou externos, vazamento de informações confidenciais ou sensíveis e falta de autenticação do dispositivo.
  • Cada organização pesquisada agora possui tecnologias de IoT, uma média de 4,7 tipos diferentes de tecnologias de IoT conectada à rede de cada uma delas, incluindo RFID passivo, rastreamento de localização em tempo real (RFID ativo, banda ultra larga, ultrassom, etc.), rastreamento por GPS, sensores de segurança, sensores de rede e sensores de condição. Esses dispositivos também usam uma ampla variedade de protocolos de comunicação, incluindo Wi-Fi, sistemas celulares como CDMA/GPRS/4G, redes de malha, telemática e comunicações de campo próximo (NFC). Cada uma dessas tecnologias não apenas apresenta seus próprios desafios de segurança, mas como envolvem muitas questões de segurança inerentes aos dispositivos IoT que foram desenvolvidos com códigos ruins, que permitem invasão via backdoors e senhas embutidas diretamente em seu firmware ou que funcionam como dispositivos headless, impedindo até mesmo atualizações e correções básicas.

O que você pode fazer?

Para muitas organizações nessa mesma situação, uma dúvida muito comum é por onde começar. A maioria das organizações pesquisadas pela Forrester acha que a melhor maneira de evitar os desafios relacionados à OT e TI convergentes é fazer uma avaliação completa dos riscos operacionais e dos negócios, independentemente de estarem ou não na sua estratégia de convergência.

Outras medidas importantes que as organizações podem considerar, com base nas melhores práticas e no feedback dos participantes do estudo, incluem:

  • Implementar controles essenciais de segurança de rede, como NGFW, IPS e sandboxing na borda do ambiente de OT; aumentar a centralização do gerenciamento de dispositivos e da tomada de decisões; criptografia de dados e tráfego; e considerando a natureza altamente sensível dos sensores e sistemas instalados nos ambientes de infraestrutura crítica, implementar monitoramento e controles passivos no ambiente de OT.
  • Isolar a infraestrutura crítica das redes de produção, dispositivos de TI e dos funcionários usando estratégias de segmentação e micro segmentação.
  • Fazer registros e análises contínuos de todo o tráfego de rede (análise de segurança).
  • Usar autenticação de dois fatores, incluindo biometria (por exemplo, impressão digital, voz, reconhecimento facial, etc.) e estabelecimento de controle de acesso baseado na função para todos os funcionários via gerenciamento de identidade e acesso (IAM) e gerenciamento de identidades com privilégios (PIM/PAM) para administradores.
  • Desenvolver internamente conhecimento sobre segurança específica dos sistemas SCADA/ICS, OT e IoT. 
Fonte: Mission Secure & CIO 

Veja também:

Sobre mindsecblog 1781 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Como demonstrar que seu site é seguro pode aumentar as vendas do seu negócio
  2. Ransomware: cuidado com as táticas, ferramentas e procedimentos

Deixe sua opinião!