A Nozomi publicou esta semana um novo relatório de ameaças em OT/IoT do seu Nozomi Networks Labs, cujos destaques apareceram em seus honeypots:
- Março foi o mês mais ativo com cerca de 5 mil endereços IP de invasores;
- Os principais endereços IP dos invasores foram associados à China e aos Estados Unidos;
- As credenciais visadas com mais frequência – e usadas em variações, como forma de os agentes de ameaças acessarem todos os comandos do sistema e contas do usuário foram “root” e “adm”.
- No topo do ranking, manufatura e energia continuam sendo os setores mais vulneráveis, seguidos por instalações comerciais e de saúde.
Veja isso
Empresas de infraestrutura crítica falham na segurança IIoT/OT
Brasil ganha Comitê de Cibersegurança Industrial
O relatório alerta para o fato de que o cenário de ameaças cibernéticas de segurança industrial está mudando rapidamente, à medida em que as empresas exploram as possibilidades de operações mais eficientes: “Elas se encontram em uma batalha constante entre segurança e eficiência. Como resultado, as organizações precisam ser capazes de se adaptar rapidamente a novas ameaças e tendências para permanecerem seguras. Isso significa que os métodos de segurança tradicionais não são mais suficientes, pois não permitem que as organizações reajam com rapidez suficiente ou forneçam contexto suficiente para que tomem decisões informadas”, afirma o documento.
Além dos cuidados com higiene cibernética, a empresa destacou estratégias importantes para lidar com ameaças de segurança cibernética e ficar à frente das ameaças emergentes em 2022:
- Backups
- Inteligência de ameaças
- Segurança de nuvem
- Detecção de ameaças
- Lista de materiais de software (SBOM, software bill of materials)
Diante dos resultados colhidos para o relatório, a empresa estima que até o final deste ano estas sejam as principais tendências:
- Aumento de ataques relacionados a ICS e técnicas mais sofisticadas. À medida em que o conflito Rússia/Ucrânia persiste, é provável que o ransomware, o movimento lateral e as ferramentas de acesso remoto sejam cada vez mais usados por agentes de ameaças para atacar ICS.
- Os agentes de ameaças de ransomware continuarão a ver as empresas de infraestrutura crítica como alvos lucrativos. Essas empresas geralmente estão mais inclinadas a pagar o resgate porque não podem arcar com interrupções no ambiente de OT.
- Mais ataques terão como alvo empresas maiores. Espera-se que os agentes de ameaças visem organizações com bases de clientes significativas, dados confidenciais de clientes e grandes receitas.
- Roubo de código-fonte de tecnologia. Um dos maiores problemas que as empresas continuam enfrentando não é apenas o roubo de PII, mas também de código-fonte de tecnologia. Ele pode ser usado para desenvolver ataques direcionados projetados para derrubar empresas ou setores específicos.
- Mais políticas e governança cibernética serão implementadas. À medida que as iniciativas privadas/governamentais estabelecidas no início deste ano tomarem forma, como o JCDC da CISA, continuaremos a ver o efeito que elas têm na proteção da infraestrutura crítica.