A Agência de Segurança Nacional (NSA) e a Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA emitiram um comunicado com orientações sobre como proteger a tecnologia operacional (OT) e os sistemas de controle industrial (ICSs) parte da infraestrutura crítica do país, que também se adequam a outras nações.
O comunicado conjunto compartilha informações sobre todas as etapas usadas por cibercriminosos para comprometer ativos de OT e ICS habilitados para TI que fornecem uma superfície de ataque maior e destaca as medidas que os profissionais de segurança podem tomar para se defender.
“Criminosos cibernéticos, incluindo grupos de ameaças persistentes avançadas (APT), têm concentrado o foco nos sistemas de OT e ICS nos últimos anos para obter ganhos políticos, vantagens econômicas e possivelmente para executar efeitos destrutivos. Recentemente, eles desenvolveram ferramentas para varredura, comprometimento e controlando dispositivos OT direcionados”, disse a NSA.
O comunicado também observa as crescentes ameaças aos ativos de OT e ICS que operam, controlam e monitoram a infraestrutura crítica e os processos industriais do dia a dia. “Os projetos de OT/ICS estão disponíveis publicamente, assim como uma variedade de ferramentas para explorar sistemas de TI e OT”, diz a nota.
No aviso, os profissionais de cibersegurança podem encontrar informações detalhadas sobre como bloquear ataques de operadores de ameaças em todas as etapas, incluindo tentativas de coletar inteligência, obter acesso inicial ou implantar e executar ferramentas maliciosas em sistemas de infraestrutura crítica comprometidos.
Medidas de mitigação
No entanto, alguns podem não conseguir implementar algumas das estratégias de segurança recomendadas que podem ajudar a mitigar muitas táticas comuns usadas para atingir sistemas de controle de infraestrutura crítica. Para esses, a NSA e a CISA fornecem algumas práticas recomendadas de segurança para combater as táticas, técnicas e procedimentos (TTPs) dos cibercriminosos:
- Limite a exposição das informações do sistema: As informações operacionais e do sistema e os dados de configuração são elementos cruciais das operações de infraestrutura crítica. A importância de manter esses dados confidenciais não pode ser exagerada.
- Identifique e proteja os pontos de acesso remoto: Os proprietários/operadores devem manter um conhecimento detalhado de todos os sistemas instalados, incluindo quais pontos de acesso remoto estão — ou podem estar — operando na rede do sistema de controle. Criar um “inventário de conectividade” completo é uma etapa crítica para garantir o acesso ao sistema.
- Restrinja ferramentas e scripts: Limite o acesso à rede e a ferramentas e scripts de aplicativos do sistema de controle para usuários legítimos que executam tarefas legítimas no sistema de controle. A remoção completa das ferramentas e scripts e a correção dos componentes do sistema de controle incorporado para vulnerabilidades exploráveis geralmente não é viável. Assim, aplique cuidadosamente as limitações de acesso e uso a processos e componentes particularmente vulneráveis para limitar a ameaça.
- Realize auditorias de segurança regulares: Essa auditoria visa identificar e documentar vulnerabilidades, práticas e procedimentos do sistema que devem ser eliminados para melhorar a postura de defesa cibernética e, em última análise, impedir que cibercriminosos mal-intencionados possam causar os efeitos pretendidos.
- Implemente um ambiente de rede dinâmico: uma pequena mudança pode ajudar bastante a interromper o acesso obtido anteriormente por um agente mal-intencionado.
“É vital para os profissionais de segurança de OT/ICS antecipar os TTPs de cibercriminosos combinando conhecimento de TI com know-how de engenharia”, acrescentam as duas agências federais. “Os defensores podem empregar as mitigações listadas neste comunicado para limitar o acesso não autorizado, bloquear ferramentas e fluxos de dados e impedir que atores mal-intencionados alcancem os efeitos desejados”.
Veja isso
Em 52% do malware de OT, o projeto é atacar via USB
Pesquisa aponta falta de cultura de risco em OT e ICS
O comunicado das agências se baseia em orientações anteriores a 2021 para interromper ataques maliciosos direcionados a sistemas de controle de OT e a partir de 2020 sobre como defender ativos de OT expostos à internet.
Por exemplo, em julho de 2021, um memorando de segurança nacional instruiu a CISA e o NIST a desenvolver metas de desempenho de segurança cibernética e orientações para proprietários e operadores de infraestrutura crítica para ajudar a fortalecer a segurança da infraestrutura crítica dos EUA.
Em abril, as autoridades de segurança cibernética dos países que compõem o grupo chamado de “Five Eyes” — aliança de inteligência entre as nações de língua inglesa que reúne EUA, Reino Unido, Canadá, Austrália e Nova Zelândia — também alertaram os responsáveis por infraestruturas críticas em todo o mundo sobre um risco aumentado de que grupos de hackers apoiados pela Rússia pudessem atacar organizações dentro e fora das fronteiras da Ucrânia.
Na época, os líderes de segurança de rede foram aconselhados a priorizar a correção de falhas de segurança exploradas ativamente, fornecer treinamento aos usuários finais, aplicar a autenticação multifator e proteger e monitorar ativos de Remote Desktop Protocol (RDP).
Em janeiro deste ano, FBI, CISA e a NSA emitiram um aviso conjunto semelhante, expondo vários grupos de ameaças russos (incluindo APT29, APT28 e o Sandworm Team) visando organizações de infraestrutura crítica dos EUA.