Cinco dicas para se proteger de ataques às redes de OT

Sérgio Pontes*
04/07/2022

Você sabe as diferenças entre as redes de TI e de OT quando o assunto é cibersegurança? Com a transformação digital e a necessidade das empresas se tornarem mais competitivas e eficientes, os desafios de segurança aumentaram, especialmente se estamos falando de ambientes críticos como os industriais.

As redes OT (tecnologia operacional) possuem características comuns do mundo de TI e as duas são vulneráveis a riscos se não estiverem bem protegidas, mas as redes de OT geralmente são responsáveis pela conectividade de infraestruturas críticas e um ataque cibernético pode acarretar inclusive em perda de vidas, catástrofes ambientais, roubo de segredos industriais, perda de equipamentos e comprometimento da reputação da organização. 

Para lidar com esse desafio, as redes OT devem estar segmentadas das redes corporativas e não apenas no nível lógico, mas também com mecanismos de identificação de potenciais ataques. Abaixo estão cinco recomendações para a proteção desse tipo de ambiente:

1 – Implemente a segmentação das redes TI e OT utilizando um next generation firewall com capacidade de identificar protocolos específicos de OT, como Modbus, Profinet, OPC e DNP3;

2 – Um acesso indevido de um prestador de serviços ou funcionário remoto pode ser protegido com soluções MFA (Multi Factor Authentication). Caso a senha do usuário tenha sido comprometida, o MFA fornece uma camada adicional de segurança já que solicitará uma ou mais formas de que o usuário se identifique;

3 – Possua soluções de virtual patching como um IDS/IPS, que tenham assinaturas para identificação de ataques em ambientes de OT. Esses ambientes foram projetados para estarem operacionais por um longo período ininterruptamente, sem refresh tecnológico, e é comum que parte de sua arquitetura não possua os patches de segurança instalados ou que esteja até mesmo baseada em sistemas operacionais que já não possuam suporte do fornecedor;

4 – Soluções de EDR (Endpoint Detection and Response) são essenciais. Ataques como os ransomware são um desafio para os administradores pela dificuldade de serem detectados por soluções convencionais de antivírus. O EDR consegue ajudar em situações como essa na análise de ameaças em tempo real, não só de ataques conhecidos, como também no comportamento de execuções no endpoint, o que fará com que esse ataque seja bloqueado, ainda que não tenha sido identificado por uma assinatura. É importante que esse tipo de solução também tenha suporte a sistemas operacionais mais antigos como Windows XP ou Windows Server 2003, muitas vezes presentes em redes operacionais;

5 – Não poderia ficar de fora a questão humana, já que muitas das vezes o ser humano é o elo mais fraco quando o assunto é cibersegurança. É preciso criar um plano contínuo de educação de todos os funcionários, para que saibam como identificar agentes maliciosos e ações de risco, como o phishing.

Cada vez mais fica evidente a presença de grupos de hacktivismo, cibercriminosos e ciberterroristas que buscam, na importância dos ambientes de OT, uma forma de explorar seus objetivos mais obscuros. E na verdade esse assunto requer uma atenção não só daquelas empresas que possuem uma rede operacional em seu ambiente industrial, mas também de ambientes com dispositivos de IoT, como por exemplo smart cities, centros de pesquisa e automação predial, pois eles podem ser utilizados como entrada de agentes maliciosos em busca de outros ambientes a serem atacados.

É preciso sempre ter esta equação na cabeça: risco = vulnerabilidade x consequência x ameaça.

*Sérgio Pontes é engenheiro de sistemas da Fortinet Brasil.

Compartilhar: