É fato que a convergência de TI e ambiente industrial levou à criação de um novo vetor de ameaças para ataques cibernéticos voltados para esses ambientes. De fato, líderes de instalações industriais e outras tecnologias operacionais (OT) em uma pesquisa global relataram um aumento de 20% nas invasões de sistema em relação ao ano anterior, à medida que os ambientes de rede continuam a fazer a transição de sistemas fechados para abertos.
Infelizmente, muitas organizações estão mal equipadas para proteger dispositivos legados de controle e aquisição de dados ( SCADA ) e sistema de controle industrial (ICS) encontrados em ambientes OT. Os problemas geralmente estão relacionados a controles de segurança incompatíveis e à complexidade envolvida na construção de uma infraestrutura de segurança holística que engloba ambientes de TO e TI.
Além disso, os sistemas legados geralmente têm controles de segurança integrados limitados, o que resulta em dispositivos críticos não corrigidos ou não monitorados. Mesmo que haja patches disponíveis, as janelas de manutenção são caras e duram meses ou até anos.
A realidade dos desafios de segurança OT
Como os ambientes de rede OT estão cada vez mais integrados aos ambientes de TI para acesso externo, os sistemas OT são mais vulneráveis aos tipos de intrusões normalmente encontrados em TI. Exemplos incluem:
- Ameaças de TI que foram recicladas para atingir ambientes OT, como o ransomware EKANS
- Ameaças que visam especificamente o OT, como Stuxnet
- Ataques que podem se mover lateralmente de redes de TI para OT e vice-versa
- Ameaças de dia zero que visam sistemas OT legados que não podem ser corrigidos
A adoção geral da segurança pode ser uma tarefa difícil devido a sistemas legados, tempo de inatividade associado à implementação de segurança e uma abordagem de segurança complexa e desarticulada com uma abordagem para TI e outra para OT. Além disso, as organizações que projetam e constroem uma infraestrutura de OT sem considerar a segurança cibernética precisarão implementar controles de segurança posteriormente. Eles podem precisar mitigar a interrupção da produção por ataques cibernéticos e cumprir as regulamentações mais recentes do setor para minimizar as penalidades por não conformidade.
As organizações podem considerar a aplicação de suas soluções de segurança baseadas em TI para OT, mas, infelizmente, muitas vezes essas soluções não foram projetadas com sistemas OT em mente. Aqui estão alguns exemplos que mostram o desafio:
- Muitas vezes, os produtos de software antivírus geralmente não são compatíveis com sistemas legados devido à falta de suporte ao sistema operacional (SO) ou à falha em atender aos requisitos mínimos de hardware.
- Um firewall legado típico pode detectar ameaças em serviços e aplicativos baseados em TI, mas não é capaz de decodificar comunicações OT, como OPC, BACnet e Modbus.
- Os sistemas legados típicos de detecção ou prevenção de intrusão protegem as vulnerabilidades de aplicativos baseados em TI, mas não as vulnerabilidades baseadas em OT.
- Alguns feeds de ameaças externas são aplicáveis para TI, mas não para OT.
Como a tecnologia Deception pode ajudar em ambientes industriais?
A tecnologia Deception oferece três principais benefícios de negócios para ambientes OT: segurança de defesa ativa, ampla cobertura e proteção automatizada. É uma adição poderosa à estratégia de segurança de uma organização porque se concentra na fonte das ameaças: os agentes de ameaças. A incorporação das características de detecção precoce e resposta do engano como uma estratégia de defesa proativa eleva a postura de segurança existente de uma organização e reduz a interrupção dos negócios por ameaças externas ou internas.
A implantação da segurança em um ambiente OT é complexa; no entanto, o engano remove esse obstáculo por não ser intrusivo e também não adiciona atraso às operações de OT antes, durante e após a implantação. Além disso, a solução certa pode ser facilmente integrada a soluções de segurança de terceiros para permitir resposta automatizada a ameaças e busca contextual de ameaças, melhorando assim a eficiência nos processos de SOC e permitindo que o SecOps seja ainda maior.
“A incorporação das características de detecção precoce e resposta do engano como uma estratégia de defesa proativa eleva a postura de segurança existente de uma organização e reduz a interrupção dos negócios por ameaças externas ou internas.”
O que é o FortiDeceptor para ambientes industriais?
A solução FortiDeceptor da Fortinet fornece detecção precoce, simples de usar e não intrusiva de ameaças que visam ambientes de TO e TI. Por meio da implantação de iscas e tokens, o FortiDeceptor automatiza a contenção de ataques cibernéticos antes que ocorram danos graves.
O FortiDeceptor pode simular vários tipos de chamarizes OT, ICS e IoT, como SCADA PLC e HMI, IoT médica, como PACS e bombas de infusão, impressoras, câmeras IP, roteadores, modems, unidades UPS, bem como aplicações críticas, como como SAP e outros sistemas de planejamento de recursos empresariais (ERP), e muito mais. Além disso, os usuários podem facilmente fazer upload de “imagens douradas” para criar iscas.
FortiDeceptor é fácil de usar e não intrusivo. Ao contrário de outras soluções de segurança que exigem alterações de infraestrutura ou a necessidade de colocar as operações SCADA/ICS offline para instalar um agente, ele cria um ambiente falso que simula o ambiente real. Para atrair os agentes de ameaças para longe de ativos críticos, com este ambiente falso, mas autêntico, que simula a rede e os ativos. O FortiDeceptor gera um aviso antecipado de um ataque iminente, para que uma resposta automatizada possa proteger os segmentos de TI e OT. Além disso, o FortiDeceptor descobre automaticamente a rede e os ativos no ambiente e recomenda chamarizes e posicionamento apropriados.
No primeiro estágio da Cyber Kill Chain , é típico que um agente de ameaças realize reconhecimento ativo para entender o ambiente e identificar ativos de interesse antes de lançar uma campanha completa. Como o ambiente falso do FortiDeceptor é indistinguível do real, qualquer interação com os chamarizes durante a fase de reconhecimento irá gerar um alerta imediato. Esses alertas são inequívocos porque os funcionários interagem apenas com os ativos reais. O FortiDeceptor também captura as táticas dos agentes de ameaças, que podem revelar, seus objetivos e as ferramentas que eles usaram, o que é muito útil para aprender mais sobre as técnicas dos adversários.
A integração é fácil com o FortiDeceptor
Como o FortiDeceptor faz parte do Fortinet Security Fabric , ele suporta integração perfeita com os produtos Fortinet. Além disso, o FortiDeceptor também se integra a soluções de segurança de terceiros por meio do Fortinet Security Fabric Connector.
Inteligência contextual de ameaças sobre sua organização
O FortiDeceptor correlaciona todas as ações do agente da ameaça em uma linha do tempo de campanha com inteligência contextual de suas táticas, técnicas e procedimentos (TTPs), para ajudar a equipe SOC a tomar decisões mais inteligentes e rápidas. As organizações que possuem um grande centro de operações de segurança (SOC) podem preferir usar o engano para se envolver com os agentes de ameaças para que as atividades possam ser estudadas. Então, uma vez concluída a investigação, a mitigação e a resposta necessárias podem ser executadas. Outras organizações podem preferir integrar o engano em sua estrutura de automação para apoiar a resposta a ameaças e/ou a caça a ameaças.
Organizações com segurança madura normalmente adotam estruturas de segurança como NIST ou MITRE. Instalações industriais que buscam modernizar sua arquitetura ICS também podem considerar o modelo Purdue como uma abordagem sistemática para aplicar segurança a cada zona na infraestrutura OT/IT/IoT. O FortiDeceptor se aplica às várias zonas Purdue, incluindo controle de processos, operações e controle, e negócios e empresas no modelo Purdue.