Por Alexandre Freire
Ao longo de 2021, os cibercriminosos se dedicaram mais a explorar as vulnerabilidades visando as cadeias de suprimentos das organizações, assim como links de redes e sistemas de prestadores de serviços, a fim de causar o máximo de interrupções possíveis. O mais recente relatório de tendências de segurança OT/IoT da Nozomi Networks apontou que as indústrias são alvo dos hackers, e isso ocorre justamente porque a crescente conectividade entre os mais variados sistemas, gerenciamento de plantas e análises de produção, entre outros, gera um volume imenso de dados que estão expostos e vulneráveis.
Os ataques às cadeias de suprimentos são potencialmente destrutivos e podem interromper centenas ou milhares de organizações, dependendo de quão amplamente um componente de software é usado e da facilidade com que a vulnerabilidade pode ser explorada. Aqui estamos falando da sofisticação dos cibercriminosos em relação à estratégia, já que é muito mais fácil explorar uma falha em um software ou infraestrutura de um terceiro, do que arriscar acesso à infraestrutura de uma organização com maior nível de maturidade em relação à segurança.
O caso mais conhecido atualmente, e o primeiro deste gênero, é o SolarWinds, no qual uma fragilidade comprometeu dezenas de operações críticas de redes em todos os setores e no governo federal dos Estados Unidos. A operação afetou agências e tribunais federais, inúmeras empresas do setor privado e governos estaduais e locais em todo o país. Foi um dos ataques cibernéticos mais sofisticados já realizados.
A operação é um exemplo de um ataque da cadeia de suprimentos digital, no qual hackers inserem código malicioso em software confiável de terceiros, infectando potencialmente todos os clientes da empresa de software hackeado. O aumento da proteção das cadeias de suprimentos digitais é um dos principais desafios de cibersegurança enfrentados pelo 117º Congresso, a administração Biden e as empresas americanas de tecnologia.
A vulnerabilidade em softwares de código aberto pode ser facilmente explorada por hackers e é um bom exemplo para sinalizar o nível de gravidade. É por casos como esse que as organizações agora compreendem a importância de uma visão abrangente da lista de materiais de software (SBOM – Software bill of materials) do produto de cada fornecedor e está se tornando cada vez mais importante para rastrear, avaliar e corrigir rapidamente possíveis portas de entrada de uma organização.
Outro caso notório envolve a biblioteca Log4j, amplamente utilizada por empresas para aplicações Java. A vulnerabilidade Log4Shell foi identificada rapidamente, mas algumas empresas não conseguiram aplicar correções a tempo, como o VMware vCenter que sofreu ataques em implementações no curto período de uma semana. Apesar disso – e contra o que a maioria dos especialistas esperava – essa vulnerabilidade não se tornou o “novo SolarWinds” no que se diz respeito a um possível vetor de exploração maciço visando ataques a cadeira de suprimentos.
Ainda assim, é crescente a preocupação em torno de vulnerabilidades e explorações reais no código aberto. Reforçar as defesas cibernéticas em ambientes OT e IoT requer uma abordagem multifacetada que geralmente inclui tecnologias complementares, supervisão e processos bem definidos, além de segurança eficiente. Muitas vezes, a sobrecarga da rotina das equipes de tecnologia permite que erros humanos comprometam até as defesas mais avançadas com senhas fracas, redes e dispositivos mal configurados ou acessos às redes sociais.
Muitos ataques de ransomware começam com um usuário ingênuo clicando em um link de e-mail malicioso em uma rede bem protegida. A segmentação de redes é outro componente fundamental de uma estratégia de defesa cibernética para evitar a disseminação de malware para aplicações críticas e processos de OT.
Diversas tecnologias são úteis para segmentar redes, como VLANs e firewalls, dependendo do ambiente e dos requisitos da política. Nas redes OT, o modelo Purdue , em conformidade com a norma de Segurança Industrial IEC 62443, é uma forma de criar zonas de rede que se alinham com os elementos do processo e a função do sistema. Trata-se de um modelo estrutural para a segurança do sistema de controle industrial (ICS), referente a processos físicos, sensores, controles supervisórios, operações e logística.
Desta forma, é recomendável aumentar a segmentação da rede, até um modelo Zero Trust. Também conhecido como micro segmentação, no Zero Trust toda conectividade de rede é negada, exceto aquelas conexões que são explicitamente necessárias e previamente autorizadas.
Ao migrar para um modelo Zero Trust, é importante monitorar os padrões para entender como o tráfego legítimo flui pela organização antes de especificar conexões explicitamente autorizadas a fim de evitar interrupções. Ainda, vale ressaltar a importância de monitorar o tráfego com objetivo de detectar possíveis ameaças de segurança, violações e outras anomalias nos fluxos de rede e nos processos de OT.
Nesse sentido, é fundamental concentrar uma estratégia na redução da superfície de ataque e adotar uma mentalidade pós-violação. O avanço contínuo da postura de segurança de TI/OT é a melhor maneira de garantir a segurança e sobretudo a disponibilidade da cadeira produtiva.
*Alexandre Freire, Technical Sales Engineering, Latin America da Nozomi Networks