Estratégia de segurança em TO que priorize a disponibilidade dos controles operacionais

Apesar do direcionamento claro que as regulação oferecem, colocar em prática todas essas práticas é o grande desafio, uma vez que segurança da informação (TI) e segurança operacional (TO) têm valores inversamente proporcionais

Compartilhar:

Por Grazziani Sousa

 

Em 2022, mais de 29,5% dos computadores usados para gerenciar sistemas operacionais (TO) no setor industrial foram afetados por programas maliciosos no Brasil, de acordo com o panorama de ameaças industriais feito pelo time Kaspersky ICS CERT. Esse estudo mostra que o segundo semestre do ano passado contou com uma taxa de ataques maior do que no primeiro semestre – período em que o Brasil registrou um índice de 28,7% de computadores afetados. Scripts maliciosos, phishing (JS e HTML) e ataques de DDoS foram as ameaças mais detectadas.

 

Outro dado importante que me chama atenção é que o setor de energia é o segmento que concentra a maioria desses ciberataques (35% das detecções) no Brasil. Ele é seguido pelas indústrias de óleo & gás (33%) e manufatura (27,4%). Já a conclusão global do estudo destaca que o segundo semestre de 2022 registrou um aumento de 6% nos ataques contra sistemas industriais na comparação com o primeiro semestre do ano e um incremento de 50% frente ao mesmo período de 2021. Os dados deixam clara a tendência de crescimento dessas ameaças e a necessidade de proteção contra elas.

 

Analisando o relatório além dos números, nosso time de especialistas em cibersegurança de ambientes industriais destaca a alta quantidade de vetores iniciais de infecção presentes nas redes TO. Isso mostra que, de modo geral, as medidas de proteção em vigor na indústria foram incapazes de bloquear os ataques – que chegaram a acessar suas redes operacionais, quando finalmente foram detectadas pelo endpoint.

 

 

Este análise é reforçada ainda pela presença de ameaças autopropagadas, como worms, mineradores de criptomoedas e vírus no ranking. A maioria desses worms e vírus são incidentes herdados, o que quer dizer que eles não estão ativos e que não há nenhum criminoso operando-os. Porém, a presença deles em grande quantidade reforça a conclusão de que as medidas de segurança em vigor não foram capazes de impedir sua disseminação via meio de mídia removível, compartilhamentos de rede, exploração de serviços de rede ou abuso de contas. Tão pouco a remoção da rede foi realizada.

 

 

Já quando se analisam as ameaças usadas no desenvolvimento de um ciberataque (next-stage threat), verificou-se que a diminuição linear nas percentagens desse tipo de detecção ao longo da cadeia de infecção (do vetor inicial até o estágio final do ataque) significa que cada passo é proporcional ao estágio anterior. As conclusões mostram um cenário preocupante, pois se as ameças usadas para a infecção inicial crescerem 10%, essa taxa se manterá em toda a cadeia. Lembrando, não há nada impedindo que essas infecções sejam bem-sucedidas, consequentemente a chance de um ataque contra sistemas industriais ser concluído (bem-sucedido) é alto.

 

Também não me surpreende que nossa análise demostre que o estágio final de um ciberataque termine em uma execução de ransomware. Chama a atenção a presença forte dos spywares – não por serem usados para acesso remoto não autorizado ou para roubo de dados –, mas pelo fato de também serem uma maneira simples de inserir ameaças mais sofisticadas e direcionadas que podem tanto causar paralisias quanto impactos físicos na operação.

 

Apesar dos desafios que o panorama de ameaças apresenta, a solução não é difícil. Tanto no âmbito global quanto na regulamentação brasileira, já existe um protocolo que as empresas precisam seguir para aprimorar sua segurança digital. Os modelos podem variar um pouco, mas em síntese eles focam em cinco áreas:

 

• Arquitetura de segurança que inclui segmentação de rede, firewall e proteção endpoint

• Governança na proteção de informações

• Inventário de vulnerabilidades dos sistemas

• Gestão de acessos

• Monitoramento e respostas à incidentes

 

Apesar do direcionamento claro que as regulação oferecem, colocar em prática todas essas práticas é o grande desafio, uma vez que segurança da informação (TI) e segurança operacional (TO) têm valores inversamente proporcionais. Enquanto TI valoriza o bloqueio de todas as ameaças, a indústria precisa primeiro garantir a continuidade da operação e a integridade de seus sistemas de controle – o bloqueio é o terceiro item.

 

Por causa dessa característica que torna o ambiente ainda mais complexo, as equipes operacionais precisam de parceiros e fornecedores que entendam sua realidade e saibam lidar tanto com as ameaças quanto com as prioridades do negócio.

 

Dentre todas as áreas críticas para a segurança operacional, a Kaspersky é a única empresa do setor que atende quatro das cinco exigência com apenas uma solução – a única exceção é a segmentação de rede e firewall. Essa característica simplifica a rotina de segurança, aumenta a visibilidade de incidentes e agiliza a resposta caso haja um ataque em curso.

 

*Grazziani Sousa é gerente de pré-vendas da Kaspersky no Brasil e especialista em cibersegurança de ambientes operacionais

Conteúdos Relacionados

Security Report | Overview

Ransomware cai 26% no Brasil, mas país segue como maior vítima na América Latina

Mesmo com queda de 26% se comparado a 2023, o país apresenta mais de 487 mil detecções de ransomware no...
Security Report | Overview

Como harmonizar benefícios e vulnerabilidades da multinuvem no Brasil?

Enquanto, em um lado, as estratégias de multicloud podem ajudar empresas a otimizar seus negócios de forma visível, caso não...
Security Report | Overview

Outubro da Cibersegurança: Fatores humanos seguem como maiores riscos

Na atualidade, o erro humano é o que tem levado a mais ocorrências de violação cibernética nas empresas
Security Report | Overview

Exército Brasileiro coordena nova edição do Guardião Cibernético

Evento é o maior exercício cibernético do Hemisfério Sul e permitem que Forças Armadas, órgãos parceiros e representantes de infraestruturas...