A necessidade de uma gestão eficaz de identidade e acesso nunca foi tão grande. A sabedoria convencional sugere que as chaves para proteger a infraestrutura crítica de ataques cibernéticos são a segmentação de rede e a segurança de OT, mas violações contínuas implicam que esses métodos sozinhos não são suficientes.
A Agência de Segurança Cibernética e de Infraestrutura (CISA), juntamente com a Guarda Costeira dos EUA (USCG), sondou as redes de 121 organizações de infraestrutura crítica com o objetivo de avaliar as capacidades e as defesas de rede de uma organização contra ameaças potenciais. Em 90% das vezes, o acesso inicial à rede de uma organização foi obtido por meio de comprometimento de identidade.
A infraestrutura crítica inclui 16 setores vitais para a segurança nacional dos EUA classificados pela CISA, incluindo manufatura, serviços financeiros e governo. As organizações de infraestrutura essencial enfrentam ataques cibernéticos implacáveis projetados para interromper os serviços, exfiltrar informações confidenciais ou manter operações inteiras para resgate.
O relatório também destaca que, quando combinada com outras técnicas, a identidade também representa o principal meio de escalonamento de privilégios e, por sua vez, um facilitador de movimento lateral entre ambientes de TI e OT. Essa descoberta é reveladora, dado o uso generalizado de air gapping (isolamento de redes), segmentação de rede e investimentos substanciais em segurança de TI e OT.
“A gestão de vulnerabilidades é um componente vital à estratégia de segurança cibernética de qualquer organização. Empresas precisam se adaptar a novos conceitos e novas ferramentas para proteger sua infraestrutura. Ao implementar uma abordagem abrangente de gerenciamento de vulnerabilidades, as organizações não só terão suas defesas fortalecidas, como demonstrarão compromisso com a governança, segurança e resiliência no ambiente digital”, diz Alejandro Dutto, diretor de engenharia de segurança da Tenable para América Latina e Caribe.
Histórico da Colonial Pipeline
O ataque cibernético começou quando os invasores obtiveram acesso inicial à rede de TI por meio de uma senha de usuário e uma conta VPN comprometidas. Em seguida, o protocolo de área de trabalho remota foi usado para implantar o ransomware, que explorou vulnerabilidades não corrigidas e aumentou os privilégios.
Em seguida, o ransomware criptografou sistemas críticos. Embora os sistemas de TO não tenham sido diretamente comprometidos pelo ataque, as equipes de segurança foram forçadas a desligar o oleoduto para evitar que o ransomware se espalhasse para a rede de TO.
A importância do contexto
O desafio com praticamente todas as ferramentas de segurança de ponto é que elas não têm uma visão abrangente e integrada dos relacionamentos de ativos, identidade e risco em toda a superfície de ataque. Por exemplo, as ferramentas de segurança de OT frequentemente não têm visibilidade dos ativos e identidades de TI dentro do ambiente de OT, incluindo fraquezas que podem ser exploradas para, em última análise, comprometer sistemas de infraestrutura crítica.
São esses relacionamentos entre domínios que permitem o acesso inicial, o movimento lateral e a escalada de privilégios. Sem eles, não há como distinguir efetivamente um grande volume de alertas isolados de exposições reais que podem interromper a integridade e a continuidade da infraestrutura crítica.
Ao adotar uma abordagem horizontal de segurança que enfatiza a visibilidade integral, a avaliação contextual de riscos e a priorização da exposição real, as organizações podem aprimorar sua postura de segurança, aumentar a eficiência e proteger melhor a infraestrutura essencial contra ameaças em evolução.
