Por que a manufatura deve proteger os recursos de IIoT contra ransomware

O ransomware não é uma nova ameaça à segurança. Ele apareceu pela primeira vez em 1989 e foi distribuído por meio de disquetes.

Mas ganhou uma dramática segunda vida como o modelo ideal de negócios criminosos modernos: sequestrar recursos essenciais em ambientes industriais em troca de resgate.

Os teclados são mais eficazes do que as armas para manter as infraestruturas industriais como reféns. O problema só vai piorar antes que a proteção de ativos digitais seja abordada especificamente como uma prioridade de segurança cibernética nos setores de manufatura e infraestrutura crítica.

Um grande número de ataques recentes de ransomware foram direcionados aos setores de manufatura e infraestrutura crítica, com esses setores tradicionalmente focados na criação de ativos físicos.

No entanto, a maior parte do setor de manufatura está migrando rapidamente muitas de suas plataformas de computação e soluções de acesso remoto para a nuvem, expondo seus sistemas de controle industrial e sensores de fábrica a vetores de ataque vindos da nuvem.

Ataques de ransomware custam milhões de fabricação a cada ano

O setor manufatureiro pode tradicionalmente se considerar amplamente imune ao crime digital. Mas eles estão errados.

21 por cento dos ataques de ransomware são contra a manufatura, e o setor paga a maior quantia de resgate de todas as indústrias, com uma média de $2.036 milhões em 2021.

Tudo o que é preciso é que um hacker motivado viole a política de um fabricante segurança na nuvem ferramentas e acesse remotamente controladores ou sensores críticos - dispositivos de IIoT - implantados nas profundezas de um ambiente industrial ou de fábrica e os desative. Isso causa riscos físicos muito reais decorrentes da intrusão digital, forçando a vítima a escolher entre pagar um resgate ou lidar com as consequências de operações desativadas.

A maioria das vítimas decide que pagar o resgate é a opção mais barata, custando milhões às organizações de manufatura.

O ransomware é um alvo muito tentador para o cibercriminoso moderno, sendo uma garantia quase certa de ganho financeiro. Ransomware como serviço existe até mesmo na dark web, com contratos de suporte e centrais de ajuda para ajudar os aspirantes a cibercriminosos a escolher sua próxima vítima.

E a implantação de ransomware geralmente é a última etapa na intrusão do cibercriminoso em um ambiente industrial. Eles primeiro buscam ativos essenciais para desativar, expor a propriedade intelectual e aprendem qual cobertura de seguro de segurança cibernética a vítima pretendida tem para definir o preço do resgate. Depois que essas informações forem extraídas, a etapa final é manter a infraestrutura refém em troca de pagamentos, que a maioria das vítimas opta por pagar. É o sonho de um cibercriminoso que se tornou realidade.

Ataques de ransomware na manufatura apresentam riscos reais

O setor manufatureiro há muito tempo se considera quase totalmente fora do escopo do crime cibernético. Se uma cadeia industrial de fábricas produz energia, aço, alimentos ou realiza operações de mineração, por exemplo, qual é o risco de crimes cibernéticos?

Na realidade, o risco de crimes cibernéticos é alto.

Em 2015, foi relatado que uma usina siderúrgica na Alemanha experimentou o que foi reivindicado ser o primeiro exemplo de dano físico como resultado de um ataque cibernético. Os cibercriminosos conseguiram acessar remotamente alguns sistemas de controle críticos na fábrica que estavam conectados à sua rede de TI e foram desativados. Isso fez com que sensores críticos não conseguissem monitorar os níveis de calor na fábrica, fazendo com que um alto-forno fosse seriamente danificado por não ser desligado automaticamente por esses sensores.

O mundo físico foi subitamente exposto a riscos puramente digitais e, desde então, esse fato não passou despercebido pelos cibercriminosos.

Pagar o resgate: quais são os riscos?

Optar por pagar um resgate durante um ataque traz seus próprios riscos para a vítima.

Aumento dos prêmios de seguro cibernético

As operadoras de seguros cibernéticos agora enfrentam sérias perdas de receita como resultado do pagamento por ataques de ransomware, algo ao qual estavam amplamente imunes antes da redescoberta do ransomware.

Agora, as operadoras estão obrigando os clientes a implementar alguma forma de segmentação em sua rede como forma de dificultar a movimentação do malware pela rede. Se os clientes concordarem com isso, seus prêmios mensais podem diminuir, mas os prêmios de seguro cibernético ainda diminuem aumentou significativamente nos últimos anos.

Agora, é do interesse financeiro da vítima em potencial levar a sério a segurança cibernética proativa, em vez de simplesmente confiar no seguro para cobri-la.

Consequências legais adversas

O segundo risco é o fato de muitas gangues de ransomware estarem sediadas em países que estão na lista negra do governo dos EUA, a chamada lista negra Lista de sanções do OFAC (Escritório de Controle de Ativos Estrangeiros).

Esta é uma lista de regimes ditatoriais estrangeiros, traficantes de narcóticos, organizações terroristas e traficantes de armas contra os quais os EUA impuseram sanções econômicas e comerciais no interesse da segurança nacional. É crime qualquer pessoa nos EUA fazer negócios com os que estão na lista.

Se uma gangue de ransomware de um país sancionado mantiver um ativo industrial baseado nos EUA como refém e a organização decidir pagar o resgate, a organização corre o risco de ser criminalmente responsável por fazer negócios com a gangue.

Escolher o que parece ser a opção financeiramente mais barata de pagar o resgate pode facilmente expor a vítima a consequências criminais não intencionais e jurídicas adversas.

Protegendo ativos industriais contra crimes cibernéticos: interrompa o movimento lateral leste-oeste

O ransomware vem de algum lugar, geralmente do lado da TI da arquitetura cibernética geral. Todas as variedades de ransomware compartilham um detalhe em comum: todas gostam de se mover.

Depois que qualquer carga de trabalho é sequestrada, o ransomware busca portas abertas nessa carga de trabalho para usar como um vetor para migrar lateralmente para a próxima carga de trabalho e, a partir daí, para o lado industrial da estrutura, em direção aos alvos pretendidos.

Embora a maioria das ferramentas de segurança seja implantada na fronteira norte-sul, impedindo a entrada de malware em um data center ou nuvem, o ransomware utiliza o fato de que controlar a propagação lateral leste-oeste em grande escala é um problema que ainda não foi resolvido.

A maioria das melhores ferramentas de segurança implantadas na fronteira norte-sul oferece pouca proteção contra violações inevitáveis e subsequente propagação lateral leste-oeste dentro da rede confiável.

A segmentação Zero Trust impede a propagação do ransomware

O Zero Trust requer a ativação da microssegmentação, também chamada Segmentação Zero Trust, de cada carga de trabalho em um ambiente computacional, em qualquer escala, e implementando um modelo de acesso com privilégios mínimos entre todas elas.

Essa solução de microssegmentação precisa definir cada carga de trabalho como um limite de confiança exclusivo e fazer isso sem depender de nenhum dispositivo na rede subjacente ou na estrutura de nuvem para fazer isso. Segmentação da carga de trabalho deve ser o mais agnóstico possível em relação a todas as outras formas de segmentação.

O modelo de acesso com menos privilégios entre todas as cargas de trabalho significa que todas as portas entre todas as cargas de trabalho são negadas por padrão. Raramente há uma necessidade legítima de cargas de trabalho para SSH ou RDP lateralmente entre si. Todos os sistemas operacionais modernos têm essas portas habilitadas, pois são usadas pelos administradores para gerenciar remotamente essas cargas de trabalho, mas o acesso quase sempre é restrito a hosts administrativos centralizados específicos. Essas portas precisam ser desligadas em todos os lugares por padrão e, em seguida, exceções podem ser definidas para permitir o acesso somente aos hosts administrativos autorizados.

Segmentar cada carga de trabalho de todas as outras cargas de trabalho e desligar todas as portas lateralmente entre elas significa que ransomware não tem como se propagar lateralmente pela rede de TI e de lá para o lado de operações industriais da rede.

O ransomware pode violar as soluções de segurança do perímetro — por mais fortes que sejam — e, uma vez violado, o ransomware sequestrará a primeira carga de trabalho que encontrar. A segmentação Zero Trust pode isolar a primeira carga de trabalho sequestrada, com todas as portas desativadas entre as cargas de trabalho e sem vetores disponíveis para que o ransomware vá para qualquer lugar mais profundo na rede.

A segmentação Zero Trust impede que as violações se espalhem por toda a infraestrutura de TI. E, por sua vez, protege os sistemas industriais localizados mais profundamente na arquitetura central.

A segmentação Zero Trust fornece visibilidade dos sistemas de infraestrutura industrial

Um segundo aspecto da segmentação Zero Trust é a visibilidade do tráfego entre todos os sistemas implantados nos lados industrial e de TI da rede. As dependências e comportamentos de tráfego entre sensores e sistemas de controle, por exemplo, precisam ser tão claramente visíveis quanto o tráfego entre sistemas na rede de TI, tanto no local quanto na nuvem.

O Illumio permite visibilidade total para:

Cargas de trabalho gerenciadas — aquelas nas quais um nó de fiscalização virtual (VEN) pode ser implantado para coletar diretamente a telemetria do aplicativo

Cargas de trabalho não gerenciadas — dispositivos nos quais nenhum VEN pode ser implantado, como dispositivos de IoT, como controladores, sensores e câmeras de IoT implantados na rede central industrial

O Illumio permite a visibilidade de dispositivos de IoT coletando telemetria de comutadores de rede e balanceadores de carga por meio de protocolos como Netflow, sFlow, IPFIX e Flowlink, com todo o tráfego entre todos esses sistemas exibido junto com todas as cargas de trabalho gerenciadas no PCE (Policy Control Engine) da Illumio.

A política é definida no PCE da mesma forma para cargas de trabalho gerenciadas e não gerenciadas, usando rótulos para identificar cargas de trabalho e não pelo endereço de rede. A política para cargas de trabalho não gerenciadas é enviada aos switches e traduzida em listas de controle de acesso (ACLs) que o switch pode usar para aplicar a política entre as portas do switch e em iRules. Um balanceador de carga pode então usar essas informações para aplicar a política lá.

O Illumio remove pontos cegos entre dispositivos digitais de ponta a ponta. Isso permite que uma visualização completa do Zero Trust e um modelo de política baseado em rótulos sejam implementados em todo o sistema de controle industrial e na estrutura de TI.

Obtenha proteção contra ransomware para sistemas IIoT com segmentação Zero Trust

A segmentação Illumio Zero Trust oferece proteção a todos os ambientes industriais, controlando toda a propagação lateral entre cargas de trabalho e removendo os vetores de ataque necessários para a propagação do ransomware.

Nenhum ambiente industrial está imune ao ransomware, seja ele grande ou pequeno. Os sistemas OT e os sistemas IIoT implantados na arquitetura industrial não precisam ficar expostos à próxima gangue oportunista de ransomware em busca de seu próximo alvo.

A Illumio pode proteger todo o ambiente industrial crítico de IIoT do impacto de um ataque de ransomware, mantendo sua empresa fora dos jornais de amanhã como a última vítima do ransomware.

Quer saber mais sobre como conter ransomware com a segmentação Zero Trust? Visite nosso contenção de ransomware página.