Como o Illumio ajuda a proteger as redes de OT contra ransomware e outros ataques de segurança

As redes de tecnologia operacional (OT) conectam dispositivos para fins especiais — incluindo sensores, motores, sistemas de controle distribuído (DCSs), controladores lógicos programáveis (PLCs), unidades terminais remotas (RTUs), sistemas de controle de supervisão e aquisição de dados (SCADA), aplicativos e bancos de dados historiadores, quiosques de engenharia e outros tipos de servidores — para conduzir operações em fábricas, usinas de energia, redes elétricas, instalações de mineração, instalações médicas e fabricantes de alimentos e outros sites que exigem automação confiável e em tempo real.

Esses dispositivos fornecem serviços essenciais. Isso os torna alvos valiosos para cibercriminosos e outros atacantes.

As ameaças, é claro, podem vir de qualquer lugar: ataques de phishing, ataques de força bruta, pessoas mal-intencionadas — a lista continua. Eles também podem vir de dispositivos OT que foram atacados por malware projetado especificamente para atacar modelos específicos de dispositivos OT.

Às vezes, os dispositivos de OT são executados em redes que estão “isoladas” das redes de TI; ou seja, eles operam sem nenhuma conexão física com as redes de TI para evitar que ataques de segurança às redes de TI alcancem as operações de OT. Mas mesmo dentro de uma única instalação, alguns dispositivos e redes de OT podem estar isolados e outros podem não estar. E mesmo os gerentes de fábrica não têm necessariamente a visibilidade de saber quais redes estão isoladas de ar e quais não estão.

Cada vez mais, as empresas estão encontrando motivos para não usar nenhum dispositivo de lacuna. Um fabricante de alimentos, por exemplo, pode querer permitir que os aplicativos da web e a escolha do consumidor impulsionem diretamente a fabricação de ingredientes específicos no chão de fábrica. Devido a casos de uso comercial como esse, o airgapping está se tornando menos eficaz a cada dia como defesa contra ataques cibernéticos.

Quando não há espaço físico, os ambientes de OT têm conectividade com redes nas quais os dispositivos de TI estão em execução. Essa conectividade apresenta riscos. De repente, ataques transmitidos pela Internet podem atingir dispositivos de OT.

Uma das metodologias para categorizar cargas de trabalho em um ambiente de OT é baseada no Modelo de Referência de Purdue, um modelo confiável para separar e distribuir cargas de trabalho em redes de OT e TI. O governo dos EUA A Agência de Segurança Cibernética e de Infraestrutura (CISA) recomenda que empresas com ambientes de OT segmentem suas redes com base na categorização lógica nos diferentes níveis do Modelo de Purdue.

Mas esse tipo de segmentação não é tarefa fácil. As redes OT são redes planas: todos os dispositivos estão funcionando no mesmo plano de controle e espaço de endereço. Segmentá-los exigiria o encerramento de serviços e dispositivos em um ambiente gerador de receita para reconfigurar a rede e implementar a segmentação. Esse é um trabalho caro e demorado. Em muitas empresas, a ideia de desligar dispositivos de OT essenciais para os negócios é totalmente rejeitada ou adiada indefinidamente enquanto as equipes de TI esperam por uma oportunidade de encerrar os serviços de OT sem interromper as atividades geradoras de receita.

‍

Para fornecer alguma medida de separação entre dispositivos de TI e OT, algumas instalações configuram VLANs dedicadas (LANs virtuais) para seus dispositivos de OT. Mas também existem deficiências nessa abordagem. Primeiro, é difícil gerenciar VLANs em grande escala. Em segundo lugar, colocar dispositivos em VLANs não impede que os invasores passem de um dispositivo para outro na mesma VLAN, aproveitando as portas e protocolos inalterados pela configuração da VLAN. Resumindo: se um invasor obtiver acesso a um dispositivo, os controles de VLAN não necessariamente impedirão que ele alcance outros alvos.

Se os líderes de negócios e de TI quiserem impedir que os invasores se movam livremente entre os dispositivos de OT e TI, eles precisam de três coisas importantes:

• Visibilidade: Os líderes precisam de visibilidade das atividades e dos detalhes de configuração dos dispositivos de TI e OT, para que possam descobrir quais caminhos de comunicação estão abertos, criando possíveis caminhos para movimento lateral pelos atacantes.
  
• Definição de política: Os líderes precisam de um mecanismo de política de microssegmentação para definir políticas de configuração para segmentar redes e separar todos os dispositivos que devem ser separados, sejam de TI ou OT. Essas políticas de segmentação operam em um nível mais alto do que as regras de firewall. Eles permitem que os líderes definam as melhores práticas sem se atolarem nas regras específicas de firewall do produto específico que aplica uma política.
  
• Aplicação da política: Os líderes também precisam aplicar essas políticas sem precisar desligar as redes de TI e OT essenciais para os negócios para reconfigurar e reiniciar os dispositivos de TI e OT. Além disso, eles precisam de uma forma de aplicar essas políticas sem precisar substituir os dispositivos OT que, de outra forma, estão operando conforme o esperado. Eles também não deveriam ter que instalar aplicativos de software para fins especiais que possam degradar o desempenho de dispositivos de TI ou OT.

Para proteger os dispositivos de OT e de TI contra malware e outros tipos de ataques cibernéticos, os líderes de negócios e de TI precisam de uma melhor visibilidade das redes e de uma maneira rápida e fácil de microssegmentar redes para evitar que ataques a qualquer tipo de dispositivo se espalhem pela rede.

Essa necessidade dessa visibilidade e controle está se tornando mais urgente à medida que mais e mais empresas estão encontrando boas razões comerciais para unir os mundos da TI e da OT, tornando obsoletos dispositivos antigos, como o airgapping.

Quando as redes de TI e as redes de OT convergem

Por que conectar esses diferentes tipos de redes e dispositivos? Em mercados em rápida evolução que exigem respostas ágeis aos clientes e parceiros, faz sentido conectar os sistemas de negócios às redes de OT que impulsionam as operações diárias.

Se os processos de vendas, marketing e atendimento forem gerenciados por redes de TI, esses processos poderão se beneficiar das informações atualizadas dos sistemas de manufatura e logística controlados pelas redes de OT. E se os processos de negócios impulsionarem a demanda, os pedidos podem ser enviados diretamente às redes de OT para serem concluídos, como no exemplo de fabricação de alimentos que citei acima.

Além disso, há benefícios em eficiência e economia de custos ao aproveitar os aplicativos em nuvem e o armazenamento em nuvem, que são acessados somente por redes de TI. Além disso, à medida que as forças de trabalho remotas se tornam mais comuns, algumas empresas querem garantir que os funcionários remotos possam usar redes de TI e aplicativos em nuvem para monitorar, controlar e proteger dispositivos de OT.

Como observaram a NSA (Agência de Segurança Nacional) e a CISA em um alerta de segurança emitido em 2020, “Os ativos de OT acessíveis pela Internet estão se tornando mais predominantes nos 16 setores de CI dos EUA, à medida que as empresas aumentam as operações e o monitoramento remotos, acomodam uma força de trabalho descentralizada e expandem a terceirização das principais áreas de habilidades, como instrumentação e controle, gerenciamento/manutenção de ativos de OT e, em alguns casos, operações e manutenção de processos”.

Novos riscos da convergência de TI/OT

Conectar essas redes é útil para os negócios, mas arriscado para a segurança. A NSA e a CISA observaram táticas de cibercriminosos, como:

• Spear-phishing para obter acesso às redes de TI e, em seguida, alcançar as redes OT.
• Implantação de ransomware comum para criptografar dados em ambas as redes.
• Usando portas e protocolos conhecidos para baixar a lógica de controle modificada para dispositivos OT.

Infelizmente, é fácil para os invasores descobrirem informações úteis sobre redes e dispositivos de OT. E eles podem usar estruturas de exploração comuns, como Impacto central para investigar redes e dispositivos, executando penetrações contra vulnerabilidades conhecidas.

Em alguns casos, como o Ataque de 2016 à rede elétrica da Ucrânia, os invasores até usarão malware projetado explicitamente para controlar sistemas SCADA. Pesquisadores de segurança notaram que o malware personalizado desse ataque parecia destinado a ser reutilizado com outros alvos.

Como a Illumio ajuda a proteger as redes de TI e OT

O Illumio fornece a visibilidade que faltava às equipes de segurança nas redes de TI e TO e ajuda a proteger as redes contra ransomware e outros ataques de segurança. Sem precisar de dispositivos especiais ou projetos de reconfiguração demorados, o Illumio descobre e relata rapidamente padrões de tráfego ativos e revela uma conectividade que poderia facilmente ter sido ignorada antes. Essa visibilidade transforma os ambientes de OT de “caixas pretas” em redes que podem ser entendidas, monitoradas e protegidas.

Para ajudar a proteger essas redes, a Illumio aplica a microssegmentação, usando os firewalls já incorporados aos dispositivos para aplicar políticas de tráfego que minimizam as chances de movimento lateral nas redes. O movimento lateral é a migração de malware ou usuários não autorizados em uma rede para descobrir ativos de alto valor ou instalar malware, como ransomware, em preparação para um ataque disruptivo. Ao fechar portas e endereços desnecessários em dispositivos de TI e OT, as equipes de segurança podem impedir que ocorram movimentos laterais. Mesmo que um único dispositivo ou um pequeno grupo de dispositivos seja comprometido, os invasores ficarão presos, incapazes de se mover mais pela rede.

Se as equipes de segurança tentassem configurar manualmente esses firewalls manualmente, provavelmente achariam que seria um trabalho demorado. Além disso, eles provavelmente precisariam desligar redes de OT essenciais para os negócios, e desligar essas redes poderia até mesmo criar mais trabalho se os endereços IP e as configurações de roteamento de rede precisassem ser alterados como parte do processo de desligamento e reinicialização das redes.

A Illumio simplifica e automatiza esse trabalho fornecendo ferramentas que as equipes de segurança e os líderes de TI podem usar para definir políticas para as comunicações de rede dos dispositivos de OT e TI. Depois que as políticas são definidas, elas podem ser rapidamente distribuídas aos dispositivos e aplicadas. Em um dia, até mesmo uma rede corporativa grande e complexa pode se tornar muito mais fácil de monitorar e muito mais segura. E esse trabalho pode ser feito sem a necessidade de desligar redes ou reconfigurar firewalls de rede ou tabelas de roteamento.

Em termos do modelo Purdue, a Illumio fornece microssegmentação e segurança para os níveis 3, 4, DMZ e superiores para ambientes de OT. O Illumio impede o movimento lateral em cada um desses níveis. Também evita que os invasores movam esses níveis para o ambiente de OT.

A Illumio ajuda empresas a executar ambientes de OT das seguintes maneiras:

Visibilidade instantânea das redes de TI e OT

O Illumio facilita a descoberta de como os dispositivos estão se comunicando entre si. Quais usuários estão acessando quais aplicativos e serviços? Quais portas estão abertas? Quais protocolos estão em uso? Coletar esses detalhes é o primeiro passo para entender os riscos de possíveis movimentos laterais e elaborar políticas para impedir que esse movimento ocorra.

Microsegmentação para redes de TI e OT

O Illumio fornece visibilidade baseada em riscos nas redes, para que as empresas possam definir, criar, distribuir e aplicar políticas que permitam que somente o tráfego legítimo necessário para os negócios possa atravessar a rede. Ao facilitar que as equipes de segurança usem firewalls baseados em host para bloquear as portas e os protocolos dos quais o ransomware depende, a Illumio ajuda evitar que o ransomware se espalhe. Além disso, o Illumio pode conter infecções por ransomware segmentando rapidamente os dispositivos infectados do resto da rede. A contenção automatizada permite que as empresas evitem que o ransomware se espalhe mesmo quando os dispositivos afetados estão em locais remotos.

Microsegmentação para redes OT

A Illumio fornece essa mesma visibilidade e segmentação baseadas em risco para redes de OT. Por exemplo, a equipe de OT pode usar o Illumio para particionar VLANs de OT conforme recomendado pelo Modelo Purdue, estabelecendo uma DMZ lógica entre as camadas de rede de TI e OT e permitindo que determinados dispositivos de OT se comuniquem somente com outros dispositivos de OT confiáveis. Isso fornece uma segmentação mais granular que está disponível somente com VLANs. Também permite que as políticas de microssegmentação aproveitem a inteligência de ameaças e as avaliações de vulnerabilidades continuamente atualizadas, disponíveis por meio da Illumio.

Se a Illumio detectar um novo tipo de ameaça direcionada a dispositivos de OT, as empresas poderão ajustar suas políticas e atualizar seus dispositivos com rapidez e facilidade, impedindo que esse tipo de ataque alcance suas redes. Além disso, a capacidade da Illumio de conter automaticamente os ataques quando eles são detectados evita que as organizações tenham o trabalho de enviar técnicos a locais remotos para desconectar manualmente os dispositivos afetados. Em vez de respostas rápidas que dão ao ransomware tempo suficiente para se espalhar, a contenção automatizada da Illumio pode rapidamente “incorporar” os ataques em minutos, minimizando os danos causados pelo ransomware ou outros tipos de malware e mantendo os dispositivos OT funcionando normalmente.

Protegendo a ponte entre as redes de TI e OT

Ao proteger as redes de TI, a Illumio evita que ataques cibernéticos usem redes de TI para alcançar redes de OT. O Illumio interrompe ataques que foram projetados para atravessar redes de TI para encontrar alvos de OT. O Illumio também pode impedir que tráfego suspeito de redes de OT chegue aos dispositivos de TI.

Para saber mais:

• Confira este Illumio Core vídeo.
• Veja Illumio's visibilidade em ação.