3 etapas para proteger os laboratórios federais contra ataques cibernéticos

Os laboratórios federais, como os operados pela FDA, CDC, NIH e outras agências federais, contêm mais dispositivos conectados do que nunca. Esses dispositivos que você usa para transportar, manusear, testar e analisar seus materiais, independentemente do nível de sensibilidade, podem ser frequentemente ignorados como parte de sua estratégia de segurança de CPS. Um ponto fraco ou vulnerável na rede do laboratório pode permitir um incidente cibernético que pode afetar a integridade do laboratório, a segurança dos membros da equipe e a segurança dos interesses nacionais. 

Obtenha uma melhor compreensão dos principais desafios e considerações ao proteger seu laboratório e as seis etapas fundamentais para proteger esses dispositivos.

Protegendo o ambiente do laboratório federal: Principais considerações

Como os laboratórios federais estão repletos de uma infinidade de materiais - materiais biológicos e radioativos, agentes infecciosos, produtos químicos de interesse, substâncias de uso duplo e outras substâncias sensíveis - eles provavelmente podem ser alvos de interesse de adversários, são muito sensíveis até mesmo a mudanças ambientais mínimas ou representam um risco. Para proteger o ambiente do laboratório, há três áreas principais de prioridade no contexto da segurança cibernética e física: 

• Ativos físicos cibernéticos que manipulam substâncias de laboratório: Qualquer ação tomada para proteger o ambiente do laboratório deve ser realizada com um entendimento completo do que deve ser protegido dentro dele. Isso inclui dispositivos OT e IoT ou IoLT. A identificação de cada dispositivo no laboratório, até o nível mais baixo de percepção, como o modelo de uma placa de E/S em um dispositivo, por exemplo, é fundamental para aplicar a segurança correta ou os controles de compensação. O uso de recursos de segurança criados especificamente para OT e IoT e essas redes é o primeiro passo.

  • Ativos não gerenciados: Os ativos não gerenciados podem representar um risco se não forem identificados adequadamente, pois sua segurança provavelmente não foi mantida, deixando uma exposição ou um ponto cego na superfície de ataque do laboratório. 

  • Ativos em fim de vida útil: Os ativos em fim de vida útil (EoL) devem ser identificados para que os controles de compensação adequados possam ser determinados e aplicados. 

• Segurança física: Se o seu laboratório for um alvo de interesse lucrativo, a segurança física provavelmente já é a prioridade da sua equipe de segurança física. Os dispositivos de segurança física, de câmeras a intercomunicadores, estão sofrendo vulnerabilidades, assim como seus equivalentes de OT. Os responsáveis pela segurança física cibernética do laboratório devem estar cientes do status geral da segurança física do laboratório e trabalhar com seus colegas de segurança física para garantir que esse elemento da segurança do laboratório seja abordado.   

• Segurança das instalações ou dos sistemas de gerenciamento predial (BMS): A segurança dos controles responsáveis por manter a temperatura, a pressão e a umidade do laboratório e de suas substâncias é a terceira área de foco para garantir que o laboratório e suas substâncias permaneçam seguros. 

3 etapas principais para proteger os laboratórios federais

1. Obtenha visibilidade detalhada dos ativos

Para proteger adequadamente os ativos em seu laboratório, é preciso ter um perfil de ativos rico para cada um deles. É por isso que o CBO 23-01, M 24-04, CBO 18-02 e o CDM pediram a descoberta de ativos e uma maior visibilidade contínua dos ativos. A falta desse nível de detalhe pode levar a pelo menos dois problemas: 1) dispositivos inseguros e 2) falsos positivos. 

Para atender aos CBOs federais e a outras diretivas que exigem um inventário de ativos, a tarefa pode parecer muito difícil. Uma das percepções errôneas é que você precisa da funcionalidade SPAN ou TAP, precisa atualizar seus switches para obtê-la e que, de outra forma, não conseguirá obter a visibilidade de que precisa. A realidade é que a plataforma de segurança de TO correta será flexível e permitirá que você escolha entre vários métodos de descoberta que podem funcionar melhor em seu ambiente. 

Claroty oferece a opção de cinco opções diferentes de descoberta para traçar o perfil dos ativos, incluindo o primeiro recurso de coleta de "infraestrutura zero" do setor, o Edge. E a criação de perfis é uma das mais detalhadas do setor, permitindo que você veja o fornecedor, o modelo, o firmware, a versão do sistema operacional e o protocolo do ativo. Veja na imagem abaixo um exemplo que mostra até os números de série e as versões de firmware em nível de slot individual de um PLC em uma fábrica. Esse método de descoberta de ativos oferece precisão, o que é fundamental para discernir quais são as exposições existentes e a mitigação correta para elas. 

Uma próxima etapa importante em sua visibilidade de ativos é estabelecer perfis de exposição, que vão além das vulnerabilidades exploradas conhecidas (KEVs) para cada ativo. Já em 2021, EO 14028 exigiu a capacidade de "maximizar ... a detecção precoce de vulnerabilidades e incidentes de segurança cibernética em suas redes". Isso permite que as equipes de segurança de cada agência, laboratório ou rede compreendam melhor suas exposições mais relevantes e críticas para ação imediata. 

Começar com uma visibilidade precisa e detalhada do ativo também significa reduzir os falsos positivos que podem resultar da base de vulnerabilidades e exposições em uma categorização mais generalizada do ativo, em vez de suas especificidades. A plataforma Claroty aprofunda-se nos detalhes do ativo, como a versão específica do firmware, conforme mostrado no exemplo acima. Isso permite os controles de compensação mais adequados ou outras ações necessárias para a exposição específica do ativo. Além disso, o uso das Vulnerabilidades Exploradas Conhecidas (KEV), em vez de depender apenas do CVSS ou do EPSS, ajuda a definir o nível de prioridade que essas vulnerabilidades têm para você. 

2. Estabelecer a proteção da rede 

Para estabelecer proteção de redeAlém dos detalhes de seus ativos, também é necessário estabelecer a comunicação ou a linha de base comportamental deles. Essa linha de base significa entender o comportamento normal dos ativos e dos protocolos - quais dispositivos se comunicam com quais dispositivos, usando quais protocolos, em quais momentos para identificar posteriormente condições anômalas.

A partir dos perfis detalhados dos ativos, a plataforma identifica as exposições que afetam qualquer ativo, seja ele em fim de vida útil, sujeito a uma Vulnerabilidade Explorada Conhecida (KEV) ou outra exposição. A partir daí, a plataforma gera automaticamente controles de compensação recomendados, segmenta a rede em zonas virtuais com base em características como função, fabricante e pode fornecer outras considerações úteis. Veja no gráfico abaixo um exemplo simples de estabelecimento de informações de linha de base.

Com os ativos descobertos e alinhados, virtualmente segmentados e com as recomendações feitas, a plataforma pode ajudá-lo a estabelecer um monitoramento contínuo para detecção de ameaças e anomalias como parte do gerenciamento geral da exposição. 

3. Iniciar a detecção de ameaças e o monitoramento contínuo

A partir do inventário detalhado de ativos e da linha de base, você poderá monitorar ameaças e outras anomalias, como configurações incorretas ou comportamentos anômalos, como comportamento incomum ou padrões de comunicação entre dispositivos. Esse monitoramento contínuo ajudará a manter seus ativos, sua rede e seu ambiente seguros e a atender à conformidade com as diretrizes federais e outros requisitos. Veja abaixo um instantâneo de algumas das informações relatadas e disponíveis para análise mais detalhada.

A plataforma é capaz de identificar rapidamente os problemas e recomendar ações imediatas. Também é possível identificar links fracos, localizar dispositivos e status on-line e investigar ainda mais os alertas como ações individuais ou como parte de uma história interconectada que a equipe de segurança pode usar para investigação. Além dos benefícios desse monitoramento contínuo para a detecção de ameaças, ao rastrear e gerar relatórios sobre a utilização dos dispositivos, a plataforma também ajuda a aumentar a eficiência operacional.

Outras etapas a serem consideradas

Embora as ferramentas de TI não possam fornecer o nível de segurança de OT ou de CPS mais amplo necessário para esses ambientes exclusivos, por meio do ecossistema aberto e da API REST do Claroty, sua equipe de segurança pode aproveitar facilmente mecanismos de políticas, firewalls, SIEMs e outras ferramentas de segurança para aplicar o que você está aprendendo e implementando na sua rede de CPS.

Claroty integra-se diretamente com produtos da Cisco, Fortinet, Splunk e outros para permitir que você faça exatamente isso quando estiver pronto para fazê-lo. Você pode preparar o cenário para alinhar o CPS não apenas às suas ferramentas de segurança de TI, mas também aos seus processos de SOC e à governança geral.

Tome medidas para proteger os laboratórios federais com Claroty

Como líder em segurança de CPS, o Claroty pode ajudar seu laboratório federal em todas as partes interessadas e na amplitude de sua superfície de ataque físico cibernético. Ao proteger todos os aspectos da infraestrutura e da pegada física cibernética federal, a Claroty ajuda cada agência, laboratório ou outra instalação a atender aos requisitos de conformidade do BOD 23-01, M 24-04, a aderir ao EO 14028 e a outras exigências, garantindo que cada etapa de sua jornada de segurança cibernética seja simplificada, conectada e protegida. 

Para saber como sua agência pode se beneficiar dessas etapas e levar a segurança de seu laboratório para o próximo nível, fale com um membro de nossa equipe ou veja uma demonstração de nossa plataforma em ação.