Como discuti detalhadamente em minha postagem anterior no blog, ter visibilidade granular e em tempo real dos ativos, redes e processos operacionais (TO) é fundamental para identificar e proteger contra ameaças cibernéticas aos ambientes industriais de sua organização. Dito isso, para aproveitar essa visibilidade e mitigar o risco cibernético da TO, você também precisa ser capaz de identificar as ameaças com rapidez e precisão.
Assim como acontece com a visibilidade, as equipes de segurança de TI enfrentam alguns desafios específicos de OT quando são encarregadas de detectar ameaças em ambientes industriais:
Incompatibilidade com ferramentas tradicionais: Uma barreira substancial para a detecção precisa de ameaças em ambientes industriais é o uso, pelos equipamentos de TO, de protocolos proprietários e específicos do fornecedor que não podem ser decifrados pelas ferramentas tradicionais de detecção de ameaças. No entanto, muitas organizações persistem em seus esforços para implantar ferramentas tradicionais de detecção de ameaças de TI em ambientes de TO. Como resultado, as equipes de segurança que tentam usar ferramentas tradicionais de TI para detectar ameaças em seu ambiente de TO tendem a ser inundadas com falsos positivos e negativos, exacerbando desafios como a fadiga de alertas, ao mesmo tempo em que fazem pouco para ajudar a proteger o ambiente de TO e dão uma falsa sensação de redução de riscos.
Tamanho e complexidade dos ambientes de TO: Embora o estabelecimento de uma linha de base comportamental claramente definida para todos os ativos e processos de TO seja essencial para a identificação de anomalias que possam indicar ameaças, isso também costuma exigir muitos recursos, devido ao grande tamanho, à composição complexa e às limitações de visibilidade comuns às redes de TO. Para complicar ainda mais a situação, os ativos de TO podem ter uma vida útil que dura várias décadas. Devido a essa longa vida útil, a maioria dos ativos de TO não possui os recursos de segurança que consideramos garantidos nos ativos de TI.
Convergência de TI-OT: A transformação digital da infraestrutura industrial levou a uma maior interconectividade entre os ambientes de TI e TO. E, embora essa convergência de TI-OT gere muitos benefícios e eficiências, ela também introduz o mundo dinâmico e em constante mudança das ameaças cibernéticas de TI às redes de TO, que historicamente estavam isoladas dessas ameaças. Graças à segmentação deficiente entre os ambientes de TI e TO, houve um aumento nos incidentes em que o malware pode se espalhar facilmente para as redes de TO após infectar a rede de TI de uma organização.
Adversários sofisticados: Devido à sua finalidade econômica essencial e à predisposição à segurança inadequada, as redes de TO tendem a ser alvos altamente desejáveis para adversários de estados-nação e grupos de ameaças persistentes avançadas (APT) - ambos conhecidos por utilizar táticas desconhecidas ou de dia zero em ataques direcionados e altamente avançados. Em resumo, as redes de TO são críticas e, portanto, valiosas. E como a maioria das soluções de detecção de ameaças não é capaz de dissecar - e, portanto, compreender - os protocolos proprietários no ambiente de TO, esses adversários avançados podem realizar um ataque sem que se perceba.
Recursos limitados de inteligência: A inteligência contra ameaças é essencial para a detecção de ameaças de TO. Mas a grande maioria dessa inteligência é voltada para a segurança da rede de TI, e as assinaturas e IoCs nem sempre estão prontamente disponíveis para as ameaças à TO. Além disso, como as ameaças cibernéticas de TO tendem a se comportar de forma diferente das ameaças de TI, a inteligência contra ameaças cibernéticas focada em TI geralmente é de uso limitado para defender os ambientes de TO. Juntos, esses fatores representam barreiras significativas para o acesso oportuno e acionável à inteligência contra ameaças em tempo hábil.
Detecção contínua de ameaças: A base da plataforma Claroty
Na Claroty, entendemos a importância de superar esses desafios para identificar e priorizar rapidamente as ameaças, tanto que fizemos da Detecção Contínua de Ameaças (CTD) a base da Plataforma Claroty . A CTD utiliza os cinco mecanismos de detecção a seguir:
Detecção de anomalias: O mecanismo de detecção de anomalias identifica qualquer alteração nos padrões de comunicação. Com base na Deep Packet Inspection (DPI) do CTD, esse mecanismo identifica qualquer tipo de comportamento incomum, desde diferentes funções de código usadas por interfaces homem-máquina (HMI) até nomes ou valores de tags específicos.
Comportamentos de segurança: O mecanismo Security Behaviors identifica técnicas conhecidas que foram usadas por invasores. Ele inclui padrões de segurança específicos da TO, como TAG/address scan ou ataques OT man-in-the-middle (MITM), além de padrões de segurança específicos da TI.
Ameaças conhecidas: Alimentado pelos mecanismos SNORT e YARA Rule, o mecanismo Known Threats é equipado com um amplo banco de dados de assinaturas conhecidas e IoCs fornecidos pela Team82, o braço de pesquisa e desenvolvimento da Claroty. Ele fornece aos caçadores de ameaças e aos responsáveis pela resposta a incidentes o contexto necessário para detectar e evitar ataques direcionados no início da cadeia de destruição e atenuar as consequências das infecções por malware.
Comportamentos operacionais: O mecanismo Operational Behaviors identifica as operações de OT, incluindo download/upload de configuração, modo de alteração, alteração do estado da chave e atualização de firmware, que ocorrem na rede, por meio de protocolos proprietários e de código aberto.
Regras personalizadas: O mecanismo de regras personalizadas é responsável por detectar e identificar eventos específicos definidos pelo usuário, incluindo valores fora da faixa ou comunicações específicas sobre as quais os usuários gostariam de ser notificados.
Quando se trata de detectar ameaças, a velocidade e a precisão são cruciais para a redução de riscos. Para eliminar os falsos positivos que causam distração e são esmagadores, o CTD gera uma linha de base diferenciada do comportamento típico em sua rede. Isso permite que as equipes de segurança identifiquem e reduzam rapidamente as ameaças mais importantes, desde anomalias até ameaças conhecidas e de dia zero.
Para saber mais sobre como o Claroty pode oferecer segurança abrangente para ambientes de TO, solicite uma demonstração.
