As ameaças às redes de tecnologia operacional (OT) geralmente são inovadoras, mas enganosamente simples, explorando nossa compulsão por processos para introduzir riscos. O emprego de métodos igualmente elegantes para identificar esses riscos é fundamental para a proteção da rede. Ter visibilidade total da sua rede de TO é essencial para começar, além de ser algo que abordaremos em profundidade mais adiante nesta série. Porém, depois que você obtém essa visibilidade, há muitos desafios comuns associados ao uso dessa visibilidade para identificar ameaças com rapidez e precisão.
Mais especificamente, a detecção de todos os diferentes tipos de ameaças que podem afetar as redes de TO requer várias abordagens e, muitas vezes, várias ferramentas - muitas das quais devem ser configuradas individualmente para cada rede de TO em cada um dos locais de uma empresa. E, especialmente para empresas com vários locais em vastas áreas geográficas, essas condições podem dificultar não apenas a detecção de ameaças, mas também outras iniciativas de segurança de TO.
Reconhecendo esses desafios, projetamos o Claroty CTD como uma ferramenta única, adequada ao amplo espectro de ameaças que nossos clientes enfrentam e de implantação rápida e simples. Configurados por padrão e sem a necessidade de configuração site a site, cada um dos cinco mecanismos de detecção do CTD tem uma finalidade específica e oferece uma vantagem distinta contra todos os tipos de ameaças. Esses mecanismos incluem:
Detecção de anomalias
Esse mecanismo identifica alterações nas comunicações entre ativos ou zonas de rede para identificar ameaças anteriormente desconhecidas, como ataques de dia zero. Nós o criamos para superar os desafios apresentados pelo fato de que os protocolos dos ativos de TO são excepcionalmente difíceis de identificar e entender porque, durante décadas, eles não foram projetados com a conectividade em mente; muitos deles nem sequer têm um endereço IP. Se você não conseguir traduzir adequadamente os protocolos de TO, corre o risco de criar um grande volume de falsos positivos ou, pior ainda, de não conseguir identificar o ativo.
O mecanismo de detecção de anomalias deriva seus recursos de nosso profundo conhecimento desses protocolos proprietários de OT, bem como de nossa tecnologia de inspeção profunda de pacotes (DPI), que faz o inventário e estabelece um comportamento de linha de base para cada ativo na rede. Claroty A CTD também utiliza a segmentação de rede automatizada para criar zonas virtuais de ativos com base em seu comportamento de linha de base. Essas zonas virtuais permitem que a CTD identifique e alerte imediatamente sobre instâncias de comportamento anômalo entre as zonas que podem indicar ameaças anteriormente desconhecidas.
Comportamentos de segurança
Esse mecanismo é responsável por identificar quaisquer técnicas conhecidas que tenham sido usadas por invasores. Isso inclui padrões de segurança de TI, como varredura de portas e ataques man-in-the-middle, bem como padrões de segurança específicos de OT, como varreduras de TAGs/endereços.
Um exemplo do tipo de técnicas conhecidas específicas de OT que esse mecanismo procura é o ataque HAVEX. Esse ataque específico incluiu um módulo de varredura OPC como parte da fase de reconhecimento que foi usado para procurar ativos industriais em uma rede por meio de portas geralmente associadas a dispositivos SCADA. Uma vez no sistema, os invasores conseguiram mapear a rede de TO para exploração adicional.
Ameaças conhecidas
Os alertas de ameaças conhecidas são um recurso comum entre os fornecedores de software de segurança de TI, mas fazê-lo para protocolos e artefatos de OT proprietários representa um desafio único, especialmente quando se trata de compreender as seções de código dos arquivos de configuração. O CTD é equipado com assinaturas conhecidas de indicadores de comprometimento (IoCs), além de pesquisas de assinaturas de ameaças exclusivas do braço de pesquisa e desenvolvimento Team82 da Claroty.
Esse mecanismo é alimentado pelas regras do SNORT e do YARA e serve para equipar os caçadores de ameaças e os responsáveis pela resposta a incidentes com o contexto necessário para detectar e evitar ataques direcionados no início da cadeia de destruição. Claroty Os mecanismos de regras do YARA e do Snort da 's podem até funcionar em seções de código baixadas para o PLC, permitindo que nossa tecnologia de DPI monte seções de código para verificar se há ameaças.
Comportamentos operacionais
Um risco especialmente desafiador para a detecção de ambientes de TO é quando os invasores conseguem atrair as rotinas padrão de TO para situações que lhes permitem penetrar na rede e executar um ataque. Entretanto, como essas rotinas geralmente são padrão, os mecanismos de detecção de anomalias por si só não identificarão esse tipo de ataque.
O mecanismo de comportamento operacional da CTD monitora o contexto e os detalhes das operações em andamento usando a tecnologia DPI. Ele pode penetrar nas operações até o nível do código para revelar quaisquer alterações feitas na configuração de um ativo.
Por exemplo, a infecção pelo malware Triton adicionou verificações de CRC personalizadas às configurações que baixou; o mecanismo Claroty Operational Behaviors alertaria sobre esse download de configuração. Nossa tecnologia DPI permite que o CTD verifique a diferença de código nas alterações de configuração para identificar esse tipo de ataque e alertá-lo para que as medidas de atenuação possam ser tomadas. Esse monitoramento amplia a percepção da periferia das operações por meio de protocolos proprietários e de código aberto e detecta operações complexas, como downloads/uploads de configuração, modo de alteração, alterações de estado de chave e upgrades de firmware.
Regras personalizadas
O último mecanismo de detecção do CTD é o mais flexível e se baseia em eventos específicos definidos pelo usuário para enviar alertas. Esses tipos de eventos geralmente são valores fora do intervalo para operações específicas ou determinados tipos de comunicações na rede que são valiosos para um usuário.
Usando a manutenção preventiva como exemplo, se a sua organização tiver observado mudanças no comportamento dos pacotes que geralmente precedem o tempo de inatividade não programado dos ativos, poderá ser criado um alerta para esse tipo de comportamento. Na próxima vez que esse comportamento ocorrer, você poderá tomar medidas proativas para corrigir o ativo em questão.
Esses mecanismos de detecção de ameaças são apenas algumas das maneiras pelas quais a plataforma Claroty oferece uma abordagem holística à segurança cibernética industrial. Para ter uma visão mais ampla da detecção de ameaças em ambientes industriais, confira o capítulo Detectando ameaças em ambientes OT da nossa série CISO Start ou solicite uma demonstração.
