À medida que as organizações tentam gerenciar forças de trabalho remotas e híbridas, adotar a transformação digital e enfrentar a instabilidade global, os agentes de ameaças estão capitalizando uma superfície de ataque expandida e uma mudança de vulnerabilidade, tornando-se mais ousados, sofisticados e prejudiciais em seus ataques. Como resultado, observamos o surgimento de ameaças disruptivas à segurança cibernética que têm como alvo as organizações de infraestrutura essencial. Desde a interrupção das operações e dos processos de negócios até os riscos à segurança. Os adversários continuam a se adaptar, o que torna mais importante do que nunca entender as principais ameaças à segurança cibernética atuais e as práticas recomendadas a serem implementadas para fortalecer suas defesas de segurança e proteger seus negócios.
Índice
1. Principais ameaças cibernéticas atuais
2. Exemplos de ameaças cibernéticas industriais
3. Exemplos de ameaças cibernéticas no setor de saúde
4. Práticas recomendadas
Quais são as principais ameaças à segurança cibernética atualmente?
A prevenção de violações começa com a compreensão de quais ameaças à segurança cibernética estão afetando as organizações atualmente. Obter o conhecimento sobre as oportunidades que os adversários estão procurando para explorar facilmente é o primeiro passo para se manter à frente dos ataques e garantir a resiliência cibernética e operacional.
1. Ransomware
Embora não seja uma nova ameaça à segurança cibernética, o ransomware cresceu nos últimos anos devido à pandemia global e à rápida adoção do trabalho sem fronteiras. Da noite para o dia, as organizações foram forçadas a adotar ambientes de trabalho remotos e híbridos sem tempo para implementar protocolos e sistemas de segurança adequados, o que levou a um acesso remoto inseguro. A pandemia também acelerou o uso de tecnologias novas e inseguras, introduzindo o risco de vulnerabilidades e expandindo a superfície de ataque à medida que a Internet das coisas estendida (XIoT) se torna cada vez mais interconectada. Esse nível de interconectividade fez com que os adversários se tornassem cada vez mais direcionados em suas estratégias de ransomware, mudando de ataques cibernéticos oportunistas e de pulverização para uma abordagem mais deliberada que busca intencionalmente explorar empresas específicas com baixa tolerância ao tempo de inatividade operacional.
2. Convergência de TI/OT
A convergência da tecnologia da informação (TI) e da tecnologia operacional (TO) proporcionou às organizações de todos os setores inúmeros benefícios, incluindo a melhoria da visibilidade de suas operações, o aumento da automação e da eficiência, a redução do tempo de inatividade e dos custos de manutenção e o aumento da produtividade geral. Embora essa convergência tenha otimizado a coleta e a troca de dados entre as máquinas, sua interconectividade ampliou a superfície de ataque, oferecendo aos invasores novas maneiras de se infiltrar no ambiente. Muitas vezes, os dispositivos, o software e os sistemas afetados pela convergência de TI/OT ficam desprotegidos devido à nossa próxima ameaça à segurança cibernética:
3. Unidades de negócios isoladas
Tradicionalmente, os sistemas de TI e de TO são gerenciados separadamente, com os sistemas de TI focados na computação e no gerenciamento de dados e os sistemas de TO focados no controle e no monitoramento de eventos, processos físicos e dispositivos. Devido às suas diferenças distintas, eles exigiam a supervisão de equipes radicalmente diferentes, com conjuntos de habilidades exclusivos. Entretanto, no atual cenário tecnológico, os mundos da TI e da TO estão convergindo, exigindo uma abordagem única e unificada dos processos de segurança de TI e TO. A maioria das organizações enfrenta a falta de coordenação de segurança em suas operações, pois suas equipes são isoladas e não têm as mesmas metas e objetivos. Sem uma comunicação e coordenação claras entre os departamentos de TI e TO, as organizações terão dificuldades para implementar protocolos e estratégias de segurança eficazes, deixando-as vulneráveis ao crescente cenário de ameaças.
É por isso que a Transportation Security Administration (TSA) emitiu diretrizes de segurança cibernética para o transporte ferroviário, aéreo e por dutos. Como resultado de ameaças cibernéticas persistentes contra a infraestrutura essencial dos EUA, a TSA tomou medidas emergenciais para fortalecer a resiliência da segurança cibernética e evitar interrupções operacionais e degradação da infraestrutura. As diretrizes de segurança cibernética da TSA exigem que as organizações implementem políticas e controles de segmentação de rede para garantir que os sistemas de tecnologia operacional (TO) possam continuar a operar com segurança caso um sistema de tecnologia da informação (TI) tenha sido comprometido e vice-versa. Essa política garantirá que as organizações possam verificar se as políticas de segmentação corretas estão em vigor para evitar o movimento lateral de ataques da TI para a TO. Além disso, garantirá que as equipes de TI e TO se comuniquem e operem de forma eficaz entre si para evitar a propagação de ataques.
4. Restrições de recursos
Além das unidades de negócios isoladas, muitas organizações também enfrentam restrições de recursos relacionadas à equipe limitada e à falta de financiamento. Sem as unidades de negócios adequadas, as organizações podem ter dificuldades para gerenciar sua infraestrutura de TI diária, sem falar na responsabilidade adicional da segurança cibernética em toda a XIoT. Da mesma forma, as organizações que sofrem com a falta de fundos para contribuir com medidas de segurança cibernética podem não ter os recursos para implementar com sucesso soluções de segurança cibernética ou contratar talentos qualificados para gerenciar as operações de segurança. Isso, somado à equipe já limitada, deixará as organizações especialmente vulneráveis a ameaças.
5. Pontos cegos nas ferramentas tradicionais de TI
Ao contrário dos sistemas de TI, os sistemas OT tendem a ter arquiteturas de hardware e software exclusivas, protocolos especializados e requisitos de desempenho diferentes. Muitas vezes, os sistemas de TO também estão conectados a dispositivos antigos, que operam com software desatualizado e são difíceis de substituir. Esses fatores tornam as ferramentas de segurança de TI inadequadas para proteger ambientes de TO e, se usadas, podem causar interrupções em operações críticas. Por exemplo, o uso de ferramentas de segurança de TI para verificar se há vulnerabilidades em um sistema OT pode causar atrasos ou até mesmo falhas no sistema. Da mesma forma, a tentativa de implementar patches em um sistema de TO pode resultar em problemas de compatibilidade ou outras consequências não intencionais.
6. Riscos geopolíticos
Com o aumento das tensões internacionais, os ataques patrocinados pelo Estado estão sendo cada vez mais usados para roubar propriedade intelectual, informações confidenciais ou causar danos ou interrupções na infraestrutura física. De acordo com a pesquisa da PwC com CEOs, o risco cibernético e os conflitos geopolíticos estão entre as cinco principais preocupações dos CEOs. Quando esses dois desafios são combinados, o ambiente de risco de uma empresa é significativamente elevado. Conforme declarado pela PwC, "a segurança cibernética tornou-se parte do arsenal em conflitos geopolíticos, e os ataques podem ser sofisticados e persistentes". Isso significa que as organizações precisam monitorar e avaliar seus riscos continuamente para reagir de forma rápida e eficaz para remediar as ameaças.
7. Conformidade regulatória
A conformidade com as normas pode ser extremamente complexa, o que torna difícil para as organizações entenderem o que é exigido delas e como implementar as medidas de segurança necessárias. A capacidade de uma organização de aderir às normas também está intimamente ligada ao nosso quarto desafio, as restrições de recursos. Sem o orçamento ou o pessoal adequado, as empresas podem ter dificuldade para implementar e manter as normas do setor, que estão em constante evolução e atualização. Uma regulamentação recente de segurança cibernética que surgiu e se mostrou complexa para as organizações entenderem é a Diretiva de Segurança de Redes e Informações (NIS2). Essa legislação foi criada pela União Europeia (UE) para fortalecer a postura e a resiliência da segurança cibernética, estabelecendo um conjunto mínimo de medidas de segurança cibernética e requisitos de relatórios. Devido à sua natureza complexa e tecnológica, as organizações podem descobrir que precisam de investimentos significativos em tecnologia, treinamento de pessoal ou suporte externo para atender à conformidade.
Exemplos de ameaças à segurança cibernética industrial
Há vários exemplos reais das ameaças acima que afetam as organizações de infraestrutura essencial. O mais notável é o ataque NotPetya. Esse ataque de malware é considerado o ataque cibernético mais caro e destrutivo da história e abriu precedentes para um novo tipo de guerra cibernética patrocinada pelo Estado. Embora a Ucrânia tenha sido seu alvo principal, o ataque se espalhou rapidamente para mais de 60 outros países, paralisando os sistemas de computadores de milhares de empresas multinacionais. Essas empresas multinacionais estavam espalhadas por vários setores de infraestrutura crítica, incluindo saúde, energia e transporte. De forma alarmante, o NotPetya causou um recorde de US$ 10 bilhões em danos, sem contar os danos colaterais de perda de bens, serviços e oportunidades. O ataque foi realizado por meio da exploração do EternalBlue - um exploit do Windows criado pela Agência de Segurança Nacional dos EUA (NSA) - para se mover lateralmente pelas redes corporativas e se espalhar de um sistema vulnerável para outro. Essa ameaça sem precedentes à segurança cibernética industrial destacou dois problemas importantes que permitiram que o NotPetya infectasse um número tão grande de ambientes de TO:
1. Gerenciamento de exposição deficiente
Compreender as vulnerabilidades e os riscos associados à XIoT da sua organização é fundamental para garantir que seus dispositivos e sistemas não sejam alvos de criminosos cibernéticos. Se as organizações afetadas pelo NotPetya tivessem implementado estratégias de gerenciamento de exposição e aplicado o patch conhecido para o EternalBlue, suas operações não teriam sido afetadas. Embora essa tivesse sido uma solução importante para as pessoas afetadas pelo NotPetya, é importante observar que a aplicação de patches é um desafio particularmente difícil para muitos dispositivos de TO. Isso ocorre porque os sistemas e tecnologias legados em ambientes de TO não são projetados com atualizações de software e aplicação de patches em mente. Além disso, a aplicação de patches nesses dispositivos pode ter implicações operacionais significativas, pois qualquer interrupção ou tempo de inatividade pode afetar todo o sistema. O desafio da aplicação de patches também é o que tornou a segmentação da rede e os controles de compensação tão cruciais - que é o segundo problema que tornou o NotPetya tão devastador.
2. Segmentação deficiente da rede
O NotPetya conseguiu se mover rapidamente pelos ambientes de TI e TO das organizações devido à falta de segmentação da rede. Ao isolar ou segregar os segmentos de rede, as organizações afetadas pelo NotPetya poderiam ter contido e limitado os danos causados. Embora a aplicação de patches nem sempre seja possível imediatamente para os dispositivos de TO, devido aos desafios listados acima, a segmentação da rede permite que uma organização atenue os riscos implementando medidas de segurança compensatórias para monitorar e detectar possíveis ameaças enquanto trabalha para aplicar patches nos dispositivos vulneráveis. Sem a segmentação adequada da TO, o alinhamento com o Modelo Purdue e a implementação de outras práticas recomendadas, as organizações continuarão a sofrer com a disseminação lateral de ransomware, como o NotPetya, e outros programas mal-intencionados.
O ataque do NotPetya destacou bastante a ameaça da interconectividade, já que os sistemas anteriormente "air-gapped" se tornaram interconectados, permitindo que os hackers obtenham acesso irrestrito a vários sistemas. Ele também levantou a questão de outra ameaça, os pontos cegos da segurança cibernética. Sem as ferramentas adequadas de varredura de OT, as organizações afetadas desconheciam completamente as vulnerabilidades em seu ambiente. Como resultado do ataque, as organizações precisarão de uma estratégia de segurança cibernética forte e resiliente e da ajuda de uma solução de segurança cibernética de TO desenvolvida especificamente para se defender contra uma superfície de ataque em expansão.
Exemplos de ameaças à segurança cibernética no setor de saúde
Também vimos essas principais ameaças afetarem muito a segurança cibernética no setor de saúde. O mais notável foi um ataque de ransomware que afetou o Hospital Universitário de Düsseldorf. Diz-se que o ransomware foi introduzido na rede do hospital por meio de uma vulnerabilidade bem conhecida em um aplicativo Citrix. Embora o hospital tenha insistido que havia corrigido essa vulnerabilidade, ela ainda corrompeu 30 servidores e os forçou a anunciar que tratamentos planejados e ambulatoriais e atendimento de emergência não poderiam ocorrer no hospital. As pessoas que buscavam atendimento de emergência foram redirecionadas para outros hospitais, inclusive uma mulher de 78 anos que precisava de tratamento imediato. Devido ao ataque, sua ambulância foi desviada para um hospital a 19 milhas de distância, atrasando seu atendimento e, tragicamente, ela morreu pouco tempo depois. Esse incidente foi um sinal de alerta para as organizações de prestação de serviços de saúde sobre os efeitos devastadores do ransomware e destacou que as consequências se tornaram mais do que apenas danos financeiros. Esse ataque à infraestrutura essencial mostrou ainda mais a importância de implementar uma segurança cibernética eficaz no setor de saúde para garantir a segurança dos pacientes e proteger os dispositivos médicos.
3 práticas recomendadas para evitar ameaças à segurança cibernética
Depois de entender as principais ameaças à segurança cibernética que assolam as organizações de infraestrutura crítica atualmente, é hora de implementar as práticas recomendadas a seguir para proteger a sua empresa.
1. Obtenha visibilidade de todos os CPS em seu ambiente XIoT
A conectividade do sistema ciber-físico (CPS) criou pontos cegos de segurança e uma superfície de ataque crescente que pode representar um risco para a disponibilidade, integridade e segurança de seu ambiente. Por isso, é essencial ter um inventário completo de ativos, vulnerabilidades e riscos em toda a empresa para gerenciar a postura de segurança e conformidade. Com um inventário detalhado de ativos, as organizações podem obter visibilidade abrangente de todos os ativos de XIoT, incluindo um escopo completo de identificadores e detalhes comportamentais. Esses detalhes ajudarão as organizações a identificar protocolos proprietários que são incompatíveis e invisíveis para as ferramentas tradicionais de segurança de TI. Além disso, ajudarão a determinar como os dispositivos legados operam e se comunicam. Essa visibilidade detalhada também pode ser obtida independentemente dos requisitos regulamentares, tornando a conformidade uma ameaça a menos à segurança cibernética que você precisa enfrentar.
2. Integre suas ferramentas e fluxos de trabalho de TI existentes com seu CPS
Uma vez alcançada a visibilidade em toda a empresa, é essencial que as organizações integrem suas ferramentas e fluxos de trabalho de TI existentes com a OT. Muitos CPS usam protocolos proprietários e sistemas legados que são incompatíveis com as soluções tradicionais de segurança de TI. Em muitos ambientes, os scanners de vulnerabilidade tradicionais não são seguros, e a aplicação de patches raramente é permitida devido à baixa tolerância ao tempo de inatividade. Com a colaboração entre as equipes de TI e de TO e a ferramenta de segurança CPS correta, as organizações podem descobrir com segurança os pontos cegos de risco sem colocar em risco as operações, integrando suas já extensas pilhas de tecnologia com uma solução de segurança de TO criada especificamente para esse fim. Essa estratégia ajudará as organizações a assumir o controle de seu ambiente de risco e a criar mais visibilidade entre equipes tradicionalmente isoladas, simplesmente estendendo as ferramentas e os fluxos de trabalho existentes da TI para a TO.
3. Estenda seus controles de segurança e governança de TI para o ambiente XIoT
Diferentemente de suas contrapartes de TI, a maioria dos ambientes de XIoT carece de controles essenciais de segurança cibernética e governança consistente. Isso ocorre porque os sistemas legados em muitos ambientes XIoT foram criados com foco na funcionalidade e na confiabilidade operacional, e não na segurança, pois esses sistemas não foram inicialmente planejados para serem conectados à Internet. O aumento da interconectividade fez com que esses sistemas anteriormente "air-gapped" se tornassem convergentes com as redes de TI, que não foram projetadas para serem conectadas e gerenciadas da mesma forma. A rápida adoção da transformação digital e dos ambientes de trabalho remotos e híbridos deixou as equipes de segurança com uma falta de conscientização e compreensão sobre os desafios exclusivos desses ambientes XIoT recém-interconectados. Sem uma equipe de segurança dedicada ou sem a ajuda de uma solução especializada na proteção de sistemas de TO, as organizações sofrerão com a falta de governança e controles consistentes. Para resolver isso, as organizações podem se unir a um fornecedor de segurança de CPS que forneça visibilidade de todos os CPS, integre suas ferramentas e fluxos de trabalho de TI existentes com CPS e ajude a estender seus controles de TI para a XIoT, unificando sua governança de segurança e conduzindo todos os casos de uso em sua jornada para a resiliência cibernética e operacional.
Embora existam várias outras práticas recomendadas que as organizações podem implementar para se protegerem das ameaças cibernéticas emergentes, essas três são um ótimo ponto de partida. Obter visibilidade abrangente, integrar com eficiência as ferramentas e os fluxos de trabalho de TI existentes com CPS e estabelecer controles de segurança e governança sólidos são essenciais para acompanhar as tendências e as mudanças em um cenário de ameaças em constante evolução. Atualmente, é fundamental que a segurança cibernética acompanhe o impacto da transformação digital, à medida que os ambientes se tornam cada vez mais interconectados e os consultores se tornam mais implacáveis em seus ataques. Ao compreender o que os agentes de ameaças estão procurando explorar e ao se associar ao fornecedor de segurança CPS certo, as organizações podem fortalecer suas defesas de segurança e proteger seus negócios.
