As organizações industriais de todos os setores compartilham o mesmo objetivo abrangente: reduzir o risco cibernético. No entanto, devido aos recentes avanços na transformação digital, as organizações de infraestrutura crítica estão encontrando cada vez mais dificuldades para atingir essa meta. Isso ocorre porque os dispositivos e sistemas de tecnologia operacional (OT) que sustentam esses ambientes estão cada vez mais conectados à Internet, expandindo a superfície de ataque dos criminosos cibernéticos e dificultando a segurança desses ambientes. Como resultado, as organizações de infraestrutura crítica precisam de estratégias e soluções de gerenciamento de risco industrial para proteger melhor seus sistemas ciberfísicos (CPS) em meio a essas condições desafiadoras.
O que é o Gerenciamento de Riscos Industriais?
O gerenciamento de riscos industriais é o processo de identificação, avaliação, priorização, gerenciamento e monitoramento de riscos para os sistemas ciberfísicos de uma organização. Normalmente, as organizações industriais utilizam estratégias e soluções de gerenciamento de riscos para proteger seus ambientes contra ameaças cibernéticas. Na última década, o gerenciamento de riscos industriais se tornou mais difícil de ser obtido à medida que a tecnologia da informação (TI) se integrou à TO. A convergência dos sistemas de TI e TO permitiu que as organizações acelerassem muito suas iniciativas de transformação digital; no entanto, ela também trouxe sua cota de riscos. As consequências desses riscos podem levar a ameaças cibernéticas que podem ter um impacto grave nas organizações industriais, incluindo interrupções operacionais, danos físicos ou, o que é mais alarmante, ameaças à segurança pública. Embora seja impossível eliminar de fato muitos - se não a maioria - dos tipos de risco, a implementação de controles de risco e estratégias mais amplas de gerenciamento de exposição pode ajudar as organizações a reduzir a probabilidade de risco em seus ambientes críticos.
Quais são os desafios do gerenciamento de riscos industriais?
Existem vários desafios para alcançar gerenciamento de riscos industriais - Um dos problemas mais urgentes é que as pontuações de risco específicas de CPS geradas por soluções padrão tendem a ser altamente enganosas. Isso se deve aos seguintes motivos:
Limitações de visibilidade: Cada ambiente de CPS é único e a maioria das soluções padrão é incompatível com pelo menos alguns dos protocolos proprietários, sistemas legados e outras complexidades inerentes aos ambientes industriais. Sem visibilidade de espectro total ou compreensão dos CPS em seu ambiente, é impossível protegê-los.
Limitações de escopo: As soluções padrão não levam em conta o escopo completo dos ambientes de CPS, compensando controles e fatores de risco em seus cálculos, e essas lacunas são exacerbadas apenas pelas limitações de visibilidade mencionadas anteriormente. Como resultado, é provável que as pontuações de risco fornecidas sejam muito altas ou muito baixas, inundando as equipes de operações de segurança com problemas que já foram atenuados.
Limitações de flexibilidade: A maioria das soluções padrão adota uma abordagem de "tamanho único" para calcular o risco, apesar do fato de que cada ambiente industrial é único. Com a incapacidade de personalizar a forma como os diferentes fatores de risco são ponderados com base no que é mais importante, as equipes de segurança terão dificuldade em quantificar a postura de risco de CPS no contexto real de seus negócios.
Lista de verificação do gerenciamento de riscos industriais
Para superar os desafios do gerenciamento de riscos industriais, é importante que as organizações implementem um gerenciamento de vulnerabilidade baseado em risco (RBVM) para proteger melhor seus CPS. A lista de verificação a seguir descreve as estratégias que as organizações podem utilizar para alcançar o gerenciamento de riscos industriais:
1. Obtenha visibilidade de todo o espectro em seu ambiente de CPS
Descobrir os ativos que compõem o seu ambiente de CPS deve ser o primeiro item da sua lista de verificação para alcançar o gerenciamento de riscos industriais. Isso porque ela é fundamental para todos os controles de risco cibernético de CPS subsequentes. Ao implementar uma ferramenta de segurança de CPS com vários métodos de descoberta altamente flexíveis, as organizações industriais podem obter uma compreensão profunda de suas vulnerabilidades e possíveis vetores de ataque para se concentrarem primeiro nos problemas mais críticos.
2. Implementar uma estrutura de pontuação de risco granular e flexível
É essencial que as organizações implementem uma ferramenta de gerenciamento de riscos que leve em conta uma ampla gama de fatores que podem aumentar o risco, bem como os controles de compensação que compensam o risco. Uma estrutura granular e flexível com esses recursos permitirá que as organizações iniciantes no gerenciamento de riscos industriais avaliem com precisão sua postura de risco de TO imediatamente e acelerem sua jornada rumo à maturidade da segurança de CPS.
3. Priorizar as vulnerabilidades com base em sua probabilidade de exploração
A maneira mais eficiente de priorizar as vulnerabilidades com base em sua probabilidade de exploração é por meio do Vulnerabilidades Exploradas Conhecidas (KEV) e do Sistema de Pontuação de Previsão de Exploração (EPSS). Ao combinar automaticamente esses dois indicadores de risco, as organizações podem entender e priorizar com mais eficiência as vulnerabilidades em seu ambiente que os agentes de ameaças têm maior probabilidade de aproveitar.
Como sabemos, cada ambiente industrial é único, o que significa que as estratégias de gerenciamento de riscos devem ser adaptadas especificamente às necessidades de cada organização de infraestrutura crítica. Em Claroty, entendemos essa necessidade. Por isso, desenvolvemos um módulo de gerenciamento de exposição para ajudar os clientes a entender melhor sua postura de risco de CPS, alocar melhor os recursos existentes para aprimorá-la e acelerar sua jornada de segurança de CPS. Com o gerenciamento de exposição, as organizações podem enfrentar os desafios do gerenciamento de riscos industriais e proteger seus ambientes críticos de CPS contra ameaças crescentes.
