Uma das maiores prioridades em ascensão para os órgãos federais dos EUA é a segurança cibernética da tecnologia operacional (TO). Como os sistemas ciberfísicos (CPS) federais são altamente visados por adversários avançados, que estão cada vez mais afinados com o ambiente de TO, a complexidade desses dispositivos de TO em relação aos seus equivalentes de TI torna-se uma preocupação ainda maior.
Para entender melhor os padrões e as prioridades atuais dos líderes federais de TO, a MeriTalk, em parceria com Claroty, pesquisou 100 administradores e gerentes de segurança federais que supervisionam a TO em organizações civis federais e do Departamento de Defesa (DoD). Nosso relatório, Guardians of Government: The State of Federal OT Security, destaca os pontos de dados e tendências significativos da pesquisa.
Analisamos a fundo alguns dos insights mais importantes da pesquisa para destacar o estado atual da segurança federal de OT, as lacunas críticas de estratégia e as recomendações para fortalecer a segurança cibernética federal.
Como os líderes federais de OT estão pensando sobre a segurança cibernética
Entender como outros líderes federais de TO estão pensando em suas estratégias de segurança cibernética de TO, incluindo prioridades, deficiências e medidas a serem tomadas para melhorias gerais, pode trazer uma maior compreensão de como a sua agência se comporta. Encontre as principais conclusões abaixo e veja como as estratégias de sua agência federal se alinham.
Desafios para o avanço dos esforços de segurança da OT
Uma maioria esmagadora - 90% - dos líderes federais de TO relatou que sua agência aumentou a prioridade da segurança cibernética de TO nos últimos dois anos. As duas áreas de TO mais citadas no ambiente operacional de cada agência foram os dispositivos de IoT (69%) e a automação/gerenciamento de edifícios ou sistemas de controle relacionados a instalações (62%).
Embora a segurança de TO esteja sendo cada vez mais priorizada e investida, ela também apresenta alguns desafios exclusivos. Os dois mais urgentes são a complexidade dos ambientes de TO, incluindo a distribuição geográfica, e a falta de padronização entre os sistemas de TO. Esses desafios foram relatados como os obstáculos mais significativos aos esforços de segurança de TO, além das restrições orçamentárias.
Investindo em segurança OT
Com uma ênfase maior nos ambientes de TO, os líderes federais estão aumentando seus investimentos em segurança de TO, sendo a proteção de rede e o gerenciamento de ativos os dois principais recursos implementados. E agora as equipes de segurança de TO e TI compartilham cada vez mais a estrutura de relatórios, permitindo oportunidades de cooperação aprimorada, compartilhamento de percepções, visibilidade mais abrangente de toda a rede e de suas lacunas de segurança e, portanto, uma abordagem de segurança mais estratégica e completa.
Etapas mais importantes para aprimorar a segurança cibernética de OT
Com os órgãos federais enfatizando tanto a segurança cibernética de TO, é importante observar, no entanto, que apenas 20% dos órgãos se classificam como "A" em preparação cibernética de TI. De fato, apenas 55% dos entrevistados relataram que se sentem muito confiantes de que poderiam detectar e mitigar a ameaça.
Quando os líderes foram solicitados a identificar as medidas mais importantes que suas agências poderiam tomar para aumentar a segurança das TO, as duas principais respostas foram
Adoção de práticas recomendadas/melhorias de processos, incluindo segmentação/isolamento de rede e
Aprimoramento de habilidades, incluindo maior conscientização e treinamento cibernético
Além dessas medidas proativas para educar os membros de cada agência e adotar práticas recomendadas, os entrevistados da pesquisa identificaram as três principais deficiências que devem ser abordadas para proteger efetivamente os ativos de TO.
As três principais deficiências cibernéticas na segurança federal de OT
Para entender melhor por que quase metade dos entrevistados não se sente confiante de que poderia detectar e atenuar uma ameaça ao ambiente de TO, precisamos dar uma olhada nas principais deficiências dos programas federais de TO. Os entrevistados da pesquisa apontaram uma série de lacunas que atualmente afetam a segurança cibernética de TO, sendo as três principais identificadas como:
Falta de visibilidade da rede
Acesso seguro e monitoramento remoto
Gerenciamento de exposição
Vamos explorar cada uma dessas deficiências e o que pode ser feito para melhorá-las.
Visibilidade da rede
A visibilidade da rede pode ser particularmente desafiadora no espaço cibernético da TO federal devido à amplitude de dispositivos em vários ambientes. A diversidade de dispositivos significa que os líderes federais de TO estão preocupados, e com razão, não apenas em manter o controle de todos eles, mas também dos protocolos, padrões de comunicação e perfis de risco dos dispositivos. Isso significa que a visibilidade é apenas a primeira etapa para mantê-los seguros.
A visibilidade abrangente da rede é um dos pilares da oferta da Claroty, fornecendo visibilidade inigualável com cinco métodos de coleta diferentes para isso. A Claroty usa várias técnicas de descoberta para traçar o perfil de todos os ativos de CPS e também mapear as comunicações de rede entre os ativos, os protocolos usados e os padrões de suas comunicações. Essa percepção forma a base para a detecção e a atenuação de ameaças.
A plataforma de segurança Claroty , provisionada para uso no local ou na nuvem, monitora a rede para estabelecer a linha de base do comportamento normal dos ativos na rede. A visibilidade abrangente da rede fornece insights sobre:
Conectividade de rede
Higiene da rede
Quantidade e tipo de transmissões de rede
Número de pacotes perdidos
Volumes de tráfego
Largura de banda utilizada
Depois que essa linha de base for bem compreendida, ela poderá monitorar e analisar ativamente o tráfego de rede da TO para detectar comportamentos anormais e, por extensão, riscos potenciais, inclusive de configurações incorretas, aspectos operacionais que possam afetar a segurança e práticas relacionadas ao sistema que estejam afetando o status da segurança. Considere o exemplo de várias tentativas de login no bloco de mensagens do servidor (SMB). Esse tipo de análise de tráfego identificaria se esse é o efeito de uma configuração incorreta do SMB ou se está ocorrendo de forma aleatória entre vários ativos diferentes, correspondendo a uma assinatura de ameaça para um Trojan e verificada pela assinatura de uma ameaça latente real.
Acesso seguro e monitoramento remoto
O acesso seguro e o monitoramento remoto são fundamentais em ambientes em que muitas pessoas - como funcionários, contratados e fornecedores - precisam de acesso legítimo à sua rede de TO e aos muitos ativos que devem ser mantidos. Na pesquisa da MeriTalk, os líderes federais de TO expressaram, com razão, sua preocupação com esse acesso remoto.
Claroty oferece um meio de gerenciar com segurança o acesso remoto de qualquer pessoa que você considere necessária e manter a visibilidade contínua das sessões ativas. Isso significa que qualquer comportamento anômalo é detectado e permite que os operadores e gerentes da OT federal tomem medidas em tempo real para interromper as sessões ativas se e quando necessário para minimizar os riscos.
Gerenciamento de exposição
Para manter um programa de segurança ativo e bem-sucedido, é imprescindível ficar por dentro das vulnerabilidades exploráveis e ativamente exploradas e de outras formas de risco. O gerenciamento da exposição é particularmente importante para as organizações federais devido à natureza altamente direcionada das redes federais e à complexidade observada no relatório. Novas vulnerabilidades e ameaças surgem diariamente nessas redes altamente direcionadas, o que torna ainda mais importante ter uma estratégia de gerenciamento de exposição que possa identificar e priorizar imediatamente as vulnerabilidades antes que os adversários tenham a oportunidade de capitalizá-las.
ClarotyA estrutura de risco exclusiva da CISA, os feeds de dados do KEV e do EPSS da CISA e várias considerações de exposição destacam vetores de ataque específicos, avaliam a capacidade de exploração e o impacto e fornecem recomendações de correção quantificadas.
Com as recomendações específicas, os usuários podem priorizar os esforços de correção com base nos resultados desejados e no prazo.
Obtendo insights da pesquisa e implementando práticas recomendadas
Com tantas áreas de possíveis melhorias e adoção de práticas recomendadas identificadas na pesquisa, pode ser difícil saber por onde começar a fortalecer a segurança de TO em sua agência. Felizmente, a experiência da Clarotyem proteção de CPS - em milhares de implantações, mais de vinte milhões de ativos protegidos e mais de quatrocentos protocolos suportados - e as estratégias comprovadas para tratar de cada deficiência apontada na pesquisa são o lugar ideal para começar.
Saiba como melhorar áreas significativas de visibilidade por meio do gerenciamento de exposição ou implementar as principais práticas recomendadas, como a segmentação de rede. Para descobrir as plataformas específicas de segurança de TO que o Claroty oferece e determinar a melhor opção para o programa de segurança cibernética da sua agência, entre em contato com um membro da nossa equipe hoje mesmo.
