Há anos, o governo vem alertando aberta e claramente sobre ataques direcionados contra entidades governamentais e vários setores de infraestrutura essencial dos EUA, incluindo os setores de energia, nuclear, instalações comerciais, água, aviação e manufatura essencial. O recente ataque de ransomware, atribuído ao grupo de crimes cibernéticos DarkSide, contra a Colonial Pipeline tornou o risco real para todos nós. O ataque cibernético à Colonial Pipeline fez com que a empresa fechasse sua operação de oleoduto, interrompendo a entrega de gasolina e outros produtos petrolíferos em grande parte do sudeste dos Estados Unidos. Esse incidente afetou vários segmentos do setor de transportes - com a escassez de combustível de aviação para muitas transportadoras, causando interrupções no transporte aéreo, e o medo da escassez de gasolina levando os consumidores a comprarem em pânico na bomba.
Recentemente, Mike Mimoso, diretor editorial do Claroty, reuniu especialistas do Claroty nas linhas de frente da segurança cibernética industrial para um webinar, "The Implications of Ransomware on OT Networks: O que você precisa saber pós-Colonial Pipeline sobre como o ransomware afeta os processos industriais". Entre os participantes do painel estava o almirante (aposentado) Michael S. Rogers, Claroty Presidente do Conselho de Consultores, que deu o tom com sua perspectiva afirmando: "Nunca deixe uma crise ser desperdiçada. Use-a para promover mudanças". É com esse espírito que ele, juntamente com Gary Kneeland, gerente sênior de produtos, e Justin Woody, gerente de marketing da empresa, se juntaram à equipe. Product Manager, e Justin Woody, Director of Innovation, compartilharam suas observações, conselhos e próximos passos para as equipes de TI e TO.
Como o ransomware pode afetar a rede OT
Os ataques de ransomware são, em grande parte, oportunistas. Durante o ataque cibernético da Colonial Pipeline, os criminosos aproveitaram uma operação de ransomware como serviço para atingir grandes organizações que, segundo eles, poderiam pagar grandes pedidos de resgate. Não sabemos o vetor de ataque inicial que foi infiltrado e que acabou levando ao fechamento da Colonial Pipeline, mas as três formas mais comuns são sistemas sem patch, phishing e vazamento de credenciais que podem ser roubadas ou compradas. À medida que as organizações priorizam a digitalização e a convergência das redes de TI e de TO se expande, as linhas entre as redes de TI e as redes de TO estão se confundindo. Isso trouxe um desafio significativo à segurança cibernética industrial, pois os criminosos cibernéticos agora têm a capacidade de se deslocar lateralmente para outros domínios de rede.
Até o momento, no entanto, não vimos nenhum exemplo de ransomware direcionado especificamente a componentes de TO. Isso se aplica ao ataque cibernético da Colonial Pipeline, em que o ransomware se infiltrou na rede de TI, sem nenhuma evidência de que tenha afetado diretamente a rede de TO. Embora não tenha havido impacto na TO, por excesso de cautela, a Colonial Pipeline ainda desligou o lado da TO da rede, impedindo assim sua capacidade de distribuir combustível. A decisão de desligar as operações de TO foi motivada pela falta de visibilidade e compreensão do nível de exposição e pela confiança limitada em sua capacidade de atenuar o impacto na rede de TO. Felizmente, esse desafio pode ser resolvido com práticas básicas de segurança e pode ser usado para evitar ameaças cibernéticas dessa natureza no futuro.
Lições do ataque ao oleoduto colonial
Embora os participantes do painel tenham discutido várias práticas de segurança, aqui estão as cinco principais recomendações:
A base de qualquer programa de segurança é ter visibilidade e conhecimento preciso da estrutura de sua rede, dos endpoints e dos caminhos de conectividade, que têm crescido constantemente e aumentaram drasticamente nos últimos 15 meses. Com um inventário sempre atualizado, é possível corrigir sistemas ou aplicar verificações adicionais ou outros controles de compensação em sistemas antigos e sem suporte.
A criptografia de dados em repouso e em movimento é importante para uma boa defesa cibernética e resiliência em relação ao ransomware. Embora seguros, os backups off-line disponíveis são cruciais para a recuperação rápida de tais ataques.
A segmentação da rede é uma estratégia essencial para impedir o movimento lateral da rede por parte dos invasores. No mundo hiperconectado de hoje, as redes de TO não são mais protegidas pelo ar e a segmentação de rede compensa isso.
O monitoramento contínuo da rede em busca de atividades incomuns permite que você veja quando agentes mal-intencionados entram na rede e responda mais rapidamente para melhorar uma situação ruim.
O planejamento e o teste de planos com exercícios de mesa e exercícios de equipe vermelha/equipe azul podem ser feitos sem afetar o seu ambiente de produção. Quanto mais você treinar e testar, mais preparado estará para responder de forma rápida e eficaz. Se você trabalha com terceiros, certifique-se de que a recuperação de desastres esteja incluída em seu contrato de serviços.
Tópicos para discussão contínua
Várias questões foram levantadas pelo público do webinar e continuarão sendo tópicos importantes para discussão, à medida que os ataques de ransomware aumentam em frequência e sofisticação. Por isso, gostaríamos de compartilhá-las aqui:
Qual deve ser o papel do governo?
A Colonial Pipeline tomou a decisão de fechar seu oleoduto por conta própria. Embora talvez não se aplique a todos os segmentos, para empresas de alguns setores críticos, como energia, petróleo e gás, transporte, finanças e saúde, a decisão de fechar pode precisar ser tomada em consulta com entidades governamentais e não no vácuo. Entretanto, se esse for o caso, devem ser tomadas providências para acesso imediato e atenção dedicada.
Pagar ou não pagar?
As pressões para pagar um resgate variam de acordo com as circunstâncias; não existe uma abordagem única para todos. Mas, se for aprovada uma estrutura legal que introduza penalidades para o pagamento de resgate, as entidades governamentais deverão estar disponíveis para ajudar em tempo real, à medida que as empresas lidam com esses ataques. E quais são as implicações para os provedores de seguros? Semelhante ao seguro de automóvel que recompensa bons motoristas e carros mais seguros, o seguro cibernético deve ser usado para incentivar práticas de segurança mais fortes, não como um meio de evitar riscos e responsabilidades.
Minha organização é direcionada?
Há muitos fatores diferentes e mutáveis que influenciam isso, incluindo o clima geopolítico, os fatores econômicos e os eventos regionais ou mundiais perturbadores. Mas o almirante Rogers desaconselha o uso da probabilidade de sua organização ser alvo de ataques como base de sua estratégia de resiliência e defesa cibernética. Vemos repetidamente que o que mais interessa ao adversário é saber se você tem dinheiro para pagar um resgate e se a técnica dele para obter acesso à rede será eficaz contra você. Além disso, como mostrou o ataque da SolarWinds, todas as centenas de entidades afetadas não foram especificamente visadas, mas faziam parte da cadeia de suprimentos e foram danos colaterais.
O ataque cibernético da Colonial Pipeline elevou os ataques cibernéticos industriais ao centro das atenções. Com esse incidente, aprendemos como um ataque de ransomware contra os sistemas de TI pode afetar as redes e os processos de TO e os motivos pelos quais as organizações de infraestrutura crítica se tornaram cada vez mais visadas. No atual clima volátil de segurança cibernética, os ataques de ransomware só aumentam em frequência e sofisticação, pois os hackers entendem que as organizações de infraestrutura essencial não podem se dar ao luxo de ter qualquer tempo de inatividade. Felizmente, as organizações podem evitar ataques como esse com a implementação de práticas recomendadas básicas de segurança e com a ajuda de uma plataforma de proteção de sistemas ciberfísicos (CPS) dedicada.
Para ouvir a discussão completa e saber mais sobre como usar essa crise para promover mudanças reais e significativas que fortaleçam a segurança cibernética industrial da sua organização, assista agora à reprodução do webinar sob demanda.
