Descoberta de ativos de OT: 5 etapas para obter visibilidade de seus ativos de rede
A equipe Claroty
/11 de abril de 2024/
9 min de leitura
À medida que a superfície de ataque da Internet das Coisas Industrial (IloT) se expande, os métodos tradicionais de descoberta de ativos baseados em rede, como varreduras de ping ou inventários manuais, estão se tornando obsoletos. Embora esses métodos ofereçam ampla visibilidade de seus sistemas ciberfísicos (CPS), eles não são precisos e não conseguem identificar a relação entre os dispositivos.
Melhorar a descoberta de ativos é a principal preocupação dos líderes de tecnologia da Internet (TI) e de TO que buscam solucionar as vulnerabilidades de CPS. De acordo com uma pesquisa recentequando ocorreu um ataque cibernético no início deste ano, quase um terço (32%) dos entrevistados indicou que os sistemas de TI e de TO foram afetados, em comparação com apenas 21% no ano passado.
A descoberta de ativos de TO é a base de qualquer estratégia sólida de segurança cibernética industrial - estabelecendo as bases para todos os outros controles de segurança cibernética. Continue lendo para entender melhor o que faz com que a descoberta de ativos de TO funcione, a importância de implementá-la em sua organização e as maneiras claras pelas quais ela proporciona maior visibilidade dos ativos.
O que é OT Asset Discovery?
A Tecnologia Operacional (TO) refere-se ao sistema de hardware e software usado para controlar e monitorar vários processos no espaço industrial. A descoberta de ativos de TO fornece visibilidade a cada um desses dispositivos e sistemas na rede.
Embora os métodos tradicionais ofereçam ampla visibilidade do seu CPS, eles não são precisos e não conseguem identificar a relação entre os dispositivos. Por outro lado, a descoberta de ativos de TO é um método de detecção que examina e faz o inventário dos ativos de TO na rede sem interrupção. Essa varredura passiva da rede identifica endereços IP, números de porta, endereços MAC e outras informações de identificação dos dispositivos OT.
Por meio desse sistema de identificação e detecção, a descoberta de ativos pode mapear os dispositivos na rede e fazer o inventário de cada ativo, permitindo a implementação eficaz de controles de segurança cibernética e o gerenciamento adequado de vulnerabilidades de OT.
Descoberta de ativos de TI vs. OT
Suponha que você já tenha um programa implementado para a descoberta de ativos de TI. Nesse caso, você pode estar se perguntando se ele abrange o seu ambiente de TO ou se você precisa de uma abordagem para a descoberta de ativos de TO.
É importante observar que há uma grande diferença entre a descoberta de ativos em ambientes ambientes de TO e TI. Por exemplo, embora os ambientes de TI contenham vários ativos, esses dispositivos compartilham pontos em comum, geralmente são substituídos a cada dois anos e, normalmente, executam o mesmo tipo de software. Eles podem até ser da mesma marca e modelo.
Os dispositivos no lado OT, entretanto, são sistemas de ativos que servem a muitas finalidades diferentes, geralmente não são da mesma marca e modelo e nem sempre são executados com o mesmo software. As organizações não substituem esses ativos com tanta frequência e, muitas vezes, é possível encontrar dispositivos que foram usados por décadas e que executam softwares desatualizados.
Por esses motivos, sua abordagem para a descoberta de ativos de TO requer uma abordagem drasticamente diferente da descoberta de ativos de TI. Mas, embora também possa exigir um pouco mais de esforço para proteger seus ativos de TO, os motivos para fazer isso não poderiam ser mais importantes.
Por que você precisa da descoberta de ativos de OT?
Em 2023, apenas 13% dos profissionais de TO consideravam a postura de segurança de TO de suas organizações "altamente madura", caindo de 21% no ano anterior. Além disso, quando ocorreu um ataque de segurança cibernética, 32% dos líderes de TO indicaram que ele afetou seus sistemas de TI e TO. As organizações estão cada vez mais conscientes de sua necessidade de investir em segurança de IIoT para proteger sua infraestrutura de TO.
Entender como proteger os dispositivos de TO em sua rede requer visibilidade completa de todos os seus ativos. No entanto, ter esse conhecimento não é a única razão pela qual a descoberta de ativos é crucial para proteger os dispositivos no ambiente de TO.
Primeiro, é sempre vital lembrar que os ativos de TO são essenciais para a continuidade dos negócios. Qualquer tempo de inatividade pode levar à grave interrupção das operações essenciais para as funções de sua organização, com perdas financeiras potencialmente irreversíveis.
Em maio de 2021, a Colonial Pipeline, organização que opera o maior oleoduto de combustível dos EUA, foi vítima de um ataque de ransomware que teve como alvo seus ativos de TO e interrompeu suas operações por vários dias. O ataque causou perdas financeiras para a empresa e escassez de combustível, compras em pânico e picos de preços em algumas partes dos EUA.
Além de interromper as operações, ataques mal-intencionados, como injeções de malware, ataques de ransomware e ameaças internas, podem levar a riscos irreparáveis à saúde e à segurança de funcionários, clientes e pacientes. Por exemplo, um ataque a uma organização de saúde pode levar a erros médicos, como diagnósticos errados, tratamento incorreto ou até mesmo atrasos na resposta a emergências. Compreender seus ativos de TO é o primeiro passo para implementar um gerenciamento eficaz de riscos de dispositivos médicos.
Os principais objetivos da visibilidade dos ativos da OT incluem:
Visibilidade - garanta que todos os ativos da sua rede sejam mapeados e inventariados - você não pode proteger o que não pode ver.
Segurança - proteja os ativos de TO contra ameaças maliciosas, incluindo malware, ransomwaree acesso remoto inseguro.
Eficiência operacional - evite interrupções em suas operações e minimize o possível tempo de inatividade para manter a eficiência.
Conformidade - mantenha a conformidade estrita com normas como NIS2, NERC-CIP e SOCI, além de muitas outras específicas do setor, para garantir um ambiente seguro e operações tranquilas.
Agora que você entende o que está em jogo no ambiente de TO, o que a descoberta de ativos pretende oferecer e a importância de implementar uma estratégia específica para TO, vamos descobrir as cinco etapas essenciais para obter visibilidade completa.
5 etapas para obter visibilidade de seus ativos de rede OT
1. Identificar os ativos da OT
Uma das funcionalidades mais importantes da descoberta de ativos é a identificação de cada dispositivo em sua rede. Mas o que isso significa exatamente em termos práticos? Ao identificar dispositivos, a descoberta de ativos deve revelar mais do que apenas os detalhes básicos; em vez disso, deve ser uma análise aprofundada de tudo o que você pode querer saber sobre um ativo. Isso inclui informações sobre modelo, versão do firmware e configuração.
Com essas informações, sua organização pode contar com um inventário de ativos preciso, o que lhe permite entender e gerenciar totalmente todos os ativos da sua rede para proteger o seu ambiente.
2. Mapeie a topologia da rede com visibilidade em 3-D
A visibilidade na descoberta de ativos não se trata apenas de manter um inventário preciso dos dispositivos de TO, mas também de compreender a atividade do usuário na rede, como os ativos se comunicam, os caminhos de conectividade e onde eles se encaixam no ambiente geral. Essa visibilidade multidimensional é essencial para uma resiliência operacional completa e para entender como é uma linha de base de comportamento "normal" para detectar melhor as ameaças.
Para adotar a topologia de rede em 3D, é necessário investir em uma solução de terceiros, como Claroty, que utiliza tecnologias avançadas para fornecer uma visão mais profunda de seus dispositivos interconectados e caminhos de comunicação.
3. Combinação de varredura ativa e passiva
O monitoramento passivo é normalmente a primeira técnica que vem à mente para inventariar e mapear ativos de TO. As ferramentas de segurança cibernética copiam dados da sua rede industrial e os processam em uma transferência passiva e unidirecional. Esse sistema é preferido porque tem pouco ou nenhum impacto sobre as operações industriais.
Outra técnica que pode proporcionar visibilidade das camadas mais complexas da rede são as consultas ativas. Embora seja uma medida ativa, essas consultas operam de forma não disruptiva para não interferir no tráfego típico e podem se aprofundar mais do que o monitoramento passivo em alguns casos. Ao se comunicar com os dispositivos no protocolo exato que cada um foi projetado para permitir, as consultas ativas podem extrair os dados mais granulares. Misture e combine esses métodos para obter uma visão mais granular do seu ambiente de TO.
4. Utilizar modelos de descoberta específicos da OT
Se, por algum motivo, não for possível identificar ativos OT por meio de monitoramento passivo ou consultas ativas, Clarotyo AppDB da Microsoft é a próxima técnica a ser empregada para melhorar a descoberta. ClarotyO AppDB da 's, abreviação de Application Description Database (banco de dados de descrição de aplicativos), é um banco de dados proprietário que contém informações altamente detalhadas sobre protocolos industriais, dispositivos e aplicativos em ambientes de TO. Ele oferece uma visão muito mais abrangente de seus ativos, seus protocolos de comunicação e padrões de comportamento, proporcionando outra camada de visibilidade e segurança.
O método de descoberta do AppDB injeta arquivos de configuração de backup de análise para seus ativos de TO. Ele pode descobrir ativos e proporcionar visibilidade precisa sem conectá-los, evitando que você tenha que rastrear o dispositivo e colocá-lo na rede. Esse método pode ser benéfico quando seus dispositivos estão desconectados do sistema ou com air-gap.
5. Implementar a segmentação da rede
Segmentação de rede protege contra ameaças cibernéticas que ocupam o ambiente de TO e permite que grupos específicos de ativos se comuniquem entre si em circunstâncias normais.
Com uma maior compreensão da topografia de sua rede, fica mais fácil identificar oportunidades de segmentação seguindo o Modelo Purdue. Esse modelo categoriza os sistemas de controle industrial em zonas de segurança distintas com base em sua função e criticidade. Ele cria uma arquitetura hierárquica que facilita a segmentação, permitindo que você melhore a segurança, o desempenho e o gerenciamento da rede.
Implemente controles de segurança localizados, Firewalls de aplicativos da Webe requisitos de acesso rigorosos para reforçar a segurança em seus segmentos de rede e facilitar o monitoramento. Avalie e atualize suas políticas de segmentação para refletir as necessidades e os desafios dos negócios.
Descoberta de ativos: O primeiro passo para proteger o ambiente OT
A proteção de seus dispositivos de TO começa com a descoberta de ativos e a visibilidade abrangente. Esse é o primeiro passo para proteger suas operações industriais, garantir a continuidade dos negócios e ficar à frente dos adversários. No entanto, a força dessas medidas só é tão forte quanto a de seu parceiro de segurança cibernética.
Claroty oferece as mais completas soluções de segurança cibernética de TO, apresentadas por especialistas que já viram de tudo. Trabalhe com nossos especialistas para descobrir a melhor forma de aplicar essas medidas ao seu ambiente de TO e comece a adotar procedimentos essenciais de descoberta de ativos. Solicite uma demonstração para começar.
