PERGUNTAS E RESPOSTAS: Chen Fradkin, da Team82, sobre o cenário de riscos e vulnerabilidades do ICS

No mês passado, Chen Fradkin, pesquisador daClaroty Team82 e autor do mais recente Relatório semestral de riscos e vulnerabilidades de ICS: 1H 2021-organizou um webinar para apresentar algumas das principais descobertas. Chen abordou uma série de tópicos por trás dos números, incluindo tendências em vulnerabilidades, vetores de ataque e produtos afetados. Ela também sugeriu estratégias de mitigação e correção a serem consideradas pelos CISOs e forneceu insights sobre o que esperar até o restante de 2021 e 2022.

Chen Fradkin-Claroty Pesquisador da Team82 e autor do mais recente relatório Biannual ICS Risk & Vulnerability Report: 1H 2021.

Tivemos a chance de conversar com Chen para discutir alguns dos destaques do webinar.

Q. Não há escassez de dados nesse relatório, mas o que você acha que são alguns números importantes para os CISOs e os gerentes e operadores de segurança de TO saberem?

Para começar, o relatório foi baseado em 637 vulnerabilidades ICS divulgadas durante o primeiro semestre de 2021. Dessas, 70 foram descobertas e divulgadas pelo site Claroty, e o restante foi coletado de várias fontes públicas, incluindo empresas terceirizadas, pesquisadores independentes e acadêmicos. Foram afetados 76 fornecedores de ICS.

Embora o número de vulnerabilidades de ICS divulgadas no primeiro semestre de 2021 tenha aumentado quase 42% em comparação com o segundo semestre de 2020, é importante entender os fatores que impulsionam o aumento das vulnerabilidades divulgadas. Entre eles, a crescente conscientização sobre os riscos apresentados pelas vulnerabilidades de ICS e o potencial de danos causados por esses ataques estão levando mais pesquisadores e fornecedores a procurá-las. Além disso, lembre-se de que nem todas essas vulnerabilidades são novas. Algumas já existiam e foram expostas a agentes de ameaças que têm recursos significativos e a capacidade de explorá-las, se assim o desejarem.

Q. Quais são algumas das tendências reveladas com relação aos vetores de ataque?

O vetor de ataque à rede ainda é o mais comum e mostra a importância de proteger as conexões de acesso remoto e os dispositivos voltados para a Internet, especialmente com o aumento da convergência de TI/OT e da conectividade dessas redes e dispositivos internos com a Internet. No entanto, desde o relatório anterior, também estamos observando um aumento notável nas vulnerabilidades exploráveis por meio de vetores de ataque locais (de 18,93% para 31,55%). Para quase 73% dessas vulnerabilidades, o invasor depende de algum tipo de interação com o usuário, como engenharia social por meio de spam ou phishing para sua exploração. Essas técnicas são particularmente dominantes no nível 3 de gerenciamento de operações e no nível 2 de controle de supervisão do modelo Purdue. Isso reforça a importância da proteção contra as táticas de engenharia social entre os funcionários com acesso a ativos essenciais, especialmente devido a duas grandes ocorrências de ransomware nos últimos seis meses em organizações operacionais - Colonial Pipeline e JBS Foods.

Q. Quais produtos foram mais afetados?

Nossa pesquisa revela que os produtos mais afetados estão no nível 3 de gerenciamento de operações, representando quase 24% das vulnerabilidades. Isso inclui servidores e bancos de dados, que podem ser pontos críticos de cruzamento com redes convergentes de TI/OT e explica por que muitas vulnerabilidades afetam componentes de software. Outros 30% das vulnerabilidades afetam produtos no nível 1 de controle básico e no nível 2 de controle de supervisão, combinados. Os produtos de nível 1 incluem controladores lógicos programáveis (PLCs), unidades terminais remotas (RTUs) e outros controladores. Para os produtos de nível 2, estamos falando de interfaces homem-máquina (HMIs) e software SCADA, por exemplo. Nesses níveis mais baixos, os ataques podem afetar os próprios processos, razão pela qual dispositivos específicos em ambientes específicos da rede OT são alvos muito atraentes.

Q. O que isso significa em termos de estratégias de mitigação e correção?

Pela primeira vez, nosso relatório incluiu uma seção sobre mitigação e correção. Analisamos os dados coletados das divulgações de vulnerabilidades e das respostas dos fornecedores para encontrar algumas conclusões importantes e as próximas etapas.

Primeiro, descobrimos que aproximadamente 26% das vulnerabilidades divulgadas não têm correção disponível ou têm apenas uma correção parcial, e 6,5% das vulnerabilidades afetam produtos em fim de vida útil. Em ambos os casos, a única solução é mitigar, se possível, até que você possa substituir o dispositivo. Além disso, ao contrário das atualizações e patches de software, que são mais fáceis de implementar, as atualizações de firmware podem levar meses e, às vezes, anos para serem desenvolvidas e distribuídas. Para lidar com as vulnerabilidades de firmware, os defensores dependem principalmente de mitigações como a solução mais imediata, se não a única, para proteger suas redes.

Entendendo que a maioria dos defensores depende de mitigações, analisamos quais mitigações são mais comumente recomendadas nas divulgações e quais são implementadas com mais ou menos frequência e por quê. Os resultados mostram que, embora as recomendações acionáveis, como o bloqueio de portas específicas ou a atualização de protocolos desatualizados, sejam importantes, as práticas fundamentais devem ser implementadas antes mesmo que essas recomendações sejam eficazes. Não é possível bloquear uma porta específica sem ter segmentação, por exemplo. E com o aumento dos ataques de ransomware, o acesso remoto seguro e a proteção contra phishing também são importantes. Para garantir a eficácia das etapas recomendadas nas divulgações - como o bloqueio de tráfego, protocolos ou portas -, os defensores das redes de TO devem primeiro ter uma estratégia de defesa em profundidade, na qual eles colocam em camadas uma variedade de medidas de segurança. Não é possível ter uma sem a outra.

Q. E quanto aos 74% das vulnerabilidades que têm uma correção ou patch disponível?

Observando os casos em que há correções, a maioria das atualizações (59,5%) são correções de software. Isso remete ao ponto anterior de que muitas das vulnerabilidades que afetam os produtos de Nível 3, como servidores e bancos de dados, e as atualizações e correções de software são mais fáceis de implementar. Os defensores têm a capacidade de priorizar a aplicação de patches em suas redes.

Com relação às soluções de correção de firmware, há poucas disponíveis. As que existem são, em grande parte, para dispositivos de rede e dispositivos de controle básico de nível 1 (PLCs e RTUs). Embora seja difícil atualizar um PLC ou RTU, atualizar um dispositivo de rede, como um switch, é mais fácil. Isso demonstra que, mesmo no firmware, é possível priorizar algumas atualizações.

Portanto, ao pensar em uma estratégia de correção, uma abordagem geral poderia ser priorizar o software porque esses patches e correções são mais fáceis de implementar. No firmware, priorizar determinados equipamentos de rede em detrimento de outros equipamentos. E ao analisar as vulnerabilidades que afetam os PLCs ou RTUs, uma abordagem pode ser adicionar uma solução de terceiros como uma etapa de mitigação.

No webinar, Chen discute cada uma dessas áreas em mais detalhes e aborda outros tópicos, incluindo a possível necessidade de repensar os prazos de divulgação e as tendências a serem observadas durante o restante de 2021 e em 2022.

Clique aqui para assistir à reprodução do webinar sob demanda e ouvir a discussão completa e clique aqui para fazer o download do relatório.