Lista de verificação de segurança de conexão para organizações de TO

Em muitas organizações industriais hoje existem vários dispositivos de conexão que permanecem sem rastreamento e sem monitoramento.

A maioria foi implantada ao longo de décadas de operações de produção. Consequentemente, muitas organizações industriais ainda não têm visibilidade clara das operações de tecnologia da informação (TI) e tecnologia operacional (TO), e esses ativos de conexão potencialmente expostos permanecem vulneráveis a cibercriminosos. Quando combinados com a crescente conectividade das operações de TO e a contínua escassez de competências/recursos, esses fatores estão contribuindo para o aumento dos riscos do setor industrial.

Embora talvez não seja possível fechar cada lacuna de segurança de TO, você pode usar uma abordagem de segurança baseada em risco para ajudar a proteger rapidamente as conexões com base nas lacunas de segurança mais críticas da sua organização. Nossa lista de verificação de segurança de conexão de quatro etapas pode ajudar a criar um plano de segurança baseado em risco personalizado para ajudar a fortalecer as proteções de cibersegurança da sua organização.

Etapa 1: Obtenha visibilidade de todos os pontos de extremidade conectados às suas redes.

Como todo profissional de cibersegurança sabe bem, você não pode proteger aquilo que não enxerga. Se você está começando no campo da cibersegurança industrial, fechar as lacunas de visibilidade é um primeiro passo sólido e fundamental. Nesta etapa, é importante adaptar as proteções às necessidades específicas da sua organização, o que pode exigir que você:

• Automatize a descoberta de ativos de rede. Uma plataforma automatizada permite inventariar de forma profunda e em tempo real qualquer dispositivo dentro de um segmento de rede, não apenas os dispositivos tradicionais baseados em IP, mas também os ativos de nível mais baixo dos sistemas de controle industrial (ICS).
• Minimize a interrupção. Busque soluções capazes de realizar uma descoberta de ativos aprofundada sem afetar a disponibilidade da rede ou o tempo de atividade operacional.
• Revise sua arquitetura de rede. Embora os produtos de segurança melhorem sua postura de segurança em relação ao estado atual, ter uma arquitetura de rede adequada é um elemento fundamental para permitir que essas ferramentas tenham o melhor desempenho.
• Implemente um painel centralizado para pontos de extremidade. O painel trará os dados mais importantes, como pontos de extremidade desatualizados ou sem correções, trazendo-os para o primeiro plano.
• Receba alertas em tempo real de atividades suspeitas. Se um ponto de extremidade estiver acessando algo que não deveria, você precisa ser informado imediatamente.
• Adapte os insights às personas. Os executivos de alto escalão precisarão de dados resumidos e estratégicos, enquanto engenheiros e técnicos necessitam de detalhes e contexto aprofundado.
• Seja neutro em relação a fornecedores. Um sistema de gestão de ponto de extremidade neutro em relação a fornecedores fornecerá uma visão unificada para seu perfil de risco.
• Pense de modo holístico. Esforce-se para cobrir todos os sistemas, não apenas os pontos de extremidade, controles de nível superior e dispositivos voltados para a Internet. A segurança de pontos de extremidade com abordagem holística foca em todos os aspectos do seu ambiente, inclusive nos níveis mais baixos de entrada/saída (E/S), e deve considerar fatores adicionais como o status do ciclo de vida, disponibilidade de peças de reposição, garantia e prazos de entrega.

Etapa 2: Priorize as lacunas usando uma abordagem baseada em risco.

Uma avaliação de risco pode ajudar a identificar e priorizar riscos com base em quais podem ter o maior impacto em sua organização. Algumas medidas importantes que você pode adotar para avaliar e reduzir os riscos incluem:

• Determinar o que é considerado “bom” para cada conexão. Registrar dados como acesso à conexão, programas/arquivos frequentemente acessados, contas de usuário e status do patch para estabelecer uma avaliação inicial.
• Implementar a monitoração contínua e em tempo real. Monitorar constantemente as conexões para detectar desvios do comportamento normal e identificar ameaças rapidamente.
• Ajuste os alertas de segurança para alinhar com as normas operacionais. Evite a fadiga de alertas ajustando seus sistemas com base nos padrões normais de comportamento do seu ambiente específico.
• Alinhe-se aos principais padrões regulatórios. Garanta que seu plano de redução de riscos em conexões esteja em conformidade com os requisitos do setor e do governo.
• Priorize as lacunas de segurança com base nos maiores riscos. O fato de algo ser vulnerável não significa necessariamente que represente risco para seu ambiente de TO. Use uma avaliação de risco para orientar suas prioridades de segurança de conexão e reduzir o risco geral, minimizando o impacto sobre seus recursos..

Etapa 3: Implemente proteções adicionais de rede e conexões 

Reforçar o seu ambiente de TO adicionará mais camadas defensivas para ajudar a proteger as conexões, além de fortalecer sua postura geral de segurança. Algumas opções incluem:

• Implantar um mecanismo de política de confiança zero (modelo Zero Trust). Autenticar dispositivos constantemente e de forma dinâmica, tanto internos quanto externos, antes que possam acessar a rede.
• Segmente sua rede. A segmentação de rede limita o que os invasores podem fazer se penetrarem em seu ambiente.
• Implante um firewall. Firewalls protegem o perímetro externo da sua rede, impedindo o tráfego não autorizado de entrar ou sair.
• Crie um enclave seguro para dados críticos. Adicionar um firewall entre seus ativos críticos e sua rede local (LAN) reduz a superfície do ataque no caso de um ator da ameaça obter acesso.
• Crie zonas desmilitarizadas (DMZs). Aloque aplicações que precisam se comunicar com o mundo externo, como uma plataforma de detecção e resposta a conexão (EDR) com suporte em nuvem, em uma DMZ para ajudar a evitar acessos mal-intencionados.
• Use firewalls em conjunto com uma DMZ. Isso cria uma camada adicional de proteção caso um ator da ameaça consiga ultrapassar a DMZ.
• Exija o uso de quiosques de segurança para USB. Antes de conectar dispositivos USB ao seu ambiente, verifique se há ameaças em terminais dedicados.
• Planeje a recuperação de desastres. Incidentes de violação são inevitáveis no ambiente de ameaças atual. Prepare-se com um plano de recuperação de desastres, incluindo backup de dados e teste esse plano regularmente.

Etapa 4: Estabeleça processos contínuos de segurança para pontos de extremidade

Já configurou seus sistemas e processos fundamentais? Agora concentre-se em aprimorar e amadurecer suas estratégias. Considere os seguintes refinamentos adicionais:

• Faça inventário dos ativos com maior frequência. A velocidade dos ataques e a evolução das ameaças estão aumentando de forma impressionante. Inventários de ativos trimestrais ou até mesmo mensais podem não ser mais suficientes.
• Automatize a gestão de patches. Tire essa tarefa entediante e demorada das mãos da sua equipe de SecOps para melhorar a eficiência.
• Monitore ameaças 24 horas por dia, 7 dias por semana. Os atores da ameaça nunca param, e você também não deve parar. Monitore ameaças 24 horas por dia com uma plataforma, como uma EDR, para agir rapidamente.
• Implante um plano de resposta a incidentes. O pior momento para descobrir como agir em um incidente é quando ele já está acontecendo. Um plano de resposta a incidentes estabelece um processo passo a passo com antecedência. Se seus recursos internos forem restritos, contrate um prestador de serviço de resposta a incidentes com contrato de disponibilidade, como a Rockwell Automation.
• Melhore a eficácia da conscientização sobre segurança. Promova uma abordagem colaborativa entre suas equipes de produção e SecOps. Isso vai melhorar sua cultura de segurança e dar às equipes de chão de fábrica maior propriedade da segurança.

A implantação de medidas tradicionais de segurança de TI por si só não é suficiente para ambientes de TO. Os sistemas de TO têm requisitos, restrições e riscos específicos que devem ser tratados por meio de uma abordagem especializada. Embora aplicar melhores práticas de segurança de TI possa ser benéfico, é fundamental adotar uma estratégia de cibersegurança holística, adaptada às necessidades específicas da sua infraestrutura de TO.

Proteger as conexões de TO, como sistemas de controle industrial (ICS), sistemas de controle de supervisão e aquisição de dados (SCADA) e outros ativos operacionais críticos, requer um entendimento profundo do ambiente operacional, vetores de ataque potenciais e o impacto das medidas de segurança na disponibilidade e desempenho do sistema.

Além de implantar ferramentas e tecnologias de segurança adequadas, é essencial estabelecer políticas, procedimentos e estruturas de governança robustas, alinhadas com normas do setor e exigências regulatórias específicas ao seu ambiente de TO. Isso inclui a implantação de medidas como segmentação de rede, acesso remoto seguro, gestão de patches e planejamento de resposta a incidentes.

A parceria com uma empresa experiente de cibersegurança de TO especializada em sistemas de controle industrial pode ser um diferencial valioso nesse processo. Esse parceiro pode oferecer orientação especializada no desenvolvimento e execução de um programa abrangente de cibersegurança para TO, que trate os desafios e fatores de risco específicos do seu ambiente operacional. Sua experiência pode ajudar a preencher a lacuna entre a segurança de TI e TO, garantindo que seus sistemas críticos estejam devidamente protegidos, sem comprometer a integridade e a resiliência operacional.

Entre em contato com a Rockwell Automation aqui para te ajudar a acompanhar o ritmo das mudanças.