Proteja as operações com caça a ameaças

Blog

Você tem um programa de segurança industrial forte. Você fez uma limpeza com uma boa higiene cibernética e implementou sistemas de detecção de invasões para evitar incidentes futuros. Mas, no complexo mundo da cibersegurança, você não pode parar por aí.

Apesar de todos os seus esforços, as ameaças persistentes avançadas (APTs) latentes ainda são uma preocupação. Elas trabalham lentamente, tentando encontrar fendas em sua proteção e extrair dados, comprometendo suas operações. E a detecção de invasões não pegará essa atividade.

Você está pronto para a caça a ameaças

A caça a ameaças é uma das próximas etapas lógicas do seu programa de cibersegurança. Na forma mais simples, você procura na rede por ameaças externas ou intrusões que não foram detectadas pelos sistemas de segurança automatizados. É um exercício muito expansível, e pode ser feito com vários graus de automação, inclusive sem nenhum.

Ele pode não apenas proteger ainda mais suas receitas e informações proprietárias, mas também tem um grande potencial para aprimorar as eficiências operacionais. Embora essa prática não seja totalmente nova na área de TI, ela está entrando em ambientes de TO. E é aí que a produção de bebidas e alimentos pode se aproveitar mais.

A caça a ameaças é proativa e dá um passo atrás nas ferramentas de varredura, armadilhas e infraestrutura focada no futuro já em vigor. Em uma era de tecnologia, ela usa a massa cinzenta para descobrir atividades maliciosas e infiltrações que se escondem em sua rede há meses, talvez anos. Além disso, ela pode encontrar correlações que não seriam detectáveis entre atividade de rede e ineficiências de produção.

Infestações que causam estragos em caminhos inesperados

Você já notou problemas em seu misturador? As IHMs estão travadas? A impressora de etiquetas está piscando com erros?

Isso pode começar com um operador carregando o celular desprotegido dele em uma porta USB aberta na rede. Meses depois, seu forno começa a ter problemas e não mantém os parâmetros definidos, mesmo que mecanicamente não haja nada errado.

Uma revisão cuidadosa dos registros da rede revela que, cada vez que o forno tem problemas, há sensores que vão para um endereço IP externo. Essa correlação é indetectável de outra forma, e é o que torna o fator humano essencial e a caça a ameaças tão valiosa.

Uma vez, entrei em uma fábrica que estava com repetidas lentidões de rede em um determinado turno. A caça proativa levou à descoberta de que a estação de trabalho de um funcionário estava executando um Bit Torrent não detectado. Então, todos os dias, quando ele se conectava no início do turno, toda a rede era afetada.

Learn about managing cybersecurity risks in the food and beverage industry with smart manufacturing. Download the eBook for more (PDF).

Por que os sistemas de detecção de intrusão não pegam todo esse malware oculto?

A maioria do que a caça a ameaças descobre parece inocente e, sem contexto e correlação, passa pelos sistemas de detecção como se fossem os negócios de sempre. Um malware pode se comunicar com um endereço IP desconhecido, mas a comunicação será semelhante ao tráfego da Internet pretendido.

Também pode haver varreduras SYN em andamento no periférico, fora dos limites em que seu software de segurança está procurando. Eles ficam em silêncio e procuram lentamente por um furo na rede. Eles não estão sendo recusados e ainda não estabeleceram conexões externas, portanto permanecem indetectáveis.

Em um exercício de caça a ameaças, você pode descobrir que uma conexão de saída está vindo de um processo que não deveria estar saindo para a Internet. Ou pode encontrar um sistema que não estava sendo usado no momento em que a comunicação foi feita, indicando uma fonte infectada.

O problema é que essas APTs provavelmente já haviam entrado quando você implantou seu sistema de cibersegurança. Isso porque a maioria dos programas de detecção e prevenção de intrusões depende de um estado bom e conhecido. Se a avaliação inicial de origem contiver tráfego ruim ou atividade com malware, isso se tornará parte da norma. Muitas brechas de segurança divulgadas se encaixam nessa categoria. Só alguns anos após a ocorrência de uma violação que ela é detectada e o escopo do dano é percebido.

Início

A boa notícia é que você provavelmente tem o que é preciso para começar. A caça a ameaças é fácil de ser implantada com o parceiro certo e pode ser uma realizada uma única vez ou se tornar parte de um programa de segurança contínuo. Suas IHMs e seus servidores já estão criando registros de atividades que você pode coletar e analisar off-line para que não haja pressão na rede ou interrupções da produção.

Portanto, pare de depender exclusivamente da proteção de endpoints e dos scanners de vírus para detectar se você está vulnerável. Cace as infiltrações antes que elas afetem o chão de fábrica.

Publicado 10 de Janeiro de 2019

Pascal Ackerman

Senior Consultant of Industrial Cyber Security, Rockwell Automation

Conectar:

Subscribe to Rockwell Automation and receive the latest news, thought leadership and information directly to your inbox.

Subscrição

Proteja as operações com caça a ameaças

Recomendado para você