FireEye aponta as tendências de segurança dos Sistemas de Controle Industriais

O time iSIGHT Intelligence da FireEye, empresa de segurança liderada por inteligência, identificou os riscos mais comuns aos Sistemas de Controle Industriais (ICS, sigla em inglês) e que devem ser priorizados pelas equipes responsáveis pelas instalações. Os dados são resultado de avaliações práticas realizadas nos últimos anos em uma ampla gama de indústrias, incluindo manufatura, mineração, automotiva, energia, química, gás natural e serviços públicos.

A partir de uma ampla visão dos atuais riscos enfrentados pelas organizações industriais, conclui-se que ao menos um terço dos riscos críticos e de alta segurança no ICS estão relacionados a vulnerabilidades, patches e atualizações. As vulnerabilidades conhecidas continuam representando desafios significativos. Outra relevante constatação é que alguns dos riscos mais comuns podem ser mitigados com as práticas recomendadas de segurança, como aplicação de uma política abrangente de gerenciamento de senhas ou estabelecimento de regras detalhadas de firewall.

Na maioria desses casos, as melhores práticas básicas de segurança seriam suficientes para impedir – ou dificultar –, a atuação dos agentes de ameaças contra os sistemas industriais. Embora as tendências observadas nesta pesquisa estejam alinhadas com as áreas de risco comumente discutidas em conferências, os pesquisadores da FireEye mostram a legitimidade do que acontece no cotidiano do ICS.

Após a observação, os dados foram categorizados como altos, médios e baixos. Ao menos 33% dos problemas de segurança foram classificados como de risco alto ou crítico, o que indica maior probabilidade de os adversários obterem o controle dos sistemas e, potencialmente, comprometerem outros sistemas ou redes, causando a interrupção dos serviços, divulgação de informações não autorizadas, e outras consequências negativas.

Os riscos críticos e de alta segurança foram divididos em nove categorias, sendo três mais recorrentes:

– Vulnerabilidades, Patches e Atualizações (32%);

– Gerenciamento de identidade e acesso (25%);

– Arquitetura e Segmentação de Rede (11%).

Os procedimentos de gerenciamento de vulnerabilidades, patches e atualizações permitem que as organizações protejam softwares, hardwares e firmwares prontos para uso contra ameaças de segurança conhecidas. Já as vulnerabilidades conhecidas em ambientes ICS podem ser aproveitadas por agentes de ameaças para acessar a rede e mover-se lateralmente para executar ataques direcionados.

A segunda categoria mais comum é o gerenciamento de identidade e acesso, relacionada às falhas ou ausência de práticas recomendadas para lidar com senhas e credenciais. Os pontos mais frágeis identificados pelos pesquisadores são:

– Falta de autenticação de vários fatores para acesso remoto e contas críticas;

– Falta de uma política de senha abrangente e aplicada;

– Senhas fracas com duração ou complexidade insuficientes usadas para contas privilegiadas, de usuário do ICS ou de serviço;

– As senhas sem alterações frequentes;

– Uso de credenciais compartilhadas.

Dos três principais riscos identificados, os pontos fracos da segregação e segmentação de rede são os mais importantes. Uma vez que a falta de segregação da rede de TI corporativa e da rede ICS permite que os agentes de ameaças criem ataques remotos contra a infraestrutura principal, movendo-se lateralmente dos serviços de TI para os ambientes ICS, aumentando o risco de propagação de malware de commodity para redes ICS, onde está passível de interagir com ativos operacionais.

Outros riscos e melhores práticas de governança de segurança cibernética

Riscos comuns adicionais foram identificados de outras categorias, mas com menos frequência, como gerenciamento de rede e monitoramento.

De acordo com a análise da FireEye, a falta de monitoramento de segurança de rede, detecção de intrusão e prevenção de intrusões nas organizações, incluindo proteção contra malware em terminais ausentes, deixam portas não utilizadas ativas e dão visibilidade limitada às redes ICS.

Por isso, recomenda-se desenvolver uma estratégia abrangente de gerenciamento de vulnerabilidades do ICS e incluir procedimentos para implementar correções e atualizações nos principais ativos internos.

O estabelecimento de um programa formal de segurança, com uma estrutura claramente definida, deve englobar responsabilidade e governança, além de:

• Expectativas de negócios, políticas e padrões técnicos para segurança do ICS;
• Orientação sobre controles de segurança proativos (por exemplo, implementação de patches e atualizações, gerenciamento de alterações ou configurações seguras);
• Planos de resposta a incidentes, recuperação de desastres e continuidade de negócios;
• Planos de treinamento de conscientização de segurança do ICS;
• Estratégia de gerenciamento de vulnerabilidades, incluindo identificação de ativos e inventário, avaliação de risco e metodologia de análise, com testes de remediação e diretrizes de implantação.