A convergência de TI e TO
Relatório digital: A convergência de TI e TO
Os adversários comprometem dispositivos ligados à Internet para obter acesso a redes de infraestrutura críticas confidenciais.
No ano passado, a Microsoft observou ameaças a explorar dispositivos em quase todas as partes monitorizadas e visíveis de uma organização. Observámos estas ameaças em equipamento de TI tradicional, controladores de OT e dispositivos de IoT como routers e câmaras. O aumento em flecha da presença de atacantes nestes ambientes e redes é alimentado pela convergência e a interconectividade que muitas organizações adotaram nos últimos anos.
A International Data Corporation (ICD) estima que haverá 41,6 mil milhões de dispositivos de IoT ligados até 2025, uma taxa de crescimento que excede a dos dispositivos de TI tradicionais. Embora a segurança dos equipamentos de TI tenha sido fortalecida nos últimos anos, a segurança dos dispositivos de IoT e OT não seguiu o mesmo ritmo, e os atores de ameaças estão a explorar estes dispositivos.
É importante lembrar que os atacantes podem ter motivos variados para comprometer dispositivos além de portáteis e smartphones típicos. Os ciberataques da Rússia contra a Ucrânia, bem como outra atividade cibercriminosa financiada por estados-nações, demonstra que alguns estados-nações veem os ciberataques contra infraestrutura crítica como desejáveis para alcançar objetivos militares e económicos.
Setenta e dois por cento dos exploits de software utilizados pela “Incontroller,” o que a Cybersecurity and Infrastructure Security Agency (CISA) descreve como um novo conjunto de ferramentas de ciberataque orientadas para sistema de controlo industrial (ICS) financiadas por estados, estão agora disponíveis online. Esta proliferação encoraja uma maior atividade de ataques por outros atores, à medida que o nível de conhecimentos e outras barreiras de entrada diminuem.
À medida que a economia cibercriminosa se expande e o software malicioso a visar sistemas de OT se torna mais predominante e fácil de utilizar, os atores de ameaças têm formas mais variadas de lançar ataques de grande escala. Os ataques de ransomware, anteriormente vistos como um vetor de ataques focados em TI, afetam hoje ambientes de OT, como foi visto no ataque à Colonial Pipeline, em que os sistemas de OT e as operações do oleoduto foram encerrados temporariamente enquanto socorristas trabalhavam para identificar e conter a propagação do ransomware na rede de TI da empresa. Os adversários percebem que o impacto financeiro e o poder de extorsão do encerramento de infraestruturas de energia ou outras infraestruturas críticas é muito superior ao de outras indústrias.
Os sistemas de OT incluem quase tudo o que suporta operações físicas, abrangendo dezenas de indústrias verticais. Os sistemas de OT não estão apenas limitados a processos industriais, pode ser qualquer equipamento com fins especiais ou computorizado, como controladores de aquecimento, ventilação e ar condicionado, elevadores e semáforos. Vários sistemas de segurança estão incluídos na categoria de sistemas de OT.
A Microsoft observou atores de ameaças associados à China a visar routers domésticos e de pequenos escritórios vulneráveis para comprometer estes dispositivos como base de operações, dando-lhes um novo espaço de endereços menos associado às suas campanhas anteriores, de onde podem lançar novos ataques.
Embora a predominância das vulnerabilidades de IoT e OT represente um desafio para todas as organizações, a infraestrutura crítica está em maior risco. Desativar serviços críticos, nem sequer necessariamente destruí-los, é uma alavanca poderosa.
Recomendações:
- Trabalhar com intervenientes: Mapear recursos críticos para a empresa, em ambientes de TI e OT.
- Visibilidade de dispositivos: Identifique que dispositivos de IoT e OT são recursos críticos por si só e quais estão associados a outros recursos críticos.
- Realizar uma análise de risco noutros recursos críticos: Concentre-se no impacto empresarial de diferentes cenários de ataque tal como sugerido pela MITRE.
- Definir uma estratégia: Aborde os riscos identificados, deduzindo a prioridade a partir do impacto empresarial.
A IoT introduz novas oportunidades comerciais, mas também maior risco
Com as TI e a OT a suportar necessidades empresariais em expansão, avaliar o risco e estabelecer uma relação mais segura entre TI e OT requerem consideração de várias medidas de controlo. Dispositivos isolados e segurança de perímetro já não são suficientes para abordar e defender contra ameaças modernas como malware sofisticado, ataques direcionados e atores internos maliciosos. O crescimento das ameaças de malware de IoT, por exemplo, reflete a expansão deste panorama e o potencial para ultrapassar sistemas vulneráveis. Ao analisar dados de ameaças de 2022 em diferentes países, os investigadores da Microsoft descobriram que a maior parte do malware de IoT, 38 por cento do total, teve origem na grande pegada de rede da China. Os servidores infetados nos Estados Unidos põem os EUA em segundo lugar, com 18 por centro da distribuição de malware observada.
Os atacantes avançados estão a tirar partido de várias táticas e abordagens em ambientes de OT. Muitas destas abordagens são comuns em ambientes de TI, mas são mais eficazes em ambientes de OT, como a descoberta de sistemas virados para a Internet expostos, o abuso de credenciais de início de sessão de colaboradores ou a exploração do acesso às redes concedido a fornecedores e utilizadores externos.
A convergência entre os portáteis, aplicações Web e áreas de trabalho híbridas do mundo das TI e os sistemas de controlo vinculado de fábricas e instalações do mundo da OT traz consequências de risco sérias ao permitir aos atacantes uma oportunidade de “saltar” os espaços de ar entre sistemas anteriormente isolados fisicamente. Desse modo, dispositivos de IoT, como câmaras e salas de conferências inteligentes, tornam-se catalisadores de risco ao criar novos pontos de entrada para áreas de trabalho e outros sistemas de TI.
Em 2022, a Microsoft assistiu uma grande empresa global de alimentos e bebidas, que utilizava sistemas operativos muito antigos para gerir operações de fábricas, com um incidente de malware. Ao realizar manutenção de retina em equipamento que mais tarde se ligaria à Internet, malware espalhou-se para sistemas da fábrica através de um portátil comprometido de um trabalhador externo.
Infelizmente, este cenário está a tornar-se bastante comum. Embora um ambiente de ICS possa estar isolado da Internet, assim que um portátil comprometido for ligado a um dispositivo ou uma rede de OT previamente seguro, torna-se vulnerável. Nas redes de clientes que a Microsoft monitoriza, 29 por cento dos sistemas operativos Windows têm versões que já não são suportadas. Vimos versões como Windows XP e Windows 2000 a operar em ambientes vulneráveis.
Uma vez que os sistema operativo mais antigos muitas vezes não recebem as atualizações necessárias para manter as redes seguras, e a aplicação de patches é difícil em grandes empresas ou instalações de fabrico, priorizar a visibilidade de dispositivos de TI, OT e IoT é um primeiro passo importante para gerir vulnerabilidades e proteger estes ambientes.
Uma defesa baseada em Confiança Zero, aplicação de políticas eficazes e monitorização contínua pode ajudar a limitar o raio de impacto e prevenir ou conter incidentes como este em ambientes ligados à cloud.
Investigar equipamento de OT requer conhecimentos únicos específicos e compreender o estado da segurança de controladores industriais é crucial. A Microsoft lançou uma ferramenta forense open-source para a comunidade defensora, para ajudar os responsáveis por responder a incidentes e especialistas de segurança a compreender melhor os seus ambientes e investigar potenciais incidentes.
Embora a maioria pense em infraestrutura crítica como estradas e pontes, transportes públicos, aeroportos e redes elétricas e de água, a CISA recomendou recentemente que o espaço e a bioeconomia se tornem novos setores de infraestrutura crítica. Citando o potencial de disrupção em vários setores da economia dos EUA para causar impactos debilitantes na sociedade. Dada a dependência do mundo das capacidades possibilitadas por satélites, ciberameaças nestes setores poderiam ter implicações globais muito além do que vimos até agora.
Recomendações
- Implementar políticas novas e melhoradas: As políticas derivadas da metodologia das melhores práticas de Confiança Zero proporcionam uma abordagem holística para possibilitar segurança e governação sem problemas em todos os seus dispositivos.
- Adotar uma solução de segurança abrangente e dedicada: Possibilite visibilidade, monitorização contínua, avaliação da superfície de ataque, deteção e resposta a ameaças.
- Educar e formar: As equipas de segurança requerem formação específica para ameaças originárias de ou a visar sistemas de IoT/OT.
- Examinar meios de aumentar as operações de segurança existentes: Aborde preocupações de segurança de IoT e OT para conseguir um SOC de TI e OT/IoT unificado em todos os ambientes.
Saiba mais sobre como ajudar a proteger a sua organização com informações de David Atch, Informações sobre Ameaças da Microsoft, Diretor de Investigação de Segurança de IoT/OT.
A Microsoft identificou vulnerabilidades de gravidade elevada sem patches aplicados em 75% dos controladores industriais mais comuns nas redes de OT de clientes.1
- [1]
Metodologia: Para os dados de instantâneo, as plataformas da Microsoft, incluindo o Microsoft Defender para IoT, o Centro de Informações sobre Ameaças da Microsoft e as Informações sobre Ameaças do Microsoft Defender, forneceram dados anonimizados sobre vulnerabilidades de dispositivos, como estados e versões de configuração, e dados sobre atividade de ameaças em componentes e dispositivos. Além disso, os investigadores utilizaram dados de fontes públicas, como a Base de Dados de Vulnerabilidades Nacional (NVD) e a Cybersecurity & Infrastructure Security Agency (CISA). A estatística de “vulnerabilidades de gravidade elevada sem patches em 75% dos controladores industriais mais comuns nas redes de OT de clientes” baseia-se nos envolvimentos da Microsoft em 2022. Os sistemas de controlo em ambientes críticos incluem dispositivos eletrónicos ou mecânicos que utilizam ciclos de controlo para uma melhor produção, eficiência e segurança.
Siga o Microsoft Security