“Quase todos os ataques que vimos no último ano começaram por um acesso inicial a uma rede de TI que era aproveitada para o ambiente de OT.”
David Atch Informações sobre Ameaças da Microsoft, Diretor de Investigação de Segurança de IoT/OT
Perfil de especialista: David Atch
A carreira de segurança e o percurso para a Microsoft de David Atch são atípicos, “Comecei nas Forças de Defesa de Israel (IDF) numa função de cibersegurança a defender contra ataques e a investigar ameaças. Fiz muita resposta a incidentes, ciência forense e interação com sistemas de controlo industrial.”
Ao serviço da IDF, Atch conheceu dois colegas que mais tarde fundariam firma de segurança de IoT e OT CyberX. Foi posteriormente recrutado pela CyberX quando o seu serviço terminou. “Digo na brincadeira que nunca tive uma entrevista de emprego. O Exército não faz entrevistas, simplesmente recrutam. A CyberX recrutou-me e, depois, a Microsoft comprou a empresa, portanto nunca tive uma entrevista de emprego formal. Nem sequer tenho um currículo.”
“Quase todos os ataques que vimos no último ano começaram por um acesso inicial a uma rede de TI que era aproveitada para o ambiente de OT. A segurança de Infraestrutura crítica é um desafio global e difícil de enfrentar. Temos de ser inovadores na criação de ferramentas e na realização de investigação para saber mais sobre estes tipos de ataques.
O trabalho de Atch na Microsoft concentra-se em assuntos relacionados com segurança de IoT e OT. Inclui o estudo de protocolos, análise de malware, pesquisa de vulnerabilidades, investigação de ameaças de estados-nações, criação de perfis de dispositivos para compreender como se comportam numa rede e desenvolvimento de sistemas que melhoram os produtos da Microsoft com conhecimentos sobre IoT.
“Estamos numa era ligada, há a expectativa de que tudo esteja ligado para fornecer uma experiência em tempo real em que o software de TI se liga a uma rede que permite que dados de OT fluam para a cloud. Acho que esse é o futuro que a Microsoft vê, em que tudo está ligado à cloud. Isto oferece análise de dados, automatização e eficiência mais valiosas que as empresas anteriormente não conseguiam alcançar. A velocidade avassaladora da evolução ligada destes dispositivos, e o inventário e a visibilidade dos mesmos incompletos das organizações, desnivelam muitas vezes o terreno de jogo a favor dos atacantes,” explica Atch.
Dito isto, a melhor abordagem para combater os atacantes que visam IT e OT é a Confiança Zero e a visibilidade de dispositivos. Compreender o que temos numa rede e a que está ligado é crítico. O dispositivo está exposto à Internet? Comunica com a cloud, ou pode alguém obter acesso externamente? Se for o caso, temos os meios para detetar o acesso de um atacante? Como gerimos o acesso de colaboradores para detetar anomalias?
Uma vez que a gestão de patches pode ser impossível em algumas organizações, ou incrivelmente morosa, e que algum software na comunidade operadora não é suportado, temos de mitigar as vulnerabilidades com outras medidas. Por exemplo, um fabricante não pode encerrar facilmente uma fábrica para testar e corrigir alguma coisa.
Tenho que adicionar que não faço este trabalho sozinho. A talentosa equipa de investigadores, caçadores de ameaças e defensores permite-me continuar a aprender todos os dias.”