38% das vulnerabilidades OT comprometem credenciais de acesso

A partir da Forescout, a equipa de investigadores da Vedere Labs tem um relatório no qual analisa as vulnerabilidades dos dez principais fornecedores de OT em todo o mundo, que a empresa tem chamado coletivamente OT: ICEFALL. Neste estudo é salientado que a Vedere Labs detetou 56 vulnerabilidades das quais mais de um terço (38%) permitem comprometer credenciais de acesso; em segundo lugar, as vulnerabilidades associadas à manipulação de firmware estão localizadas, que representam 21% delas; enquanto, em terceiro lugar, estão a execução remota de código (RCE) que atinge 14% do total.

As vulnerabilidades registadas enquadram-se em quatro categorias principais: insegurança no protocolo de engenharia, criptografia fraca ou esquemas de autenticação comprometidos, atualizações de firmware inseguras e execução remota de código através de funcionalidades nativas.

Como podem as organizações abordar estas vulnerabilidades?

Como ponto de partida, é necessário um acompanhamento robusto da rede com capacidades de sensibilização da OT e de inspeção de pacotes profundos de protocolos específicos de OT.

Por outro lado, o relatório da Vedere Labs identifica uma mudança de tendência nas vulnerabilidades "inseguras by design". Há apenas alguns anos, algumas vulnerabilidades conhecidas – como alguns dos que podem ser encontrados no relatório OT: ICEFALL – não viram ser atribuídos um identificador CVE porque se supunha que todos sabiam que os protocolos de OT eram inseguros. Pelo contrário, a Forescout considera que um CVE é um marcador reconhecido pela comunidade que ajuda na visibilidade da vulnerabilidade e permite a possibilidade de atuar, uma vez que facilita à força comercial a solução de problemas e os proprietários dos ativos a fazer a avaliação de risco e aplicar correções.

Para além da monitorização da rede, a Vedere Labs propõe mitigações para o OT: ICEFALL que incluem isolar redes OT/ICS de redes corporativas e de Internet, limitar as ligações de rede apenas a estações de trabalho de engenharia especificamente permitidas e focar-se na redução de consequências sempre que possível.

Além disso, as práticas inseguras de conceção em OT ainda são comuns e os controlos de segurança que têm sido implementados são muitas vezes de baixa qualidade. Este relatório assinala igualmente que, apesar do importante papel que os esforços de endurecimento orientados pelas normas aplicadas à volta dos ambientes OT, os produtos com características e controlos vulgares de segurança continuam a ser certificados, considerados válidos.

Ainda assim, devido à natureza opaca e proprietária de muitos sistemas OT, juntamente com a ausência de CVE, muitos problemas persistentes são invisíveis, o que torna impossível atuar, provocando desnecessariamente riscos.

Por isso, a Ingecom recomenda a adição de uma segurança adequada à conceção dos fabricantes de dispositivos e protocolos OT, e apelamos ao setor em geral para que garanta que os controlos de segurança são robustos e não apenas funcionais. Para aceder ao relatório de investigação, visite: https://www.forescout.com/resources/ot-icefall-report

Conteúdo co-produzido pela MediaNext e pela Ingecom