Defesas para o endpoint em ambientes industriais

A digitalização da indústria levou a que fábricas fechadas e isoladas sejam hoje fábricas conectadas com inúmeras aplicações. Em vários casos, encontramos uma fraca segregação (ou até inexistente) dos ambientes (IT/OT), a falta de elementos lógicos de controlo de acesso, protocolos inseguros, etc.

Devido ao lema “se funcionar, não toque”, à falta de consciência de segurança e à necessidade de ter os processos de produção a funcionar 24x7, não são agendadas intervenções e frequentemente são encontrados equipamentos desatualizados ou com patching deficiente.

Para resolver estes problemas, devem ser aplicadas as medidas de segurança apropriadas a cada elemento. Não é o mesmo um PLC, um SCADA ou um HMI. Para tráfego de rede, pode ser utilizado um IDS ou uma Firewall; para elementos antigos, podem ser usados elementos de proteção externos; e para endpoints com recursos de computação mais poderosos, podem ser implementados agentes.

Estes agentes vão permitir monitorizar áreas problemáticas e movimentos de tráfego, detetar anomalias e bloqueá-las, proteger dados armazenados em equipamentos, gerir proteções centralmente ou proteger o equipamento com mecanismos de software que afetam a parte física, como bloqueio de USB. Para fazer este trabalho, usam características diferentes a escolher dependendo do tipo de proteção pretendida.

Uma opção é o Whitelisting, proteção de baixo impacto. O que faz é monitorizar os processos que estão a decorrer na máquina e compará-los com a whitelist antes de permitir que façam ações privilegiadas. No entanto, requer muita manutenção, pois a lista não é estática e precisa de ser atualizada continuamente. Outra opção são os recursos antimalware. É uma solução mais complexa que requer recursos de computação para detetar e remover software mal-intencionado.

Também pode optar por HIDS (sistema de deteção de intrusão baseado em host). Este é ainda mais complexo, pois baseia-se na deteção de anomalias que indicam um potencial risco. As deteções podem desencadear ações de resposta ativa.

Atualmente estão a ser trabalhadas proteções avançadas baseadas em modelos que usam inteligência artificial que permitem a deteção antecipada proativa de ameaças persistentes avançadas (APTs) a nível industrial. Para tal, são forma dos modelos com os dados que alimentam os diferentes elementos de defesa do endpoint e da fábrica. De seguida, esses modelos são colocados nos elementos defensivos para a correlação de eventos de segurança. A capacidade de aplicar um ou outro mecanismo dependerá do endpoint, seja pelo seu desenho, pelas suas capacidades ou pela tarefa que tem de realizar.

Muitas proteções necessitam de uma conexão à internet para a atualização, pois os indicadores mudam regularmente. Se a solução for implementada numa rede isolada, será impossível atualizá-la e, portanto, a proteção será parcial, deixando o dispositivo vulnerável. Esses indicadores podem ser atualizados manualmente, mas essa tarefa requer intervenção de manutenção contínua.

Outro ponto importante nas soluções de endpoint são os recursos de threat intelligence dentro da solução. O panorama de ameaças nas áreas de OT evoluiu e tornou-se mais complexo. Dispor de um serviço onde esta capacidade esteja incorporada de um ponto de vista operacional e estratégico é de extrema importância para antecipar proativamente possíveis ameaças críticas à segurança.

Nem todas as soluções são adequadas para todos os endpoints. Antes de implementá-las, deve ter em consideração que recursos possui, que tarefa executa e onde está localizado. Para saber mais sobre os tipos de soluções disponíveis e como se aplicam consulte o nosso whitepaper de “Defesas para o Endpoint em Ambientes Industriais” aqui https://www.s21sec.com/pt/defesas-endpoint-ambientes- -industriais/

Conteúdo co-produzido pela MediaNext e pela S21sec