ATAQUES

JBS e a Colonial Pipeline: lições para saber de cor

30/06/2021 09:10

A integração entre as áreas TI e da TO é chave para identificar ameaças.

Arthur Capella, country manager da Tenable Brasil. Foto: divulgação

Tamanho da fonte: -A+A

Os recentes ataques contra dois gigantes industriais, a norte-americana Colonial Pipeline e a multinacional brasileira JBS, inauguram uma nova era em relação ao crime digital.

As duas ações foram extremamente rentáveis, com a Colonial Pipeline pagando ransomware no valor de 4,4 milhões de dólares, enquanto a multinacional brasileira JBS entregou 11 milhões de dólares aos criminosos que sequestraram seus sistemas.

Mas não é só isso. O congelamento dos processos e dos negócios dessas duas companhias afetou consumidores no mundo inteiro.

A soma dos altos valores pagos em resgate com a interrupção do fornecimento de gasolina e de carne a grandes mercados globais atestou o poder de destruição nos ambientes de tecnologia operacional. 

Conforme as organizações que possuem e operam infraestrutura crítica continuam a ser alvo de ataques contínuos, existem estratégias de segurança de OT que podem ajudar a reduzir o risco para esses sistemas de missão crítica.

1. Compreender os riscos trazidos pelo acesso e a configuração dos sistemas.

As indústrias hoje dependem fortemente da automação para acelerar a produção de forma a responder às altas demandas do mercado. Muitas plantas industriais são imensos centros de custo e de geração de valor de empresas.

Cada detalhe do que se passa nesse ambiente é um dado precioso, que acabará sendo consumido em outros ambientes e aplicações, de modo a obter a máxima produtividade e rentabilidade.

Para isso acontecer, é necessário entregar a usuários com perfis muito variados acesso a aplicações corporativas – sejam plataformas ERP, sejam sistemas específicos de cada área da planta.

Active Directory (AD) é fundamental nessa função, tanto em indústrias como em empresas de outros segmentos. Os perfis de acesso são os mais variados: funcionários autorizados, parceiros, agentes e profissionais de empresas terceirizadas.

Em paralelo, é fundamental garantir que a configuração correta se estenda desde a instalação principal até todos os locais, independentemente de quão remotos ou distribuídos eles estejam.

A solução de segurança para OT precisa sempre ter controle sobre dispositivos em todos os locais, como controladores lógicos programáveis (CLPs), controladores HMI, estações de engenharia, equipamentos de rede, gateways e qualquer outro dispositivo crítico para as operações industriais e de manufatura de redes.

A confiabilidade do ambiente depende de a empresa contar com visibilidade sobre os mais variados tipos de dispositivos, níveis de patch, versões de firmware e informações de painéis de controle.

2.      A integração entre as áreas TI e da TO é chave para identificar ameaças.

A excelência na operação das plantas industriais passa cada vez mais por uma estreita integração entre esse ambiente e a área de TI. Essa convergência cria conexões e risco inerente capazes de impactar a produção.

A eliminação da proteção por air-gap capacita os invasores a penetrar partes do ambiente de operações a partir da TI ou da OT. E, com isso, avançar lateralmente na empresa.

Para evitar isso é fundamental seguir aproximando as culturas e os times de TI e OT, áreas que, há décadas, atuam de forma isolada. Essa mudança permitirá que os ambientes industriais brasileiros conquistem novos níveis de serviço e de segurança digital.

Para identificar as mais variadas ameaças vale a pena trabalhar com três engines de detecção:

  • Detecção baseada em assinatura, para identificar ameaças conhecidas usadas por invasores.
  • Mapeamento de tráfego e visualização do tráfego, para identificar e alertar contra tentativas de comunicação a partir de fontes externas. É importante, também, identificar dispositivos que não deveriam estar conversando entre si.
  • Detecção de anomalias, para apontar padrões de tráfego incompatíveis com a operação regular da rede.

3. A remediação de vulnerabilidades tem de ser prioridade. 

Ainda hoje muitos ambientes industriais no Brasil contém uma mistura de dispositivos mais antigos, normalmente não encontrados em ambientes de TI. Com vários níveis de patching em cada tipo de dispositivo, torna-se difícil manter um programa de gerenciamento de patches atualizado.

A criticidade desse ambiente exige um sincronismo entre o gerenciamento de patches e vulnerabilidades recentemente descobertas. Os criminosos evoluem rapidamente para explorar as vulnerabilidades descobertas e, a partir daí, maximizar seus ganhos.

Os ambientes industriais têm de evoluir para priorizar o fechamento das vulnerabilidades rapidamente e minimizar o risco de ataque. Soluções de gerenciamento de vulnerabilidades baseadas em risco são essenciais nesse contexto, oferecendo uma visão holística de ambiente OT e TI. Isso proporciona segurança, visibilidade e controle necessários para frustrar ataques.

Os ciberataques bem-sucedidos continuam a dominar as manchetes. Isso torna mais importante do que nunca que as empresas ganhem visibilidade sobre seus ambientes, compreendendo onde estão expostas, em que nível e, principalmente, que ações devem tomar para reduzir o risco. Essa é uma lição que precisamos saber de cor. 

* Por Arthur Capella, country manager da Tenable Brasil.

Veja também

FRIGORÍFICOS
JBS paga resgate de US$ 11 milhões para hackers

Ataque de ransomware paralisou operações da empresa na América do Norte e Austrália.

CARNES
JBS é atacada na Austrália e América do Norte

A empresa acredita que o ataque é de ransomware e o FBI está investigando o caso.

LABORATÓRIO
Ataque no Grupo Fleury foi de ransomware

Segundo o jornal Valor Econômico, os invasores usaram uma tática conhecida como movimento lateral.

RANSOMWARE
REvil afirma ser autor de ataque no Grupo Fleury

Criminosos, que distribuem o malware por meio de phishing, teriam cobrado US$ 5 milhões de resgate.

INOVAÇÃO
Cisco lança hub voltado à cibersegurança

Centro faz parte do Movimento CyberTech Brasil, recém lançado em parceria com o Distrito.

LABORATÓRIO
Fleury sob ataque hacker?

A gigante de medicina diagnóstica informou nesta tarde que está com seus sistemas indisponíveis.