Os sistemas de controle industrial (ICSs) desempenham um papel vital em infraestruturas críticas, sustentando operações em setores essenciais, como energia, petróleo e gás, água, transporte e manufatura química. A crescente preocupação com a segurança cibernética e seu impacto nos ICSs destaca os riscos fundamentais para a infraestrutura crítica de uma nação. Abordar eficientemente as questões de segurança cibernética dos ICSs requer uma compreensão clara dos desafios atuais de segurança e das contramedidas defensivas específicas.
O objetivo deste documento é fornecer orientação para assegurar os sistemas de controle industrial (ICS), incluindo sistemas de controle de supervisão e aquisição de dados (SCADA), sistemas de controle distribuído (DCS) e outros sistemas que desempenham funções de controle. Este artigo oferece uma visão geral dos ICSs, analisa topologias e arquiteturas de sistemas, identifica ameaças e vulnerabilidades desses sistemas e fornece contramedidas de segurança recomendadas para mitigar os riscos associados.
A gestão eficaz da cibersegurança é crucial para todas as organizações, independentemente do tamanho. Existem muitos padrões e documentos de orientação disponíveis para ajudar as organizações a determinarem um caminho a seguir. No entanto, é importante reconhecer que garantir a segurança do ambiente de Tecnologia Operacional (OT) exige requisitos diferentes ou medidas adicionais em comparação com a Tecnologia da Informação (TI) de maneira geral.
Embora seja amplamente aceito que a segurança do ambiente OT requer abordagens distintas, muitas empresas enfrentam dificuldades na implementação das recomendações de segurança devido à falta de visibilidade do ambiente. Os padrões e práticas frequentemente pressupõem recursos de engenharia e operações disponíveis para definir, implementar e monitorar tecnologia, processos de negócios e controles associados, uma suposição que nem sempre reflete a realidade.
É crucial compreender os riscos de segurança cibernética e tomar medidas para reduzir esses riscos, da mesma forma que se faz com outros riscos empresariais. A ausência de incidentes anteriores ou a crença de que a organização não é um alvo provável não são justificativas suficientes para ignorar esse problema.
As indústrias enfrentam uma variedade de ameaças, incluindo hackers amadores e profissionais, ativistas ambientais, funcionários insatisfeitos ou terceirizados, erros humanos e até mesmo estados-nação ou terroristas. Além disso, muitos incidentes de segurança cibernética resultam de acidentes ou ações não intencionais. Uma empresa não precisa ser um alvo específico para ser afetada.
As consequências para uma indústria podem variar significativamente com base na natureza de suas operações e nas vulnerabilidades específicas de cada uma. Portanto, é essencial reconhecer e mitigar essas vulnerabilidades para minimizar a probabilidade de eventos com alto potencial destrutivo.
Visibilidade e Vulnerabilidades Comuns
A deficiência pode surgir de um problema técnico, como um erro de software, questões processuais, como a falta de política ou norma, ou até mesmo de pessoas, devido à falta de treinamento. Existem várias normas e frameworks que podem auxiliar na cibersegurança do ambiente industrial, tais como a ISA/IEC 62443 (ISA99), NIST 800-82 e NERC CIP, especialmente no setor de energia.
A Sociedade Internacional de Automação (ISA) desenvolveu o padrão ISA/IEC 62443 (Segurança para Automação Industrial e Control Systems), que oferece orientações detalhadas sobre como criar um sistema de gerenciamento de segurança cibernética para ambientes de Tecnologia Operacional (OT).
Realizar uma avaliação de segurança cibernética é um passo crucial no ciclo de vida da Tecnologia Industrial (TI) porque pode abordar proativamente quaisquer deficiências e vulnerabilidades. O objetivo é identificar pontos fracos em segurança e fornecer recomendações úteis para preencher as lacunas antes que ocorra qualquer violação de segurança. Uma das técnicas envolvidas nesse processo, conhecida como avaliação de vulnerabilidade do sistema, visa descobrir se os sistemas contêm vulnerabilidades suscetíveis a ataques cibernéticos maliciosos.
Uma questão importante é se uma avaliação de segurança cibernética para automação industrial deve incluir testes de penetração como uma extensão da avaliação de vulnerabilidade do sistema. Antes de prosseguirmos, é fundamental fazer uma distinção clara entre a avaliação de conformidade com normas, a avaliação de vulnerabilidade do sistema e os testes de penetração.
Avaliação de normas
A norma ISA/IEC 62443 é composta por uma série de documentos, como podemos observar na imagem abaixo. No entanto, o ISA/IEC 62443-2-4 é particularmente relevante, pois contém os controles necessários para avaliação. Publicada com o intuito de fornecer requisitos de segurança específicos para fornecedores de serviços de Sistemas de Controle Industrial (ICS) e proprietários de ativos, a IEC 62443-2-4 desempenha um papel crucial nesse contexto.
Uma avaliação dessa norma é fundamental para obter uma compreensão mais profunda desses requisitos, identificar possíveis lacunas e encontrar maneiras pragmáticas e rápidas de melhorar a postura de segurança cibernética, abrangendo pessoas, processos e tecnologia.
Control-Plane vs Data-Plane
No contexto de Sistemas de Controle Industrial (ICS), surge um desafio adicional: ao contrário das redes de Tecnologia da Informação (TI), existe uma distinção entre os protocolos Data-Plane e Control-Plane:
Data-Plane: Utilizado para a transferência de parâmetros e registros entre os aplicativos HMI SCADA e os dispositivos de entrada e saída (I/O). Aqui, são empregados protocolos padrão HMI e SCADA, como Modbus, Profinet e DNP3, os quais são completamente documentados, pois os fornecedores permitem a integração com diversas soluções de software.
Control-Plane: Engloba todas as atividades de engenharia, como reprogramação de controladores e upload/download de firmware. Esses protocolos são exclusivos para engenharia e, portanto, são desenvolvidos pelos fornecedores de automação com software específico. A concepção inicial era que apenas o software fornecido deveria ser utilizado para projetar esses dispositivos. Como resultado, esses protocolos não são apenas proprietários, mas muitas vezes não são documentados ou nomeados, o que dificulta sua monitoração.Atualmente, sabemos que algumas ferramentas foram desenvolvidas para explorar esses protocolos, principalmente para fins de pesquisa, embora não exclusivamente. Assim, torna-se necessário monitorá-los e explorá-los para uma melhor compreensão.
Além disso, ao compararmos com as redes de TI, as atividades de engenharia realizadas nos protocolos do Control-Plane equivalem a atividades privilegiadas. Em uma rede de TI, nunca permitiríamos que atividades privilegiadas fossem monitoradas. Por que permitir isso em nossa rede OT/ICS? Portanto, avaliar as vulnerabilidades do Control-Plane é de extrema importância.
Avaliação de vulnerabilidade do sistema
Na avaliação de vulnerabilidades, os dados do sistema são comparados com problemas documentados para determinar se o sistema é suscetível a explorações conhecidas. Essas “questões documentadas” referem-se a vulnerabilidades ou deficiências já descobertas, documentadas e, geralmente, divulgadas publicamente. Esta avaliação abrange todo o sistema, incluindo PLCs e HMIs.
Teste de penetração ICS
O teste de penetração em sistemas de controle industrial (ICS) vai além da simples identificação de vulnerabilidades, simulando possíveis ataques para confirmar se o sistema pode ser comprometido. Esses testes envolvem técnicas invasivas que podem alterar as configurações do sistema, podendo até desabilitá-lo completamente, como em um shutdown total. Deve ser realizado com cautela, considerando que muitas indústrias não possuem ambientes de homologação.
Além de comprometer a integridade do sistema, uma exploração mais sofisticada pode extrair informações críticas sem danificar sua operação aparente. Embora esses testes forneçam insights valiosos sobre a segurança cibernética, é importante estar ciente de que podem desestabilizar o sistema de forma irreversível ou afetar outros sistemas interconectados, representando riscos significativos para a segurança humana e ambiental em processos industriais.
No entanto, é importante considerar cuidadosamente se realizar um teste de penetração é apropriado em determinadas circunstâncias. Se uma vulnerabilidade já foi identificada e medidas corretivas estão disponíveis, por que expor o sistema a mais exploração? Por outro lado, em situações em que a gravidade da vulnerabilidade não está clara ou em que existem incertezas sobre sua capacidade de exploração, um teste de penetração pode fornecer uma visão mais aprofundada da ameaça potencial e ajudar a orientar a implementação de medidas de segurança mais eficazes.
Portanto, a decisão de realizar um teste de penetração em um ICS deve ser cuidadosamente ponderada, considerando os potenciais riscos e benefícios, bem como a disponibilidade de recursos para lidar com qualquer impacto adverso que possa surgir.
Conclusão
No cenário dos sistemas de controle industrial (ICS) atual, muitas instalações ainda precisam passar por avaliações abrangentes para garantir a integridade da segurança de seus sistemas, processos e operações. Dada a sensibilidade do ambiente ICS a interrupções, é crucial realizar verificações de conformidade com normas e regulamentos, aliadas a uma análise de vulnerabilidades inicialmente ampla e imediata.
Para muitas dessas organizações, a prioridade é realizar uma avaliação completa e imediata da segurança, uma vez que os resultados das primeiras avaliações tendem a ser abrangentes, mas também podem ser esporádicos.
Frequentemente, as lacunas de segurança estão interconectadas de tal forma que a correção de uma vulnerabilidade principal pode resolver múltiplas fraquezas relacionadas. Portanto, abordar essas vulnerabilidades de forma holística pode ser tão eficaz quanto aplicar patches individuais. Assim como os service packs abrangentes funcionam em comparação com as correções pontuais. Ao corrigir essas lacunas e persistir na detecção de vulnerabilidades contínuas, pode ser necessário realizar testes mais profundos, se necessário.
Para garantir a segurança do ambiente ICS, é fundamental seguir as normas estabelecidas e manter um sistema robusto de detecção e resposta a incidentes, com monitoramento constante do ambiente e identificação de vulnerabilidades, especialmente nos protocolos do Control-Plane. Este compromisso contínuo com a segurança é essencial para proteger os sistemas industriais contra ameaças cibernéticas em constante evolução.