Uma violação cibernética na infraestrutura crítica nacional (Critical National Infrastructure – CNI em inglês) pode ter um impacto catastrófico na economia nacional. Joseph Carson, cientista-chefe de segurança da Thycotic, explica o impacto dos ataques e como recuperar o controle
Nem todas as ameaças cibernéticas são iguais. Embora todo ataque seja uma má notícia para alguém, alguns incidentes de segurança podem afetar a estabilidade de uma nação inteira. A Infraestrutura Crítica Nacional (CNI), que reúne serviços essenciais como água, transporte e energia, talvez seja a área com maior capacidade de causar danos.
Esses ativos-chave representam uma importante junção entre o digital e o físico de uma forma que é vista em poucos outros setores. Uma violação sofrida por um varejista, por exemplo, prejudicará os lucros da organização e potencialmente colocará os clientes na linha de fogo dos fraudadores. Um ataque sério à CNI, em comparação, poderia ter um impacto catastrófico na economia nacional e até ameaçar vidas.
O mundo moderno é extremamente dependente do funcionamento eficaz das chaves CNI e muito vulnerável a qualquer interrupção como resultado. Um ataque à rede elétrica pode fechar a indústria e colocar vidas em risco, visto que hospitais e outras instalações essenciais são incapazes de funcionar, enquanto a interferência na infraestrutura de transporte, como redes ferroviárias, pode interromper as operações comerciais e o abastecimento de alimentos.
Felizmente, esses ataques são extremamente raros em comparação com o fluxo constante de atividade cibercriminosa padrão. Por um lado, atacar ativos da CNI normalmente requer muito mais conhecimento especializado e ferramentas em comparação com um negócio comercial padrão. Mais importante, porém, a maioria dos atores de ameaças são motivados pelo lucro simples e há pouco ganho financeiro direto em interromper a CNI.
Devido a isso, os ataques à CNI são geralmente o domínio de atores de alto nível de ameaças que trabalham em nome de Estados-nação. Na verdade, de acordo com uma pesquisa do Ponemon Institute, quase um quarto de todas as empresas CNI relatam que foram vítimas de um ataque de um Estado-nação nos últimos dois anos.
O impacto de ataques reais da CNI
Esses ataques são frequentemente realizados como uma alternativa à guerra cibernética tradicional. Ataques cibernéticos são notoriamente difíceis de rastrear e, portanto, têm um alto grau de negação plausível – especialmente em comparação com o lançamento de um ataque aéreo. Um dos melhores exemplos dessa estratégia foi o ataque de 2010 ao programa nuclear iraniano. O vírus Stuxnet, feito sob medida para atacar os sistemas de controle industrial, causou estragos no desenvolvimento nuclear do Irã e acredita-se que tenha destruído cerca de 20% das centrífugas nucleares do país.
Os ataques à CNI também podem ser usados para transmitir uma mensagem política potente. Em outro caso de infraestrutura de energia, a Ucrânia sofreu sérios ataques em sua rede em 2015 e novamente em 2016. Os ataques foram considerados como obra do grupo da Rússia denominado Sandworm. Os ataques deram uma amostra de como a segmentação da CNI pode ser perturbadora, com o incidente de 2015 deixando cerca de 225.000 ucranianos em um apagão por várias horas.
Embora tais incidentes evidentes sejam, felizmente, poucos e distantes entre si, a CNI na enfrenta uma ameaça quase constante de ataques cibernéticos. O Ponemon descobriu que nove em cada dez provedores de CNI foram prejudicados por um ataque cibernético apenas nos últimos dois anos.
O desafio da garantia
Os ataques direcionados à CNI tendem a ser o trabalho de grupos de Ameaças Persistentes Avançadas (APT em inglês) que trabalham em nome dos Estados-nação com objetivos específicos. É difícil se defender contra esses adversários de alto nível, pois eles têm o tempo e os recursos necessários para testar repetidamente as medidas de segurança e encontrar brechas, enquanto os criminosos mais oportunistas em busca de lucros optam por alvos fáceis.
Além de enfrentar atacantes tenazes, a maioria das áreas da CNI também deve enfrentar uma infraestrutura de rede complexa que é difícil de proteger. A Tecnologia Operacional (OT), os sistemas usados para gerenciar o equipamento industrial pesado comum nesses setores, geralmente opera de uma maneira muito diferente da TI tradicional. Os sistemas costumam ser projetados com uma vida útil de décadas em mente e não se adaptam ao mundo em rápida mudança das redes de TI modernas.
Ganhar visibilidade e gerenciamento centralizados de um ambiente tão complexo pode ser extremamente desafiador. Na verdade, a Fortinet relata que 78% dos CISOs têm visibilidade central limitada de seus ambientes de OT. Essa visão limitada cria lacunas que podem ser exploradas pelos agentes da ameaça, permitindo que eles se infiltrem na rede e se movam entre os sistemas sem serem detectados.
A arquitetura de rede conflitante também significa que medidas de segurança padrão, como controle de acesso baseado em função (RBAC) e autenticação de dois fatores (2FA) são quase impossíveis de implementar sem ferramentas específicas. Esses problemas aumentam a ameaça potencial de um ator de um Estado-nação se infiltrando no sistema e causando sérias perturbações. Contra esse risco, a diretiva de Redes e Sistemas de Informação (NIS) da União Eropeia determina que as empresas CNI devem aumentar seus níveis de segurança geral de rede ou enfrentar penalidades significativas.
Recuperando o controle da CNI
Embora os sistemas OT apresentem alguns desafios de segurança difíceis, eles ainda podem ser protegidos com a combinação certa de tecnologia e processos. As organizações CNI devem buscar uma abordagem de “defesa em profundidade” que aproveite várias camadas de segurança para dar conta da complexidade de sua rede.
Uma das áreas essenciais para focar é recuperar a visibilidade e o controle da rede como um todo, incluindo os sistemas díspares de TI e OT. Em particular, isso significa ter um comando firme de como os sistemas são acessados. Tal como acontece com as redes de TI mais tradicionais, os agentes de ameaças quase sempre buscarão adquirir credenciais de usuário que lhes concederão direitos de acesso privilegiado ao sistema.
A implementação de uma abordagem de gerenciamento de acesso privilegiado forte (PAM) irá combater essa ameaça, introduzindo uma série de medidas que incluem a garantia de uma política de senha forte, rotação de senha, RBAC e 2FA. A análise de comportamento também pode ser usada para detectar algo incomum e forçar automaticamente usuários suspeitos a se autenticar novamente para verificar sua identidade.
No entanto, um sistema PAM só será eficaz se puder cobrir todo o ambiente sem lacunas. A solução deve ser capaz de acomodar todos os sistemas de TI e TO, como ICS e SCADA, bem como outras tecnologias conectadas, como IoT.
Isso também permitirá que a organização forneça as auditorias, alertas e análises que são essenciais para a conformidade com os auditores do NIS. Mais importante, porém, com um único ponto centralizado de visibilidade e gerenciamento para todos os acessos e atividades do usuário, as operadoras da CNI serão capazes de reduzir significativamente o risco de um ator de ameaça se infiltrar na rede e explorar seus sistemas para causar crises em todo o país.
Clique abaixo para compartilhar este artigo
