As ameaças do ICS
Os sistemas Sistema de controle industrial (Industrial Control System, ICS) funcionam em ambientes únicos onde a disponibilidade e a produtividade são a maior prioridade. Como resultado, os sistemas ICS geralmente têm vida longa e recebem apenas manutenção ocasional e programada para minimizar os impactos na disponibilidade.
Com sistemas de longa duração e a necessidade de manter os sistemas de produção online, os dispositivos ICS raramente recebem atualizações ou patches para vulnerabilidades conhecidas. Como resultado, esses dispositivos legados podem ser difíceis de proteger e conter inúmeras vulnerabilidades exploráveis. Além disso, as soluções tradicionais de segurança de TI podem não ser aplicáveis a ambientes ICS.
Melhores práticas de segurança do ICS
Segurança do ICS difere significativamente da segurança de TI tradicional. Abaixo você encontrará algumas práticas recomendadas de segurança para a segurança do ICS:
#1. Acesso físico seguro
No passado, os sistemas ICS dependiam de um “intervalo de ar” para segurança. Ao desligar estes sistemas da rede corporativa de TI e da Internet pública, o objetivo era torná-los imunes a ataques cibernéticos.
No entanto, o Stuxnet e outros ataques demonstraram que o acesso físico ao dispositivo ICS pode ser usado para entregar malware e realizar outros ataques. Proteger o acesso físico é essencial para a segurança cibernética dos ICS.
#2. Crie um inventário de ativos ICS
É impossível proteger eficazmente sistemas que uma organização não sabe que existem. O tamanho e a complexidade da rede de dispositivos ICS podem significar que as organizações não possuem um inventário completo de seus ICS, de seu software e hardware, de sua localização e de outros fatores importantes. Os processos de descoberta manual são lentos, não escaláveis e incapazes de se adaptar rapidamente a ambientes em mudança. Soluções automatizadas devem ser implantadas para descobrir e identificar ativos ICS conectados à rede.
#3. Desenvolva uma linha de base de rede
As metodologias tradicionais de detecção de ameaças baseadas em assinaturas só podem identificar ameaças conhecidas para as quais uma assinatura é conhecida pelo sistema de detecção. Isso os deixa cegos para novos ataques ou ataques contra dispositivos legados que são antigos o suficiente para que a assinatura tenha sido descontinuada. A identificação de novas ameaças ao dispositivo ICS requer a capacidade de identificar anomalias na rede ICS. Se uma organização desenvolver uma linha de base das atividades normais da rede, ela poderá detectar anomalias, como ataques potenciais ou novos dispositivos conectados à rede.
#4. Rede ICS do segmento
Segmentação de Rede é essencial para obter visibilidade da rede e gerenciar o acesso ao ICS. Sem segmentação de rede, um invasor pode ser capaz de se mover lateralmente pela rede ICS sem ser detectado, enquanto uma rede segmentada oferece oportunidades para que ameaças sejam identificadas e prevenidas. O Arquitetura de referência empresarial Purdue (PERA) fornece um modelo de referência para o desenho da rede ICS. Isto inclui a implantação de firewall para segmentar a rede com base nas funções de vários sistemas.
#5. Implementar o menor privilégio
O princípio do privilégio mínimo afirma que os usuários, dispositivos, aplicativos e outras entidades devem ter apenas o acesso e as permissões essenciais para sua função. Ao eliminar o acesso desnecessário, uma organização pode reduzir a probabilidade e o impacto de um ataque porque um invasor tem menos oportunidades de atacar ativos críticos sem ser detectado.
No espaço do Sistema de controle industrial (ICS), implementando Ultimo privilégio inclui não apenas limitar o dispositivo que pode se comunicar com o dispositivo ICS, mas também os comandos que podem ser enviados por eles. Aplicar o acesso com privilégios mínimos requer firewall que conhece os protocolos de rede ICS e isso pode bloquear o tráfego que viola os controles de acesso com privilégios mínimos.
#6. Use IPS para identificar ameaças conhecidas
Os ambientes ICS geralmente contêm sistemas de longa duração que são vulneráveis a ataques legados. Os requisitos de alta disponibilidade e as limitações dos sistemas legados dificultam a correção de vulnerabilidades que os deixam abertos à exploração. A proteção desses sistemas requer uma abordagem de segurança focada na prevenção que bloqueie tentativas de exploração antes que elas atinjam sistemas vulneráveis. Para fazer isso, as organizações devem implantar um Sistema de prevenção de intrusão (IPS) para detectar e bloquear ICS conhecidos e SO legados e explorações de rede.
#7. Acesso remoto seguro ao dispositivo ICS
As operadoras geralmente exigem acesso remoto ao dispositivo ICS; no entanto, isso também pode criar riscos de segurança significativos. Um ataque de 2021 contra uma estação de tratamento de água em Oldsmar, Flórida, que tentou adicionar produtos químicos perigosos ao abastecimento de água, aproveitou-se de tecnologias de acesso remoto inseguras. O acesso remoto ao ICS deve ser fornecido por soluções seguras de acesso remoto. Isso inclui acesso de confiança zero controles e monitoramento para identificar acessos suspeitos e potencialmente maliciosos aos sistemas ICS.
Segurança ICS com Check Point
A segurança do ICS é vital para garantir a disponibilidade, produtividade e segurança do dispositivo ICS. No entanto, os dispositivos ICS enfrentam ameaças de segurança únicas e exigem soluções de segurança projetadas e adaptadas para eles.
A Check Point tem uma vasta experiência em projetar segurança para atender às necessidades exclusivas dos ambientes ICS. Para saber mais sobre como a Check Point Solução de segurança de ICS pode ajudar a proteger o Sistema de controle industrial (Industrial Control System, ICS), confira isto Resumo da solução. Em seguida, veja você mesmo seus recursos inscrevendo-se em um free demo.
Opinião