Como proteger as redes da IdC

Dispositivos antigos de IdC, Sistemas de Controle Industrial com rede personalizada, são excepcionalmente difíceis de proteger. Geralmente, esses dispositivos têm recursos de computação suficientes apenas para dar suporte à sua principal função operacional, pois têm pouca memória, baixa potência, recursos restritos de CPU e muito pouca banda larga da rede. Eles não autenticam as mensagens recebidas, nem autorizam usuários, registram tráfego de rede, oferecem suporte para atualizações online ou usam pacotes de protocolos OSI. Muitos usam protocolos inteiramente proprietários, específicos para aquele provedor, ou protocolos centralizados em bit ou bytes.

 

Com inicio em 1990, os dispositivos de IdC 1.0 usavam redes híbridas e padronizadas em dispositivos SCI na Telnet, FTP, OCS (OLE [Criação de Links e Incorporação de Objetos da Microsoft] para Controle de Processo), ODBC (Conectividade do Banco de Dados Aberto da Microsoft) e DCOM (Modelo Componente de Objeto Distribuído da Microsoft). Os provedores de SCI escolheram esses padrões com base na aparente liderança de mercado da Microsoft com relação à arquitetura de software distribuído, sem qualquer análise detalhada dos riscos de segurança que podem trazer para redes desgovernadas. No final dos anos 2000, as organizações de TI a SCI parou de ser usada, pois começou a ser vista como fatalmente vulnerável. Os dispositivos tradicionais de SCI geralmente têm vidas úteis de 15 a 30 anos. Muitos dispositivos híbridos que utilizam esses protocolos fracos ainda permanecem em uso, sem proteção, e devem ser mantidos até 2020. O uso de uma segurança convencional de rede gera diversos problemas, incluindo o desafio descrito na Figura 1, abaixo. (Dica: desconsiderando a internet, esta rede tem 16 pontos de acesso desprotegidos, partindo do pressuposto de que três celulares têm apenas um serviço de rede ativo. A maioria dos smartphones tem quatro ou cinco.)

Para mais detalhes sobre a IdC tradicional e legada, leia este artigo:  https://blog.trendmicro.com/why-hardware-configurations-could-be-the-downfall-of-the-iot/

Os atuais dispositivos de TI são ativos descartáveis, com vidas úteis tão curtas que, de acordo com o FASB, não podem ser depreciados. É por isso que não há mercado para melhorar a segurança de ferramentas e produtos legados de TI. Até a solução de segurança de pós-venda ser disponibilizada, o produto já teria se tornado obsoleto. Eu gosto do meu celular, modelo Nexus 6, mas parei de receber atualizações no dia 6 de outubro. O aparelho está desprotegido. Não há aftermarket no infosec.

Os dispositivos IdC 2.0 incorporam as redes de acordo com o modelo de referência OSI. A geração atual de dispositivos IdC usa um pacote completo de OSI e têm um grande poder de processamento, memória e capacidade de rede. Esses dispositivos podem respaldar todas as medidas convencionais de segurança cibernética usados por qualquer dispositivo de TI em rede. No entanto, a equipe que implementa essas medidas deve tomar cuidado com a capacidade de resposta, segurança ou disponibilidade potencialmente comprometedora. Alguns provedores criaram recursos para lidar com a segurança da informação sem prejudicar os requisitos de design da IdC. Mas os usuários dessas tecnologias devem formular, integrar e validar os objetivos de design da IdC com requisitos de segurança da informação.

Veja abaixo o que pode ser feito:

  1. Isole a rede. Não conecte o SCI e os dispositivos antigos de IoT (0.9, 1.0) à estrutura fundamental da empresa. Acesse https://blog.trendmicro.com/securing-three-families-iot/para mais informações sobre as gerações de dispositivos de IdC.
  2. Bloqueie mudanças nas configurações. Proíba atualizações e instalações automáticas.
  3. Verifique usos incomuns do dispositivo, consumo de energia e tráfego de rede.
  4. Implemente ferramentas de análise e de registro fora da banda larga. Colete e analise o tráfego da rede, com alertas em relação a anomalias no trafego.
  5. Verifique o tráfego que sai da rede em busca de comunicações do C&C, exfiltração de dados ou tráfego de ataque DDoS.

Integre com o SEIM. Consolide relatórios em uma única tela.