Proteger organizações de infraestrutura crítica

Usar a segurança cibernética de TI para prevenir interrupções operacionais

Os operadores de infraestrutura crítica sustentam a espinha dorsal da sociedade moderna e isso os torna alvos principais para ataques cibernéticos. Ao contrário de outros setores, os cibercriminosos e estados-nação que lançam ataques contra essas organizações raramente querem roubar dados. Em vez disso, eles querem criar uma interrupção operacional que cause prejuízos econômicos e produza sérias repercussões para milhões de pessoas.

Os ataques aos operadores de infraestrutura crítica estão aumentando. Em 2023, o CIO da Transportation Security Administration (TSA) afirmou que o aumento do número de ataques cibernéticos à infraestrutura dos EUA e as crescentes capacidades cibernéticas dos adversários estrangeiros indicavam que havíamos entrado em uma guerra cibernética. E, de fato, ataques a operadores de transporte, água e energia dos EUA têm sido ligados a cibercriminosos patrocinados por estados.

Em 2024, a Environmental Protection Agency (EPA) dos EUA ecoou o sentimento da TSA, observando que “Incidentes recentes de alto perfil em sistemas de água demonstraram a urgência necessária para lidar com as fraquezas de segurança cibernética e vulnerabilidades a ataques físicos.” No mesmo ano, a North American Electric Reliability Corporation (NERC), uma autoridade reguladora internacional sem fins lucrativos, alertou que as redes elétricas dos EUA estão se tornando cada vez mais vulneráveis a ataques, com o número de pontos suscetíveis nas redes elétricas aumentando em cerca de 60 por dia.

Os ataques nos últimos anos demonstram como pequenas violações iniciais, mesmo em sistemas de TI aparentemente isolados, podem ter consequências enormes nas operações:

• Colonial Pipeline: o ataque de 2021 à Colonial Pipeline foi relativamente simples: os invasores usaram credenciais de VPN comprometidas para roubar dados e implantar ransomware em sistemas de TI, incluindo sistemas de faturamento e contabilidade. Para evitar a propagação do ataque ou problemas de faturamento na distribuição de combustível, a Colonial Pipeline interrompeu suas operações. E isso causou pânico, pois as pessoas alarmadas com as manchetes correram para comprar combustível.

• Tratamento de água em Oldsmar, Flórida: no início daquele mesmo ano, alguém acessou remotamente sistemas críticos de uma estação de tratamento de água na pequena cidade de Oldsmar, Flórida, e alterou brevemente os níveis de soda cáustica na água potável. Embora um operador da planta tenha revertido a mudança rapidamente e ninguém tenha sido prejudicado, o incidente destaca como um ataque cibernético pode afetar a saúde e o bem-estar dos membros da comunidade.

Esses tipos de ataques exigem mudanças na forma como as equipes de cibersegurança de TI apoiam as operações. No passado, muitas equipes de segurança de TI e de tecnologia operacional (TO) eram separadas. A segurança de TI se concentrava na defesa contra ameaças cibernéticas, enquanto a TO se concentrava em manter os sistemas em funcionamento.

As ameaças modernas de cibersegurança exigem que as equipes de segurança de TI ampliem suas funções. Elas devem aplicar uma gama completa de recursos de segurança cibernética à TO para evitar interrupções devastadoras.

Por que aplicar tecnologia operacional à segurança de TI?

Os sistemas de TI e TO começaram a convergir há mais de uma década. A implementação de sensores industriais de IoT, sistemas de monitoramento remoto e análises baseadas em nuvem conectou os ambientes de TI e TO.

Essa conexão não só permite a eficiência operacional, mas também abre novos caminhos para adversários. Como o ataque à Colonial Pipeline mostrou, os invasores não precisam mais comprometer um sistema de controle industrial para causar uma grave interrupção operacional. Um notebook comprometido agora oferece um caminho para aquele sistema de controle industrial. Um serviço em nuvem mal configurado pode expor redes de controle de supervisão e aquisição de dados (SCADA).

Aplicar recursos de segurança de TI à TO é essencial para bloquear esses caminhos para invasores. No entanto, poucas infraestruturas críticas adotam uma abordagem unificada que utiliza capacidades de cibersegurança para proteger tanto a TI quanto a TO.

O potencial de perda de dezenas de milhões de dólares por alguns dias de interrupção constitui um forte argumento econômico para a implementação imediata dessa abordagem unificada. Uma plataforma de segurança que evita apenas um dia de inatividade não planejada geralmente se paga no primeiro incidente.

Estratégia de três etapas para aplicar a segurança de TI à tecnologia operacional

Para proteger as operações com segurança de TI, a maioria das organizações de infraestrutura crítica requer uma estratégia em três etapas. Iniciando com as necessidades urgentes, e depois seguindo as práticas recomendadas e uma estrutura baseada em riscos, pode ajudar a lidar com ameaças agora e no futuro.

1. Lidar com os riscos de alta prioridade
   
   Encerrar esquemas de phishing deve ser uma de suas primeiras prioridades. Muitos ataques cibernéticos, contra operadores de infraestrutura crítica e outras organizações, começam com phishing. Os invasores tentam enganar os usuários para que forneçam credenciais de login para sistemas empresariais ou cliquem em links que baixam e espalham malware pela rede da empresa.
   
   Combater o phishing frequentemente exige várias soluções integradas. Por exemplo, implantar uma solução de segurança de e-mail pode impedir que e-mails de phishing cheguem à caixa de entrada dos usuários. E a implementação de uma solução de gateway seguro da web (SWG) pode impedir que os usuários acessem sites maliciosos, mesmo que sejam enganados a clicar em um link malicioso em um e-mail ou mensagem.
   

2. Implementar práticas recomendadas fundamentais de segurança cibernética
   
   Depois de atender às necessidades mais imediatas, é hora de implementar uma abordagem mais abrangente que permita identificar e mitigar vulnerabilidades, proteger sistemas e dados, detectar ameaças e responder rapidamente a ataques.
   
   Identificar: Sua equipe de segurança de TI deve encontrar e resolver todas as vulnerabilidades que possam permitir que invasores interrompam as operações.
   
   Por exemplo, as estações de trabalho de engenharia são frequentemente visadas por invasores porque acessam tanto aplicativos empresariais quanto estações de controle industriais. Essas estações de trabalho normalmente executam softwares de engenharia especializados com privilégios elevados e controles de segurança relaxados. A segurança de TI pode interromper a cadeia de ataque protegendo as estações de trabalho de engenharia com a microssegmentação. Em vez de tratar as estações de trabalho como pontes confiáveis entre redes, você deve usar uma plataforma de segurança que possa monitorar todas as conexões, validar todas as comunicações e isolar instantaneamente qualquer atividade suspeita.
   
   As equipes de segurança também precisam abordar possíveis vulnerabilidades em aplicativos voltados para o público, que frequentemente servem como pontos de entrada iniciais para ataques. A implementação de um firewall de aplicativos web (WAF) pode ajudar a bloquear ameaças em tempo real, mantendo a continuidade operacional.
   
   Proteger: fortalecer os controles de acesso e melhorar a proteção de dados são essenciais para evitar graves interrupções operacionais.
   
   A transição para um modelo de segurança Zero Trust permite que você evite o acesso não autorizado a sistemas de TI, o que pode levar a interrupções operacionais. Com uma solução de acesso à rede Zero Trust, você pode garantir que apenas os usuários corretos com a autorização adequada possam acessar aplicativos específicos. Isso pode ajudar a prevenir qualquer movimento lateral por invasores dentro do seu ambiente ao escanear a rede.
   
   Detectar: as equipes de segurança de TI devem antecipar ameaças emergentes para que possam implementar as medidas preventivas corretas.
   
   Adotar uma plataforma avançada de cibersegurança permite que você analise padrões de ataque em redes globais e identifique campanhas que visam setores industriais específicos ou fornecedores de sistemas de controle. Essa inteligência contra ameaças pode chegar à sua equipe de segurança horas ou dias antes de qualquer ataque real. Sua plataforma de segurança de TI pode, então, bloquear proativamente a infraestrutura de ataque, aplicar a correção em sistemas vulneráveis ou implementar controles compensatórios, tudo isso antes que os sistemas operacionais estejam em risco.
   
   Essa abordagem representa uma mudança fundamental da segurança reativa para a proteção operacional preditiva. A segurança de TI torna-se um sistema de alerta precoce para ameaças à confiabilidade operacional.
   
   Responder: responder a ameaças em tempo real requer automação.
   
   Um serviço de WAF que utiliza aprendizado de máquina pode identificar e bloquear ameaças de forma autônoma em tempo real. Para algumas organizações de infraestrutura crítica, adotar uma solução de centro de operações de segurança (SOC) como serviço será um complemento importante para WAF, DDoS e outras soluções de segurança. O serviço do SOC pode responder rapidamente a ataques, realizar análises de causa raiz, fornecer relatórios completos de incidentes e ajudar a criar planos para futuras contramedidas.
   

3. Adotar uma estrutura informada sobre riscos
   
   Muitos operadores de infraestrutura crítica se beneficiarão ao seguir a Cybersecurity Framework (CSF) do Instituto Nacional de Padrões e Tecnologia (NIST) para gerenciar riscos cibernéticos. A CSF foi projetada para ajudar organizações de todos os tamanhos a entender, avaliar, priorizar e discutir melhor os riscos de cibersegurança. É particularmente útil para gerenciar ambientes complexos, incluindo aqueles em que TI e TO estão convergindo.
   
   Embora a estrutura não recomende soluções específicas, ela pode ajudar a identificar os recursos de segurança necessários e as melhorias de processo. Você pode usar a estrutura para desenvolver uma estratégia eficiente de segurança de TI para manter operações ininterruptas.

Possibilitar a convergência entre TI e TO

Na verdade, a questão não é se a segurança de TI deve proteger os sistemas de TO. É se a sua arquitetura de segurança atual está preparada para seu papel ampliado.

A Cloudflare oferece uma gama completa de recursos de segurança cibernética nativos de nuvem para neutralizar as principais ameaças que podem causar interrupções operacionais para operadores de infraestrutura crítica. Com os serviços da Cloudflare, as organizações podem obter inteligência contra ameaças acionável, bloquear ameaças automaticamente, interromper esquemas de phishing e estabelecer um modelo de Zero Trust para evitar acesso não autorizado à rede. Uma oferta de SOC como serviço permite que as organizações transfiram o monitoramento, a detecção de ameaças e a resposta a incidentes para uma equipe de especialistas.

Esses e outros serviços podem ajudar você a cumprir e superar as proteções cibernéticas recomendadas no NIST CSF. Com a Cloudflare, você pode usar a segurança de TI de forma eficiente e eficaz para mitigar os riscos que causam interrupções operacionais.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.

Saiba mais sobre esse assunto

Saiba mais sobre as práticas recomendadas para projetos de modernização de TI que podem ajudar a fortalecer a segurança e evitar interrupções operacionais no e-book O caminho simples para uma TI eficiente para agências federais.

Autoria

Dan Kent — @danielkent1
Field CTO for Public Sector, Cloudflare

Principais conclusões

Após ler este artigo, você entenderá:

• O impacto de interrupções operacionais para a infraestrutura crítica

• Estratégia em três etapas para aplicar a segurança de TI à tecnologia operacional

• Principais recursos de segurança para proteger a tecnologia operacional

Recursos relacionados

• O caminho simples para uma TI eficiente

• Prioridades de segurança cibernética para governos estaduais e locais

• Reimaginar a resiliência cibernética