Enquanto o aparato industrial estava totalmente separado do ambiente de TI, a estrutura operacional era praticamente livre do risco cibernético. Ou mesmo de violações internas, perpetradas a partir de endpoints via conexões dedicadas.
Mas a gestão integrada de negócios, cujo maior representante é o ERP, impõe que atividades de planejamento, logística, supply-chain, finanças, recursos humanos, manutenção, e até o marketing, tenham acesso a dados de monitoração de máquinas. E isso se estende a tópicos como armazéns, tanques, rede elétrica, condicionadores de ambiente, sistemas hidráulicos, fornos etc.
Deste processo de junção, que é galopante e não atrelado a um planejamento na origem, emerge uma diversidade de novos dispositivos, agentes e processos ligados “à rede”. São pontos de conexão cujos protocolos de integração de origem são incompatíveis com os softwares de gerenciamento e segurança criados para o mundo da TI.
Já é grande o desafio da visibilidade na rede nativa de computação, onde cada elemento está associado a um processador ou a um endereço numerado. Mas no caso da infraestrutura operacional (agora tecnicamente abraçada pelo paradigma TO – de “Tecnologia Operacional”), o problema é bem mais complicado.
Tome-se uma mineradora. Ali, as conexões com a Internet agora passam a abranger equipamentos pesados, alguns bem “brutos”, quase sempre remotos, de difícil inventário e localização pontual, dado a sua constante movimentação.
Estamos falando, nesse caso, de itens como analisadores de rochas, perfuratrizes, equipamentos de detonação de explosivos, filtros, moinhos e veículos pesados ligados ou não à Rede CAN.
A integração inevitável dessa parafernália industrial, controlada por protocolo SCADA (ou similares), foi acontecendo de modo vertiginoso e num movimento sem volta. Mas, em grande parte, com o apoio de soluções de TO pontuais num processo de convergência não absolutamente controlado.
Mapeamento e visibilidade da estrutura operacional
Em ambientes de informação convergente, que abrangem os processos relacionados à TI e TO, a aplicação de políticas de segurança pode se tornar extremamente onerosa considerando-se as inúmeras ramificações da WAN e dispersão da estrutura operacional. Sem falar no grande conjunto de processos síncronos e assíncronos a depender de supervisores especializados (ou owners).
Enxergar, mapear e classificar essa diversidade de objetos, muitas vezes dispersos em várias plantas distantes, exige a implantação de instrumentos de consciência de rede baseadas em tecnologias de varredura para determinar a individualidade de cada um dos ativos e suas malhas de relacionamento no ciclo de processo.
A partir daí, a TO caminha para o mapeamento rigoroso da superfície de ataque; ou seja do possível campo de ação de ação do cibercriminosos, considerando seus interesses e seu arsenal de ataques. Sem este pré-requisito não se pode falar em políticas de TO e, bem pior do que a “Shadow IT”, vai se avolumando como bola de neve uma “shadow OT”.
De acordo com pesquisadores do Gartner, essa superfície de ataque ampliada pela TO está se tornando um dos principais alvos das abordagens de ransomware e será o maior campo de ação dos hackers, já tendo crescido 300% em 2021 e devendo superar com folga os ataques de TI em 2025.
Para muitos pesquisadores, a segregação entre TI e TO, se bem realizada, poderia reduzir a complexidade e tamanho da nova superfície de ataques, mas ela seria muito cara. Além disso, o avanço de sensores de dados em máquinas operatrizes, processos contínuos e infraestrutura eletromecânica (IIoT) torna impraticável tais segregações. A saída, quase nem é preciso explicitar, aponta pra uma convergência das políticas de segurança de TI/TO com o emprego de uma plataforma unificada.
Monitoramento de eventos de TI e TO
O Centro de Operação de Segurança (SCO) é a maneira mais pragmática e lógica de se endereçar o controle da superfície de risco em toda a sua dimensão e diversidade. E a possibilidade de se contar com um serviço especializado, focado nessa problemática, representa um caminho mais viável do que a aquisição de ativos de segurança ou manutenção de equipes multidisciplinares para projetos, desenvolvimento, integração, suporte e supervisão dessa camada.
Empresas detentoras de plantas de produção de indústrias nas áreas como Energia, Petróleo, Mineração, Manufatura, Saneamento, Construção Pesada e Indústria Naval em todo o mundo vêm adotando a solução de SCO da Fortinet. Através dela, se obtém menor custo de propriedade e maior eficiência na aplicação de políticas convergentes de segurança para a tecnologia operacional e de TI.
Através do SCO os times de analistas de dados e arquitetos de segurança empregam tecnologias de firewall distribuídas de próxima geração em todos os pontos estratégicos da superfície de risco e monitoram eventos do fluxo da rede de modo ubíquo em regime de 7/24. Entre as tecnologias empregadas, destaca-se o Siem.
Com ele, a gestão de TI/TO reúne, numa única solução escalável: visibilidade de eventos, correlação, resposta automática e remediação. Ele reduz a complexidade do gerenciamento das operações de rede e de segurança, liberando recursos e melhorando a detecção e prevenção de violações.
O SIEM pode combinar análises tradicionalmente monitoradas em silos separados do centro de operações de segurança (SOC) e do centro de operações de rede (NOC).
A First Tech possui soluções robustas e modernas para monitoramento e detecção de incidentes de segurança em TI e TO, o First Operation Center – SOC.
Clique aqui para saber mais e, fique a vontade para entrar em contato e saber como garantir um ambiente mais seguro em seu negócio.