© 2015 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Págin...
© 2015 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Págin...
© 2015 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Págin...
© 2015 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Págin...
Próximos SlideShares
Carregando em…5
×

Redes de controle: Mantenha a disponibilidade durante um ataque cibernético

177 visualizações

Publicada em

Redes de controle e sistemas de controle industrial gerenciam a geração e a distribuição de eletricidade, automatizam linhas de produção, controlam sistemas ambientais em grandes edifícios comerciais e hospitais e gerenciam muitos outros processos vitais. Eles também enfrentam um conjunto único de complicações quando se trata de segurança cibernética. A Cisco entende isso e ajuda a proteger redes de controle antes, durante e depois de um ataque sem sacrificar a confiabilidade.

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
177
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
1
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Redes de controle: Mantenha a disponibilidade durante um ataque cibernético

  1. 1. © 2015 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 1 de 4 White paper Redes de controle: Mantenha a disponibilidade durante um ataque cibernético Resumo Redes de controle e sistemas de controle industrial gerenciam a geração e a distribuição de eletricidade, automatizam linhas de produção, controlam sistemas ambientais em grandes edifícios comerciais e hospitais e gerenciam muitos outros processos vitais. Eles também enfrentam um conjunto único de complicações quando se trata de segurança cibernética. A Cisco entende isso e ajuda a proteger redes de controle antes, durante e depois de um ataque sem sacrificar a confiabilidade. As redes de controle são alvo das mesmas ameaças à segurança cibernética enfrentadas por redes corporativas comuns, mas muitos sistemas de controle industrial em operação atualmente foram concebidos durante um tempo em que era suficiente que as redes fossem fisicamente separadas (com segurança air-gap) de suas redes corporativas correspondentes. Presumia-se que um sistema na rede de controle era explicitamente autorizado a estar lá. A conclusão era de que não havia motivo para especificamente autorizar comunicações entre sistemas. Mas em meio ao sensacionalismo que o worm Stuxnet gerou por sua capacidade de sabotar uma rede de controle com segurança air-gap, descobriu-se uma lição importante: a segurança air-gap não é mais eficaz como técnica de segurança cibernética. Ao mesmo tempo, é importante reconhecer que as soluções de segurança cibernética de TI em uso na rede corporativa não podem ser implantadas indistintamente para proteger a rede de controle. As duas equipes de gestão têm prioridades diferentes. A equipe de TI normalmente concentra-se na tríade composta pela confidencialidade, integridade e disponibilidade, nessa ordem. A equipe de tecnologia de operações (OT, operations technology) da rede de controle concentra-se em disponibilidade primeiro, depois em integridade e, por último, em confidencialidade. Quando as redes de controle falham, há riscos reais à segurança da vida humana e do ambiente. A disponibilidade e a confiabilidade são fundamentais e devem sempre ser mantidas. Outra consideração é a facilidade de uso. É comum encontrar a segurança cibernética como uma das muitas funções pelas quais os engenheiros de OT são responsáveis. Portanto, as soluções de segurança cibernética implantadas em ambientes de controle devem ser intuitivas, com requisitos de gerenciamento mínimos. O ciclo de ataque e a defesa em detalhes Por muitos anos, o senso comum se concentrou exclusivamente em uma defesa baseada no perímetro, com a missão de manter todos os invasores do lado de fora. Pouca atenção era dada ao que acontecia dentro da corporação, em detrimento de mais de uma empresa. Apesar de toda a eficácia de uma parede boa e sólida, ela protege apenas contra certos tipos de ataque. Basta uma porta aberta, intencionalmente ou não, para inutilizar a mais grossa das paredes.
  2. 2. © 2015 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 2 de 4 Hoje, o senso comum é esperar um ataque bem-sucedido e projetar e defender uma rede com um método de defesa detalhada para reduzir os danos. Esse método envolve uma estratégia de várias camadas e várias tecnologias para proteger os ativos mais importantes de uma empresa, conforme determinado por estoques de ativos, análises de continuidade de negócios e análises de risco. Outra mudança de pensamento importante é reconhecer que a segurança cibernética não é um exercício de point- in-time. Em vez disso, ela deve ser vista como um processo contínuo, em constante evolução. A estratégia da Cisco, portanto, concentra-se no ciclo do ataque completo. O ciclo do ataque completo pode ser dividido em três fases, antes, durante e depois de um ataque, e cada fase consiste de uma série de atividades. Por exemplo, para o invasor, a fase "antes" consiste da pesquisa da rede- alvo e do planejamento do ataque, enquanto a extração ou destruição de dados ocorrerá, logicamente, na fase "durante". O que às vezes é negligenciado é a fase "depois", quando os invasores podem permanecem ocultos por dias, semanas ou meses enquanto completam sua missão e estabelecem o "primeiro território" para ataques subsequentes. Mas se queremos impedir que a história se repita, o impedimento dos ataques não pode se concentrar apenas em detecção e bloqueio. A análise contínua após um ataque é vital para minimizar os danos e adaptar as defesas antes do ataque seguinte. A Cisco oferece proteção ao longo de todas as fases do ciclo do ataque através de pesquisa, monitoramento e resposta em tempo real e análise contínua de eventos e tráfego para detectar tendências e técnicas de evasão. Aplicação da segurança cibernética a redes de controle Antes O ditado "um homem prevenido vale por dois" é um princípio-chave na estratégia da Cisco. O Cisco Talos Security Intelligence and Research Group analisa milhões de tipos de malware anualmente e atualiza o conteúdo da regra regularmente, para manter os clientes atualizados para se defender contra as ameaças mais recentes. Nossa biblioteca de regras inclui conteúdo específico do sistema de controle industrial (ICS, industrial control system) para protocolos comuns do setor. Conteúdo personalizado pode ser criado por nossos clientes e por outros terceiros e importado para nossa biblioteca de regras, independentemente de o conteúdo ter sido criado em nosso produto comercial ou em nosso produto Snort® de fonte aberta. Essa flexibilidade facilita o compartilhamento de conteúdo dentro da comunidade, em vez de exigir que cada cliente crie conteúdo personalizado do zero. Para usar essa pesquisa, primeiro você deve saber o que está protegendo e onde isso está, mas não é tão fácil quanto parece em uma rede de controle. Os sistemas de controle industrial, como unidades terminais remotas (RTUs, remote terminal units) e controladores lógicos programáveis (PLCs, programmable logic controllers), normalmente são criados para realizar uma tarefa específica, e muitos executam sistemas operacionais proprietários com a quantidade mínima de poder de processamento e memória. Portanto, mesmo os métodos de descoberta mais básicos, como uma varredura de porta, podem concebivelmente derrubar esses sistemas de controle industrial. A Cisco é capaz de analisar passivamente redes de controle sem estar em linha. Essa habilidade significa que não introduziremos latências de comunicação entre sistemas de controle e não precisamos fazer uma varredura agressiva da rede de controle. Logo, parâmetros de comportamento e padrões de comunicação podem ser estabelecidos em listas brancas, nas quais somente tráfego anômalo é inspecionado, e comunicações aprovadas estão autorizadas a circular livremente, o que é normalmente desejado em redes de controle.
  3. 3. © 2015 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 3 de 4 Os sistemas operacionais comerciais, como o Microsoft Windows XP, fizeram incursões no mundo dos sistemas de controle nos últimos anos, particularmente com sistemas de interface homem-máquina (HMI, human-machine interface) e historiadores. O uso de sistemas operacionais comerciais proporcionou um benefício aos fabricantes. Eles não precisam dedicar esforços para desenvolver sistemas operacionais proprietários, e os proprietários de ativos desfrutam de maior interoperabilidade entre os equipamentos dos fornecedores. Mas esses sistemas de controle enfrentam um aumento nas vulnerabilidades da segurança devido à complexidade da base de código do sistema operacional. A interconectividade em si cria outro vetor de ataque. Embora fornecedores comerciais lancem correções de falhas de segurança regularmente, corrigir falhas de sistemas em uma rede de controle não é o mesmo que corrigir falhas de sistemas em uma rede de TI. Os ciclos de correção de falhas de sistemas de controle são muito mais longos e exigem testes extensivos, a fim de proteger a confiabilidade da rede de controle. A Cisco oferece controles de compensação e maior foco em segurança nesses sistemas, enquanto eles estão vulneráveis e sem correção de falhas. Durante Uma nação sonda sua rede corporativa procurando acesso a sua rede de controle. Um smartphone é conectado a um sistema de gerenciamento para recarregar a bateria e libera malware na rede. Um novo dispositivo em uma subestação começa a se comunicar com um sistema de gerenciamento, que por sua vez começa a se comunicar com outros sistemas com os quais não havia se comunicado anteriormente. Um hacker adolescente usa um mecanismo de pesquisa específico para localizar um sistema que foi inadvertidamente conectado à Internet e tenta um ataque forçado para assumir o controle do sistema. Os ataques podem ser rápidos e descarados ou lentos e sutis. Eles podem ser diretos ou um intermediário pode facilitá-los sem saber. Os ataques podem comprometer a segurança física tanto quanto comprometem a confiabilidade da rede. A Cisco monitora seu perímetro e a rede interna para detectar ataques, comportamento anômalo, violações de função, malware avançada e assim por diante, com uma única plataforma de dispositivo. Os dispositivos estão disponíveis como hardware ou dispositivos virtuais. Terminais e dispositivos móveis também podem ser monitorados quanto a malware avançado. Você determina quais recursos deseja disponibilizar com base em seus requisitos, orçamento e cronogramas. Não é necessário adicionar mais hardware, e você pode evoluir sua implantação ao longo do tempo. Quando anomalias, violações de política ou indicadores de risco são detectados, as soluções de segurança da Cisco podem responder em um modo somente de alerta ou automaticamente tomar medidas para conter a ameaça após a detecção. A escolha é sua. Você também pode ter o controle para definir políticas de resposta com base em segmento de rede, para que respostas em segmentos vitais exijam aprovação humana antes de serem executadas. O monitoramento, a geração de relatórios e o gerenciamento são todos realizados por meio de um único console central.
  4. 4. © 2015 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 4 de 4 Depois Dizem que nenhum plano sobrevive ao contato com o inimigo. A realidade é que as táticas dos invasores evoluem rapidamente, e as defesas devem acompanhá-las rapidamente. O que pode parecer inofensivo hoje pode ser descoberto depois como um ataque engenhosamente disfarçado. Como defender vulnerabilidades que ainda não são conhecidas? A abordagem à segurança da Cisco centrada em ameaças inclui um recurso contínuo, sempre analisando dados de eventos e rede e buscando padrões e anomalias. Quando eles são descobertos, nosso recurso de segurança retrospectiva determina a origem e o âmbito do risco, contém o ataque e elimina o malware. Com essa inteligência, é possível atualizar as proteções para reduzir a chance de reinfecção. Conclusão A segurança air-gap não é mais garantia contra invasões. E a crescente conectividade que traz eficiências operacionais para redes de controle também trouxe uma série de vulnerabilidades e uma maior superfície de ataque. Embora essas ameaças sejam semelhantes àquelas enfrentadas por redes de TI corporativas, os requisitos específicos de redes de controle significam que as soluções de segurança cibernética não atendem a todos igualmente. A Cisco entende isso. Nosso avançado portfólio de segurança cibernética ajuda a proteger suas redes antes, durante e depois de um ataque sem sacrificar a confiabilidade. Impresso nos EUA 11/14

×