Redes de controle e sistemas de controle industrial gerenciam a geração e a distribuição de eletricidade, automatizam linhas de produção, controlam sistemas ambientais em grandes edifícios comerciais e hospitais e gerenciam muitos outros processos vitais. Eles também enfrentam um conjunto único de complicações quando se trata de segurança cibernética. A Cisco entende isso e ajuda a proteger redes de controle antes, durante e depois de um ataque sem sacrificar a confiabilidade.

1. © 2015 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 1 de 4
White paper
Redes de controle:
Mantenha a disponibilidade durante um ataque
cibernético
Resumo
Redes de controle e sistemas de controle industrial gerenciam a geração e a distribuição de eletricidade,
automatizam linhas de produção, controlam sistemas ambientais em grandes edifícios comerciais e hospitais e
gerenciam muitos outros processos vitais. Eles também enfrentam um conjunto único de complicações quando se
trata de segurança cibernética. A Cisco entende isso e ajuda a proteger redes de controle antes, durante e depois
de um ataque sem sacrificar a confiabilidade.
As redes de controle são alvo das mesmas ameaças à segurança cibernética enfrentadas por redes corporativas
comuns, mas muitos sistemas de controle industrial em operação atualmente foram concebidos durante um tempo
em que era suficiente que as redes fossem fisicamente separadas (com segurança air-gap) de suas redes
corporativas correspondentes. Presumia-se que um sistema na rede de controle era explicitamente autorizado a
estar lá. A conclusão era de que não havia motivo para especificamente autorizar comunicações entre sistemas.
Mas em meio ao sensacionalismo que o worm Stuxnet gerou por sua capacidade de sabotar uma rede de controle
com segurança air-gap, descobriu-se uma lição importante: a segurança air-gap não é mais eficaz como técnica
de segurança cibernética.
Ao mesmo tempo, é importante reconhecer que as soluções de segurança cibernética de TI em uso na rede
corporativa não podem ser implantadas indistintamente para proteger a rede de controle. As duas equipes de
gestão têm prioridades diferentes. A equipe de TI normalmente concentra-se na tríade composta pela
confidencialidade, integridade e disponibilidade, nessa ordem. A equipe de tecnologia de operações (OT,
operations technology) da rede de controle concentra-se em disponibilidade primeiro, depois em integridade e, por
último, em confidencialidade. Quando as redes de controle falham, há riscos reais à segurança da vida humana e
do ambiente. A disponibilidade e a confiabilidade são fundamentais e devem sempre ser mantidas.
Outra consideração é a facilidade de uso. É comum encontrar a segurança cibernética como uma das muitas
funções pelas quais os engenheiros de OT são responsáveis. Portanto, as soluções de segurança cibernética
implantadas em ambientes de controle devem ser intuitivas, com requisitos de gerenciamento mínimos.
O ciclo de ataque e a defesa em detalhes
Por muitos anos, o senso comum se concentrou exclusivamente em uma defesa baseada no perímetro, com a
missão de manter todos os invasores do lado de fora. Pouca atenção era dada ao que acontecia dentro da
corporação, em detrimento de mais de uma empresa. Apesar de toda a eficácia de uma parede boa e sólida, ela
protege apenas contra certos tipos de ataque. Basta uma porta aberta, intencionalmente ou não, para inutilizar a
mais grossa das paredes.

2. © 2015 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 2 de 4
Hoje, o senso comum é esperar um ataque bem-sucedido e projetar e defender uma rede com um método de
defesa detalhada para reduzir os danos. Esse método envolve uma estratégia de várias camadas e várias
tecnologias para proteger os ativos mais importantes de uma empresa, conforme determinado por estoques de
ativos, análises de continuidade de negócios e análises de risco.
Outra mudança de pensamento importante é reconhecer que a segurança cibernética não é um exercício de point-
in-time. Em vez disso, ela deve ser vista como um processo contínuo, em constante evolução. A estratégia da
Cisco, portanto, concentra-se no ciclo do ataque completo.
O ciclo do ataque completo pode ser dividido em três fases, antes, durante e depois de um ataque, e cada fase
consiste de uma série de atividades. Por exemplo, para o invasor, a fase "antes" consiste da pesquisa da rede-
alvo e do planejamento do ataque, enquanto a extração ou destruição de dados ocorrerá, logicamente, na fase
"durante". O que às vezes é negligenciado é a fase "depois", quando os invasores podem permanecem ocultos
por dias, semanas ou meses enquanto completam sua missão e estabelecem o "primeiro território" para ataques
subsequentes. Mas se queremos impedir que a história se repita, o impedimento dos ataques não pode se
concentrar apenas em detecção e bloqueio. A análise contínua após um ataque é vital para minimizar os danos e
adaptar as defesas antes do ataque seguinte. A Cisco oferece proteção ao longo de todas as fases do ciclo do
ataque através de pesquisa, monitoramento e resposta em tempo real e análise contínua de eventos e tráfego
para detectar tendências e técnicas de evasão.
Aplicação da segurança cibernética a redes de controle
Antes
O ditado "um homem prevenido vale por dois" é um princípio-chave na estratégia da Cisco. O Cisco Talos Security
Intelligence and Research Group analisa milhões de tipos de malware anualmente e atualiza o conteúdo da regra
regularmente, para manter os clientes atualizados para se defender contra as ameaças mais recentes. Nossa
biblioteca de regras inclui conteúdo específico do sistema de controle industrial (ICS, industrial control system)
para protocolos comuns do setor. Conteúdo personalizado pode ser criado por nossos clientes e por outros
terceiros e importado para nossa biblioteca de regras, independentemente de o conteúdo ter sido criado em nosso
produto comercial ou em nosso produto Snort® de fonte aberta. Essa flexibilidade facilita o compartilhamento de
conteúdo dentro da comunidade, em vez de exigir que cada cliente crie conteúdo personalizado do zero.
Para usar essa pesquisa, primeiro você deve saber o que está protegendo e onde isso está, mas não é tão fácil
quanto parece em uma rede de controle. Os sistemas de controle industrial, como unidades terminais remotas
(RTUs, remote terminal units) e controladores lógicos programáveis (PLCs, programmable logic controllers),
normalmente são criados para realizar uma tarefa específica, e muitos executam sistemas operacionais
proprietários com a quantidade mínima de poder de processamento e memória. Portanto, mesmo os métodos de
descoberta mais básicos, como uma varredura de porta, podem concebivelmente derrubar esses sistemas de
controle industrial. A Cisco é capaz de analisar passivamente redes de controle sem estar em linha. Essa
habilidade significa que não introduziremos latências de comunicação entre sistemas de controle e não
precisamos fazer uma varredura agressiva da rede de controle. Logo, parâmetros de comportamento e padrões
de comunicação podem ser estabelecidos em listas brancas, nas quais somente tráfego anômalo é inspecionado,
e comunicações aprovadas estão autorizadas a circular livremente, o que é normalmente desejado em redes de
controle.

3. © 2015 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 3 de 4
Os sistemas operacionais comerciais, como o Microsoft Windows XP, fizeram incursões no mundo dos sistemas
de controle nos últimos anos, particularmente com sistemas de interface homem-máquina (HMI, human-machine
interface) e historiadores. O uso de sistemas operacionais comerciais proporcionou um benefício aos fabricantes.
Eles não precisam dedicar esforços para desenvolver sistemas operacionais proprietários, e os proprietários de
ativos desfrutam de maior interoperabilidade entre os equipamentos dos fornecedores. Mas esses sistemas de
controle enfrentam um aumento nas vulnerabilidades da segurança devido à complexidade da base de código do
sistema operacional. A interconectividade em si cria outro vetor de ataque. Embora fornecedores comerciais
lancem correções de falhas de segurança regularmente, corrigir falhas de sistemas em uma rede de controle não
é o mesmo que corrigir falhas de sistemas em uma rede de TI. Os ciclos de correção de falhas de sistemas de
controle são muito mais longos e exigem testes extensivos, a fim de proteger a confiabilidade da rede de controle.
A Cisco oferece controles de compensação e maior foco em segurança nesses sistemas, enquanto eles estão
vulneráveis e sem correção de falhas.
Durante
Uma nação sonda sua rede corporativa procurando acesso a sua rede de controle. Um smartphone é conectado a
um sistema de gerenciamento para recarregar a bateria e libera malware na rede. Um novo dispositivo em uma
subestação começa a se comunicar com um sistema de gerenciamento, que por sua vez começa a se comunicar
com outros sistemas com os quais não havia se comunicado anteriormente. Um hacker adolescente usa um
mecanismo de pesquisa específico para localizar um sistema que foi inadvertidamente conectado à Internet e
tenta um ataque forçado para assumir o controle do sistema.
Os ataques podem ser rápidos e descarados ou lentos e sutis. Eles podem ser diretos ou um intermediário pode
facilitá-los sem saber. Os ataques podem comprometer a segurança física tanto quanto comprometem a
confiabilidade da rede.
A Cisco monitora seu perímetro e a rede interna para detectar ataques, comportamento anômalo, violações de
função, malware avançada e assim por diante, com uma única plataforma de dispositivo. Os dispositivos estão
disponíveis como hardware ou dispositivos virtuais. Terminais e dispositivos móveis também podem ser
monitorados quanto a malware avançado. Você determina quais recursos deseja disponibilizar com base em seus
requisitos, orçamento e cronogramas. Não é necessário adicionar mais hardware, e você pode evoluir sua
implantação ao longo do tempo. Quando anomalias, violações de política ou indicadores de risco são detectados,
as soluções de segurança da Cisco podem responder em um modo somente de alerta ou automaticamente tomar
medidas para conter a ameaça após a detecção. A escolha é sua. Você também pode ter o controle para definir
políticas de resposta com base em segmento de rede, para que respostas em segmentos vitais exijam aprovação
humana antes de serem executadas. O monitoramento, a geração de relatórios e o gerenciamento são todos
realizados por meio de um único console central.

4. © 2015 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 4 de 4
Depois
Dizem que nenhum plano sobrevive ao contato com o inimigo. A realidade é que as táticas dos invasores evoluem
rapidamente, e as defesas devem acompanhá-las rapidamente. O que pode parecer inofensivo hoje pode ser
descoberto depois como um ataque engenhosamente disfarçado. Como defender vulnerabilidades que ainda não
são conhecidas? A abordagem à segurança da Cisco centrada em ameaças inclui um recurso contínuo, sempre
analisando dados de eventos e rede e buscando padrões e anomalias. Quando eles são descobertos, nosso
recurso de segurança retrospectiva determina a origem e o âmbito do risco, contém o ataque e elimina o malware.
Com essa inteligência, é possível atualizar as proteções para reduzir a chance de reinfecção.
Conclusão
A segurança air-gap não é mais garantia contra invasões. E a crescente conectividade que traz eficiências
operacionais para redes de controle também trouxe uma série de vulnerabilidades e uma maior superfície de
ataque. Embora essas ameaças sejam semelhantes àquelas enfrentadas por redes de TI corporativas, os
requisitos específicos de redes de controle significam que as soluções de segurança cibernética não atendem a
todos igualmente. A Cisco entende isso. Nosso avançado portfólio de segurança cibernética ajuda a proteger suas
redes antes, durante e depois de um ataque sem sacrificar a confiabilidade.
Impresso nos EUA 11/14