Aplicação de tecnologias antimalware em ambientes OT

Como comentávamos nesta entrada, a organização ENISA (European Union Agency for Network and Information Security) publica no seu relatório “ENISA Threat Landscape 2014” que o aparecimento de malware específico ou malware que utiliza vulnerabilidades associadas aos sistemas CPS (Cyber Physical Systems) para alcançar os seus objetivos, se situa no primeiro lugar das ameaças emergentes. Tendo em conta este contexto, parece recomendável levar a cabo políticas, procedimentos e padrões que ajudem a mitigar, minimizar e, se possível, eliminar este tipo de ameaças.

Por outro lado, a incorporação de tecnologias que sustentem a aplicação de tais procedimentos é uma boa prática. Entre estas tecnologias, encontram-se as soluções antimalware. Trata-se de programas que podem ser instalados tanto em hosts, servidores ou em firewalls, que detetam vírus e malware comparando os arquivos armazenados nestes equipamentos com uma base de dados de assinaturas (que é atualizada, em muitas ocasiões, de hora em hora) na qual se recolhem todos os vírus e malware conhecidos. Além de detetar, estes sistemas procedem à eliminação e/ou colocação em quarentena dos arquivos infetados.

O que acontece quando queremos utilizar este tipo de tecnologias em ambientes OT? Que devemos estar conscientes da idiosincrasia destes ambientes para que a incorporação destas soluções não afete a disponibilidade e o ótimo funcionamento do processo produtivo. Em particular, é preciso considerar que, nos ambientes OT, existem sistemas ou CPS (como indica o relatório ENISA) que:

• São críticos e, em muitas ocasiões, não podem ser parados nem reiniciados para realizar atualizações.
• Ficaram obsoletos e já não dispõem de suporte por parte do fabricante do antivírus.
• Estão isolados e não podem ser atualizados pela rede.

Existem soluções antimalware não invasivas e que não degradem o desempenho dos sistemas críticos? A resposta é afirmativa.

Naqueles equipamentos em que, por razões de segurança, não possam ligar-se à Internet (nem sequer através de um servidor localizado numa zona desmilitarizada no qual se descarreguem as assinaturas atualizadas); não seja permitida a instalação de software antimalware porque o SO já não é suportado (recordemos que, nos ambientes OT, o SO mais utilizado é o XP sem suporte por parte da Microsoft) ou porque o próprio fabricante do sistema HMI, SCADA, OPCServer, Historian, MES desaconselha a sua instalação, a solução passa por realizar uma proteção em modo offline.

Alguns fabricantes proporcionam a possibilidade de realizar a análise de diferentes equipamentos, utilizando para isso um “antimalware portátil”. Este antimalware encontra-se instalado numa pen USB que se liga ao equipamento. Sem instalar qualquer tipo de biblioteca ou arquivo, realiza-se a análise e posterior limpeza de malware.

Outra opção para realizar esta proteção “offline” é a instalação de agentes que permitam levar a cabo o que se conhece como “whitelisting” de aplicações, ou “lockdown”. Neste caso, o agente mapeia todos os executáveis existentes num determinado equipamento (.exe, .dll, etc…), determinam-se que estes são os programas que podem ser lançados/executados a partir deste equipamento e, a partir do momento em que se realiza o bloqueio ou “lockdown”, qualquer aplicação que queira ser instalada ou qualquer executável malicioso que queira ser implementado não poderá fazê-lo, já que não é uma aplicação autorizada para o fazer.

Para finalizar e a título de conclusões:

• A segurança dos ambientes OT pode ser afetada pelo efeito de distintos tipos de malware e de APTs.
• Devem ser incorporadas soluções que protejam destas ameaças, mas tendo em conta a idiosincrasia dos setores industriais e de infraestruturas (em particular, evitando a degradação do desempenho do sistema).