Como é que a Logitek implementa a defesa de aplicações críticas
A estratégia de defesa em profundidade diz-nos para protegermos as aplicações críticas que estão a ser executadas nos equipamentos ou, devido à própria criticidade da aplicação, para tomarmos...
As estratégias de defesa em profundidade propõem aplicar diferentes mecanismos de proteção a diferentes níveis dentro de uma instalação ICS OT. Desta forma, caso uma camada de proteção falhe, existirão outras camadas interiores que evitarão a materialização do ataque, diminuindo assim o nível de risco operativo que os ativos industriais possam ter.
Em publicações anteriores, falou-se sobre como proteger os perímetros da rede, como aumentar o nível de proteção da rede interna e como proteger o próprio equipamento.
No entanto, existem ameaças e vetores de ataque que não utilizam a rede para atingir os seus fins, por exemplo, uma campanha de phishing combinada com o uso de meios amovíveis (discos DVD, chaves USB ou outros gadgets que possam ser conectados a um equipamento), podem propagar-se pela própria ação humana de curiosidade, fazendo com que o código malicioso possa saltar proteções de rede, de perímetro e até do próprio equipamento (falta de aplicação de patches e/ou atualizações).
A proteção do host, como vimos, baseia-se principalmente no uso de tecnologias que se baseiam em assinaturas para detetar e bloquear ataques ou diferentes tipos de Malware, o que requer que estas tecnologias estejam a atualizar continuamente a sua base de dados de ataques conhecidos para serem eficazes.
Estas proteções, mesmo sendo eficazes, não garantem 100% de proteção ou, inclusive, em ambientes ICS OT, onde muitas vezes nos deparamos com equipamentos que não podem ter uma proteção de endpoint instalada, seja por motivos de obsolescência do próprio equipamento ou por motivos de incompatibilidades com a aplicação de controlo industrial.
Nestes casos, a estratégia de defesa em profundidade diz-nos para protegermos as aplicações que estão a ser executadas nestes equipamentos ou, devido à própria criticidade da aplicação, para tomarmos medidas de proteção específicas.
O que significa a proteção de uma aplicação?
Uma aplicação, como qualquer outro software, trata-se de um programa que executa uma série de instruções para levar a cabo uma função em particular. Qualquer programa pode conter falhas de programação que podem ser potencialmente aproveitadas com fins maliciosos.
Uma demonstração disso são as constantes notícias de descoberta de novas vulnerabilidades em aplicações famosas, sistemas operativos, etc.
Outra ameaça das aplicações são os malware que possam ter saltado a proteção do equipamento e “infetado” a aplicação, modificando os seus ficheiros executáveis ou as suas bibliotecas. Com esta ação, a execução da aplicação encadeia a execução de “algo mais” no equipamento e este “algo mais” pode materializar certas ameaças que, em função do ambiente do processo, podem ter graves consequências a nível económico, físico, de copyright, legal e/ou legislativo.
Portanto, para a proteção da aplicação é necessário:
- Que a própria aplicação disponha de mecanismos próprios para a autenticação dos utilizadores.
- Disponha também de mecanismos de autorização para delimitar que ações podem ser executadas por cada um dos utilizadores autenticados.
- Disponha também de mecanismos de rastreabilidade das ações realizadas e das alterações realizadas caso seja oportuno.
- Dispor de mecanismos de atualização, tanto em modo online como offline.
Como podemos proteger as aplicações?
Desde a Logitek seguimos uma dupla estratégia para a proteção das aplicações:
1. Solução de limitação e verificação do software
Por um lado, mediante uma solução de limitação e verificação do software que pode ser executado em cada um dos equipamentos.
Graças ao whitelisting de aplicações, protegemos a execução de software ao garantir:
- A aplicação não foi modificada. Esta solução armazena uma assinatura digital de cada aplicação (executáveis) e das suas bibliotecas (dll, etc.) para certificar a integridade e a não existência de nenhuma modificação nas mesmas.
- Apenas as aplicações autorizadas podem ser executadas, impedindo a execução de qualquer outro código.
- Um baixo impacto no equipamento e compatibilidade com sistemas operativos obsoletos (Windows NT, XP, 2003 Server, etc.)
2. Soluções para analisar o fluxo de execução
Por outro lado, existem soluções capazes de analisar o fluxo de execução das aplicações e evitar que esse fluxo se desvie do comportamento normal. Virsec Trusted ExecutionTM é um exemplo deste tipo de soluções.
Composto por:
- Um pequeno agente que se instala nos servidores com as aplicações críticas.
- Um módulo de análise e mapeamento da estrutura de memória RAM que utiliza o fluxo de execução das aplicações críticas.
- Um módulo de relatórios, visualização, alerta, gestão, etc.
Quando a aplicação está protegida por Virsec Trusted ExecutionTM significa que o seu fluxo normal de operação foi mapeado, a partir de então, nenhuma instrução de CPU nem o uso de nenhuma estrutura de memória RAM diferente do mapeado será permitida, evitando assim que, ainda que a aplicação tenha sido vulnerabilizada ou infetada, não se possa executar o código malicioso.
Portanto, esta solução:
- Protege de ataques 0-day.
- Protege de vulnerabilidades 0-day.
- Não tem um impacto de latências na execução da aplicação.
- Evita ataques de memória.
- Evita ataques FileLess (ataques que não modificam ficheiros de disco).
- Evita modificações de registo.
- Evita injeções de DLL.
- Evita a execução de exploits.
- Não depende de assinaturas nem atualizações.
- Não tem falsos positivos.
Em resumo, garante que as aplicações executam o código pelo qual estiveram programas, independentemente de disporem ou não de vulnerabilidades.
Links relacionados com defesa em profundidade
- Estratégia de Defesa em profundidade em cibersegurança industrial.
- Como a Logitek implementa a defesa perimetral.
- Como a Logitek implementa a defesa da rede interna.
- Defesa em profundidade.
Para mais informações, não hesite em contactar-nos.
