Como é que a Logitek implementa a defesa dos equipamentos

As estratégias de defesa em profundidade propõem aplicar diferentes mecanismos de proteção a diferentes níveis dentro de uma instalação ICS OT.

Em publicações anteriores, falou-se de como proteger os perímetros da rede e como aumentar o nível de proteção da rede interna. No entanto, existem ameaças que utilizam outros vetores de acesso para os seus ataques de cibersegurança (por exemplo, a utilização de suportes amovíveis ou sistemas de comunicação – e-mail, páginas Web, etc.).

Por conseguinte, é necessário implementar sistemas de proteção para os próprios equipamentos ligados no conjunto das nossas redes. Estes mecanismos devem contemplar as seguintes linhas de fortificação:

• Capacidade de detetar e bloquear as ações do malware conhecido.
• Capacidade de proteger as comunicações de entrada e saída do equipamento, detetando e bloqueando ataques conhecidos.
• Dispor de capacidades de heurística que, em função do comportamento normal do equipamento, possa detetar ataques 0-day.
• Capacidade de deter a execução de aplicações não permitidas ou White-Listing de aplicações.
• Capacidade de alerta e reporting.
• Opcionalmente, disponham de consolas centrais de administração para permitir a gestão de uma multiplicidade de equipamentos de forma ágil e simultânea.

E, desta forma, conseguir um parque de equipamentos protegidos e vigiados de maneira simples para evitar os principais vetores de ataque, como são: o malware e/ou a exploração de vulnerabilidades não corrigidas.

É importante realçar a necessidade de proteger os ativos de vulnerabilidades não corrigidas, ou “virtual patching”. A instalação de patches nos sistemas base dos equipamentos no mundo OT costuma ser uma das principais dores de cabeça dos responsáveis pela cibersegurança. A instalação de patches tem riscos inerentes:

• Os patches podem mudar o comportamento do sistema base e, por sua vez, pode comprometer o correto funcionamento das aplicações industriais que se executam sobre este. Por conseguinte, antes de instalar qualquer patch, deve assegurar-se de que este é suportado pelo software industrial.
• A instalação dos patches costuma requerer reinícios dos equipamentos. Este facto obriga, em muitos casos, a que a aplicação de patches se realize durante paragens programadas de manutenção, que não costumam ser muito frequentes, pelo que o equipamento fica exposto durante semanas/meses/anos? a essa vulnerabilidade.
• Não aplicar o patch = aumentar a superfície de exposição do equipamento a eventuais ataques informáticos.

A proteção dos equipamentos baseados em “virtual patching” permite reduzir drasticamente o fator de exposição do equipamento, assim como o tempo em que este se encontra em risco pela falta de instalação de patches, sem os inconvenientes de instalar esses patches.

Em ambientes industriais, os equipamentos existem porque têm uma função explícita e esta costuma estar implementada num conjunto reduzido e limitado de aplicações. Nestes casos, a proteção dos equipamentos informáticos em OT pode aumentar-se ainda mais utilizando sistemas que restrinjam que aplicações estão permitidas de executar-se.

Gerar uma lista das aplicações que o equipamento pode colocar em memória para serem executadas (whitelist) e evitar que qualquer outro código se execute, malicioso ou não, evita a infeção e propagação de malware de forma fácil e eficaz, além de evitar que certos equipamentos se utilizem para fins não concebidos.

A utilização de listas brancas é muito útil em ambientes OT, já que estas soluções não costumam requerer nem o reinício nem a atualização de nenhum tipo para funcionar corretamente, pelo que nos permite proteger o equipamento sem introduzir paragens de atualização ou de manutenção.

Na Logitek, dispomos de tecnologias que oferecem estas capacidades de proteção, oferecendo aos equipamentos finais:

• Deteção e eliminação de diferentes tipos de malware (vírus, troianos, worms, ameaças Web, etc.).
• Redução do fator de exposição à rede, detetando ameaças, ataques de negação de serviços ou scans de reconhecimento.
• Deteção de alterações não autorizadas de ficheiros, de registo, diretórios, etc.
• Controlo sobre as aplicações que podem ou não executar-se no equipamento.
• Deteção e bloqueio de ataques a vulnerabilidades 0-day (virtual patching).

Para mais informações, não hesite em contactar-nos.

Links relacionados com defesa em profundidade

• Estratégia de defesa em profundidade em cibersegurança industrial.
• Como a Logitek implementa a defesa perimetral.
• Como a Logitek implementa a defesa da rede interna.
• Defesa em profundidade.
• Como a Logitek implementa a defesa dos dados.