Deteção de anomalias em redes industriais. Conformidade com a norma IEC62443 para minimizar riscos de cibersegurança

A automatização industrial está presente em todos os tipos de indústrias, infraestruturas e edifícios (o mundo OT). Tal como em qualquer empresa que utiliza sistemas de computação, estes sistemas não são imunes a ciberataques.

Nas últimas décadas, tem-se passado de sistemas proprietários, rígidos e que praticamente não comunicavam entre si, para sistemas compostos por múltiplos dispositivos que interagem entre eles. Para medir a qualidade, o desempenho e analisar as opções de melhoria, têm-se integrado outros sistemas satélite ao processo, que estudam as possíveis melhorias e, ao mesmo tempo, evoluem os processos. A forma de implementar estes ecossistemas e as suas comunicações tem-se baseado fortemente em tecnologias de IT, como as comunicações TCP/IP, a utilização de infraestruturas virtualizadas e a utilização de sistemas operativos convencionais como o Windows ou o Linux.

Tudo isto gerou um aumento da informática aplicada à indústria, mas também a incorporação de uma série de vulnerabilidades inerentes a estas tecnologias que aumentam o risco. Se a estas vulnerabilidades somarmos o facto de que os sistemas de controlo industrial são normalmente inseguros (têm um ciclo de vida de décadas e um baixo rácio de atualizações).

Estes dispositivos costumam ser construídos e concebidos para proporcionar fiabilidade e robustez, mais do que para serem seguros, tipicamente executam sistemas operativos e protocolos de comunicação sem proteção, o que os expõe a quase qualquer ataque de rede. Em conclusão, temos uma mistura de incorporação de novas tecnologias e os seus riscos modernos com dispositivos que não foram pensados para implementar características de segurança.

Requisitos para calcular riscos de forma objetiva com o CIARA

Normalmente, o CISO (Chief Information Security Officer) é o encarregado de definir a governação de segurança da informação e, portanto, identificar e gerir os riscos. Calcular um risco de forma objetiva não é tarefa fácil e requer, no mínimo:

• Um inventário atualizado dos ativos.
• Compreender o estado destes ativos.
• Identificar vulnerabilidades dos ativos.
• Identificar as ameaças, antigas e novas.

Para ajudar o CISO a calcular o risco de forma objetiva, na Becolve Digital, dispomos do CIARA, uma solução que automatiza o processo de examinar centenas de contramedidas de segurança, a simulação de centenas de ameaças possíveis e tudo isto contra a imagem digital da rede que se obtém da infraestrutura física real.

Características do CIARA

Gere de forma automática os seguintes dados:

• Ativos, protocolos, mensagens, endereços IP, MAC, versões de firmware, criticidade, zonas, condutas, etc.
• Vulnerabilidades potenciais dos ativos presentes na rede (CVEs)
• Simulação de ataques baseados em Mitre ICS e próprios da Radiflow
• Análise do comportamento da rede e aparecimento (ou desaparecimento) de comunicações da rede.
• Conhecimento das ameaças atuais da zona/setor baseado em Mitre Att&ck
• Deteção de alterações em equipamentos industriais.

Com todos estes dados, o CIARA é capaz de simular quão eficazes são os controlos de cibersegurança implementados contra os ataques e ameaças conhecidos que se estão a produzir e, assim, poder avaliar em poucos minutos qual é o nível de risco a que se está exposto realmente, baseando-se em dados objetivos.

Com base no resultado da avaliação, o CIARA proporá uma série de ações para mitigar o risco e oferecerá diferentes critérios para equilibrar as propostas entre a proteção, o cumprimento com as normas e o orçamento.

Em função destes critérios, o CIARA prioriza automaticamente os requisitos de segurança (SR) a implementar com o objetivo de maximizar o ROI em cibersegurança. Atualmente, alguns dos critérios de otimização incluídos são:

• Impacto da Zona: Qual é o impacto económico se uma zona falhar?
• Risco tolerável: Qual é a zona com menor tolerância ao risco?
• Compliance gap: Que zonas são as que têm uma maior discrepância entre as medidas implementadas e o que as normas indicam?