Becolve Digital
Select Page

Dragonfly e Sandworm em redes OT: impacto e contramedidas

Que impacto podem ter o Dragonfly e o Sandworm na sua rede OT? Quais são as contramedidas mais adequadas? Neste artigo, tentaremos apresentar-lhe a solução. Falamos sobre isso neste artigo.

Becolve Digital
Lista de blogs

Após estudar em profundidade as características e os vetores de ataque utilizados pelas APT Dragonfly e Sandworm, é altura de analisar o impacto que podem ter numa rede OT.

Entre as principais consequências, podemos destacar as seguintes:

      1. A execução de código não autorizado: Devido à existência de equipamentos em ambientes OT com níveis de autorização de “administrador”, é muito fácil que este tipo de malware realize qualquer tipo de ação maliciosa, aproveitando o facto de existirem privilégios máximos.
      2. A divulgação de informações: Que pode ser a base para ataques mais direcionados. Em particular, a associada a browser password, VPN configuration information e credenciais VPN que podem ser utilizadas para aceder de forma não autorizada a dispositivos de campo.
      3. O acesso remoto não autorizado: Através da instalação de software com troianos descarregado de sítios Web de fornecedores ICS, como já se viu. Isto permitiria o acesso direto a ambientes OT.
      4. A escrita sobre sistemas de controlo: Através do OpcEnum, é possível identificar clientes-servidores OPC e, se não existirem contramedidas, é fácil poder aceder a estes servidores para escrever na OPC Tag Database.
      5. Negações de serviço através dos RAT: Provocando o reinício de máquinas por infeção, a degradação do desempenho dos sistemas infetados.

Que contramedidas parecem as mais adequadas para eliminar e/ou mitigar este tipo de ameaças?

  1. Associadas à segmentação e fortificação de redes.
    • Realizar uma análise aprofundada do estado das redes.
    • Incorporar soluções antipishing e drive-by download.
    • Segmentar IT e OT fisicamente e, dentro de OT, segmentar e fortificar logicamente através de VLAN ou até mesmo de novo fisicamente, isolando sistemas críticos.
    • Incorporar dispositivos de eletrónica de rede que permitam segmentar o tráfego (network whitelisting).
    • Realizar whitelisting de protocolos.
    • Fortificar os dispositivos de campo com firewalls DPI.
  1. Associadas a estabelecer políticas e procedimentos.
    • Desenvolver Planos Diretores de Cibersegurança Industrial.
    • Descarregar software em ambientes controlados (DMZ).
    • Testar software em ambientes de teste, antes de passar para produção.
  1. Associadas a estabelecer arquiteturas de rede segura.
    • Incluir whitelisting de aplicações.
    • Utilizar protocolos industriais seguros (OPC UA, SecureDNP3, etc…) ou utilizar dispositivos que realizem “Sanity Check” de protocolos industriais.
    • Realizar acessos remotos com base na segmentação de rede realizada e com autenticação dupla.

 

 

Postagens Relacionadas