Estratégia de Defesa em profundidade em cibersegurança industrial.

Considera-se o termo cibersegurança industrial como os mecanismos para prevenir o acesso ilegal ou não desejado, a interferência intencional ou não intencional com a operação adequada e prevista, ou o acesso inadequado a informações confidenciais em sistemas de automatização e controlo industrial. A segurança eletrónica inclui computadores, redes, sistemas operativos, aplicações e outros componentes configuráveis programáveis do sistema.

A segurança da informação, tradicionalmente, tem-se focado em conseguir 3 principais objetivos:

1. Confidencialidade da informação.
2. Integridade dos dados.
3. Disponibilidade.

Tradicionalmente, em ambientes informáticos, tem-se priorizado a confidencialidade da informação, pois é a própria informação o que tem valor para a função.

Em ambientes de automatização industrial e infraestruturas críticas, as prioridades são diferentes. Nestes ambientes, a principal preocupação é manter a disponibilidade de todos os componentes do sistema em contraposição à confidencialidade.

Modelo CIA da IEC 62443

O modelo “CIA1” mostrado na Figura 1 não é adequado para uma compreensão completa dos requisitos de segurança de uma infraestrutura crítica. Para isso, é necessário considerar outros requisitos fundamentais como, por exemplo, os especificados na IEC62443:

1. Controlo de acesso: proteger os ativos de acessos e informações de acessos não autorizados.
2. Controlo de uso: proteger os ativos de operações não autorizadas.
3. Integridade da informação: proteger os canais de comunicação contra alterações não autorizadas da informação que transportam.
4. Confidencialidade da informação: assegurar que a informação da espionagem.
5. Restringir os fluxos de dados: proteger os canais de comunicação para evitar que a informação chegue a destinos não autorizados.
6. Resposta a incidentes: assegurar que se responde a incidentes de cibersegurança de forma correta. Implica: monitorização, reporting, alertas e a execução de ações corretivas.
7. Disponibilidade de recursos: assegurar que todos os recursos do sistema estão disponíveis e protegê-los de denegações de serviço.

Cada vez mais, as operações dos ambientes ICS OT dependem das tecnologias da informação para o correto desenvolvimento da sua função. É, portanto, necessário implementar controlos de cibersegurança que os protejam, assegurem a sua disponibilidade e o seu correto funcionamento, tanto das operações como dos equipamentos da organização.

Contramedidas típicas a utilizar para minimizar ameaças externas são:

• Autenticação de utilizadores e equipamentos.
• Controlos de acesso.
• IDS
• Uso de cifragem.
• Uso de assinaturas digitais
• Isolamento e/ou segregação de redes/dispositivos.
• Scanners de vulnerabilidades.
• Monitorização da atividade dos equipamentos e da rede.
• Segurança física.

Para a mitigação de ameaças internas, é necessária uma aproximação diferente, dado que um possível atacante teria a possibilidade de saltar as contramedidas normais. Neste caso, requer-se pôr mais ênfase em contramedidas como as políticas e procedimentos, separação de funções, monitorização das atividades, cifragem e auditoria de sistemas.

Portanto, uma tecnologia, produto ou solução única não é suficiente para proteger adequadamente os sistemas de controlo. Requer-se empregar uma estratégia multicamada que inclua dois ou mais mecanismos de segurança que se sobreponham, ou seja, empregar estratégias de defesa em profundidade.

Uma estratégia de defesa em profundidade inclui o uso de firewalls, criação de DMZ, o uso de soluções para a deteção de intrusões, políticas de segurança efetivas, programas de formação, resposta perante incidentes, mecanismos para garantir a segurança física e mecanismos para a monitorização e alerta de incidentes. Desta maneira, se uma salvaguarda em particular falhar, existirão outras nas camadas inferiores que manterão o risco em níveis aceitáveis.

Estratégia de defesa em profundidade

Defesa em profundidade

1. Políticas e procedimentos de segurança: Regras, obrigações e procedimentos que definam o enfoque da organização para a proteção e segurança da informação. As políticas devem ser comunicadas a toda a organização de uma forma apropriada, compreensível e acessível.

2. Segurança física e do ambiente: Objetivo: evitar que um possível atacante disponha de acesso físico aos equipamentos e infraestruturas de rede industrial (ao Hardware). As barreiras, mecanismos de controlo de acesso físico e de vigilância são os pilares para incrementar a segurança desta dimensão.

3. Defesa perimetral: O perímetro é o ponto ou conjunto de pontos da rede interna de confiança, gerida pela própria organização, que entra em contacto com outras redes externas ou não fiáveis, como pode ser a Internet ou redes geridas por terceiros. O atacante pode ter acesso aos serviços oferecidos ou acessíveis desde o exterior e aproveitar-se deles para realizar uma atividade maliciosa. As medidas nesta camada centram-se no asseguramento dos acessos remotos à rede.

4. Defesa de rede: Se o atacante tiver acesso à rede, pode monitorizar o tráfego que circula por esta, de forma passiva (só leitura) ou ativa (modificação possível). Para proteger a rede destas ameaças, costumam utilizar-se sistemas de deteção de intrusões e sistemas de prevenção de intrusões.

5. Defesa de equipamentos: A segurança de equipamentos, tanto servidores como clientes, baseia-se na implementação das seguintes salvaguardas:

• Instalar patches de segurança para eliminar vulnerabilidades conhecidas.
• Desativar todos os serviços desnecessários para minimizar o fator de exposição do equipamento
• Dispor de um anti-malware ativo.
• Controlar as comunicações entrantes mediante uma firewall
• Restringir a execução de aplicações

6. Defesa de aplicações: As aplicações protegem-se realizando um controlo de acesso mediante a sólida implantação de mecanismos de autenticação e autorização.

7. Defesa de dados: Se um atacante conseguiu transpassar todas as proteções anteriores e tem acesso à aplicação, a autenticação e autorização, assim como a cifragem, constituem as tecnologias mais empregadas para proteger os dados.

8. Recomenda-se o uso de mecanismos automatizados para realizar cópias de segurança dos sistemas de controlo que permita dispor de um controlo de versões.

9. Recomenda-se redundar o armazenamento das cópias.

Links relacionados com defesa em profundidade

• Como a Logitek implementa a defesa perimetral.
• Como a Logitek implementa a defesa da rede interna.
• Defesa em profundidade.
• Como é que a Logitek implementa a defesa dos equipamentos.
• Como a Logitek implementa a defesa dos dados.