A importância de uma zona industrial desmilitarizada em um mundo sem fronteiras

Em algum momento na última década, cada fabricante buscou a melhor maneira de proteger seu sistema de controle industrial (ICS) com os dados, engenharia, tecnologias e produtos que o conformam. Um sistema de controle industrial precisa comunicar-se com sistemas de negócios mas como o fabricante acompanha a evolução do paradigma da segurança de rede?

A cadeia de fornecimento, a gestão de energia, os testes de laboratório, a manutenção, a coleta de dados regulamentadores e os sistemas de negócios de gestão de produtividade exigem dados dos sistemas de produção. As tecnologias e protocolos subjacentes usados por esses sistemas para recuperar esses dados envolvem diversos tipo de bancos de dados, servidores Web, acesso remoto e transferências de arquivos. Logo, o melhor método para proteger um sistema de controle industrial dos riscos de segurança dos sistemas de negócios tem sido criar uma fronteira de segurança separando os sistemas de negócios do sistema de controle industrial, chamada de zona industrial desmilitarizada (IDMZ).

O que é uma zona industrial desmilitarizada?

Uma zona industrial desmilitarizada é uma fronteira que cria um buffer em uma instalação de produção ou processo entre os sistemas de negócios e os sistemas de controle industrial, que têm diferentes requisitos de segurança e não compartilham uma confiança inerente entre eles. Essa fronteira usa controles de segurança de rede e aplicativos para controlar o fluxo de dados entre as zonas sem confiança.

Anos atrás,a cibersegurança existia em um mundo totalmente isolado, fisicamente. Em 2006, discretamente, foi criada uma nova maneira de armazenar dados. A nuvem pública, uma infraestrutura de rede e servidores de terceiros na Internet (AWS, Microsoft Azure, Google Cloud, IBM Cloud), desde então vem mudando como as organizações de TI armazenam dados e processam suas tarefas computacionais. Muitas organizações de TI agora usam uma nuvem híbrida combinando serviços em nuvem pública com uma infraestrutura de servidor no local. À medida que a infraestrutura de rede e a nuvem pública ficam mais confiáveis, cada vez mais armazenamentos e cálculos computacionais são terceirizados para provedores de serviço de nuvem pública.

Em retrospectiva, era inevitável que a nuvem pública se tornasse a opção de armazenamento das organizações de TI. Houve época em que grandes salas de servidores tinham racks de servidores físicos, do chão ao teto. As paredes dessas salas eram praticamente toda a segurança de TI: o firewall perimétrico. A nuvem híbrida não só reduziu a necessidade de espaço de armazenamento em servidores físicos, ela superou essas salas usando virtualização. O firewall ainda existe, mas se todos, ou grande parte do seu armazenamento de dados e cálculo computacional estão fora do firewall, esse perímetro não é mais suficiente. Para adaptar-se às fronteiras móveis do perímetro e a novas ameaças de segurança devidas à exposição na Internet ao acessar a nuvem pública, foi criado um novo paradigma de segurança: o Modelo de confiança zero.  

O que é um Modelo de confiança zero?

O Modelo de confiança zero maximiza princípio de privilégio mínimo, que somente concede a um usuário ou sistema os direitos mínimos necessários para executar uma tarefa. Esse princípio reforça uma instância sem confiança, só permitindo dados ou comunicação entre dispositivos se o usuário, dados, computador e o local tiverem permissão. Isso se afasta do antigo modelo “confie em tudo em minha zona”, para um modelo “desconfie de tudo se não puder verificar de diversas formas”.

O cenário de ameaças ao sistema de controle industrial está evoluindo. Ataques de ransomware de larga escala como WannaCry ou o NotPetya mascarado e ataques específicos contra a infraestrutura crítica usando malwares como Crash Override, Triton ou LookBack, são cada vez mais comuns. Ambientes de sistema de controle industrial e seus administradores, sabendo ou não, sempre dependeram muito da segurança de perímetro da TI. Mesmo para quem tinha uma zona industrial desmilitarizada, a segurança do perímetro de TI era a primeira linha de defesa contra o mundo lá fora. A zona industrial desmilitarizada era a última linha de defesa.  Quando o perímetro de TI desaparece, ela pode ser a única linha de defesa.

Um ambiente de sistema de controle industrial pode abranger o Modelo de confiança zero?

Ah, se tudo fosse simples assim. Um ambiente típico de TI pode ser complexo, mas vai compartilhar algumas coisas:

• Hardware de computador padronizado com um plano de ciclo de vida
• Sistema operacional padrão com correções rotineiras
• Ferramentas de software comercial padronizadas
• Solução de gestão de acesso e identidade suportada para usuários e ativos
• Meios suportados e atualizados para um ativo identificar e defender-se de um ataque

Um ambiente de sistema de controle industrial tem centenas de tipos diferentes de produtos de diversas gerações, de diversos fornecedores, comunicando-se com diferentes protocolos. São plataformas de hardware exclusivas, cada uma com seus próprios firmware e software personalizados. Até mesmo as soluções só de software só são compatíveis com sistemas operacionais obsoletos e, em muitos casos, já sem suporte. Mesmo se um sistema utilizar um sistema operacional ainda recebendo correções, o pessoal do sistema de controle industrial reluta em implementá-las, por medo de que gerem tempo de parada não programada, e eles têm razão nisso.

Logo, para um sistema de controle industrial existir “com segurança” em um Modelo de confiança zero, ele deverá se autopreservar como os ativos comuns de TI. Vamos considerar todas as mudanças nas tecnologias de plataformas e sistemas de controle necessárias para alcançar isso:

• A confiança zero muda imediatamente o bit de 1 para 0.
• Atualmente, dispositivos de sistema de controle industrial confiam em tudo que se comunica com eles. Eles não têm como verificar o usuário, dispositivo, local ou motivo de um ativo comunicar-se com eles, ou quais objetos eles estão acessando. Do seu lado, eles não têm como verificar quando iniciam uma conexão.
• A maioria dos dispositivos de um sistema de controle industrial não têm mecanismos nem regras de autenticação, registro ou administração ao comunicar-se.
• Eles não são capazes de detectar um ataque ou se algo está tentando comunicar-se com eles de forma anormal.
• Não há tecnologias comportamentais capazes de identificar comportamentos desconhecidos nem analisar as consequências de múltiplas ações.
• E isso sem mencionar na mudança cultural necessária

Por exemplo, mesmo se um dispositivo no sistema de controle industrial exigir autenticação do modelo comum nome/senha, ele será configurado com as credenciais mais simples possíveis, será compartilhado por todos e permanecerá sempre conectado. Das tecnologias e competências necessárias do pessoal da fábrica, à cultura de segurança, à monitoração e administração, tudo no sistema de controle industrial terá de mudar. E essa mudança não poderá afetar a produção.

Desafios com IDMZs

Nem todas as empresas estão prontas para investir em uma zona industrial desmilitarizada – pode ser desafiador projetar e doloroso integrar aos sistemas de rede de TO e TI existentes. Para projetar e implementar uma zona industrial desmilitarizada é necessária uma compreensão especializada nas seguintes áreas:

• Segurança de rede
• Plataformas de firewall e ACLs
• Tecnologias de servidor virtual
• Fortalecimento do sistema
• Segurança de aplicativos
• Funcionalidade e segurança de domínio
• Métodos de transferência de arquivos e dados protegidos
• Métodos de acesso remoto protegidos
• e a lista continua…

Para ampliar o desafio, a zona industrial desmilitarizada deve ser suportada por uma equipe com bom conhecimento desses aspectos, capaz de realizar a manutenção da infraestrutura, aprovar mudanças na rede e reagir a ameaças de segurança.

Embora o caminho para uma zona industrial desmilitarizada não seja simples nem barato, vale a pena calcular se é a solução certa para você. Os custos da zona industrial desmilitarizada são inferiores ao custo do que ela protege? Se a zona industrial desmilitarizada protege todo o seu sistema de controle industrial, ela será um ótimo investimento. Considerando as crescentes ameaças a ambientes de sistema de controle industrial extremamente vulneráveis, em um mundo sem paredes, ela é a única proteção completa disponível agora para seu sistema de controle industrial.

Os sistemas de controle industrial ainda não são maduros o bastante para existirem com uma razoável tolerância a riscos de segurança em um mundo sem fronteiras. A defesa em profundidade é altamente recomendada. Mas até que esses dispositivos possam proteger-se e interagir com sistemas de proteção externa, uma zona industrial desmilitarizada ainda é a melhor defesa de sistemas de controle industrial. No momento, a “parede interna” reforçada por uma zona industrial desmilitarizada deve permanecer.

Saiba mais como a Rockwell Automation® pode auxiliar você a criar e manter uma zona industrial desmilitarizada como parte de uma abordagem de defesa em profundidade para a segurança de rede.