A consolidação do conceito de Indústria 4.0, alavancada pela aceleração dos processos de transformação digital, estão trazendo uma preocupação a mais para os responsáveis pelos ambientes industriais: os ciberataques. Antes isolados – e por isso mesmo menos sujeitos a ataques – as linhas de produção conectadas se abrem para o mundo, e para os ataques.

De acordo com o Gerente de Pré-Vendas da Kaskpersky, Grazziani Souza, conta que a companhia analisou recentemente mais de 1 milhão de computadores instalados em ambientes industriais em todo o mundo. “A situação varia por país e por região e a porcentagem de malwares bloqueados no primeiro semestre de 2022 varia de 5,27% a 54,57% em diferentes países do mundo e de 41,5% a 12,8% em diferentes regiões”, explica.

Na América Latina, por exemplo, esse percentual foi de 32,4% e, no Brasil, de 28,7%. Mais especificamente sobre as indústrias nacionais, os setores com os maiores percentuais de ataques foram Energia (29,3%); manufatura (31,1%); e Óleo & Gás (34,6%). Entre as ameaças mais comuns detectadas por aqui, estão páginas de phishing (14,5%), ataques de negação de serviços (8,7%) e trojans espiões e documentos maliciosos, com 5,6% cada.

Souza explica quer, na maioria dos casos, essas ameaças foram entregues por e-mail corporativo, geralmente utilizados por colaboradores para trocar dados, ou por meio de conexões de internet ad-hoc da rede OT (via modems móveis ou redes dual-homed). “No caso dos agentes de ameaças APT, essas ameaças foram usadas para abusar de serviços internos de e-mail e aplicativos da web para mover-se lateralmente, coordenar o ataque e coletar dados”, explica.

O fato é que, se essas ameaças ‘iniciais’ forem detectadas em uma alta porcentagem de hosts em redes OT, isso significa que, em geral, as medidas de segurança em vigor não foram suficientes para bloquear essas ameaças antes que chegassem aos hosts da rede, onde elas foram finalmente detectadas pela proteção de endpoint). Isso é comprovado pelas estatísticas sobre ameaças auto propagadas, como worms, mineradores de criptomoedas e vírus.

“As porcentagens significativas significam que as medidas de segurança em vigor não são suficientes para impedir que essas ameaças se espalhem por meio de mídia removível, compartilhamentos de rede, exploração de serviços de rede ou abuso de contas”, constata, lembrando que são ameaças que ressurgem de tempos em tempos. Mesmo que um surto seja curado, algumas delas podem permanecer em backups, prontas para causar o próximo surto.

Outro fator importante é o aumento da sofisticação dos ataques, que exigem cada vez mais profissionais especializados para combatê-los. Souza lembra que, enquanto ameaças tradicionais podem ser combatidas dentro do âmbito da área de TI, aquelas mais sofisticadas – como APTs (Ameaças Persistentes Avançadas) e ataques dirigidos – exigem que as empresas tenham habilidades de segurança para ambientes OT ou contem com um SOC (Security Operation Center).

Soluções combinadas

É para evitar que estas ameaças continuem afetando suas operações, que muitas empresas estão apostando na utilização de soluções combinadas. A Kaspersky, por exemplo, vem recomendando o uso conjunto da solução KICS (Kaspersky Industrial CyberSecurity) com soluções de EDR (Endpoint Detect & Response). “Combinadas, estas soluções trazem proteção como um todo e automação de respostas que permitem responder de forma fácil e rápida a qualquer tipo de ambiente, desde simples ameaças até ameaças direcionadas, que podem ocorrer pela perda de visibilidade”, explica, lembrando que a solução é a única do mercado a oferecer a funcionalidade de EDR. “As restantes ficam restritas à proteção na rede, sem respostas automatizadas”, diz.

O executivo lembra que o KICS EDR atende a 100% dos requisitos para a proteção da maioria dos objetos e 88% dos requisitos para a proteção de objetos do nível máximo de segurança. “Estamos falando de uma plataforma de cibersegurança nativamente integrada que oferece proteção, detecção e resposta para endpoints e análise, detecção e resposta de tráfego de rede”, diz.

O KICS EDR é hoje o elemento-chave do ecossistema da Kaspersky de soluções corporativas e especializadas avançadas para segurança física-cibernética e de IoT, inteligência de ameaças industriais e mais. De acordo com Souza, é um console de gerenciamento único que possibilita a convergência de TI/TO em cada um dos níveis, desde a automação de plantas à infraestrutura corporativa, centros de operações e equipes de resposta comerciais e governamentais.

Ele lembra que a solução foi pensada para empresas industriais, que geralmente abordam a cibersegurança em suas infraestruturas de TI e TO (tecnologia operacional) de maneira diferente. “A maioria das empresas já conta com medidas estabelecidas de detecção e resposta em suas redes corporativas, mas quando se trata de TO, elas geralmente contam com uma abordagem desatualizada”, diz.

Como as empresas industriais estão se tornando mais “digitais” à medida que investem em mais tecnologias inteligentes, em novos sistemas de automação e na adoção da transformação digital, estas tecnologias preenchem a lacuna tradicional entre os ambientes de TI e TO que costumava impedir que ciberameaças chegassem aos sistemas de automação e controle industrial. “Hoje, uma única unidade flash, celular, e-mail de phishing ou ransomware trazido para o ambiente de ICS pode afetar seriamente o negócio principal de uma empresa”, ressalta, lembrando que, ao mesmo tempo, um grupo de hackers motivado pode penetrar nas redes de TO e causar danos consideráveis a equipamentos, processos, produção, segurança e qualidade ou roubar informações valiosas.

Para suprir esta demanda, o KICS EDR foi projetado para oferecer proteção aos principais componentes de automação industrial e sistemas de controle da indústria em todos os níveis. Mais que isso, a integração entre os componentes da plataforma fornece visibilidade de várias redes de TO geograficamente distribuídas e dos sistemas de automação, proporcionando à empresa reconhecimento de situação e flexibilidade de implantação. Um estudo do Forrester indica que empresas que utilizaram o KICS EDR para proteção de suas redes tiveram um ROI de 135%.

“Quando usada em conjunto como EDR, o usuário vê o panorama geral em um contexto mais amplo: cadeia de incidentes no nível da rede e do endpoint, parâmetros precisos de ativos, comunicação de rede e mapas de topologia, incluindo os segmentos onde o espelhamento de tráfego ainda não está disponível”, reforça.

A solução vem sendo utilizada com sucesso pela unidade brasileira de uma das maiores empresas de metalurgia do mundo. Atualmente, a companhia utiliza o KICS EDR para detecção avançada, investigação simples e resposta automatizada, tudo em um pacote fácil de usar para proteger suas operações contra as ameaças mais recentes.

Souza lembra que a solução atende, inclusive, algumas exigências regulatórias existentes em setores como o elétrico, por exemplo. “Há indústrias que estão em setores regulados,. Assim como há setores, como o farmacêutico, que precisam contar com uma camada de proteção em seus ambientes. Isso tem se tornado uma demanda crescente no setor industrial como um todo”, conclui.

Via IT Forum