A tecnologia operacional (TO) inclui sistemas de computador projetados para serem implantados em infraestruturas críticas (energia, água, etc.), manufatura e indústrias semelhantes. Eles automatizam, monitoram e gerenciam as operações de máquinas industriais, usando protocolos e software personalizados para se comunicar com sistemas legados e proprietários.
No passado, os sistemas de TO foram mantidos distintos e desconectados dos ambientes de TI; no entanto, com a ascensão da Internet das Coisas Industrial (IIoT), a distinção entre os dois ambientes está se confundindo. Com essas mudanças surge uma necessidade crescente de segurança de TO.
Os sistemas de tecnologia operacional usam muitas das mesmas ferramentas dos ambientes de TI, mas são projetados para serem usados de maneiras diferentes. Em vez de operar principalmente como uma ferramenta para o ser humano, os dispositivos OT interagem principalmente com outras máquinas, como o Sistema de controle industrial (Sistema de Controle Industrial, ICS) (ICS). Seu objetivo é garantir que os ativos ICS estejam operando corretamente e atendam aos requisitos de alta disponibilidade e tempo de atividade desses dispositivos.
Historicamente, as redes de TI e TO têm sido separadas. Os sistemas TO geralmente executam software legado, tornando-os mais vulneráveis a comprometimentos, e uma intrusão pode torná-los incapazes de atender aos requisitos de alta disponibilidade de produção. Por esta razão, os sistemas de TO, embora ligados a uma rede, estavam “isolados” das redes de TI e da Internet pública.
Com a introdução da IIoT, a lacuna de ar entre TI e TO está se dissolvendo rapidamente. Os dispositivos IIoT permitem que os processos industriais sejam monitorados e gerenciados remotamente a partir de um local central, permitindo que as organizações alcancem maior eficiência e produtividade. No entanto, isto tem o custo de colmatar a desconexão da rede física que protegia estes sistemas legados contra ameaças cibernéticas. Como resultado, os ambientes de TO agora exigem soluções especializadas de TO e Segurança da IoT .
Embora os dispositivos TO usem muitos dos mesmos sistemas e softwares que as máquinas de TI, eles são usados de maneiras muito diferentes e geralmente operam sob expectativas diferentes.
Estas diferentes condições operacionais impactam a segurança destes sistemas. Por exemplo, os requisitos de alta disponibilidade da OT dificultam a desativação de sistemas para atualizações e correção de malware. A opinião popular é que é mais importante que um sistema funcione continuamente do que ser totalmente seguro. Por esta razão, estes sistemas estão sujeitos a ataques direcionados e infecções por malware.
A segurança da tecnologia operacional (TO) foi projetada para atender às necessidades exclusivas de segurança dos ambientes de TO. Isso inclui proteger a disponibilidade do sistema, compreender protocolos específicos de TO e bloquear ataques direcionados aos sistemas legados comumente usados em ambientes de TO.
Os ambientes de tecnologia operacional geralmente ficam atrás de seus equivalentes de TI em termos de segurança. Proteger esses ambientes e sistemas de TO contra ameaças cibernéticas requer a implementação de práticas recomendadas de segurança de TO.
A rede operacional de tecnologia pode ser complexa e muitas organizações não têm visibilidade total dos seus recursos de TO. Este problema é complicado pelo fato de que uma rede TO pode estar espalhada por múltiplas fábricas ou locais geográficos.
A proteção eficaz da rede de tecnologia operacional requer visibilidade completa dos ativos conectados a essas redes, tornando a descoberta de dispositivos de TO um primeiro passo necessário em uma estratégia de segurança de TO.
Historicamente, as redes de tecnologia operacional eram protegidas por um air gap, onde as redes de TI e TO estavam fisicamente desconectadas uma da outra. Embora isso não forneça proteção perfeita contra ameaças cibernéticas, tornou os ativos de TO vulneráveis mais difíceis de serem acessados e explorados por um invasor.
À medida que a TI e a TO convergem, as organizações devem substituir o air gap para proteger sistemas legados que nunca foram projetados para serem conectados à Internet. A segmentação de rede permite o isolamento de ativos dentro da rede, e um firewall com conhecimento de protocolos específicos de TO pode inspecionar o tráfego em busca de conteúdo ou comandos potencialmente maliciosos e impor controles de acesso através dos limites dos segmentos de rede de TO.
As estratégias de segurança cibernética de tecnologia operacional são frequentemente focadas na detecção devido ao potencial de erros falsos positivos nas ferramentas de prevenção de ameaças. Se uma operação legítima for incorretamente rotulada e bloqueada como maliciosa, isso poderá afetar a disponibilidade e o desempenho do sistema. Como resultado, a segurança da TO era frequentemente reativa, com ataques e infecções corrigidos quando conveniente.
Essa abordagem de segurança resulta em sistemas TO infectados com malware que ameaça sua operação. Além disso, muitos tipos de ataques podem ser detectados e bloqueados com precisão extremamente alta, representando uma ameaça mínima às operações normais. Ao implantar tecnologia operacional de prevenção de ameaças, uma organização pode proteger melhor seus ativos de TO em um momento em que esses sistemas são cada vez mais visados por atores de ameaças cibernéticas.
Os sistemas e redes de TO são muito diferentes de seus equivalentes de TI – eles podem usar parte do mesmo hardware, mas o software, os protocolos e as expectativas diferem muito entre TO e TI.
A proteção eficaz dos sistemas de TO contra ameaças cibernéticas requer soluções de segurança cibernética com um profundo conhecimento dos ambientes de TO. Para saber mais sobre as soluções de gerenciamento de ameaças específicas de TO da Check Point, confira este resumo da solução. Você também pode ver como essas soluções funcionam inscrevendo-se para uma demogratuita.