TI Safe

Class | Suporte | EaD | Hub |

Home Blog Entrevista com Marty Edwards, vice-presidente de Segurança Tecnológica Operacional na Tenable

Blog

Entrevista com Marty Edwards, vice-presidente de Segurança Tecnológica Operacional na Tenable

O perigo crescente de ransomware criminoso em indústrias críticas.

No dia 29 de junho, a partir das 9h15, a plenária da 4ª edição da Conferência Latino-Americana de Segurança em SCADA (CLASS) receberá Marty Edwards, especialista em segurança cibernética para Tecnologia Operacional (TO) e Sistemas de Controle Industrial (ICS) reconhecido globalmente. O conferencista é vice-presidente de Segurança Tecnológica Operacional na Tenable.  O TI Safe News conversou com Edwards sobre o que coloca as infraestruturas críticas cada vez mais na mira dos  potenciais hackers. Confira a entrevista a seguir:

TI Safe News – Quais foram as grandes transformações que a indústria em geral sofreu nos últimos anos e quais são os impactos dessas transformações para a segurança das redes?

Marty Edwards – No passado, uma parte significativa da tecnologia operacional estava protegida pelas barreiras físicas e por não haver conexão com a Internet. Os espaços aéreos, também, delimitavam a separação física e os riscos de segurança para as operações tecnológicas não figuravam no topo das atenções. Contudo, isso mudou em virtude da evolução tecnológica. As infraestruturas críticas, bem como as outras indústrias, passaram por uma rápida transformação digital.  Atualmente, a aceleração da inovação em busca de eficiência e eficácia conectou o mundo da Tecnologia da Informação (TI) ao mundo da Tecnologia Operacional (TO), reduzindo a necessidade de componentes físicos de conexão, aumentando, dessa maneira, os vetores de ataque vindos do mundo virtual.  Isto significa que os mesmos criminosos que atuam no ambiente de TI e tentam invadir computadores, telefones e tablets pessoais têm agora uma rota de entrada direta, também, para os ambientes de missão crítica. Os investimentos em novas tecnologias representam grandes oportunidades de eficiência, tais como a mudança para fábricas inteligentes e cidades inteligentes, mas essas mudanças podem introduzir verdadeiras falhas de segurança.  Isto pode ser um desafio para organizações que anteriormente utilizavam ferramentas de segurança separadas para cada ambiente. Agora é necessária uma visibilidade holística dos bens para evitar pontos cegos. Sem melhorias na segurança e na resiliência, os fornecedores de infraestruturas críticas não estarão preparados para lidar com as ameaças cibernéticas. As iniciativas de TI para racionalizar as operações empresariais sobrecarregam as equipes com informação, sistemas e processos do dia a dia.  A velocidade da mudança ultrapassou a capacidade das organizações de se adaptarem e de acompanharem a transformação digital. Isso reflete na capacidade de implementar e investir na segurança cibernética com a mesma velocidade. Grupos criminosos especializados em ataques cibernéticos tiraram partido desta instabilidade e começaram a piratear os sistemas das empresas com mais frequência. Isto refletiu diretamente na necessidade das companhias identificarem e reforçarem seus ambientes online com soluções de cibersegurança, monitoramento de redes e, também, de investirem na formação de suas equipes de tecnologia. Essas contramedidas, consequentemente, têm impulsionado os negócios das empresas de cibersegurança em todo o mundo.

TI Safe News – A Internet das Coisas traz mais riscos para o setor de missão crítica?  Por quê?

Marty Edwards – Qualquer dispositivo ligado aos serviços de Internet abre portas para ataques de hackers maliciosos. Atualmente é comum encontrar ambientes de automação industrial com acesso direto à Internet com baixa maturidade e pouca consciência sobre a cibersegurança. Esses sistemas carecem, frequentemente, dos controles de detecção que são comuns em ambientes informáticos convencionais.  No Brasil, onde a CLASS acontece este ano, um estudo recente, realizado pela Forrester Consulting e encomendado pela Tenable, revelou que 38% dos ataques cibernéticos de impacto empresarial no Brasil envolviam tecnologia operacional. Isto não é por acaso. As redes 5G, que chegarão em breve ao Brasil, irão aumentar a capacidade e a velocidade e abrir novas possibilidades de negócios. Contudo, com uma troca de informação mais rápida e mais dispositivos interconectados, os criminosos terão mais oportunidades para atacar. A conexão de um grande número de dispositivos aumenta os riscos para qualquer empresa. O risco é ainda maior para aqueles que trabalham em infraestruturas críticas, onde qualquer parada de operação poderia resultar em um grande impacto para os cidadãos de uma região ou país.

TI Safe News – Por que as infraestruturas críticas são agora o alvo principal dos ciberataques?

Marty Edwards – Os cibercriminosos sabem da baixa preparação cibernética da tecnologia operacional e dos ambientes orientados para a produção e que, além disso, essas organizações não podem se dar ao luxo de se verem impedidas de funcionar. Os ataques estão, cada vez mais, centrados nessas infraestruturas e os resgates solicitados chegam aos milhões de. US$ Ataques bem-sucedidos de resgates que resultaram no pagamento de grandes resgates mostraram que há muito dinheiro em jogo nesse mercado. O mau estado de segurança cibernética em muitas operações de infraestruturas críticas, ao tornar um ambiente rico em alvos, é uma tempestade perfeita. Por exemplo, os recentes ataques contra dois gigantes industriais, Colonial Pipeline com sede nos EUA e a multinacional brasileira JBS, foram extremamente lucrativos. A Colonial Pipeline pagou um resgate de US$ 4,4 milhões, enquanto a multinacional brasileira JBS entregou mais de US$ 11 milhões aos criminosos que sequestraram os seus sistemas.

TI Safe News – Quais são os principais tipos de ransomware utilizados pelos criminosos para atacar indústrias?

Marty Edwards – Não se trata mais sobre quais são os tipos de ransomware, mas sim como os atacantes criaram verdadeiras organizações e como as indústrias estão despreparadas para enfrentá-los. Hoje não estamos lidando apenas com grupos de resgate, mas com toda uma rede comercial de criminosos.  Essas organizações têm como alvo indústrias de atividades críticas, alavancando vulnerabilidades e configurações errôneas, senhas fracas, credenciais roubadas e outras táticas para ganhar uma base inicial na rede e vendê-la para a maior aposta no negócio de resgate. A eliminação destas fraquezas na rede pode reduzir sobremaneira a probabilidade de ataques. Devemos nos concentrar não no tipo de ataque, mas sim em como podemos evitá-lo.

TI Safe News – Os hackers costumavam procurar prestígio, agora o que é que eles querem? O que uma invasão poderia impactar em uma operação de missão crítica?

Marty Edwards – Dinheiro. Este é um negócio lucrativo.  Em 2020, o Federal Bureau of Investigation (FBI) revelou que os grupos de resgate tinham ganho coletivamente mais de 144 milhões de dólares entre 2013 e 2019, o que era considerado um número assombroso naquela época. No entanto, só em 2020, os grupos de resgate ganharam 692 milhões de dólares com os seus ataques coletivos, quase cinco vezes mais do que nos seis anos anteriores somados. O termo “hacker” costumava ter uma conotação positiva. Eu, por exemplo, tenho me orgulhado de me chamar de hacker.  Mas não se enganem, esses operadores de resgate não são apenas hackers, eles são criminosos e é assim que devem ser chamados. Os cibercriminosos são inteligentes. Eles sabem que as indústrias com operações fabris e infraestruturas de missão crítica têm muito a perder se forem forçadas a parar por qualquer período.

TI Safe News – Qual é a melhor estratégia para as empresas de missão crítica para protegerem as suas redes de automação no cenário atual?

Marty Edwards – Proteger significa saber o que está na sua rede e mantê-la em bom estado de funcionamento, o que inclui proteger-se contra vulnerabilidades conhecidas. Muitos ambientes operacionais críticos carecem de uma abordagem sistémica formal às avaliações e processos de risco, além de visibilidade contínua para serviços críticos e alvos de alto valor. Há passos fundamentais que todas as organizações devem tomar, desde saber o que está na sua rede e como esses sistemas são vulneráveis até monitorar essas exposições, desde o controle do acesso e privilégios dos usuários até a gestão de sistemas críticos que estão interligados. A adoção de contramedidas tornará mais difícil aos maus agentes comprometerem as infraestruturas críticas.  À medida que mais pessoas obtêm acesso aos sistemas, a segurança se quebra rapidamente, a menos que existam práticas rigorosas de gestão de identidade. Os sistemas devem ser tratados como se um adversário sofisticado pudesse ter acesso a eles.  A CISA (Cybersecurity and Infrastructure Security Agency) publicou orientações detalhadas sobre práticas recomendadas que as organizações podem adotar para se prepararem melhor do ponto de vista cibernético. Algumas dessas práticas incluem:

  • Inventário de ativos e caracterização do risco. A fundação de qualquer estrutura de segurança, seja TI ou OT, começa sempre com a visibilidade dos bens pelos quais é responsável. É de vital importância compreender a disposição da rede dos seus ambientes, os sistemas que residem nessas redes, o software instalado, como são configurados, como são acessados e o papel que desempenham na missão da organização. Só quando se tem este nível de visibilidade se pode começar a quantificar o perfil de risco destes ambientes e definir uma estratégia de proteção.
  • Vulnerabilidade e programa de gestão de patch (software e sistema operativo). É importante que todas as organizações sigam um programa bem definido de gestão de vulnerabilidades e de configurações capaz não só de identificar Vulnerabilidades e Exposições Comuns (CVEs) no ambiente, mas também de identificar como estes sistemas críticos são configurados e quando essas configurações mudam. Precisam também de processos bem definidos para resolver as questões identificadas, através de programas de gestão de correções e configurações que tenham em conta as complexidades dos sistemas em vigor e a importância para a organização.
  • Segmentação da rede e acesso remoto. Historicamente, os sistemas OT têm sido completamente separados de outros ambientes. Com a convergência dos sistemas TI/OT, esta prática é cada vez mais insustentável e frequentemente é transgredida. A interconectividade dos sistemas é agora uma realidade. Uma auditoria contínua do acesso e da interconectividade nesses ambientes, que inclui a avaliação e monitoramento da integridade do diretório ativo e de outros sistemas de controle de acesso. Definir quem pode se conectar, além de avaliar a integridade dos sistemas que se conectam, é fundamental para mitigar o risco para as infraestruturas de missão crítica.
  • Formação/educação em cibersegurança OT. Uma vez que os ambientes OT têm sido historicamente separados de todo o resto, a noção de segurança é relativamente nova tanto para o pessoal de TI como para os engenheiros OT. A formação deve ser obrigatória para os engenheiros OT, que normalmente não tiveram de considerar os riscos cibernéticos que as suas ações ou inações poderiam introduzir. As equipes de segurança de TI nessas organizações deveriam também receber formação para compreender melhor as diferenças entre os sistemas OT e TI, bem como os desafios únicos associados à segurança de infraestruturas de missão crítica.

TI Safe News – Após dois anos sem acontecer, quais são as suas expectativas sobre a participação na CLASS 2022?

Marty Edwards – Nos últimos dois anos, assistimos a ondas de notícias diárias sobre ataques cibernéticos em várias empresas e, em especial, ao setor público. A aceleração da transformação digital com que as empresas tiveram de lidar no novo mundo, que se configurou durante e após a pandemia, tem muito a ver com isso. E esse tema será abordado na CLASS este ano. A cibersegurança é assunto comum e está longe de ser esgotado.  Penso que é essencial que continuemos a debater temas que possam melhorar a segurança cibernética das empresas, especialmente das indústrias. E, claro, estou entusiasmado por poder ter esses debates novamente pessoalmente e estou feliz por poder regressar ao Brasil para participar da CLASS.

 

Voltar