ptarzh-CNenfrdeitjarues

Estudo de caso de monitoramento na rede para um grupo de distribuidoras de energia elétrica

Avalie este item
(1 Voto)
Quarta, 20 Janeiro 2021 14:40

Por dentro do ICS-SOC: infraestrutura dedicada acompanha e trata incidentes em tempo real

 

No último episódio da série TI Safe entrevistamos o CTO Thiago Branquinho para saber todos os serviços e atuação do ISC SOC numa empesa distribuidora de energia elétrica. Confira:

TI Safe NewsQual o tipo de monitoramento é feito pelo ICS SOC para esse cliente e há quanto tempo a TI Safe presta serviços?

Thiago BranquinhoO ICS-SOC realiza desde 2017 uma ampla assessoria de segurança cibernética para as redes de tecnologia operacional (TO) de um grupo focado em distribuição elétrica. Uma vez entendidos os riscos, alinhamos com a equipe de segurança da empresa as melhores políticas e controles que devem ser adotados. A visão sobre os riscos é permanente e nos leva a revisões importantes de arquitetura e de procedimentos. Nossa equipe faz uso das ferramentas existentes na infraestrutura da empresa, como firewalls, sistemas de detecção de intrusos e controles contra malware. Diariamente, aperfeiçoamos as configurações e, 24 horas por dia, observamos se ocorreu algum evento potencialmente disruptivo no ambiente monitorado.

 

TI Safe News- Quais tipos de incidentes ou quais tipos de riscos são monitorados?

Thiago Branquinho - Há quatro grandes frentes de monitoramento: não conformidades; indisponibilidades; vulnerabilidades e malware. No primeiro são observados os cumprimentos de regras internas, leis e normas. Os casos de indisponibilidade são normalmente os mais críticos, em que podem ser observados, por exemplo, falhas de links de comunicação e desligamentos não programados de equipamentos. O terceiro é o mais comum, dado que vulnerabilidades são descobertas todos os dias e os sistemas se tornam alvos naturais de atacantes digitais. O último normalmente é iniciado por ações de usuários, que tentam carregar arquivos para dentro do ambiente de TO pela rede ou por discos externos.

 

TI Safe News - Como é feita a comunicação dos incidentes para a empresa cliente?

Thiago Branquinho - Os incidentes são os problemas de segurança detectados e que precisam de comunicação e tratamento imediato. Considerando a criticidade de uma rede operativa, não podemos realizar as mesmas respostas que um SOC comum (de TI) realizaria: corre-se o risco de interromper processos críticos e causar acidentes ou indisponibilidade de serviços à população caso as respostas não sejam bem coordenadas entre as equipes de segurança cibernética e de operação. No momento em que a equipe do ICS-SOC detecta um incidente, são iniciadas análises internas (triagem) para entender as consequências e, assim, definir a priorização de resposta. Os mecanismos de respostas são previamente estabelecidos em guias denominados de playbooks, que tem as sequencias de atividades a serem realizadas pelos times de resposta, tanto da TI Safe, quanto do cliente. Algumas ações são automatizadas, outras dependem da interação com equipes locais. Temos o contato de todas as pessoas que precisam receber uma eventual informação sobre incidentes.

 

 

TI Safe News - Quais são as ferramentas de controle?

Thiago Branquinho - As principais ferramentas são:

 - Firewall de próxima geração (NGFW): estabelece proteção nas comunicações de e para a rede operativa (TO). Por exemplo, todo o tráfego para a TI é filtrado pelos firewalls, que inspecionam não somente os fluxos, mas também o conteúdo, usuários e a existência de malware, por exemplo. Além disso, esses firewalls podem ser utilizados para estabelecer zonas de segurança dentro da própria TO, criando hierarquias de rede e minimizando a superfície de ataque a dispositivos específicos. A ideia é cumprir à risca os princípios de zonas e conduítes da ISA/IEC 62443, com uma abordagem conhecida como Zero Trust Architecture (ZTA

- Sistemas de detecção de intrusos (IDS): estes sistemas funcionam, geralmente, sem interagir com a rede. Com o uso de monitoramento passivo realizado em comunicações espelhadas (cópias dos dados que trafegam na rede), os IDSs são capazes de detectar o emprego de boas práticas de segurança na rede, como o uso de ZTA ou pela aplicação de patches de segurança em servidores. Além disso, esses sistemas traçam uma linha-base do ambiente a partir de padrões de funcionamento. Se algo ocorrer diferente do usual, são gerados alertas. Por exemplo, uma máquina nova na rede ou um comando DNP3 que nunca aconteceu, podem ser notificados ao ICS-SOC para tratamento

- Software de proteção de endpoint: os ataques modernos ignoram os antivírus tradicionais. As ferramentas que oferecem melhor proteção contra malware são baseados no comportamento e no uso de recursos críticos de computadores e batizados de EDR (Endpoint Detection and Response) ou XDR (eXtended Detection and Response). Além disso, faz-se necessária a capacidade de análise em tempo real, baseado em machine learning ou sandboxing, para determinar se um arquivo em execução pode trazer impactos negativos ao ambiente.

- SIEM (Security Information and Event Management): Considerando a enorme quantidade de alertas que pode ser emitida pelas diversas ferramentas de segurança, um SIEM permite gerenciar os logs de modo a organizá-los em uma única tela. O sistema é capaz de correlacionar os eventos de segurança e responder, de forma fácil, a perguntas como: Quais usuários de VPN acessaram fora do horário de trabalho o sistema “A”? Quem foi o paciente zero de um malware que se espalhou pela rede?

 

                                                     Arquitetura de um SIEM

SIEM

TI Safe News- O SOC realiza alguma ação preventiva também?

Thiago Branquinho - O tempo todo. A principal função de um SOC industrial é a prevenção dos incidentes. Observamos as melhores práticas, estamos sempre atentos às novidades e em comunicação com grupos de segurança ao redor do mundo. Como diz o ditado: “melhor prevenir que remediar”.

 

 Para saber mais acesse:  https://youtu.be/0fFgURsO1h4

 

 

Lido 123 vezes Última modificação em Quinta, 21 Janeiro 2021 20:59

Copyright © 2007-2020 - TI Safe Segurança da Informação - Todos os direitos reservados.