Como o Privileged Access Management auxilia na proteção de sistemas de infraestrutura crítica
Sistemas críticos, ou infraestrutura crítica, é atualmente um assunto desconhecido para muitos. No entanto, qualquer incidente nesses ambientes pode trazer sérias consequências nos aspectos econômico, social e na segurança da população. Serviços e instalações como, por exemplo, sistemas de abastecimento e tratamento de água, energia, telecomunicações, transportes e outros são definidos como infraestruturas críticas. Devido ao fato de serem serviços essenciais à população, a preocupação em proteger e controlar os acessos a este tipo de infraestrutura tem chamado atenção de empresas e governos com o objetivo de encontrar medidas efetivas para defender esses sistemas de ataques maliciosos.
Com o advento da Indústria 4.0, os ambientes de infraestrutura crítica também foram automatizados e integraram novas tecnologias as suas atividades. Muitos desses serviços críticos utilizam protocolos internos e proprietários para a comunicação. Outros porém, passaram a ser computadorizados, conectando objetos, máquinas e sistemas para controlar as condições dos equipamentos que sustentam toda a infraestrutura crítica através das redes de comunicação como a Internet
ICS – Industrial Control Systems, ou Sistemas de Controle Industriais – são os responsáveis pela integração dos hardwares e softwares com a rede. Essa integração inclui alguns componentes, entre eles o SCADA – Supervisory Control and Data Acquisition, ou Sistemas de Supervisão e Aquisição de Dados – mais utilizado atualmente, e que processa, controla e adquire dados em tempo real remotamente. Os sistemas ICS recebem alertas de diferentes componentes através do SCADA, que por sua vez coleta e encaminha dados entre dispositivos. Esses dispositivos podem ser, por exemplo, sensores e termômetros, e ainda são responsáveis de forma remota a conceder aos seus operadores a gerência e controle dos dados.
Apesar de possuírem conceitos parecidos, os dispositivos da Internet das Coisas (IoT) estão conectados à internet, enquanto que os Sistemas de Controle Industriais conectam dispositivos e infraestruturas físicas. Porém deve-se ter em mente que IoT também está presente nas indústrias e serviços, e que participou no processo de automatização, facilitando o uso de diferentes dispositivos através da coleta de dados de um para outro.
Softwares SCADAs são capazes de avisar e registrar eventos e aspectos essenciais ao funcionamento dos sistemas. Devido à sua importância para os governos e para a sociedade, ICS e SCADA são alvos constantes de agentes maliciosos, principalmente grupos terroristas. Esses agentes visam desestabilizar serviços essenciais à população, podendo trazer sérios impactos a cidades, estados ou até nações inteiras. Em 2010, o vírus Stuxnet – direcionado a softwares SCADA – foi capaz de parar centrífugas de urânio do Irã ao aumentar a velocidade de rotação e enviar mensagens falsas a outros controladores de que a rotação era efetuada sem problemas. Um caso mais recente de ataque a sistemas ICS aconteceu em 2017 através do malware TRITON, que tinha a função de reprogramar os controladores de uma planta petroquímica na Arábia Saudita para causar uma explosão. Felizmente, por um erro do agente malicioso, o que ocorreu foi apenas um desligamento de todo o sistema.
Muitos sistemas ICS são legados e possuem mínimo – ou em alguns casos nenhum – controle de autenticação. Esta falta de controle permite que todos os operadores tenham acesso aos dados e aos componentes da rede. Essa falta de cautela com a autenticação em sistemas tão importantes é um risco muito grande, pois um acesso não autorizado ou um erro humano pode ser fatal neste tipo de infraestrutura.
Para acessar sistemas ICS, os atacantes primeiro invadem os computadores ligados à internet, se movendo na infraestrutura até encontrar uma credencial que possua os privilégios de acesso aos softwares SCADA. Esse foi o caso do malware TRITON, que através do roubo de credenciais se tornou imperceptível no sistema durante sua invasão. Esse tipo de ataque pode levar bastante tempo para ser descoberto, já que o invasor se camufla como qualquer outro usuário ao realizar suas ações. Adicionalmente, um atacante malicioso pode se infiltrar em sistemas que não possui nenhum controle de autenticação, permanecendo dias, meses ou até anos sem serem notados. Durante esse período, podem obter muitos dados e até derrubarem um serviço. As consequências desses ataques podem levar a um blecaute em uma prestadora de energia, ou até mesmo aumentar o nível de substâncias a serem colocadas em um sistema de tratamento de água.
Indústrias, empresas, governo e outros que operam sistemas de infraestrutura crítica devem se preocupar em especial com o acesso irrestrito que essas tecnologias possuem dentro do seu ambiente. Softwares SCADA e credenciais privilegiadas são os potes de ouro que um atacante quer encontrar em sua invasão. Por isso, o foco das organizações que lidam com infraestrutura crítica deve ser em dificultar o acesso e o uso destes bens. Para se aplicar essa ótima prática de segurança, algumas ferramentas podem ser essenciais para proteger esses ambientes.
Uma solução de Privileged Access Management, ou PAM, pode ajudar na criação de controles de acesso aos sensores e outros dispositivos da infraestrutura, garantindo que estes não sejam acessados de forma indevida. Uma solução PAM permite a proteção de ICS/SCADA a partir das seguintes funcionalidades:
- Gestão de Credenciais – é possível gerenciar credenciais em uma série de ambientes, sistemas e aplicações. Uma solução PAM permite definir os usuários administradores que terão permissão de saque de senha para acesso físico, e o grupo de usuários que pode utilizar o acesso remoto oferecido pela solução para acessar um dispositivo-alvo ou sistema;
- Sessão Remota com Recursos de Gravação – a solução PAM deve permitir gravação e armazenamento de todas as sessões remotas realizadas. Os arquivos de vídeo de sessões devem ser armazenados em repositório seguro, criptografado e protegido contra qualquer alteração;
- Indexação de logs de entrada e saída – todas as entradas de texto, além das ações registradas em log, devem ser indexadas juntamente com o tempo de sessão do vídeo, permitindo pesquisar qualquer comando. Desta maneira, é possível encontrar de forma rápida qualquer comando executado durante uma sessão remota;