Estratégias para preparar e proteger contra-ataques de infraestrutura crítica.
Dois anos atrás, o ataque Colonial Pipeline nos lembrou como é vital proteger a infraestrutura crítica contra-ataques cibernéticos. Neste artigo, abordaremos o que leva os invasores a atingir a infraestrutura crítica e como as organizações podem se proteger.
No ambiente geopolítico incerto de hoje, pessoas e organizações estão muito preocupadas com possíveis ataques cibernéticos, e com razão. Os mais preocupantes são os possíveis ataques a infraestruturas críticas e ativos industriais.
Dois anos atrás, neste mês, um ataque de ransomware paralisou um importante gasoduto, o oleoduto colonial. O insondável realmente aconteceu, e um dos maiores e mais vitais oleodutos dos EUA foi fechado por vários dias.
O ataque ao oleoduto colonial foi o maior ataque divulgado publicamente contra a infraestrutura crítica dos EUA na história, afetando o fornecimento de quase metade do combustível para a Costa Leste, óleo refinado para gasolina, combustível para aviação e óleo para aquecimento doméstico. Tudo começou com um ‘simples’ roubo de credencial.
Os ataques de phishing levam ao roubo de credenciais; o roubo de credenciais leva a possíveis ataques críticos à infraestrutura.
Foi assim que aconteceu no caso do ataque Colonial Pipeline. Atores de ameaças usaram senhas roubadas encontradas na dark web para acessar a rede privada virtual (VPN) do pipeline. Infelizmente, a VPN não tinha a autenticação multifator (MFA) ativada e a credencial funcionou imediatamente. Os invasores se conectaram e nem precisaram hackear nada e o resto é história.
O impacto geral leva os agentes de ameaças cibernéticas a atingir a infraestrutura crítica
Os ataques à infraestrutura crítica quadruplicaram nos últimos anos; isso precisa mudar.
Conforme o relatório O Estado da Segurança Industrial em 2022, A MFA precisa ser muito melhorada para muitos dos setores críticos de infraestrutura; energia, geração de energia e serviços públicos são os setores com maior probabilidade de permitir acesso total à rede sem a exigência de MFA. Além disso, o relatório 2023 Ransomware Insights descobriu que as organizações de energia, petróleo/gás e serviços públicos relataram uma taxa de sucesso acima da média (85%) de ataques de ransomware devido ao impacto que essas organizações têm na sociedade e ao tamanho potencial do pagamento dos invasores. Eles não apenas estavam sujeitos a uma taxa de sucesso acima da média de ataques de ransomware, mas o relatório descobriu que essas organizações de infraestrutura crítica também eram as mais propensas a serem afetadas por vários ataques.
Em 2021, o FBI, a agência de segurança cibernética e de infraestrutura (CISA) e a agência de segurança nacional (NSA) observaram ataques de ransomware contra 14 dos 16 setores críticos de infraestrutura dos EUA, com serviços públicos de água se tornando alvos notáveis. Como resultado, a agência de proteção ambiental dos EUA (EPA) anunciou recentemente novos requisitos para instalações públicas de água para aumentar sua segurança cibernética como resultado de ataques de ransomware em redes de computadores de instalações de água e esgoto da Califórnia ao Maine.
Desnecessário dizer que os ataques cibernéticos contra infraestrutura crítica não devem diminuir tão cedo.
Estratégias para prevenir e frustrar ataques de infraestrutura crítica
Apenas um ataque bem-sucedido à cadeia de suprimentos em uma infraestrutura crítica pode ter impactos catastróficos de amplo alcance. O objetivo desses ataques cibernéticos é menos sobre ganho financeiro puro e mais sobre interrupção, dano e criação de caos além das vítimas imediatas. Esses ataques também mostram uma vulnerabilidade crescente a possíveis ataques patrocinados por estados-nação.
Mas há um forro de prata. Embora os ataques tenham aumentado, menos vítimas estão pagando um resgate, as organizações permanecem firmes graças a melhores defesas.
Para proteger com sucesso nossa infraestrutura crítica e redes industriais, é importante que as organizações tenham medidas de segurança estruturadas. Essas medidas proativas incluem:
1. Treinamento de funcionários e conscientização do usuário
O treinamento obrigatório de conscientização de segurança para todos os funcionários deve fazer parte do repertório de treinamento anual de sua empresa. O treinamento deve fazer parte da estratégia geral de segurança de uma organização.
2. Segurança abrangente de e-mail
O e-mail é o vetor de ataque mais comum, 91% dos ciberataques começam com um e-mail, portanto, a segurança do e-mail deve ser priorizada. A proteção de segurança de e-mail deve proteger contra todos os 13 tipos de ameaças de e-mail de spam e ransomware a spear phishing, comprometimento de e-mail comercial e controle de conta.
3. Soluções padronizadas de acesso remoto
Em vez de diferentes soluções de acesso remoto de diferentes fornecedores, as organizações devem buscar uma solução padronizada que não seja apenas fácil de usar, mas também amplamente protegida.
4. Autenticação multifatorial
Apesar da prevalência de ataques de ransomware não apenas em infraestruturas críticas, mas também em empresas em geral, a MFA não é comum e deveria ser. No setor de energia, por exemplo, 47% das organizações não implantam o MFA para os funcionários com acesso total às redes e sistemas. A MFA pode ajudar a impedir ataques desastrosos com consequências de longo alcance.
5. Segmentação de rede robusta e microssegmentação
A segmentação de rede ajudará a reduzir a propagação de ransomware se um agente de ameaça se infiltrar nos sistemas de uma organização. A microssegmentação leva as organizações ao acesso baseado em confiança zero, reduzindo a superfície geral de ataque.
6. Remoção de ferramentas não autorizadas
É importante investigar o software que está sendo executado em dispositivos de rede. Se não for utilizado ou não autorizado, deve ser removido imediatamente. Preste atenção especial ao monitoramento remoto e às ferramentas de acesso remoto, se uma organização não as estiver usando, elas também devem ser desativadas.
7. Proteção de aplicativos da web e interfaces de programação de aplicativos (APIs)
Esses aplicativos são externos e podem estimular ataques de negação de serviço distribuído (DDoS) e invasões por meio de vulnerabilidades associadas a aplicativos da web e APIs. É importante prestar atenção especial em como esses aplicativos são acessados por bots x humanos.
8. Backups confiáveis
Não apenas os backups devem ser testados regularmente, mas também é importante pensar no controle de acesso dos backups. Os agentes de ameaças sabem procurar ativos de backup, sendo vital proteger esses ativos e saber quem tem acesso a eles.
Compreensivelmente, a infraestrutura crítica sempre será um alvo porque sempre haverá um alto risco associado a ela. À medida que o ransomware se torna mais sofisticado e a tensão global continua, medidas preventivas podem ser tomadas para minimizar interrupções, danos e caos. A implantação das melhores práticas de segurança cibernética antes de um ataque pode interromper ataques graves a infraestruturas críticas.