As vulnerabilidades, que afetam os produtos de controle EcoStruxure Control Expert, EcoStruxure Process Expert, SCADAPack REmoteConnect x70 e Modicon M580 e M340 da empresa, apresentam vários riscos, incluindo a possibilidade de bypass de autenticação completo, execução arbitrária de código e perda de confidencialidade e integridade.
A pesquisa Zero Day Research da Tenable é um dos vários fornecedores que divulgou vulnerabilidades à Schneider por meio de práticas de divulgação padrão. Veja o relatório técnico aqui. Embora sejamos fortes defensores da divulgação completa, neste caso, optamos por ocultar certos detalhes técnicos específicos de nossos documentos de divulgação pública. A postura de segurança de sistemas de tecnologia operacional (OT) ainda precisa ser aprimorada para estar em pé de igualdade com suas contrapartes de TI e, como tal, esta é uma situação rara em que a divulgação completa não deve ser seguida. Em nossa opinião, o risco de uma exploração no mundo real bem-sucedida era muito grande e a infraestrutura crítica em risco era muito sensível para prosseguirmos com a divulgação completa meses antes da divulgação de patches pelo fornecedor.
Os fatores que cercam a divulgação da Schneider destacam os muitos desafios envolvidos na proteção da infraestrutura crítica. Desenvolver e implantar patches para sistemas de controle industrial e outras tecnologias usadas no ambiente de tecnologia operacional é notoriamente difícil. Por quê? Porque os sistemas devem ser desativados e totalmente testados cada vez que uma atualização é feita. Ainda assim, os modelos operacionais existentes para a maioria dos ambientes OT, como usinas de energia, gasodutos e fábricas, deixam pouca margem para tempo de inatividade. É claro que é preciso haver mais discussões no setor para determinar se os parâmetros de fornecedor usados para divulgações de dia zero em ambientes de TI são apropriados para infraestrutura crítica.
Em um ambiente de TI típico, os fluxos de trabalho e processos para corrigir sistemas de negócios digitais são bem estabelecidos e foram comprovados ao decorrer do tempo. Na maioria dos ambientes de OT, por outro lado, não há um fluxo de trabalho claro para atualizar o software, que é o ponto fraco de nossa infraestrutura crítica. Há uma batalha contínua entre a produção interna e a segurança, e cada uma obedece a diferentes métricas de sucesso em relação ao tempo de atividade e ao desempenho do sistema.
Em um ambiente de OT, é comum que sistemas dependentes de software sejam colocados em serviço e nunca mais sejam tocados nos próximos 10 anos. As atualizações regulares de software para tecnologias OT simplesmente não são incorporadas aos processos padrão na maioria das organizações de infraestrutura crítica.
Acreditamos que cabe a uma ampla gama de partes interessadas internacionais, incluindo órgãos governamentais, órgãos policiais, pesquisadores, fornecedores e proprietários e operadores de instalações de infraestrutura crítica, priorizar a colaboração global com o objetivo de desenvolver as melhores práticas para proteger os sistemas OT que possam ser aplicadas independentemente da localização.
Acreditamos que essas discussões precisam reconhecer que os fornecedores e os operadores de OT têm muito a aprender com seus colegas de TI e precisam se tornar mais adeptos do desenvolvimento e do gerenciamento do software que sustenta sistemas cruciais. Não se engane, a responsabilidade não recai exclusivamente sobre os proprietários e os operadores de ambientes de infraestrutura crítica. Os fornecedores devem ser responsáveis pela busca contínua de bugs e pela garantia de qualidade em seu próprio software, dedicando recursos para gerenciar com eficácia as divulgações de vulnerabilidades e acelerar os tempos de lançamento de atualização.
Os desafios dependem tanto das pessoas e processos quanto das tecnologias. Os operadores de ambientes de infraestrutura crítica precisam renovar suas práticas de governança, risco e conformidade de segurança cibernética. O gerenciamento e a remediação de vulnerabilidades de software em sistemas OT devem ser uma parte tão rotineira da manutenção da fábrica quanto a manutenção mecânica de hardware é hoje.
Nos EUA, já vimos um movimento positivo na forma da Ordem Executiva sobre Melhoria da Segurança Cibernética da Nação do governo Biden em 12 de maio, que exige orientação de segurança para cadeias de suprimentos de software para incorporar programas de divulgação de vulnerabilidades, e o informativo da Casa Branca de 18 de maio, que afirma que "segurança cibernética é uma parte essencial da resiliência e da construção da infraestrutura do futuro".
Ao mesmo tempo, reconhecemos a necessidade de ações mais imediatas que os proprietários e operadores de ambientes de infraestrutura crítica podem implantar hoje. Abaixo, fornecemos três ações de alto nível, bem como duas etapas táticas que as organizações podem realizar para se protegerem após a divulgação da Schneider.
Três itens de ação para proteger ambientes de infraestrutura crítica
Não há solução mágica para proteger ambientes OT. Assim como com a segurança de TI, é importante acertar no básico, e estamos bem cientes de que a simplicidade da orientação contraria a complexidade de realmente implantar as recomendações. No entanto, acreditamos que estes itens de ação devem ser repetidos, pois são fundamentais para qualquer estratégia sólida de segurança cibernética, especialmente quando os sistemas não podem ser atualizados:
Implantar uma postura de proteção em profundidade. Ambientes de infraestrutura crítica não podem contar com a segurança de nenhum dispositivo. As organizações precisam implantar uma arquitetura de segurança robusta com controles de compensação para proteger os dispositivos que estão em maior risco.
Desenvolver políticas sólidas de governança e recuperação de desastres. Elas são essenciais para lidar com ransomware e outras formas de ataque cibernético e devem levar em consideração não apenas as tecnologias, mas também as pessoas e os processos em vigor em qualquer organização. Exercite e teste seus planos de backup antes de precisar deles. Como a escassez de habilidades cibernéticas é particularmente crítica em ambientes de OT, atingir esse nível de governança continua sendo um desafio para muitas organizações.
Escolher tecnologias com sabedoria. Sem as pessoas e políticas certas em vigor, é impossível obter o valor total de qualquer tecnologia adquirida. Ao mesmo tempo, há certos recursos obrigatórios ao escolher tecnologias. Por exemplo, o ambiente de OT requer o mesmo nível de análise contínua em tempo real que pode ser encontrado no mundo de TI. Os operadores de OT precisam implantar tecnologias que forneçam o tipo de recursos de detecção e recuperação necessários para contornar sofisticados agentes de ameaças.
Dois itens de ação para usuários dos sistemas Schneider afetados
Se sua organização usa os sistemas Schneider afetados por esta divulgação de dia zero, estes são os dois itens de ação que você pode adotar imediatamente:
Revise e siga as recomendações do fornecedor detalhadas na divulgação da Schneider aqui.
Os clientes da Tenable podem aprender mais aqui sobre como detectar os sistemas afetados em seu ambiente.
Conclusão
É essencial que pesquisadores, governos, organizações do setor privado e fornecedores de tecnologia adotem ações táticas imediatas, bem como ações estratégicas de longo prazo, para enfrentar os desafios consideráveis de segurança cibernética que nossa infraestrutura crítica enfrenta. Da mesma forma, é importante desmontar os silos de TI, OT e infosec que existem na maioria das organizações e repensar como essas equipes são incentivadas a garantir que a segurança cibernética seja priorizada.
Marty Edwards, vice-presidente de Segurança para Operational Tecnology (OT) da Tenable.
