{"id":20453,"date":"2022-12-15T14:48:50","date_gmt":"2022-12-15T17:48:50","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=20453"},"modified":"2022-12-15T14:48:50","modified_gmt":"2022-12-15T17:48:50","slug":"updating-ot-infrastructure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/updating-ot-infrastructure\/20453\/","title":{"rendered":"O ant\u00eddoto para o conservadorismo da tecnologia operacional"},"content":{"rendered":"

Eu venho dizendo isso h\u00e1 anos: o antiv\u00edrus est\u00e1 morto<\/a>.<\/p>\n

Isso pode soar estranho se for a primeira vez que voc\u00ea escuta essa afirma\u00e7\u00e3o vindo de mim, ainda mais porque estou h\u00e1 trinta anos no setor,\u00a0 desde<\/a> o in\u00edcio de tudo relacionado a v\u00edrus e antiv\u00edrus no final dos anos oitenta<\/a> e in\u00edcio dos anos noventa<\/a>. No entanto, se nos aprofundarmos um pouco mais no tema AV (RIP) e consultamos algumas fontes autorizadas neste (antigo) campo, a afirma\u00e7\u00e3o parece bastante l\u00f3gica:\u00a0 por um lado, \u201cantiv\u00edrus\u201d tornou-se solu\u00e7\u00f5es de prote\u00e7\u00e3o \u201ccontra tudo\u201d e, por outro, o v\u00edrus, como um tipo particular de programa malicioso, extinguiu-se. Quase<\/em>. E \u00e9 aquele aparentemente inofensivo, quase<\/em> insignificante que acabei de escrever, que causa problemas em ciberseguran\u00e7a atualmente, no final do ano de 2022! E essa \u00e9 quase<\/em> a base deste post de hoje\u2026<\/p>\n

Sim, v\u00edrus.\u00a0 Os \u00faltimos remanescentes na Lista Vermelha<\/a>: onde est\u00e3o agora e o que est\u00e3o fazendo\u2026?<\/p>\n

Acontece que eles tendem a residir em um dos subcampos mais conservadores da automa\u00e7\u00e3o industrial: o da tecnologia operacional<\/a> (OT, <\/em>sigla em ingl\u00eas,<\/em> n\u00e3o confundir com IT).<\/em>\u00a0 OT \u00e9 o \u201chardware<\/em> e software<\/em> que detecta ou provoca uma altera\u00e7\u00e3o, da supervis\u00e3o e\/ou controle direto de equipamentos, ativos, processos e eventos industriais\u201d (Wikipedia). Basicamente, a OT est\u00e1 relacionada a um ambiente de sistemas de controle industrial (ICS<\/a>).\u00a0 OT = sistemas de controle especializados em f\u00e1bricas, usinas de energia, sistemas de transporte, setor de servi\u00e7os p\u00fablicos e extra\u00e7\u00e3o, processamento e outras ind\u00fastrias pesadas. Sim, infraestrutura e, muitas vezes, infraestrutura cr\u00edtica<\/em>. E sim, novamente: \u00e9 nesta infraestrutura industrial\/cr\u00edtica em que os v\u00edrus de computador \u201cmortos\u201d est\u00e3o vivos e causando: cerca\u00a0 de 3% dos ciberincidentes em computadores OT<\/a> s\u00e3o causados por esse tipo de malware<\/em>.<\/p>\n

Mas como?<\/p>\n

Na verdade, a resposta que j\u00e1 lhe dei:\u00a0 a OT, pelo contr\u00e1rio, a sua aplica\u00e7\u00e3o na ind\u00fastria, \u00e9 muito conservadora.\u00a0 Se h\u00e1 um campo que acredita firmemente no velho ditado \u201cse n\u00e3o est\u00e1 quebrado, n\u00e3o conserte!\u201d, \u00e9 o OT. A espinha dorsal deste campo \u00e9 a estabilidade, n\u00e3o as \u00faltimas tend\u00eancias. Novas vers\u00f5es, melhorias e at\u00e9 mesmo atualiza\u00e7\u00f5es (por exemplo, software) s\u00e3o vistas com ceticismo, desd\u00e9m e at\u00e9\u00a0 medo! Na verdade, a tecnologia operacional em sistemas de controle industrial \u00e9 comumente composta de computadores mais antigos que rangem e executam o Windows 2000 (!) , al\u00e9m\u00a0 de uma variedade de softwares obsoletos cheios de vulnerabilidades (tamb\u00e9m h\u00e1 buracos gigantes em suas pol\u00edticas de seguran\u00e7a\u00a0 e muitos outros pesadelos para as equipes de\u00a0 seguran\u00e7a de TI).<\/em>\u00a0 Em suma: o kit do departamento de TI<\/em> nos escrit\u00f3rios, n\u00e3o na f\u00e1brica ou nas instala\u00e7\u00f5es auxiliares \/ t\u00e9cnicas, est\u00e1 otimizado contra todos os v\u00edrus de forma constante, e \u00e9 atualizado e revisado em tempo h\u00e1bil,\u00a0 al\u00e9m\u00a0 de ser totalmente protegido por solu\u00e7\u00f5es modernas de ciberseguran\u00e7a. Enquanto isso, no resto das \u00e1reas (OT), o exato oposto acontece; portanto, os v\u00edrus sobrevivem e prosperam.<\/p>\n

Aqui est\u00e3o os 10 malwares \u201cold-school\u201d mais difundidos a serem encontrados em computadores ICS em 2022:<\/p>\n

\"\"<\/p>\n

Sality<\/a>! Virut<\/a>! Nimnul<\/a>!<\/p>\n

O que esse gr\u00e1fico pode nos dizer?<\/p>\n

Em primeiro lugar<\/strong>, preciso destacar que as porcentagens mostradas est\u00e3o relacionadas a uma fase do \u201cdorm\u00eancia\u201d desses v\u00edrus old-school. Mas, de tempos em tempos, eles podem escapar dos limites de um \u00fanico sistema infectado e se espalhar por toda a rede, levando a uma grave epidemia local. E, em vez de um tratamento completo, geralmente recorre-se a backups antigos, que nem sempre est\u00e3o \u201climpos\u201d. Al\u00e9m disso, a infec\u00e7\u00e3o pode afetar n\u00e3o apenas computadores ICS, mas tamb\u00e9m controladores l\u00f3gicos program\u00e1veis<\/a> (CLPs). Por exemplo, muito antes do aparecimento do\u00a0 Blaster<\/a> (um worm de prova de conceito capaz de infectar o firmware PLC), o loader Sality<\/em> j\u00e1 estava presente; bem, quase: n\u00e3o no firmware, mas na forma de um script em arquivos HTML da interface web.<\/p>\n

Sim, o Sality pode criar um desastre real em processos de produ\u00e7\u00e3o automatizados, mas isso n\u00e3o \u00e9 tudo. Ele pode danificar a mem\u00f3ria por meio de um driver malicioso e infectar arquivos e mem\u00f3ria de aplicativos, o que pode levar \u00e0 falha total de um sistema de controle industrial em quest\u00e3o de dias. E no caso de uma infec\u00e7\u00e3o ativa, a rede pode cair, j\u00e1 que o Sality vem usando a comunica\u00e7\u00e3o peer-to-peer para atualizar a lista de centros de controle ativos desde 2008. \u00a0\u00c9 muito complicado que os fabricantes de ICS tenham escrito seu c\u00f3digo com esse ambiente de trabalho agressivo em mente.<\/p>\n

Em segundo lugar<\/strong>, 0.14% em um m\u00eas n\u00e3o parece muito, mas representa milhares<\/em> de casos de infraestrutura cr\u00edtica em todo o mundo. \u00c9 uma pena quando voc\u00ea pensa em como esse risco poderia ser exclu\u00eddo completamente, de forma simples e com os m\u00e9todos mais fundamentais.<\/p>\n

E terceiro<\/strong>, uma vez que a ciberseguran\u00e7a de f\u00e1brica \u00e9 uma peneira, n\u00e3o \u00e9 de admirar que muitas vezes ou\u00e7amos not\u00edcias sobre ataques bem-sucedidos de outros tipos de malware, particularmente \u00a0ransomware (como o caso de\u00a0 infec\u00e7\u00e3o por ransomware Snake contra a Honda<\/a>).<\/p>\n

\u00c9 claro por que as pessoas de OT s\u00e3o conservadoras: o principal para elas \u00e9 que os processos industriais que monitoram n\u00e3o sofrem interrup\u00e7\u00f5es, o que poderia causar novas tecnologias\/melhorias\/atualiza\u00e7\u00f5es. Mas e as interrup\u00e7\u00f5es causadas por ataques de v\u00edrus old-school que permitem congelar no tempo? Precisamente, esse \u00e9 o dilema enfrentado pelo OT que n\u00e3o se adapta \u00e0s novas tecnologias, da\u00ed\u00a0 os n\u00fameros mostrados no gr\u00e1fico.<\/p>\n

Mas o dilema pode ser coisa do passado com a nossa \u201cp\u00edlula\u201d.<\/p>\n

O ideal \u00e9 que haja a capacidade de inovar, melhorar ou atualizar o kit OT sem comprometer a continuidade dos processos industriais.\u00a0 \u00c9 por isso que, no ano passado, patenteamos um sistema que garante exatamente isso\u2026<\/p>\n

Em suma, funciona assim: antes de introduzir algo novo nos processos que DEVEM continuar a funcionar, voc\u00ea os testa em um simulador, um suporte especial que emula fun\u00e7\u00f5es industriais cr\u00edticas.<\/p>\n

Esta plataforma \u00e9 composta por uma determinada configura\u00e7\u00e3o de rede OT, que alimenta os mesmos tipos de dispositivos utilizados no processo industrial (computadores, PLCs, sensores, equipamentos de comunica\u00e7\u00e3o, pacote IoT) e os faz interagir uns com os outros para replicar a fabrica\u00e7\u00e3o ou outro processo industrial. No terminal de entrada da\u00a0 plataforma h\u00e1 uma amostra do software testado, que come\u00e7a a ser monitorado por uma sandbox, que registra todas as suas a\u00e7\u00f5es, observa as respostas dos n\u00f3s da rede, mudan\u00e7as em seu desempenho, acessibilidade de conex\u00f5es e muitas outras caracter\u00edsticas at\u00f4micas. Os dados recolhidos desta forma permitem construir um modelo que descreva os riscos do novo software, o que por sua vez permite que sejam tomadas decis\u00f5es informadas sobre a introdu\u00e7\u00e3o ou n\u00e3o deste novo software e o que deve ser feito com o OT para fechar as vulnerabilidades descobertas.<\/p>\n

Mas espere, as coisas ficam interessantes\u2026<\/p>\n

Voc\u00ea pode tentar literalmente qualquer coisa no terminal de entrada, n\u00e3o apenas o novo software e as atualiza\u00e7\u00f5es que ser\u00e3o implantadas. Por exemplo, voc\u00ea pode testar a resili\u00eancia contra programas mal-intencionados que ignoram meios externos de prote\u00e7\u00e3o e penetram em uma rede industrial protegida.<\/p>\n

Essa tecnologia tem muito potencial no campo dos seguros, pois permite que as empresas julguem melhor os riscos cibern\u00e9ticos para ajustar com mais precis\u00e3o os pr\u00eamios, enquanto os segurados n\u00e3o pagar\u00e3o demais sem motivo. Al\u00e9m disso, os fabricantes de equipamentos industriais poder\u00e3o usar a plataforma de teste para certifica\u00e7\u00e3o de software e hardware de outros desenvolvedores.\u00a0 Se desenvolvermos ainda mais este conceito, tal servi\u00e7o tamb\u00e9m seria adaptado aos centros de acredita\u00e7\u00e3o espec\u00edficos da ind\u00fastria, para n\u00e3o mencionar o potencial de pesquisa nas institui\u00e7\u00f5es de ensino!<\/p>\n

Mas, por enquanto, vamos voltar \u00e0 plataforma original\u2026<\/p>\n

Evidente que nenhuma emula\u00e7\u00e3o pode reproduzir com 100% de precis\u00e3o toda a variedade de processos em redes OT. No entanto, com base no modelo que constru\u00edmos com a nossa vasta experi\u00eancia em mente, j\u00e1 sabemos onde \u201csurpresas\u201d podem ser esperadas ap\u00f3s a introdu\u00e7\u00e3o de um novo software. Al\u00e9m disso, podemos monitorizar de forma fi\u00e1vel a situa\u00e7\u00e3o com outros m\u00e9todos, por exemplo, com o nosso sistema de alerta precoce de anomalias,\u00a0 o MLAD<\/a> (sobre\u00a0 o qual j\u00e1 detalhei aqui<\/a>), que pode identificar problemas em sec\u00e7\u00f5es espec\u00edficas de uma opera\u00e7\u00e3o industrial com base em correla\u00e7\u00f5es diretas ou mesmo indiretas.\u00a0 Isso poderia evitar a perda de milh\u00f5es, se n\u00e3o bilh\u00f5es de d\u00f3lares.<\/p>\n

Ent\u00e3o, o que est\u00e1 impedindo os respons\u00e1veis pela OT de competir para adotar nosso modelo de plataforma?<\/p>\n

Bem, talvez, at\u00e9 agora, uma vez que eles s\u00e3o t\u00e3o conservadores, eles n\u00e3o est\u00e3o ativamente procurando uma solu\u00e7\u00e3o como a nossa, pois eles podem n\u00e3o consider\u00e1-la necess\u00e1ria (!). Faremos o nosso melhor para promover nossa tecnologia e economizar milh\u00f5es \u00e0 ind\u00fastria, \u00e9 claro, mas, enquanto isso, gostaria de acrescentar o seguinte: nosso modelo de suporte, embora complexo, se pagar\u00e1 muito rapidamente se adotado por uma grande ind\u00fastria ou organiza\u00e7\u00e3o de infraestrutura. E n\u00e3o \u00e9 um modelo de assinatura ou algo assim: voc\u00ea paga uma vez e ele o protege por anos sem investimento adicional (minimizando riscos regulat\u00f3rios, de reputa\u00e7\u00e3o e operacionais). Ah, tamb\u00e9m proteger\u00e1 o estado emocional das equipes de OT.<\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Todas as informa\u00e7\u00f5es sobre a prote\u00e7\u00e3o e atualiza\u00e7\u00e3o da infraestrutura de OT.<\/p>\n","protected":false},"author":13,"featured_media":20454,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[14],"tags":[990,3086,3085,3084,79],"class_list":{"0":"post-20453","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-ics","9":"tag-mlad","10":"tag-ot","11":"tag-tecnologia-operacional","12":"tag-virus"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/updating-ot-infrastructure\/20453\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/updating-ot-infrastructure\/24942\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/updating-ot-infrastructure\/20439\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/updating-ot-infrastructure\/10478\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/updating-ot-infrastructure\/27499\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/updating-ot-infrastructure\/25272\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/updating-ot-infrastructure\/25602\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/updating-ot-infrastructure\/28159\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/updating-ot-infrastructure\/27424\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/updating-ot-infrastructure\/34311\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/updating-ot-infrastructure\/46467\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/updating-ot-infrastructure\/19830\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/updating-ot-infrastructure\/29576\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/updating-ot-infrastructure\/33951\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/updating-ot-infrastructure\/28791\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/updating-ot-infrastructure\/25628\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/updating-ot-infrastructure\/31318\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/updating-ot-infrastructure\/31027\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ics\/","name":"ICS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20453","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=20453"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20453\/revisions"}],"predecessor-version":[{"id":20457,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20453\/revisions\/20457"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/20454"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=20453"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=20453"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=20453"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}