O que as novas diretrizes globais de segurança de Tecnologia Operacional significam para ambientes industriais?

Historicamente, os ambientes de tecnologia operacional (TO) foram projetados para serem isolados e estáveis. A mudança era lenta e os sistemas eram projetados para funcionar da mesma maneira durante anos.

Isso está mudando.  

Os sistemas de tecnologia operacional (OT) agora estão conectados, acessíveis remotamente e fortemente integrados a plataformas de software e dados. Essa mudança gerou benefícios operacionais reais. Isso também eliminou muitas das suposições que antes mantinham os ambientes de Tecnologia Operacional seguros.

Este é o contexto das novas diretrizes sobre Princípios de Conectividade Segura para Tecnologia Operacional (TO) , desenvolvidas pelo Centro Nacional de Segurança Cibernética do Reino Unido em parceria com organizações internacionais.  

As diretrizes deixam claro que a conectividade OT (Tecnologia Operacional) é agora uma importante fonte de risco, e protegê-la exige um projeto robusto, não controles adicionais.

Os ambientes de Tecnologia Operacional (TO) devem ser construídos de forma que a conectividade seja intencional, limitada, visível e capaz de resistir a ataques. Isso significa planejar para o consenso, projetar para o isolamento e limitar o alcance das falhas.

Segue um resumo dos princípios fundamentais das diretrizes, por que eles são importantes para a Terapia Ocupacional e como o Illumio se alinha a esses requisitos.

Por que essa orientação existe agora?

Os sistemas de tecnologia operacional estão mais conectados do que nunca. Muitos ainda funcionam em dispositivos antigos que nunca foram projetados para enfrentar as ameaças modernas.

O acesso remoto, o suporte de terceiros, a análise na nuvem e as conexões de TI ampliaram a superfície de ataque. Em muitos casos, esse crescimento ocorreu mais rápido do que as equipes conseguiam acompanhar ou controlar completamente.

Os ambientes de OT (Tecnologia Operacional) também têm limitações que os de TI (Tecnologia da Informação) não têm. A aplicação de patches é lenta ou impossível. Reiniciar o sistema é arriscado. As atualizações de hardware podem levar anos. Quando os sistemas falham, o impacto pode ir além do tempo de inatividade e afetar a segurança.

É por isso que as orientações se concentram nos objetivos finais em vez de uma lista de verificação. Reconhece que a segurança perfeita não pode ser alcançada de uma só vez.

O que as organizações podem controlar é o design. Ao planejar a conectividade de OT (Tecnologia Operacional) com intenção, as equipes podem evitar que um comprometimento se transforme em uma falha maior.

Essa abordagem corresponde à forma como os atacantes atuam atualmente. Eles dependem de movimento lateral, persistência e tempo.  

8 princípios fundamentais e o que eles significam na prática

O guia divide a conectividade segura de OT em oito princípios fundamentais. Cada uma delas tem como foco a redução de riscos sem comprometer a segurança ou a disponibilidade.

Em conjunto, esses princípios formam uma estrutura prática. Eles mostram como projetar ambientes de Tecnologia Operacional (TO) que possam lidar com situações de comprometimento e manter as operações em funcionamento.

1. Equilibre os riscos e as oportunidades.

A integração com a terapia ocupacional deve começar com a intenção. Cada conexão deve existir por uma razão operacional definida, proporcionar um benefício comercial claro e ter um responsável nomeado que aceite o risco.

Na realidade, muitos ambientes de terapia ocupacional não evoluíram dessa forma. A conectividade geralmente aumentava com o tempo. O acesso de fornecedores foi adicionado como uma solução temporária. As estações de trabalho de engenharia obtiveram múltiplas conexões de rede. Os dados foram compartilhados porque era fácil, não porque foram revisados.

Isso cria um problema comum. A maioria das organizações não tem uma visão atualizada de como seus sistemas de tecnologia operacional (OT) realmente se comunicam.

A Illumio ajuda a colmatar esta lacuna ao criar um mapa em tempo real das comunicações de OT (Tecnologia Operacional). É baseado no tráfego observado, não em diagramas de rede ou suposições.

As equipes podem ver quais PLCs (controladores lógicos programáveis) se comunicam com quais IHMs (interfaces homem-máquina), quais servidores iniciam conexões e quais fluxos são necessários para as operações. Eles também conseguem ver o tráfego que existe simplesmente porque nada o bloqueou.

Isso altera a forma como as decisões de risco são tomadas. Em vez de debater teorias de design, as equipes trabalham com base em evidências. Eles podem decidir quais conexões são necessárias, quais devem ser restringidas e quais podem ser removidas.

2. Limite a exposição da sua conectividade.

A visibilidade não se resume apenas ao acesso à internet. Também depende da acessibilidade de um sistema a partir de redes próximas e de quantos caminhos levam a ele depois que um invasor consegue entrar.

A orientação desencoraja o acesso externo ao centro de terapia ocupacional. Prioriza conexões somente de saída, acesso intermediado e conectividade sob demanda para reduzir o tempo de exposição.

Esses princípios fazem sentido. Mas muitos ambientes de Tecnologia Operacional ainda dependem de acesso persistente. Sistemas legados e ferramentas de fornecedores geralmente exigem isso.

Quando a exposição não puder ser eliminada no limite, ela deverá ser limitada dentro do ambiente.

Illumio reduz o impacto dos sistemas expostos. Se um gateway de acesso remoto, um servidor de salto ou uma estação de trabalho de um fornecedor for comprometido, o Illumio impede que esse acesso se propague pela OT (Tecnologia Operacional).

As políticas definem quais sistemas podem se comunicar, em quais portas e em qual direção.

Na prática, isso significa que uma sessão de fornecedor comprometida pode atingir um sistema de manutenção. Não consegue fazer varreduras em controladores, alcançar sistemas de segurança ou acessar ativos de produção não relacionados.

A exposição ainda existe. Os danos que pode causar são muito menores.

3. Centralizar e padronizar as conexões de rede

A orientação destaca um grande desafio da terapia ocupacional: a expansão descontrolada da conectividade.

Com o tempo, as organizações criam muitos caminhos de acesso personalizados. VPNs, regras de firewall e projetos de rede especiais se acumulam. As equipes evitam alterá-las porque temem interromper a produção.

Essa complexidade aumenta o risco. Isso também atrasa a resposta durante um incidente.

A orientação exige modelos de conectividade centralizados e repetíveis que possam ser monitorados e aplicados da mesma forma.

O Illumio permite isso ao separar a política de segurança do layout da rede. As políticas são baseadas no que um sistema é e no que ele faz, não em onde ele se encontra na rede.

Isso permite que as organizações padronizem o acesso sem precisar redesenhar sua infraestrutura. Com o tempo, exceções pontuais podem ser substituídas por políticas claras e reutilizáveis, mais fáceis de testar e manter.

4. Utilize protocolos padronizados e seguros.

As orientações são realistas em relação aos protocolos. Muitos sistemas de tecnologia operacional ainda dependem de protocolos legados ou inseguros. Substituí-los todos de uma só vez raramente é possível.

Em vez disso, a orientação se concentra na compreensão do risco do protocolo e no uso de controles quando as atualizações não são possíveis.

Muitas estratégias de segurança falham aqui porque partem do pressuposto de que as atualizações de protocolo devem vir primeiro.

Illumio segue um caminho diferente. Isso pressupõe que protocolos inseguros permanecerão. O foco está em onde e como esses protocolos podem ser executados.

Ao limitar quais sistemas podem usar um protocolo e para onde esse tráfego pode ir, o Illumio reduz o abuso mesmo quando a criptografia ou a autenticação são fracas.

Por exemplo, pode ser necessário o tráfego Modbus entre um controlador e um dispositivo. Illumio garante que exista apenas esse caminho. O mesmo tráfego não pode ser iniciado em outro lugar nem usado para trafegar pela rede.

O protocolo permanece em vigor enquanto o risco estiver controlado.

5. Endurecer o limite OT

Os limites da OT (Tecnologia Operacional) são importantes porque muitos dispositivos internos não podem ser atualizados ou protegidos individualmente.

Controles rigorosos de limites são essenciais. Mas a orientação também destaca um ponto importante. As fronteiras falham.

Erros de configuração acontecem e vulnerabilidades aparecem. As credenciais são roubadas. Quando um limite é ultrapassado, os controles internos decidem o que acontece em seguida.

Por padrão, a Illumio trata o tráfego OT interno como não confiável. Mesmo depois de o tráfego cruzar uma fronteira, ele ainda precisa seguir as regras de segmentação para chegar ao seu destino.

Não existe confiança automática apenas porque o tráfego está dentro da rede.

Essa abordagem em camadas significa que uma violação de limites não se transforma em uma violação completa. Os controles internos limitam o alcance dos ataques.

6. Limitar o impacto do compromisso

Este princípio é a afirmação mais forte do guia. O documento menciona diretamente a contaminação e a movimentação lateral como os principais riscos após a obtenção do acesso.

Redes planas, credenciais compartilhadas e amplo acesso permitem que os invasores se movam mais rápido do que os defensores conseguem responder.

O Illumio foi projetado para impedir esse movimento.

A microsegmentação limita a comunicação ao que é explicitamente permitido. Por padrão, os sistemas não conseguem se comunicar entre si.

Uma estação de trabalho de engenharia comprometida não consegue alcançar os controladores. Um servidor comprometido não consegue acessar os sistemas de segurança. O movimento lateral está bloqueado.

Isso evita a escalada do problema. Em ambientes de tecnologia operacional (OT), onde as opções de resposta são limitadas pela segurança e pelo tempo de atividade, impedir a escalada do problema é fundamental.

7. Certifique-se de que toda a conectividade seja registrada e monitorada.

O monitoramento só funciona quando as equipes sabem o que é a normalidade.

O tráfego de OT (Outros Serviços) costuma ser previsível. Mas isso só ajuda se as equipes conseguirem visualizar a comunicação leste-oeste.

O Illumio proporciona visibilidade contínua dos padrões de tráfego reais. Isso facilita o estabelecimento de valores de referência e a identificação de alterações.

Isso também adiciona contexto. Quando algo incomum acontece, as equipes podem ver o que mudou, quais sistemas estão envolvidos e se houve violação de alguma política.

Isso agiliza as investigações e permite decisões mais rápidas durante incidentes.

8. Elabore um plano de isolamento.

As diretrizes consideram o isolamento como parte do planejamento, e não como uma reação de última hora.

Os ambientes de Tecnologia Operacional (TO) devem ser capazes de isolar sistemas ou serviços sem causar danos. Essas ações devem ser planejadas e testadas.

Isso só funciona quando a segmentação já existe.

Illumio oferece suporte ao isolamento direcionado. As equipes podem bloquear caminhos específicos, isolar sistemas comprometidos ou remover o acesso de terceiros sem precisar desligar sites inteiros.

O isolamento torna-se preciso e reversível.

Essa precisão ajuda as organizações a responderem a incidentes sem transformá-los em emergências operacionais.

A contenção de violações é o requisito unificador de segurança de Tecnologia Operacional (TO).

Em conjunto, as orientações apontam para o fato de que a segurança de OT não pode mais ser construída apenas com base na prevenção.  

A conectividade garante a exposição, e os sistemas legados garantem a vulnerabilidade. A única estratégia sustentável é a contenção por meio do planejamento.

A contenção de violações não se trata de presumir falhas, mas sim de projetar ambientes que continuem a funcionar com segurança quando uma falha ocorrer.

O Illumio está em conformidade com as diretrizes porque trata a segmentação, a visibilidade e a aplicação de regras como controles fundamentais, e não como recursos avançados.  

Em ambientes de Tecnologia Operacional (TO), essa base é o que permite às organizações adotar a conectividade com segurança, cumprir as diretrizes em constante evolução e responder a incidentes sem agravar o impacto.

A conectividade segura de OT exige contenção de violações.

Os Princípios de Conectividade Segura para Tecnologia Operacional deixam claro que a conectividade mudou a forma como o risco se manifesta nos ambientes operacionais.

O acesso remoto, o suporte de terceiros e o compartilhamento de dados agora fazem parte das operações diárias de Tecnologia Operacional (TO). Muitos dos sistemas envolvidos nunca foram projetados para esse nível de exposição.

As organizações que resistem à pressão planejam encontrar soluções de compromisso. Eles limitam a confiança por padrão. Eles controlam a forma como os sistemas se comunicam entre si. E eles projetam redes de forma que uma única falha não se transforme em um incidente que afete toda a instalação ou que esteja relacionado à segurança.

A contenção de violações não substitui os controles de segurança de tecnologia operacional (OT). Isso garante que esses controles continuem funcionando quando algo der errado.

Veja como o Illumio Insights ajuda você a entender e conter riscos em ambientes complexos e interconectados. Experimente o Insights gratuitamente hoje.