A medição e melhoria da segurança de TI já chegou a muitas empresas e está sendo impulsionada. A questão da segurança OT, por outro lado, ainda é um livro fechado para muitas empresas. A OTORIO explica como a segurança de TI e OT pode ser promovida igualmente e qual o papel que o gerenciamento de vulnerabilidades e a pontuação desempenham nisso.
Quais são as medidas de redução de risco mais eficientes que alcançam a redução de risco mais eficaz para uma instalação específica, processo ou uma instalação de produção inteira? No entanto, uma vez que as medidas de redução de risco sejam implementadas e um risco residual aceitável permaneça, ainda há mais trabalho a ser feito. Isso ocorre porque o processo de mitigação de riscos revela perigos e lacunas adicionais que fazem parte do risco residual “aceitável” recém-introduzido.
Este é um processo contínuo, pois permite que as equipes operacionais e de segurança OT se concentrem constantemente nas vulnerabilidades que os invasores provavelmente explorarão para causar o máximo de dano possível a uma organização. É somente repetindo esse ciclo de avaliação de risco que as organizações podem alcançar resiliência de negócios com uma quantidade limitada de recursos.
Objetivos da avaliação da situação
O principal objetivo do processo de avaliação é abordar as vulnerabilidades com a prioridade certa. Este post analisa a natureza das vulnerabilidades, como elas devem ser avaliadas e sua aplicação à segurança digital OT.
O Instituto Nacional de Padrões e Tecnologia (NIST) define uma vulnerabilidade como: "Uma vulnerabilidade na lógica computacional (por exemplo, código) de componentes de software e hardware que, se explorada, resulta em um impacto adverso na confidencialidade, integridade ou disponibilidade. Corrigir as vulnerabilidades neste contexto geralmente envolve alterações no código, mas também pode envolver alterações na especificação ou até mesmo depreciação da especificação (por exemplo, remoção total dos protocolos ou funções afetados). ”
Relação entre inventário de ativos e vulnerabilidades OT
A criação de um inventário de ativos preciso, contextual e detalhado é a primeira etapa no desenvolvimento de um processo eficaz de análise de vulnerabilidade OT. O inventário deve incluir software e datas de versão, conexões de dispositivos, status e informações de gerenciamento (por exemplo, proprietário, papel operacional, função). Um inventário atual e preciso reflete vários aspectos da integridade do ativo.
Após um inventário inicial, as vulnerabilidades podem ser vinculadas aos ativos correspondentes. Esse mapeamento deve ser feito por meio de um processo automatizado, principalmente com um grande número de ativos. Isso requer a criação e o uso de um algoritmo que possa associar dados de vulnerabilidade semiestruturados a ativos na rede.
O banco de dados Common Vulnerabilities and Exposures (CVE) do NIST contém atualmente cerca de 170.000 vulnerabilidades conhecidas de TI e OT, tornando-o uma importante fonte de informações. Este número e a introdução constante de novas vulnerabilidades reforçam a escala e a necessidade de automatizar a sua identificação.
Fontes para definições de vulnerabilidade
Ao avaliar vulnerabilidades, a gravidade de cada vulnerabilidade é quantificada usando um índice de vulnerabilidade. Um método padrão para avaliar vulnerabilidades é o Common Vulnerability Scoring System (CVSS) do NIST, um padrão da indústria que avalia a facilidade com que uma vulnerabilidade pode ser explorada e o impacto que ela pode ter na confidencialidade, integridade e disponibilidade. Esses três fatores (também conhecidos como "CIA" - para "confidencialidade, integridade e disponibilidade") também são variáveis que medem a gravidade potencial de uma ameaça.
No entanto, apenas considerar as vulnerabilidades comuns não é suficiente para determinar o quão vulnerável é um determinado ativo. Outra fonte de determinação é a política interna da empresa. Por exemplo, se tal política determinar que senhas de força média constituem uma vulnerabilidade, isso deve ser levado em consideração ao calcular a vulnerabilidade do ativo. As vulnerabilidades específicas da empresa são a principal maneira pela qual os profissionais podem considerar a política como um fator na avaliação de vulnerabilidades.
Os padrões da indústria e as melhores práticas também são fontes importantes de vulnerabilidades que contribuem para o risco. Exemplos de padrões da indústria são ISA/IEC 62443 na Europa e NERC CIP na América do Norte. A falha em seguir as melhores práticas pode resultar em problemas como configuração de segmentação permitida, falta de agentes EDR e comunicação injustificada entre as áreas de TI e OT na rede. Eles precisam ser inseridos em um banco de dados geral de vulnerabilidades, onde podem ser modificados por especialistas no assunto, à medida que os padrões do setor e as melhores práticas evoluem.
Avaliação de vulnerabilidades
Os profissionais devem avaliar as vulnerabilidades específicas da empresa usando o sistema CVSS e colocá-las na mesma escala que as vulnerabilidades gerais. O banco de dados de vulnerabilidade deve ser flexível o suficiente para permitir que o profissional influencie a avaliação de vulnerabilidade com base nas políticas da empresa.
Como qualquer estado de ativo pode representar uma vulnerabilidade, é recomendável implantar um algoritmo que aplique políticas corporativas a todos os estados de ativo. A base para tomar as decisões corretas sobre a situação de segurança é, portanto, o uso consistente de um banco de dados de vulnerabilidades no qual todas as vulnerabilidades são avaliadas de acordo com um método padrão. Isso permite que uma organização priorize a mitigação com base no risco.
Conclusão
As vulnerabilidades são um dos quatro componentes de risco e um fator importante ao analisar a postura de segurança. Um grande desafio é construir e manter um banco de dados de vulnerabilidades que possa ser aplicado aos ativos para tomar decisões sobre a priorização de ações de correção.
A melhor maneira de avaliar vulnerabilidades é cumprir o sistema CVSS. Como resultado, as organizações evitam ter que reavaliar todas as vulnerabilidades comuns enquanto mantêm os padrões do setor. Devido ao escopo e à escala desse processo, é necessário automatizá-lo. Dessa forma, uma organização pode conduzir regularmente uma avaliação consistente e escalável da postura de segurança, possibilitando comparar avaliações ao longo do tempo e identificar tendências na postura de segurança.
Mais em Sophos.com
Sobre a OTORIO
A OTORIO desenvolve e comercializa a próxima geração de soluções de segurança OT e gerenciamento de riscos digitais. A empresa combina a experiência dos principais especialistas em segurança cibernética do governo com tecnologias de gerenciamento de risco digital de ponta para fornecer o mais alto nível de proteção para infraestrutura crítica e indústrias de manufatura.