Os sistemas de controle supervisório e aquisição de dados (SCADA) têm estado no centro dos processos usados por muitas indústrias diferentes, desde o controle de máquinas em usinas de energia até o gerenciamento de semáforos nas cidades. Como os sistemas SCADA desempenham papéis importantes em processos muito críticos, uma fraqueza não verificada pode causar graves consequências no mundo real.
Como eles adquiriram mais recursos ao longo dos anos – tanto como produto de um mundo cada vez mais conectado quanto para atender a novas demandas – é importante revisitar que tipo de vulnerabilidades foram descobertas nos sistemas SCADA e aprender como protegê-los.
O que são sistemas SCADA e onde eles são encontrados?
Compreender os componentes dos sistemas SCADA e suas funções nos permite ver onde é provável que existam vulnerabilidades neles. Os sistemas SCADA existem há décadas. Eles são um produto da era da automação da fabricação e continuam a existir na era do surgimento dos sistemas físicos cibernéticos (CPS), ou Indústria 4.0.
Em poucas palavras, os sistemas SCADA são sistemas de controle industrial (ICS) que fornecem especificamente controle de nível de supervisão sobre máquinas e/ou processos industriais que abrangem uma ampla área geográfica (como plantas de distribuição de energia). Os sistemas SCADA contêm Computadores Supervisórios, bem como muitos outros dispositivos, sendo os principais os Controladores Lógicos Programáveis ??(CLPs) e Unidades de Transmissão Remota (RTUs). Tanto os PLCs quanto os RTUs participam do gerenciamento local de subprocessos mais específicos. Os CLPs possuem sensores e atuadores que recebem comandos e enviam informações para outros componentes do sistema SCADA.
PLCs, RTUs e outros sensores conectados a sistemas SCADA coletam dados que ajudam os supervisores da planta a tomar decisões críticas com base em informações em tempo real. Os supervisores precisam apenas olhar para as Interfaces Homem-Máquina (IHMs), onde as diferentes funções e elementos de dados dos sistemas SCADA são apresentados para revisão e controle humano.
Como se pode depreender de suas funções, os sistemas SCADA são versáteis e podem ser encontrados em todos os tipos de ambientes e infraestruturas industriais.
O mercado SCADA atual indica que as indústrias continuam a ver os benefícios que os sistemas SCADA modernos proporcionam aos seus processos. Na verdade, o mercado está previsto para atingir US$ 47,04 bilhões até 2025. No entanto, as vulnerabilidades dos sistemas SCADA e as ameaças em evolução que os atingem representam um desafio para seus integradores. Essas vulnerabilidades não apenas podem levar a potenciais perdas financeiras; eles também podem se traduzir facilmente em efeitos em cascata na cadeia de suprimentos, especialmente no caso de infraestrutura crítica.
Qual é o estado das vulnerabilidades do SCADA?
Infelizmente, com base nos relatórios contínuos recebidos pela Trend Micro Zero Day Initiative (ZDI), as vulnerabilidades foram e provavelmente continuarão a atormentar os sistemas SCADA por algum tempo. Nos últimos cinco anos, 2018 viu o maior número de vulnerabilidades conhecidas, com 2019 em segundo lugar.
Analisar as vulnerabilidades que compuseram a contagem de cada ano dá uma ideia geral de onde as fraquezas podem ser encontradas quando se trata de sistemas SCADA.
Em 2015, foram encontradas vulnerabilidades no software ProClima da Schneider Electric, projetado para ajudar no gerenciamento térmico de um ambiente. Ao enganar um usuário alvo para abrir um arquivo malicioso ou visitar um URL malicioso, os agentes de ameaças podem executar código arbitrário no sistema.
2016 viu um aumento nas vulnerabilidades descobertas, a maioria das quais do fornecedor Advantech. Seu software WebAccess SCADA teve 109 vulnerabilidades descobertas durante este ano. Um exemplo disso inclui a validação inadequada encontrada em um de seus componentes que pode levar os agentes de ameaças a executar código arbitrário.
A ligeira queda em 2017 foi seguida por um salto em 2018. Grande parte dessa contagem veio do WebAccess e do LeviStudioU da Wecon, um software HMI. A Delta Industrial Automation e a Omron também estavam entre os fornecedores que descobriram vulnerabilidades recentemente descobertas em 2018. Para o primeiro, a maioria das vulnerabilidades era do DOPSoft, enquanto para o último era o CX-Supervisor. Ambos são pacotes de software HMI.
Em 2019, muitos dos mesmos fornecedores tiveram vulnerabilidades relatadas em seu software SCADA. Assim como no ano anterior, WebAccess e LeviStudioU registraram o maior número de vulnerabilidades. Os dois são seguidos pela Delta Industrial Automation, com seu software CNCSoft ScreenEditor respondendo pela maioria de suas novas vulnerabilidades.
Mesmo dentro dos limites do conjunto de dados, a fonte variada e a natureza dessas descobertas parecem implicar que ainda existe uma ampla gama de vulnerabilidades entre os fornecedores no mercado. Deve-se notar que as vulnerabilidades do sistema SCADA ainda incluem frequentemente bugs não sofisticados, como estouro de pilha e buffer, bem como divulgação de informações e outros. Essas vulnerabilidades permitem que os invasores executem código arbitrário (RCE), executem negação de serviço (DoS) ou roubem informações.
Onde as vulnerabilidades podem ser encontradas nos sistemas SCADA?
Descobrir onde podem existir vulnerabilidades em sistemas SCADA pode ajudar os integradores a entender como e onde aplicar mitigações para evitar a exploração e neutralizar ataques. Infelizmente, os sistemas SCADA supervisionam um grande número de dispositivos, sensores e software, o que equivale a uma superfície de ataque mais ampla.
Aplicativos móveis e interfaces web
Os aplicativos móveis são usados ??tanto localmente por meio de tablets que ajudam os engenheiros a controlar PLCs e RTUs quanto remotamente permitindo que os engenheiros se conectem ao ICS pela Internet. No entanto, uma vulnerabilidade em tais aplicativos pode significar aberturas para ataques em troca de conveniência. Algumas pesquisas em 2018 por Alexander Bolshev e Ivan Yushkevich revelaram um total de 147 vulnerabilidades de 20 aplicativos, com alguns que podem permitir que os possíveis agentes de ameaças influenciem diretamente os processos industriais ou lhes dê uma abertura para enganar os operadores a tomar decisões erradas sobre esses processos.
Outros componentes
Existem inúmeras tecnologias implementadas para fazer com que partes individuais dos sistemas SCADA permaneçam conectadas, dinâmicas e funcionem em tempo real. Alguns desses componentes podem estar mal equipados para as ameaças atualmente enfrentadas por diferentes setores. Esses componentes podem não necessariamente ser usados ??exclusivamente para sistemas SCADA, mas são básicos para outras tecnologias e sistemas. Um exemplo é o conjunto de vulnerabilidades conhecidas coletivamente como URGENT/11 que afetaram muito a indústria médica e os sistemas SCADA.
Qual é o impacto dessas vulnerabilidades?
Ataques anteriores contra instalações industriais destacaram o impacto dos ataques em sistemas SCADA. Possivelmente, o mais conhecido foi o worm Stuxnet em 2010, que visava instalações industriais por meio de vulnerabilidades SCADA. Em 2016, o malware conhecido como Industroyer causou falta de energia na Ucrânia. Enquanto em 2017, o Trojan Triton visava sistemas de segurança industrial que causaram um desligamento operacional. Esses ataques cibernéticos continuam a existir hoje – descobriu -se que uma usina nuclear indiana sofreu um ataque cibernético que pode ter sido destinado a espionagem e exfiltração de dados.
Um estudo feito pela Trend Micro analisou fóruns clandestinos de cibercriminosos, onde encontramos interesse e curiosidade em software SCADA e equipamentos industriais como medidores inteligentes. Embora esses fóruns pareçam mostrar que muitos não têm um esquema sofisticado de monetização para ataques relacionados ao SCADA, os pesquisadores preveem que os ataques se tornarão mais comuns à medida que mais PLCs e HMIs forem encontrados online. Eles também supõem que, caso um esquema de monetização se materialize, provavelmente envolverá extorsão, com cibercriminosos ameaçando as organizações com tempo de inatividade.
O que aumenta ainda mais a urgência de corrigir vulnerabilidades em sistemas SCADA é como eles permitem o sucesso de futuros ataques cibernéticos com consequências semelhantes, se não mais graves, como as que aconteceram no passado. O impacto de um ataque aos sistemas SCADA pode variar de tempo de inatividade, atrasos na produção, efeitos em cascata na cadeia de suprimentos, danos ao equipamento e riscos críticos à segurança humana. Essas são consequências que organizações e governos gostariam de evitar e, consequentemente, são fáceis de alavancar por grupos cibercriminosos de qualquer motivação.
Defesa contra ataques SCADA
Felizmente, a maioria das vulnerabilidades relatadas e mencionadas acima já foram abordadas por seus respectivos fornecedores. Em última análise, a luta contra as explorações significa estar atento a novas descobertas de vulnerabilidades, bem como aplicar novos patches para corrigi-las. Além de gerenciar vulnerabilidades, as organizações também devem manter medidas de segurança que possam se defender contra ataques cibernéticos, especialmente devido às consequências que esses ataques implicam.
Aqui estão alguns passos que as organizações podem seguir, alguns dos quais são baseados no guia do NIST do National Institute of Standards and Technology para a segurança do ICS :
– Use patches virtuais para ajudar a gerenciar atualizações e patches . A correção de vulnerabilidades, embora crítica para sistemas SCADA, significa planejamento e programação pesados ??para se preparar para um possível tempo de inatividade que esses patches podem exigir. Os patches virtuais podem ajudar a gerenciar vulnerabilidades e evitar explorações quando os patches não podem ser implantados imediatamente ou implementados.
– Aplicar segmentação de rede . As redes de particionamento podem impedir a disseminação de malware e conter ataques com eficiência. A segmentação de rede também minimiza as chances de exposição de informações confidenciais.
– Use medidas de segurança adequadas entre a rede ICS e a rede corporativa . Embora a segurança em ambas as redes seja importante, o uso de medidas de segurança adequadas, como firewalls, entre essas redes, pode impedir o movimento lateral de ataques de uma para outra.
– Gerencie corretamente a autorização e as contas de usuário . Monitorar e avaliar regularmente quem tem autorização e acesso a certas facetas dos sistemas SCADA pode ajudar a reduzir aberturas inesperadas para ameaças cibernéticas e físicas.
– Use a proteção de terminais em estações de trabalho de engenharia conectadas ao SCADA para programação de dispositivos e ajustes de controle . A proteção adequada do endpoint cria uma defesa mais forte contra ameaças de perímetro.
– Mantenha políticas rígidas para dispositivos que têm permissão para se conectar a redes SCADA . A implementação de políticas rígidas para conectar dispositivos a redes SCADA reduz os pontos de entrada imprevistos para possíveis ataques.
– Restrinja as funções dos nós SCADA transitórios a um único propósito . Ter um único propósito para nós transitórios reduz as chances de expor esses nós sem saber ou de tê-los acessados ??por usuários não autorizados.
– Evite o uso de dispositivos USB desconhecidos e não confiáveis . Dispositivos removíveis são vetores de ataque em potencial que podem ser ignorados pelos usuários. Usar apenas dispositivos USB confiáveis ??pode minimizar as chances de infecção por malware.
