O time de especialistas da Redbelt identificou três vulnerabilidades em indústrias de commodities que permanecem comuns e podem ser responsáveis por parte dos ataques sofridos no setor. A correção é necessária já que o número de golpes cibernéticos na indústria de commodities brasileira ultrapassou 10 mil em 2023, ampliação de cerca de 30% em relação ao ano anterior, segundo os especialistas.
Essas três vulnerabilidades críticas, de acordo com a investigação do time técnico da Redbelt, aparecem em sete de cada 10 indústrias no país.
Cenário de commodities
A indústria de commodities, sejam agrícolas, animais, minerais, energéticos ou ambientais, constitui a base da economia nacional e global porque fornece as matérias-primas necessárias para a produção de diversos bens e serviços. No Brasil, especificamente, para se ter ideia de sua importância, representou cerca de 20% do PIB em 2023 e isto só é possível porque o agronegócio nacional é um dos grandes investidores em tecnologia e tem passado por uma forte transformação digital nos últimos anos. Como consequência, estas companhias também vem sendo constante alvo de crimes cibernéticos.
Isto pode ser comprovado em estudos recentes de grandes consultorias. O estudo “Global Economic Crime and Fraud Survey 2023” da PwC Brasil constatou que 72% das empresas brasileiras do setor de commodities sofreram algum tipo de ataque cibernético em 2023, um aumento significativo em relação aos 58% registrados em 2022. Já o relatório “Cybersecurity in the Oil and Gas Industry”, da Accenture, apontou que o setor de óleo e gás, um importante segmento da indústria de commodities brasileira, foi o segundo mais visado por ataques cibernéticos em 2023, com crescimento de 52% no número de ataques em comparação com 2022.
Vulnerabilidades comuns
Hoje, sabemos que ambientes industriais precisam lidar com riscos altíssimos para manter a linha em andamento. Por um lado, a automação foi ganhando importância, e por outro, a necessidade de proteger as portas digitais abertas com essa expansão tecnológica demorou a entrar na pauta.
Ransomware e crimes cibernéticos motivados financeiramente lideraram a lista de vetores de ameaças no setor industrial em 2022, correspondendo a 40% dos casos. Além disso, os comprometimentos de TI continuam sendo o vetor de acesso dominante, representando 41% dos casos, seguidos pela replicação por meio de mídia removível, com 37%.
A porta de entrada dessas ameaças, muitas vezes, são vulnerabilidades comuns, que permanecem sem correção por anos nos ambientes. Analisando os ambientes complexos das indústrias, os especialistas da Redbelt identificaram as três mais comuns:
1. Problemas de configurações
Os fabricantes muitas vezes fornecem senhas padrão ou fracas para acessar sistemas ou dispositivos, como “admin”, “admin”. Essas credenciais são fáceis de adivinhar, aumentando o risco de acesso não autorizado. A correção envolve a modificação imediata das senhas padrão ou fracas fornecidas pelo fabricante. Os administradores devem instruir os usuários a escolher senhas fortes e únicas, e os fabricantes devem incentivar a mudança dessas senhas no primeiro acesso ao sistema.
2. Exposição de informações sensíveis
Refere-se à prática de expor informações confidenciais, como dados de login, informações pessoais dos usuários, ou detalhes sobre a infraestrutura da aplicação, de forma inadequada. Para corrigir a exposição de informações sensíveis em uma aplicação web, é essencial adotar medidas como minimizar o armazenamento de dados sensíveis, utilizar criptografia para proteger informações críticas, implementar controles de acesso rigorosos, gerenciar mensagens de erro para evitar divulgação de informações confidenciais, proteger adequadamente APIs e endpoints, e realizar testes de segurança regulares para identificar e corrigir vulnerabilidades.
3. Exposição de Banners e Serviços
A exposição de banners e serviços pode levar a vulnerabilidades graves, como a exploração de CVEs (Common Vulnerabilities and Exposures), escalação de privilégios, RCE (Remote Code Execution) entre outras. Quando informações sobre a infraestrutura da aplicação são expostas, os invasores podem identificar vulnerabilidades conhecidas (CVEs) nesses serviços ou tecnologias específicas. Eles podem, então, aproveitar essas falhas para obter acesso não autorizado, escalar seus privilégios dentro do sistema e, em casos extremos, executar código remotamente (RCE).
É muito importante configurar de maneira adequada a aplicação para não divulgar informações sobre a infraestrutura, como versões de software e serviços utilizados. Isto pode ser feito removendo ou ocultando banners e mensagens de erro detalhadas que possam revelar tais informações. Além disso, manter todos os sistemas e bibliotecas atualizados com as últimas correções de segurança é fundamental para evitar a exploração de vulnerabilidades conhecidas.
SOC OT e a estratégia certa para defender sua infraestrutura crítica
Não importa se a indústria precisa implantar o básico de segurança cibernética OT, ou se precisa cessar ataques imediatamente. Para entender a melhor estratégia, é preciso um olhar consultivo e personalizado para o ambiente. O que envolve:
- Avaliação da maturidade em um nível mais aprofundado e, portanto, menos genérico, com métricas mais objetivas;
- Atuação com proximidade e interesse pelo negócio;
- Viabilização de ganho de eficiência e resiliência operacionais;
- Detecção e plano de resposta desenvolvido junto com o negócio.
Em caso de ataques em um ambiente complexo como o industrial, um SOC OT eleva a identificação, avaliação, detecção e a resposta em escala. O SOC OT da Redbelt atua a partir de múltiplas fontes de dados fornecidas pelo ambiente industrial, correlacionado através do SIEM. E oferece acompanhamento de riscos e ameaças através do RIS, plataforma SaaS de desenvolvimento próprio, que combina integrações dos mais variados softwares (APIs), machine learning alimentada por inteligência humana, automação para enriquecimento de dados e orquestração na tomada de decisões. Combina a inteligência humana com a automação e oferece às empresas uma maneira eficaz de reduzir o tempo de resposta a incidentes de segurança e de gerenciar o ciclo de vida de vulnerabilidades em seus ambientes.
