O malware de OT é um software malicioso especificamente projetado para atacar a Tecnologia Operacional (OT) e/ou Sistemas de Controle Industrial (ICS), ou seja, sistemas utilizados para controlar processos industriais, como fabricação, manuseio de produtos, produção e distribuição. Podem ter como propósito desde a modificação do funcionamento de um processo industrial até ataques disruptivos ou destrutivos.
Como funciona o malware de OT?
Normalmente eles são implantados da mesma forma que o malware de TI tradicional, visando defesas de rede fracas ou indivíduos que não reconhecem que estão sendo explorados.
A maneira como eles funcionam vai depender da complexidade e do contexto do sistema de controle que estão atacando. Podem, por exemplo, obter controle de uma estação de gerenciamento que será usada para fazer alterações no sistema alvo e/ou ocultar alertas válidos ou então atacar diretamente os componentes para causar mau funcionamento.
Enquanto alguns malwares atacam os sistemas de OT diretamente, outros visam a infraestrutura e os sistemas padrões de TI conectados para atacar um sistema híbrido de ICS / OT, visando obter o acesso inicial e fazer o reconhecimento da rede.
Uma vez conseguido o acesso, o atacante pode propagar-se ainda mais no sistema ou lateralmente pela rede, até atingir seu destino final.
Lembre-se: Mesmo os golpistas mais sofisticados e com mais recursos preferem alvos fáceis ao invés de alvos difíceis.
Portanto, uma boa higiene cibernética nas redes TI e OT pode tornar muito menos provável uma intrusão acidental ou tornar uma intrusão proposital significativamente mais cara e menos atraente. Além disso, irá limitar o alcance do atacante e tornará a reação ao incidente mais rápida e eficaz.
Desta forma, educar os usuários a respeito de cibersegurança, estabelecer controles de segurança apropriados e monitoramento em nível de host e rede em todas as redes de TI e OT são fundamentais para aumentar as chances de detecção e prevenção de intrusões.
Conclusão:
O malware de OT veio para ficar.
Em caso de intrusão, a recuperação rápida e eficaz é crucial. Por isso, é essencial realizar backups seguros de sistemas críticos de OT e configurações de dispositivos, conhecer e testar suas vulnerabilidades e monitoramento proativo da rede de dados.