Ramsdata

logo.png

Redes Certes e segmentação criptográfica em redes industriais

A rede industrial (OT – Operational Technology) é uma das áreas mais difíceis da cibersegurança. Os sistemas SCADA, PLCs, sistemas DCS e dispositivos industriais IoT foram concebidos tendo em mente a disponibilidade e o determinismo, não a segurança. Muitos funcionam com protocolos desatualizados, não suportam criptografia e não podem ser atualizados sem arriscar o tempo de inatividade da produção. Certes Networks oferece uma abordagem para proteger esses ambientes que não requer modificação ou substituição de dispositivos existentes – segmentação criptográfica.

Índice

  1. Especificidades da segurança das redes industriais (OT)
  2. Porque é que as abordagens de segurança tradicionais não funcionam na OT?
  3. O que é a segmentação criptográfica?
  4. Como é que a Certes Networks implementa a segmentação criptográfica?
  5. Zero-Trust em ambientes OT com Certes
  6. Visibilidade e monitorização do tráfego OT
  7. Casos de utilização – energia, fabrico, infra-estruturas críticas
  8. Principais conclusões
  9. FAQ
  10. Resumo

Especificidades da segurança das redes industriais (OT)

As redes OT diferem fundamentalmente das redes TI em termos de prioridades de segurança. Nas TI, a prioridade é CIA (Confidencialidade, Integridade, Disponibilidade) – com ênfase na confidencialidade. Na OT, a prioridade é uma CIA invertida – a Disponibilidade está absolutamente em primeiro lugar, depois a Integridade e a Confidencialidade em último. O tempo de inatividade da linha de produção custa centenas de milhares de euros por hora – por isso, qualquer ação de segurança que possa causar ou pôr em risco o tempo de inatividade é rejeitada pelos operadores de OT.

Os dispositivos nas redes OT são sistemas incorporados, muitas vezes com sistemas operativos com décadas, sem a capacidade de instalar software de segurança, sem actualizações de firmware do fabricante, com protocolos de comunicação (Modbus, DNP3, Profibus, OPC) não concebidos tendo em conta a segurança. A convergência TI/OT – a integração de redes de escritório com redes de produção para fins da Indústria 4.0 – aumenta drasticamente a superfície de ataque dos ambientes industriais. As redes Certes na oferta da Ramsdata são soluções especializadas de encriptação e segmentação para ambientes empresariais e industriais.

Porque é que as abordagens de segurança tradicionais não funcionam na OT?

Uma firewall entre a rede de TI e a rede OT (a chamada DMZ industrial) é uma boa prática, mas insuficiente – não protege contra o tráfego lateral dentro da rede OT, não encripta a comunicação entre dispositivos e não resolve o problema dos protocolos inseguros.

A instalação de agentes de segurança nos dispositivos OT não é normalmente possível – os controladores PLC ou DCS não suportam software externo. A microssegmentação via VLAN é limitada e não fornece criptografia. Substituir os dispositivos OT por dispositivos mais novos, habilitados para segurança, é proibitivamente caro e muitas vezes impossível devido à continuidade da produção. A Certes Networks oferece uma abordagem que contorna essas limitações – criptografia e segmentação aplicadas de forma transparente, em linha, sem modificar os dispositivos OT.

O que é a segmentação criptográfica?

A segmentação criptográfica é uma abordagem para isolar segmentos de rede criptografando o tráfego entre eles, em vez de usar mecanismos de rede tradicionais (VLAN, firewall). Em vez de perguntar “o que é permitido entre segmentos?”, a segmentação criptográfica pergunta “quem pode ler este tráfego?”. Apenas os dispositivos pertencentes ao mesmo grupo criptográfico podem desencriptar e ler as mensagens – os outros dispositivos vêem tráfego encriptado e ilegível.

Este modelo tem vantagens importantes para ambientes OT. A encriptação é aplicada de forma transparente – os dispositivos OT não sabem que as suas comunicações estão encriptadas. Não são necessárias modificações no dispositivo ou no software. As políticas de segmentação são definidas centralmente e aplicadas por um dispositivo Certes dedicado, e não pelos próprios dispositivos OT. Mesmo que um atacante obtenha acesso físico a um segmento de rede OT, ele não poderá ler as comunicações entre dispositivos de outros grupos criptográficos.

Como é que a Certes Networks implementa a segmentação criptográfica?

Certes Networks implementa a segmentação criptográfica através de dispositivos dedicados CryptoFlow Net Protetor (CNP) instalados em linha na rede OT – sem modificar a infraestrutura existente. Os CNPs são transparentes ao tráfego da rede: os dispositivos OT “não sabem” da sua existência e comunicam normalmente. Os CNPs encriptam o tráfego com base em políticas definidas centralmente no sistema de gestão Certes (CipherTrust Manager ou Certes CipherPoint).

Os Crypto Groups são segmentos lógicos entre os quais o tráfego é permitido e encriptado. Os dispositivos atribuídos ao mesmo grupo podem comunicar, os dispositivos de grupos diferentes não podem, mesmo que estejam fisicamente na mesma rede. A alteração das políticas de segmentação ocorre de forma centralizada e é imediatamente aplicada por todos os CNPs da rede – sem tempo de inatividade, sem reconfiguração dos dispositivos OT.

Zero-Trust em ambientes OT com Certes

Zero Trust em OT não é simplesmente transferir o modelo de TI para um ambiente industrial – requer adaptação às especificidades, onde a indisponibilidade de dispositivos (para agentes, actualizações) é a norma. Certes Networks implementa os princípios Zero Trust através da segmentação criptográfica sem agentes em dispositivos protegidos.

“Nunca confies, verifica sempre” traduz-se no ambiente Certes em: cada ligação entre segmentos requer autorização criptográfica, os dispositivos só podem comunicar dentro de grupos criptográficos autorizados, cada ligação não autorizada é automaticamente encriptada e ilegível e todos os fluxos de dados são registados centralmente. Isto é Zero Trust adaptado à realidade da OT – sem agentes, sem modificações de dispositivos, sem risco de inatividade. Para mais informações sobre soluções de segurança para redes industriais, visita a Ramsdata.

Visibilidade e monitorização do tráfego OT

Um dos maiores desafios em ambientes OT é a falta de visibilidade – não se sabe que dispositivos existem na rede, que protocolos estão a utilizar e quais são os padrões normais de comunicação. Certes Networks fornece visibilidade sem instalar agentes, analisando passivamente o tráfego da rede.

O sistema de monitorização Certes identifica os dispositivos OT com base nas suas comunicações de rede, mapeia os fluxos de dados entre dispositivos e detecta anomalias – ligações inesperadas, protocolos desconhecidos, tráfego não autorizado entre segmentos. Esta visibilidade é a base de uma política de segmentação criptográfica eficaz – para definir os grupos certos, primeiro tens de compreender quem está a comunicar com quem na rede OT.

Casos de utilização – energia, fabrico, infra-estruturas críticas

O sector da energia e dos serviços públicos é um sector em que a segurança OT é fundamental para a segurança pública. Os sistemas SCADA que controlam a distribuição de energia, as estações de tratamento de água ou as redes de gás devem ser isolados das redes informáticas e das ameaças externas. Certes Networks é implementado por operadores de infra-estruturas críticas para segmentar subestações de energia, subestações e centros de despacho.

A produção industrial requer segmentação entre linhas de produção (para que um ataque a uma linha não se espalhe para outras), entre a rede OT e a TI e entre ambientes de diferentes fornecedores (quando prestadores de serviços externos têm acesso à rede OT). A segmentação criptográfica Certes permite um controlo granular deste acesso sem reconfigurar toda a rede. As infra-estruturas de transporte (caminhos-de-ferro, aviação, portos) são outro sector onde as redes Certes são utilizadas para proteger os sistemas de controlo de tráfego e as infra-estruturas críticas.

Principais conclusões

  • As redes OT inverteram as prioridades de segurança em relação às TI – a disponibilidade está absolutamente em primeiro lugar.
  • As ferramentas de segurança tradicionais (agentes, firewalls) não funcionam para dispositivos OT que não podem ser modificados.
  • A segmentação criptográfica Certes isola os segmentos através da encriptação do tráfego e não através de mecanismos de rede.
  • A implementação é transparente para os dispositivos OT – não são necessárias modificações ou tempo de inatividade.
  • Os grupos criptográficos definem quem pode comunicar com quem e trocar dados legíveis.
  • O Certes fornece visibilidade da rede OT sem agentes e Zero Trust sem modificações de dispositivos.

FAQ

A segmentação criptográfica do Certes afecta a latência da rede OT? Sim, mas de uma forma mínima. Os circuitos criptográficos dedicados nos CNPs minimizam a latência adicional – normalmente menos de 1 ms, o que é aceitável para a maioria dos protocolos OT.

Como é que o Certes lida com os protocolos OT (Modbus, DNP3)? Certes encripta o tráfego de forma transparente ao nível da rede – não processa o conteúdo dos protocolos OT. Os aparelhos comunicam normalmente via Modbus, DNP3, etc., e Certes CNP encripta estas transmissões sem as modificar.

A implementação do Certes exige uma interrupção da rede OT? A implementação do CNP em linha pode exigir intervalos de manutenção curtos (minutos) durante a instalação física. As alterações subsequentes às políticas criptográficas são aplicadas sem tempo de inatividade.

Como gerir as chaves criptográficas no ambiente Certes? O Certes CipherTrust Manager ou o Certes CipherPoint gerem as chaves de forma centralizada. As chaves são rodadas automaticamente de acordo com a política de segurança, sem interferir com os dispositivos OT.

Resumo

A segmentação criptográfica da Certes Networks é uma abordagem à segurança OT que respeita as realidades dos ambientes industriais – a necessidade de disponibilidade, a não modificabilidade dos dispositivos e o determinismo das comunicações. A implementação transparente em linha sem tempo de inatividade, a confiança zero sem agentes e a visibilidade total da rede OT criam uma solução prática para sectores onde outras abordagens falham. Contacta a Ramsdata – um parceiro da Certes Networks – para discutir a implementação da segmentação criptográfica na tua rede industrial.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

error: Content is protected !!