A rede industrial (OT – Operational Technology) \u00e9 uma das \u00e1reas mais dif\u00edceis da ciberseguran\u00e7a. Os sistemas SCADA, PLCs, sistemas DCS e dispositivos industriais IoT foram concebidos tendo em mente a disponibilidade e o determinismo, n\u00e3o a seguran\u00e7a. Muitos funcionam com protocolos desatualizados, n\u00e3o suportam criptografia e n\u00e3o podem ser atualizados sem arriscar o tempo de inatividade da produ\u00e7\u00e3o. Certes Networks oferece uma abordagem para proteger esses ambientes que n\u00e3o requer modifica\u00e7\u00e3o ou substitui\u00e7\u00e3o de dispositivos existentes – segmenta\u00e7\u00e3o criptogr\u00e1fica. <\/p>\n
As redes OT diferem fundamentalmente das redes TI em termos de prioridades de seguran\u00e7a. Nas TI, a prioridade \u00e9 CIA (Confidencialidade, Integridade, Disponibilidade) – com \u00eanfase na confidencialidade. Na OT, a prioridade \u00e9 uma CIA invertida – a Disponibilidade est\u00e1 absolutamente em primeiro lugar, depois a Integridade e a Confidencialidade em \u00faltimo. O tempo de inatividade da linha de produ\u00e7\u00e3o custa centenas de milhares de euros por hora – por isso, qualquer a\u00e7\u00e3o de seguran\u00e7a que possa causar ou p\u00f4r em risco o tempo de inatividade \u00e9 rejeitada pelos operadores de OT. <\/p>\n
Os dispositivos nas redes OT s\u00e3o sistemas incorporados, muitas vezes com sistemas operativos com d\u00e9cadas, sem a capacidade de instalar software de seguran\u00e7a, sem actualiza\u00e7\u00f5es de firmware do fabricante, com protocolos de comunica\u00e7\u00e3o (Modbus, DNP3, Profibus, OPC) n\u00e3o concebidos tendo em conta a seguran\u00e7a. A converg\u00eancia TI\/OT – a integra\u00e7\u00e3o de redes de escrit\u00f3rio com redes de produ\u00e7\u00e3o para fins da Ind\u00fastria 4.0 – aumenta drasticamente a superf\u00edcie de ataque dos ambientes industriais. As redes Certes na oferta da Ramsdata<\/a> s\u00e3o solu\u00e7\u00f5es especializadas de encripta\u00e7\u00e3o e segmenta\u00e7\u00e3o para ambientes empresariais e industriais. <\/p>\n Uma firewall entre a rede de TI e a rede OT (a chamada DMZ industrial) \u00e9 uma boa pr\u00e1tica, mas insuficiente – n\u00e3o protege contra o tr\u00e1fego lateral dentro da rede OT, n\u00e3o encripta a comunica\u00e7\u00e3o entre dispositivos e n\u00e3o resolve o problema dos protocolos inseguros.<\/p>\n A instala\u00e7\u00e3o de agentes de seguran\u00e7a nos dispositivos OT n\u00e3o \u00e9 normalmente poss\u00edvel – os controladores PLC ou DCS n\u00e3o suportam software externo. A microssegmenta\u00e7\u00e3o via VLAN \u00e9 limitada e n\u00e3o fornece criptografia. Substituir os dispositivos OT por dispositivos mais novos, habilitados para seguran\u00e7a, \u00e9 proibitivamente caro e muitas vezes imposs\u00edvel devido \u00e0 continuidade da produ\u00e7\u00e3o. A Certes Networks oferece uma abordagem que contorna essas limita\u00e7\u00f5es – criptografia e segmenta\u00e7\u00e3o aplicadas de forma transparente, em linha, sem modificar os dispositivos OT. <\/p>\n A segmenta\u00e7\u00e3o criptogr\u00e1fica \u00e9 uma abordagem para isolar segmentos de rede criptografando o tr\u00e1fego entre eles, em vez de usar mecanismos de rede tradicionais (VLAN, firewall). Em vez de perguntar “o que \u00e9 permitido entre segmentos?”, a segmenta\u00e7\u00e3o criptogr\u00e1fica pergunta “quem pode ler este tr\u00e1fego?”. Apenas os dispositivos pertencentes ao mesmo grupo criptogr\u00e1fico podem desencriptar e ler as mensagens – os outros dispositivos v\u00eaem tr\u00e1fego encriptado e ileg\u00edvel. <\/p>\n Este modelo tem vantagens importantes para ambientes OT. A encripta\u00e7\u00e3o \u00e9 aplicada de forma transparente – os dispositivos OT n\u00e3o sabem que as suas comunica\u00e7\u00f5es est\u00e3o encriptadas. N\u00e3o s\u00e3o necess\u00e1rias modifica\u00e7\u00f5es no dispositivo ou no software. As pol\u00edticas de segmenta\u00e7\u00e3o s\u00e3o definidas centralmente e aplicadas por um dispositivo Certes dedicado, e n\u00e3o pelos pr\u00f3prios dispositivos OT. Mesmo que um atacante obtenha acesso f\u00edsico a um segmento de rede OT, ele n\u00e3o poder\u00e1 ler as comunica\u00e7\u00f5es entre dispositivos de outros grupos criptogr\u00e1ficos. <\/p>\n Certes Networks implementa a segmenta\u00e7\u00e3o criptogr\u00e1fica atrav\u00e9s de dispositivos dedicados CryptoFlow Net Protetor (CNP) instalados em linha na rede OT – sem modificar a infraestrutura existente. Os CNPs s\u00e3o transparentes ao tr\u00e1fego da rede: os dispositivos OT “n\u00e3o sabem” da sua exist\u00eancia e comunicam normalmente. Os CNPs encriptam o tr\u00e1fego com base em pol\u00edticas definidas centralmente no sistema de gest\u00e3o Certes (CipherTrust Manager ou Certes CipherPoint). <\/p>\n Os Crypto Groups s\u00e3o segmentos l\u00f3gicos entre os quais o tr\u00e1fego \u00e9 permitido e encriptado. Os dispositivos atribu\u00eddos ao mesmo grupo podem comunicar, os dispositivos de grupos diferentes n\u00e3o podem, mesmo que estejam fisicamente na mesma rede. A altera\u00e7\u00e3o das pol\u00edticas de segmenta\u00e7\u00e3o ocorre de forma centralizada e \u00e9 imediatamente aplicada por todos os CNPs da rede – sem tempo de inatividade, sem reconfigura\u00e7\u00e3o dos dispositivos OT. <\/p>\n Zero Trust em OT n\u00e3o \u00e9 simplesmente transferir o modelo de TI para um ambiente industrial – requer adapta\u00e7\u00e3o \u00e0s especificidades, onde a indisponibilidade de dispositivos (para agentes, actualiza\u00e7\u00f5es) \u00e9 a norma. Certes Networks implementa os princ\u00edpios Zero Trust atrav\u00e9s da segmenta\u00e7\u00e3o criptogr\u00e1fica sem agentes em dispositivos protegidos. <\/p>\n “Nunca confies, verifica sempre” traduz-se no ambiente Certes em: cada liga\u00e7\u00e3o entre segmentos requer autoriza\u00e7\u00e3o criptogr\u00e1fica, os dispositivos s\u00f3 podem comunicar dentro de grupos criptogr\u00e1ficos autorizados, cada liga\u00e7\u00e3o n\u00e3o autorizada \u00e9 automaticamente encriptada e ileg\u00edvel e todos os fluxos de dados s\u00e3o registados centralmente. Isto \u00e9 Zero Trust adaptado \u00e0 realidade da OT – sem agentes, sem modifica\u00e7\u00f5es de dispositivos, sem risco de inatividade. Para mais informa\u00e7\u00f5es sobre solu\u00e7\u00f5es de seguran\u00e7a para redes industriais, visita a Ramsdata<\/a>. <\/p>\n Um dos maiores desafios em ambientes OT \u00e9 a falta de visibilidade – n\u00e3o se sabe que dispositivos existem na rede, que protocolos est\u00e3o a utilizar e quais s\u00e3o os padr\u00f5es normais de comunica\u00e7\u00e3o. Certes Networks fornece visibilidade sem instalar agentes, analisando passivamente o tr\u00e1fego da rede. <\/p>\n O sistema de monitoriza\u00e7\u00e3o Certes identifica os dispositivos OT com base nas suas comunica\u00e7\u00f5es de rede, mapeia os fluxos de dados entre dispositivos e detecta anomalias – liga\u00e7\u00f5es inesperadas, protocolos desconhecidos, tr\u00e1fego n\u00e3o autorizado entre segmentos. Esta visibilidade \u00e9 a base de uma pol\u00edtica de segmenta\u00e7\u00e3o criptogr\u00e1fica eficaz – para definir os grupos certos, primeiro tens de compreender quem est\u00e1 a comunicar com quem na rede OT. <\/p>\n O sector da energia e dos servi\u00e7os p\u00fablicos \u00e9 um sector em que a seguran\u00e7a OT \u00e9 fundamental para a seguran\u00e7a p\u00fablica. Os sistemas SCADA que controlam a distribui\u00e7\u00e3o de energia, as esta\u00e7\u00f5es de tratamento de \u00e1gua ou as redes de g\u00e1s devem ser isolados das redes inform\u00e1ticas e das amea\u00e7as externas. Certes Networks \u00e9 implementado por operadores de infra-estruturas cr\u00edticas para segmentar subesta\u00e7\u00f5es de energia, subesta\u00e7\u00f5es e centros de despacho. <\/p>\n A produ\u00e7\u00e3o industrial requer segmenta\u00e7\u00e3o entre linhas de produ\u00e7\u00e3o (para que um ataque a uma linha n\u00e3o se espalhe para outras), entre a rede OT e a TI e entre ambientes de diferentes fornecedores (quando prestadores de servi\u00e7os externos t\u00eam acesso \u00e0 rede OT). A segmenta\u00e7\u00e3o criptogr\u00e1fica Certes permite um controlo granular deste acesso sem reconfigurar toda a rede. As infra-estruturas de transporte (caminhos-de-ferro, avia\u00e7\u00e3o, portos) s\u00e3o outro sector onde as redes Certes s\u00e3o utilizadas para proteger os sistemas de controlo de tr\u00e1fego e as infra-estruturas cr\u00edticas. <\/p>\n A segmenta\u00e7\u00e3o criptogr\u00e1fica do Certes afecta a lat\u00eancia da rede OT?<\/strong> Sim, mas de uma forma m\u00ednima. Os circuitos criptogr\u00e1ficos dedicados nos CNPs minimizam a lat\u00eancia adicional – normalmente menos de 1 ms, o que \u00e9 aceit\u00e1vel para a maioria dos protocolos OT. <\/p>\n Como \u00e9 que o Certes lida com os protocolos OT (Modbus, DNP3)?<\/strong> Certes encripta o tr\u00e1fego de forma transparente ao n\u00edvel da rede – n\u00e3o processa o conte\u00fado dos protocolos OT. Os aparelhos comunicam normalmente via Modbus, DNP3, etc., e Certes CNP encripta estas transmiss\u00f5es sem as modificar. <\/p>\n A implementa\u00e7\u00e3o do Certes exige uma interrup\u00e7\u00e3o da rede OT?<\/strong> A implementa\u00e7\u00e3o do CNP em linha pode exigir intervalos de manuten\u00e7\u00e3o curtos (minutos) durante a instala\u00e7\u00e3o f\u00edsica. As altera\u00e7\u00f5es subsequentes \u00e0s pol\u00edticas criptogr\u00e1ficas s\u00e3o aplicadas sem tempo de inatividade. <\/p>\n Como gerir as chaves criptogr\u00e1ficas no ambiente Certes?<\/strong> O Certes CipherTrust Manager ou o Certes CipherPoint gerem as chaves de forma centralizada. As chaves s\u00e3o rodadas automaticamente de acordo com a pol\u00edtica de seguran\u00e7a, sem interferir com os dispositivos OT. <\/p>\n A segmenta\u00e7\u00e3o criptogr\u00e1fica da Certes Networks \u00e9 uma abordagem \u00e0 seguran\u00e7a OT que respeita as realidades dos ambientes industriais – a necessidade de disponibilidade, a n\u00e3o modificabilidade dos dispositivos e o determinismo das comunica\u00e7\u00f5es. A implementa\u00e7\u00e3o transparente em linha sem tempo de inatividade, a confian\u00e7a zero sem agentes e a visibilidade total da rede OT criam uma solu\u00e7\u00e3o pr\u00e1tica para sectores onde outras abordagens falham. Contacta a Ramsdata – um parceiro da Certes Networks –<\/a> para discutir a implementa\u00e7\u00e3o da segmenta\u00e7\u00e3o criptogr\u00e1fica na tua rede industrial. <\/p>\n","protected":false},"excerpt":{"rendered":" A rede industrial (OT – Operational Technology) \u00e9 uma das \u00e1reas mais dif\u00edceis da ciberseguran\u00e7a. Os sistemas SCADA, PLCs, sistemas DCS e dispositivos industriais IoT foram concebidos tendo em mente a disponibilidade e o determinismo, n\u00e3o a seguran\u00e7a. Muitos funcionam com protocolos desatualizados, n\u00e3o suportam criptografia e n\u00e3o podem ser atualizados sem arriscar o tempo […]<\/p>\n","protected":false},"author":1,"featured_media":40023,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[59],"tags":[],"class_list":["post-41385","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias-pt-pt"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/posts\/41385","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/comments?post=41385"}],"version-history":[{"count":0,"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/posts\/41385\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/media\/40023"}],"wp:attachment":[{"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/media?parent=41385"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/categories?post=41385"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/tags?post=41385"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Porque \u00e9 que as abordagens de seguran\u00e7a tradicionais n\u00e3o funcionam na OT?<\/h3>\n
O que \u00e9 a segmenta\u00e7\u00e3o criptogr\u00e1fica?<\/h3>\n
Como \u00e9 que a Certes Networks implementa a segmenta\u00e7\u00e3o criptogr\u00e1fica?<\/h3>\n
Zero-Trust em ambientes OT com Certes<\/h3>\n
Visibilidade e monitoriza\u00e7\u00e3o do tr\u00e1fego OT<\/h3>\n
Casos de utiliza\u00e7\u00e3o – energia, fabrico, infra-estruturas cr\u00edticas<\/h3>\n
Principais conclus\u00f5es<\/h3>\n
\n
FAQ<\/h3>\n
Resumo<\/h3>\n