Uma pesquisa realizada pelo SANS Institute mostra que os orçamentos alocados pelas organizações para a segurança de sistemas de controle industrial (ICS) e outras tecnologias operacionais (TO) diminuíram significativamente em 2023 em comparação com o ano anterior.
Para sua Pesquisa de Segurança Cibernética ICS/OT (PDF) de 2023, a SANS entrevistou mais de 700 indivíduos de todos os continentes. Os entrevistados representam organizações de todos os tamanhos e uma ampla variedade de setores verticais, incluindo energia, TI e governo.
Quando questionados sobre os seus orçamentos de segurança cibernética ICS/OT, mais de 21% disseram que não têm um, um aumento significativo em relação aos 7% em 2022. SANS tem monitorizado orçamentos em vários intervalos e a maioria deles diminuiu em comparação com o anterior ano.
Nos próximos 18 meses, mais de 60% das organizações planejam investir em produtos que as ajudarão a aumentar a visibilidade dos ativos e configurações do sistema de controle. Trinta por cento disseram que planejam investir em ferramentas de detecção de anomalias e intrusões para redes de sistemas de controle.
“Embora algumas instalações possam estar num ciclo orçamental baixo para 2023, é imperativo que continuem a concentrar-se no seu roteiro de segurança cibernética ICS”, recomenda SANS. “Isso significa gastar naquilo que proporcionará o maior retorno para reduzir os maiores riscos conhecidos. A sensibilização para a segurança, o aproveitamento de ferramentas ICS de fontes fidedignas para avaliações (como o MITRE), uma abordagem baseada no risco para a gestão de vulnerabilidades e o alinhamento com os cinco controlos críticos de segurança cibernética do ICS são locais sólidos para mudar a estratégia para 2023.”
A pesquisa também descobriu que, em muitos casos, os agentes de ameaças continuam a obter acesso aos sistemas ICS/OT após comprometerem os sistemas de TI. Isto foi apontado como um vetor de ataque inicial por 38% dos entrevistados, seguido por estações de trabalho de engenharia, serviços remotos externos e aplicações exploradas expostas à Internet.
Quando questionados sobre seus esforços de testes de penetração, mais da metade dos entrevistados disseram que visam o Nível 3 e a DMZ do Modelo Purdue. O nível 3 inclui dispositivos TO personalizados que gerenciam a produção, e o DMZ inclui firewalls, servidores de gerenciamento de patches, servidores de aplicativos e servidores de acesso remoto.
Mais de 40% dos entrevistados disseram que também visam o Nível 2 (sistemas HMI e SCADA) e o Nível 4 (rede corporativa).
“Um teste de penetração prático de um cenário do mundo real poderia ser emular TTPs de TI para ICS, iniciando o teste com uma base de TI estabelecida, como no Nível 4, e então tentar passar para a rede ICS DMZ ou inferior (como Nível 3) para IHMs tradicionais baseadas em sistemas operacionais ou para estações de trabalho de engenharia”, afirmou a SANS em seu relatório.
Quanto ao uso de inteligência contra ameaças para melhorar sua postura de defesa de TO, 61% dos entrevistados disseram confiar em informações disponíveis publicamente e 30% em inteligência fornecida por fornecedores de segurança. Mais de 40% dos entrevistados também aproveitam parcerias de compartilhamento de informações, inteligência sobre ameaças de TI e inteligência de fabricantes ou integradores de ICS.
O relatório SANS também abrange o uso de serviços em nuvem para sistemas ICS/OT, práticas de resposta a incidentes e gerenciamento de patches.
: