Últimas do Blog

Não é possível garantir segurança em redes de automação ou de TI com uma única solução ou medida. As ameaças cibernéticas são muito variadas e dinâmicas. As organizações precisam de uma estratégia de segurança cibernética com várias camadas de controles de segurança para todos os seus sistemas. Essa abordagem garante que intrusos tenham que superar vários obstáculos independentes antes que possam causar danos reais. Isso desestimula os atacantes e dá às organizações mais tempo para reconhecer e bloquear as ameaças graves. Com o apoio da Trend Micro, líder reconhecida em tecnologia em segurança cibernética, a TI Safe desenvolveu sua linha de soluções contra Malware e proteção contra Ameaças Persistentes e avançadas (APTs), customizada para uso em redes de infraestruturas críticas

Antivirus

Solução de segurança abrangente para servidores, desktop e laptops, o Trend Micro Office Scan fornece solução de firewall, sistema de detecção e prevenção de intrusão (IPS/IDS), e proteção contra malware para os servidores críticos da rede de automação. A solução é comercializada de acordo com as versões certificadas pelos fabricantes de software SCADA e instalada de acordo com as diretrizes destes fabricantes. 

Figura: Servidor SCADA protegido com Trend Micro OfficeScan

Whitelisting

Whitelisting ou lista branca é o conceito inverso do de lista-negra utilizado atualmente pela maioria dos antivírus: Neste conceito, todo executável (EXE, DLL, OCX etc) cujo hash (assinatura criptográfica) do mesmo está liberado em uma lista previamente configurada, pode rodar, caso contrário, é negado. Toda vez que este executável ou componente é chamado, seu hash é recalculado para comparação a fim de evitar que o mesmo rode depois de ser alterado após a primeira checagem.

Redes de automação possuem um perfil de utilização diferente das demais, pois em muitos casos, as máquinas não podem sofrer alterações depois de comissionadas pelos fabricantes, executando por anos a fio com a mesma configuração de aplicativos e sistema operacional o que torna a aplicação de lista branca bastante indicada.

Em projetos que demandam o uso de Whitelisting, a TI Safe utiliza a solução Trend Micro Safe Lock (TMSL), que garante a segurança enquanto mantém a disponibilidade com o mínimo de impacto no ambiente de automação.

Figura: Tela principal do TMSL

As principais características do TMSL são:

  • Apenas aplicações registradas podem ser executadas.
  • Não existe a necessidade de reboot de máquinas durante a operação.
  • Não necessita de acesso à internet e nem atualização diária de assinaturas, o que a torna a solução ideal para ambientes industriais.
  • Não realiza operação de escaneamento nas máquinas protegidas e não impacta a performance e disponibilidade da rede de tempo real.
  • Reduz risco de infecções através do bloqueio da instalação de pacotes de ameaças e de execuções ilegais de aplicativos não autorizados.
  • Fácil operação, com interface amigável.

Entre em contato com a TI Safe e solicite uma prova de conceito da solução.

Desinfecção de Redes

Infecções por malware são um dos maiores pesadelos dos gestores de redes industriais. Além das características destrutivas inerentes aos malwares, os mecanismos de espalhamento normalmente inundam as redes de automação com pacotes de dados indesejados e afeta gradativamente o tempo de resposta da rede de tempo real, até paralisá-la por completo.

Quando ocorrerem infestações de malware, alguns procedimentos devem ser realizados em um esquema de "dividir e conquistar" para parar a infecção e retomar o controle sobre os servidores infectados. 

Ciclo de Desinfecção

Através de projetos bem sucedidas em clientes, a TI Safe desenvolveu sua própria metodologia de desinfecção de redes que é baseada no ciclo ilustrado pela figura abaixo:

Figura: Ciclo para desinfecção de uma rede de automação

O ciclo de desinfecção deve ser executado em uma parada programada da rede de automação infectada e consiste das seguintes etapas:

  • Isolamento e diagnóstico da rede infectada
  • Limpeza da Rede
  • Implementação/ativação de Segurança de borda (após todas as máquinas limpas)
  • Restauração de sistemas e conectividade
  • Implementação de Governança e monitoramento

Conte com o expertise da TI Safe para o seguro restabelecimento de sua rede de automação.

Monitoramento de Malware

A atividade de Malware e/ou APT em uma rede de automação é algo extremamente destrutivo e que deve ser monitorado permanentemente. 

O Trend Micro Deep Discovery Inspector (DDI) é uma solução para detecção de Malware e APT, detecção de conteúdo malicioso, comunicação e comportamento que possa indicar uma ameaça avançada ou atividade do atacante através de estágios do ataque.

O Deep Discovery Inspector (DDI) evita o alastramento de infecções por Malware na rede de automação ao cortar as conexões maliciosas entre as máquinas infectadas (comunicação lateral) e também a comunicação de máquinas infectadas com seu C&C (Command Controler), mantendo a disponibilidade da rede de automação mesmo em caso de uma máquina ter sido infectada, e isolando esta máquina para que ela possa ser limpa.

A figura abaixo mostra alguns alertas de nível alto correlacionados a comportamentos maliciosos. Dentre os eventos ilustrados na figura estão identificadas requisições de DNS a domínios de C&C conhecidos, o que oferece grande risco a planta e consequentemente à organização. 

Figura 1 - Alertas do Deep Discovery Inspector referente a comportamento malicioso na rede

Já a Figura 2 demonstra a forma como o DDI apresenta as máquinas que foram responsáveis por estes alertas críticos. Note que neste caso com o uso da solução foi possível identificar que os alertas foram gerados por um operador com uma máquina infectada durante uma manutenção no sistema de automação, demonstrando os riscos de infecção por terceiros quando não existe um sistema de detecção de máquinas infectadas no ambiente de automação.

Figura 2 - Alerta do Deep Discovery Inspector referente às máquinas pertencentes à planta de automação que possuem comportamento malicioso

Conte com a TI Safe para realizar uma prova de conceito sem compromisso do DDI em sua rede de automação.