Redbelt
É comum empresas desconhecerem as vulnerabilidades expostas em seu ambiente devido à falta de maturidade em suas práticas de segurança. A permissão do uso de senhas padrão, sistemas operacionais e software desatualizados, dispositivos PLC/IO/Controller com firmware defasado e a ausência de soluções de segurança para monitorar o ambiente, são algumas das práticas que podem deixar o negócio e as pessoas suscetíveis a ataques cibernéticos. Para identificar e corrigir as vulnerabilidades e, consequentemente, minimizar os riscos de ataque, uma empresa pode recorrer ao pentest.
“Vários pontos de atenção surgem ao considerar a realização de testes em OT. Isso inclui o impacto público potencial, a disponibilidade e integridade dos sistemas e dados, assim como a segurança do ambiente”, alerta Marcos Almeida, gerente do Red Team e de inteligência de ameaças na Redbelt Security. Segundo ele, as mudanças efetuadas durante o teste, como a alteração ou a adição de novos arquivos, podem causar perturbações significativas, sendo essencial que aspectos como testes de upload de arquivos e execuções de scans sejam discutidos e autorizados previamente para evitar interrupções indesejadas.
Almeida explica que a estrutura de um ataque cibernético e de um processo de pentest é a mesma. O que vai diferenciá-los é sua finalidade e como o processo será conduzido. Ao contrário de um ataque, que não se preocupa com possíveis interrupções na operação, o pentest é conduzido com cautela para garantir a integridade e disponibilidade do ambiente.
A seguir, o especialista da Redbelt aponta, por meio do ICS Kill Chain, o procedimento típico adotado por hackers quando executam um ataque em ambientes de ICS. Esse modelo ajuda as equipes como conhecer, detectar e prevenir ameaças, podendo ser reproduzido para realizar um pentest.
Kill Chain voltado para ambientes ICS
O ICS Kill Chain é dividido em duas fases. A primeira envolve as etapas de preparação e execução do ataque.
Na etapa de reconhecimento, o invasor busca informações relevantes sobre o ambiente por meio de fontes públicas (OSINT), ferramentas de scan ativo e engenharia social. Isso ajuda a identificar os pontos fracos, que incluem hosts, usernames, rede, contas e protocolos. Em seguida, passa-se para a etapa de preparação e ataque, que inclui, por exemplo, a modificação de arquivos para uso posterior.
Na etapa de intrusão, o invasor procura obter acesso à rede ou sistema, utilizando métodos como ataques de phishing. A próxima etapa, de manutenção e habilitação, envolve a instalação do Command and Control (C2) para garantir a conectividade no ambiente. O C2 assegura estabilidade e conectividade para a execução dos ataques ou para a permanência no ambiente com o intuito de coletar informações. A última etapa da fase 1 é o início de execução de ações maliciosas no ambiente OT.
A segunda fase da ICS Kill Chain envolve o desenvolvimento do ataque e sua execução.
Esta fase começa com o tunelamento, geralmente usados para criar uma capacidade de afetar exclusivamente um sistema de Controle Industrial (ICS) específico. A etapa de validação envolve a verificação e teste do ambiente antes da execução do ataque efetivo. Na última etapa são executados ataques como DoS upload e alteração de arquivos, execução de malwares, exploração de vulnerabilidades, além de extração de informações úteis para um atacante.
Execução de Pentest em ambiente ICS
Para realizar com sucesso um pentest em ambientes OT é necessário seguir todas as etapas mencionadas acima. A etapa de reconhecimento pode incluir técnicas, como o Google Dorks, e a utilização de ferramentas, como Shodan, Whois, Censys, e Exploit DB, para coletar informações sobre servidores web expostos. No exemplo abaixo, nota-se que foi possível identificar Dorks presentes no site Exploit DB, relacionado ao ambiente Schneider Electric.
Com as dorks vazadas, foram identificados endereços IP na internet que pudessem hospedar esse tipo de sistema. Um dos endereços encontrados foi inserido no Shodan܂io.
Com essas informações, foi possível acessar os ambientes abaixo, e navegar pelas suas funcionalidades.
Além de identificar servidores web expostos, é importante coletar informações sobre o range de IPs públicos, endereços de e-mail dos funcionários, usuários potenciais, sistemas operacionais, aplicações e serviços em uso. Com a fase de reconhecimento concluída, o pentester inicia os ataques de força bruta e verifica credenciais padrão divulgadas na internet para obter acesso ao servidor web e, assim, avançar para a próxima etapa.
Assim como demonstrado na imagem abaixo, existem sites que deixam disponíveis as credenciais padrões utilizadas por diversos provedores. Um atacante consegue montar uma wordlist com base nessas informações encontradas.
Nesse ponto, é importante ressaltar que a execução de um scan para sondar o ambiente requer autorização prévia do contratante para garantir que não haverá impacto adverso no ambiente OT. Com a autorização em mãos, o pentester realiza o scan para coletar informações como nomes de computadores, usuários logados e vulnerabilidades, direcionando os esforços para identificar o melhor vetor de entrada. Ferramentas como Kali Linux, Wireshark, Nmap e PowerShell são utilizadas nessa fase.
Após identificar vulnerabilidades, o pentester inicia a etapa de pivot para entrar no ambiente industrial, passando da esfera de TI para OT. Aqui, os testes se concentram na verificação de switches e roteadores, na identificação do L3 SiteOps (um alvo vulnerável presente em sistemas de Controle Industrial), e em testes em camadas mais baixas, como PLCs (Controladores Lógicos Programáveis).
O pentest é concluído quando o consultor obtém acesso aos sistemas industriais que poderiam causar impactos no ambiente ou quando obtém informações sensíveis do ambiente industrial testado. A identificação e correção das vulnerabilidades descobertas ajudam a aumentar a segurança e a maturidade do ambiente OT, protegendo as operações críticas da indústria. Além disso, no final do teste, a empresa recebe um relatório detalhado com informações sobre as vulnerabilidades identificadas e oferece orientações para correções e mitigação de riscos futuros.
Sobre a Redbelt Security
Fundada em 2009, a Redbelt Security é uma consultoria especializada em Segurança da Informação, que atua com Serviços Gerenciados de Segurança (MSS), Security Operations Center (SOC), Offensive Security, Threat Intelligence, Governança, Riscos & Compliance (GRC), e suporte especializado na gestão de ambientes de TI e ações preventivas contra novas ameaças, contando com uma equipe de mais de 100 profissionais altamente especializados e certificados.
A Redbelt Security oferece também ao mercado uma plataforma própria para gerir riscos cibernéticos: a RIS (Risk Information and Security), plataforma SaaS que integra os mais variados softwares (APIs), machine learning alimentada por inteligência humana, automação para enriquecer dados e orquestração na tomada de decisões. Para mais informações sobre a consultoria, acesse: Link
Informações para a imprensa
Ink Comunicação
Clezia Martins Gomes –
[email protected] – Tel.: (11) 99112-6942
Caren Godoy –
[email protected]
