• Evite ataques cibernéticos: Um guia especializado para segurança industrial

Default Alternative Text
O firewall serve como barreira à invasão externa indesejada, permitindo que dados legítimos sejam transmitidos para componentes essenciais dos equipamentos

A complexidade dos incidentes de segurança cibernética está crescendo e aumentando, tornando medidas de segurança sofisticadas essenciais para proteger redes industriais.

Como a invasão de uma rede pode prejudicar uma indústria? Um hacker pode baixar e alterar uma fórmula médica de uma empresa farmacêutica, tornando um medicamento letal. Um programa de robótica de uma unidade automotiva pode estar vulnerável a uma alteração do processo, resultando em uma peça defeituosa. Essas ameaças são uma realidade hoje e podem colocar pessoas em risco e provocar prejuízos nos negócios por meio de falha de rede e ineficiência na linha de processo.

Firewall industrial x firewall de TI
Por que não confiar apenas no grupo de TI para gerenciar firewalls? Firewalls industriais são diferentes dos firewalls de TI, pois muitas aplicações de controle de processo não podem tolerar interrupções na operação. Os engenheiros que implementam e fazem manutenção em sistemas de controle devem entender e selecionar os firewalls industriais.

Firewalls são fundamentais para a segurança industrial
Em informática, um firewall é um sistema de segurança de redes baseado em software ou em hardware que controla o tráfego de rede para proteger redes e dispositivos contra acesso não autorizado. Um firewall monitora o tráfego online e gerencia as transmissões examinando “pacotes” de mensagens, atuando como uma barreira à invasão externa durante a transmissão da comunicação de dados legítimos. Com base em um conjunto de regras de controle de acesso, um firewall pode permitir, negar, criptografar, descriptografar ou agir como proxy para todo o tráfego entre diferentes domínios de segurança.

Tipos de firewall
Escolher o tipo apropriado de firewall industrial ou uma combinação dos tipos depende dos requisitos da aplicação, do nível de risco tolerável e do possível impacto de um ataque contra um sistema.
• Um firewall de filtragem de pacotes é uma solução de baixo custo que verifica os cabeçalhos dos pacotes, mas que é facilmente contornável por um hacker habilidoso, sendo mais adequado para áreas de rede de baixo risco.
• Um firewall com inspeção de pacote completo (ou filtragem de pacotes dinâmica) fornece um alto nível de segurança e um bom desempenho, inspecionando pacotes e seu conteúdo, mas pode ser caro e de configuração complexa.

• Um gateway de proxy de aplicativo examina e filtra todos os pacotes que chegam ao aplicativo; todavia, esse tipo de firewall tem retardos de cabeçalho que influenciam o desempenho da rede de controle e não é recomendado para ambientes industriais.

Construindo um sistema de firewall
A separação e o isolamento são essenciais para estruturar firewalls. Por exemplo, instalar um dispositivo de firewall simples para separar a rede de controle da fábrica e das redes corporativas é uma solução simples, mas essa instalação não isola o sistema do controlador lógico programável (CLP) do sistema da interface homem-máquina (IHM), executado em um sistema de operação padrão baseado em PC. Um invasor pode escolher esse sistema como alvo, entrar e violar o sistema do CLP que controla uma operação ou um processo, ou um usuário interno pode introduzir um malware por download ou atualização de um software de PC.

Aplicações de controle crítico, como sistemas de desligamento de emergência, podem exigir uma segurança mais rigorosa. A solução é criar uma arquitetura de rede que possa se comunicar tanto com a rede da fábrica quanto com o sistema de controle do CLP, mas que use dois firewalls para isolar os dispositivos de IHM e SCADA do sistema CLP.

Um firewall industrial deve ser configurado e localizado adequadamente em pontos de acesso da rede de controle. Fatores de projeto que podem melhorar a eficácia incluem a segmentação de redes de controle em zonas de segurança; configurar uma estrutura de rede de controle que seja invisível para o mundo externo com a finalidade de obscurecer tipos de dispositivos; utilizar inspeção de pacote completo (ou filtragem de pacotes dinâmica) para garantir que todos os pacotes de dados de entrada resultem em uma solicitação de saída e fornecer informações de alarme de segurança e de registro de eventos para indicar um ataque em andamento ou uma falha do dispositivo.

Mas mesmo com a configuração adequada, um firewall não consegue proteger contra o acesso não autorizado por meio de conexões não relacionadas ao firewall; ataques internos que desviam do firewall; softwares desatualizados; erro do usuário ou vírus ou malware que entra por meio de uma conexão desprotegida.

Nenhum sistema de firewall é impenetrável, mas um firewall robusto intimida os hackers e os leva a procurar outros locais que sejam alvos mais fáceis de serem explorados.

Para obter uma explicação detalhada sobre firewalls de grau industrial, baixe o white paper da Schneider Electric “Princípios Fundamentais das Firewalls de Segurança Ethernet em Ambientes Industriais.”
Saiba mais