Nota do editor: Este é o 61º artigo da coluna “Real Words or Buzzwords?” série sobre como as palavras reais se tornam palavras vazias e sufocam o progresso da tecnologia.
Sistemas ciberfísicos (CPS) são sistemas computadorizados que interagem com o ambiente ao seu redor de maneira física. Protegê-los pode ser complicado devido à sua natureza dupla (cibernética e física). O objetivo da segurança ciberfísica é garantir que todo o sistema funcione conforme planejado – não apenas a parte de computação. Exige controles cibernéticos e físicos, bem como um nível de devida diligência apropriado para as consequências da falha do sistema.
Superfície de ataque é um termo de TI que não costumamos ouvir no domínio da segurança física. Uma superfície de ataque é definida como o número total de todos os pontos de entrada possíveis para acesso não autorizado em qualquer sistema. Inclui todas as vulnerabilidades e terminais que podem ser explorados para realizar um ataque de segurança. Os sistemas ciberfísicos têm uma superfície de ataque maior e mais vulnerável devido à sua complexidade geral e porque hoje em dia eles geralmente estão conectados e trocam dados com outros sistemas maiores.
A complexidade aumenta as superfícies de ataque
Os sistemas de segurança de hoje são muito mais complexos do que nas décadas anteriores. Eles têm mais pontos de falha do que os sistemas anteriores sem rede. Por mais de duas décadas, os investigadores de segurança têm me dito que 10% a 20% das vezes o vídeo de evidência que eles procuram não está lá, mas deveria estar.
No capítulo 4, “Systems and How They Fail”, de seu excelente livro Beyond Fear: Thinking Sensably About Security in an Uncertain World, Bruce Schneier escreve: “Especialistas em segurança se preocupam mais sobre como os sistemas não funcionam, sobre como eles reagem quando eles falham, como eles podem falhar.”O pessoal de TI examina e monitora suas redes e dispositivos para se antecipar aos problemas antes que os usuários os enfrentem porque eles se concentram em oferecer uma excelente experiência do usuário, o que requer um gerenciamento robusto da infraestrutura de TI.
Por vários motivos, muitos fabricantes do setor de segurança parecem não pensar o suficiente sobre como seus produtos podem falhar. Em outras áreas da engenharia, o oposto é verdadeiro. A Análise do Modo de Falha e Efeitos (FMEA) faz parte da educação de um engenheiro e é uma prática padrão em muitos setores. Leia sobre isso no link acima no site da American Society for Quality (ASQ).
Exposição de superfície de ataque
Os hackers trabalham para descobrir vulnerabilidades de acesso físico e digital e modos de falha. Muitos deles são publicados tanto na “surfaceweb” (o que os mecanismos de busca indexam) quanto na “deep web” (o conteúdo não indexado que é várias centenas de vezes mais do que a surface web), e especialmente na “dark web” (uma pequena fração da deep web) que requer um navegador especial (Tor) para acessar.
Vulnerabilidades de acesso à superfície de ataque e modos de falha também são assunto de sessões educacionais nas convenções anuais de hackers Black Hat e DEF CON, onde vários concursos de hackers são realizados, incluindo concursos de arrombamento.
Utilidade do conceito de superfície de ataque
Para aqueles de nós que implantam e confiam em sistemas ciberfísicos, como os de segurança física, a principal utilidade do conceito de superfície de ataque reside em duas coisas.
1. Definir a superfície de ataque nos permite agregar uma ampla variedade de vulnerabilidades que não aparecem totalmente durante o design, a implantação e as operações de segurança tradicionais para que possamos resolvê-las. Definir a superfície de ataque em sua totalidade nos permite identificar, documentar e corrigir adequadamente todas as deficiências digitais, físicas e funcionais do sistema que pudermos encontrar.
2. Uma das principais finalidades do termo superfície de ataque é enfatizar a perspectiva do invasor, que inclui ameaças internas acidentais e intencionais. Fazemos isso (ou deveríamos) para nossas instalações em avaliações de risco de segurança física. Precisamos fazer o mesmo para a proteção de nossos sistemas de segurança ou eles continuarão vulneráveis - o que significa que nosso pessoal e ativos estarão mais em risco do que deveriam devido ao que normalmente chamamos de falhas no sistema de segurança, mas deveriam realmente ter sido rotulados como segurança falhas do sistema.
Existem dois tipos de superfícies de ataque – digital e física – e nossos sistemas de segurança eletrônica possuem ambos. Avaliar as vulnerabilidades da superfície de ataque envolve avaliar como os recursos do sistema de segurança podem ser comprometidos ou mal utilizados. Como nossos sistemas de segurança física são baseados em tecnologia da informação mais sensor físico e tecnologia de controle, eles são ainda mais vulneráveis do que os sistemas de informação de negócios.
Superfícies de ataque digital para sistemas de segurança incluem estações de trabalho e servidores, sistemas operacionais de computador e aplicativos de software, redes (com e sem fio) e seus pontos de conexão com outros sistemas e a Internet, além de rede e software- baseados em pontos de interação humana, como configuração de dispositivos e sistemas.
Superfícies de ataque físico para sistemas de segurança abrangem todos os dispositivos terminais, como servidores, desktops e laptops e suas portas USB; dispositivos móveis pessoais; câmeras de segurança; sensores e controladores de detecção de intrusão; e leitores de cartões de acesso, controladores e hardware de monitoramento e controle de portas. Um interruptor de monitor de porta que pode ser desativado usando um simples ímã faz parte da superfície de ataque.
Como podemos abordar efetivamente a proteção da superfície de ataque?
A tríade de segurança para sistemas ciberfísicos
A tríade de segurança da informação (às vezes apenas "tríade de segurança" para abreviar) forneceu uma abordagem sólida de três pilares para o desenvolvimento de uma estratégia sólida de segurança cibernética, usando os objetivos de design de segurança de estabelecer e manter Confidencialidade, Integridade e Disponibilidade (CIA).
Atualizei o diagrama CIA tradicional para adicionar uma nova perspectiva – o elemento de controle – para sistemas ciberfísicos (veja a Figura 1). No caso de comprometimento da integridade ou funcionalidade do sistema, precisamos garantir que o sistema não cause danos devido à perda ou uso indevido de suas capacidades de controle do mundo físico e que possamos ser alertados sobre a falha dentro de um prazo apropriado para intervir manualmente, se necessário .
Já temos esse conceito no design do sistema de segurança física, que conhecemos como modos de segurança contra falhas e proteção contra falhas.
Sistemas ciberfísicos em muitos outros setores têm situações de modo de falha muito mais críticas para lidar, como sistemas de assistência robótica cirúrgica e veículos autônomos, para os quais o tempo de resposta de milissegundos pode ser crítico para a vida. Mas, como no caso de sistemas de controle de acesso e detecção de intrusão, pode ocorrer uma situação crítica para a vida que exija uma resposta em segundos ou minutos.
Figura Figura SEQ \* ARABIC 1.CIA for Cyber-Physical Systems b>
Fonte da imagem: © 2022 RBCS, Inc.
Confidencialidade
Confidencialidade para sistemas de informação originalmente significava restringir o acesso aos dados apenas a indivíduos autorizados. Para sistemas ciberfísicos, isso também significa controlar o acesso para evitar o controle não autorizado do sistema e o uso indevido.
Além disso, sistemas que interagem com pessoas podem capturar dados que possuem restrições de privacidade que os regem. Algumas restrições de privacidade de dados são óbvias, como para dados biométricos de controle de acesso capturados. Menos óbvios são os registros simples, como registros de uso do sistema do cliente ou do operador, que incluem informações de local e horário e podem ser vinculados a um indivíduo específico - porque o GDPR definiu os dados de localização de um indivíduo como informações de identificação pessoal e sujeitos a regulamentos de privacidade, incluindo prazos de destruição de informações e anonimização de dados antes de compartilhá-los com indivíduos ou outros sistemas.
Integridade
Sistemas e dispositivos ciberfísicos normalmente fazem parte de um “sistema de sistemas”, o que significa que a precisão de alguns dados pode ser mais importante para um sistema externo do que para o sistema ou dispositivo capturando ou gerando os dados. Freqüentemente, os sistemas ciberfísicos servem a outros sistemas – tanto sistemas de máquinas quanto sistemas de pessoas – que têm um propósito maior e são mais impactantes no esquema geral das coisas.
Considere um sistema de gerenciamento de tráfego da cidade que baseia o controle de semáforos em interseções em contagens e velocidades de veículos na estrada. O tempo do semáforo pode reduzir ou aumentar a poluição com base na redução ou no aumento do número geral de ciclos de frear e depois acelerar. Algumas cidades coletam dados de ocupação do estacionamento, para que os aplicativos móveis da cidade possam apresentar a disponibilidade estimada de estacionamento com manobrista e autoestacionamento e direcionar os ocupantes do veículo para o estacionamento disponível mais próximo de seu destino.
Acidentes com pedestres e veículos em armazéns foram reduzidos por meio do uso de empilhadeiras e sistemas de gerenciamento de veículos focados em cruzamentos perigosos, pontos de passagem sem saída e outras zonas perigosas. Eles fornecem redução automática de velocidade ou parada com base na atividade de pedestres detectada. A integridade dos dados de atividade de pedestres é extremamente importante para sistemas que controlam automaticamente a velocidade e a parada do veículo. Uma falha no controle pretendido do veículo pode ser catastrófica.
A tecnologia de vigilância por vídeo pode estar envolvida em tais cenários. Cada vez mais, os sistemas de segurança física estão participando da otimização das operações de negócios, além de sua função de segurança típica. Nesses casos, a integridade dos dados do sistema maior depende não apenas da precisão dos dados recebidos, mas da operação contínua desse fluxo de dados de entrada sem interrupção ou falhas do sistema. Problemas de integridade ou disponibilidade de dados em um sistema de segurança podem afetar a funcionalidade de outros sistemas de várias maneiras, às vezes com consequências maiores do que a falha de integridade teve no sistema de segurança.
Disponibilidade
As implantações de data center da Amazon Web Services, Microsoft Azure e Google Cloud são extremamente mais complexas do que as implantações de sistemas de segurança física. Eles oferecem garantias de disponibilidade do sistema de tempo de atividade de 99,9999% (chamados de “seis noves”) para seus serviços de nuvem de primeira linha. Consulte a tabela de tempo de inatividade abaixo.
Assim, sabemos que a alta disponibilidade é possível e, graças aos avanços da computação em nuvem e da tecnologia da informação em geral, a alta disponibilidade é melhor, mais simples de implantar e mais acessível do que nas décadas anteriores.
No entanto, se não exigirmos alta disponibilidade para nossos sistemas, não conseguiremos. Os sistemas de segurança devem ser pelo menos 99,9% confiáveis (três noves). Por que não são?
Sem dúvida, porque não tratamos os nossos sistemas de segurança ciberfísica (PACS, vídeo, etc.) como os profissionais de TI tratam os seus sistemas de informação crítica. Permitimos que apenas 80% de confiabilidade – coisas funcionando 80% do tempo que esperamos, o que significa 20% de falha – prevaleça. Os alarmes de segurança são tão pouco confiáveis que muitos departamentos de polícia agora exigem verificação por vídeo de um alarme antes de responder.
As tecnologias habilitadas para IA de hoje podem alcançar resultados muito maiores do que eram possíveis na geração anterior de sistemas de segurança. Agora que eles estão se tornando mais valiosos para a segurança e para as operações de negócios, finalmente tomaremos medidas para proteger suas superfícies de ataque?
Saiba mais sobre proteção de superfície de ataque no site da Viakoo, uma empresa de TI que entrou no setor de IoT para ajudar a proteger superfícies de ataque de IoT e seus dispositivos de IoT, incluindo câmeras de vigilância por vídeo de segurança. Seu produto Service Assurance Manager foi projetado para resolver o problema de perda de vídeo e muito mais.
Sobre o autor: Ray Bernard, PSP CHS-III, é o principal consultor da Ray Bernard Consulting Services (RBCS), empresa que presta serviços de consultoria em segurança para instalações públicas e privadas (www.go-rbcs .com). Em 2018, a IFSEC Global listou Ray como a 12ª posição entre os 30 principais líderes de pensamento em segurança do mundo. Ele é o autor do livro da Elsevier, SecurityTechnology Convergence Insights, disponível na Amazon. SigaRay no Twitter: @RayBernardRBCS.
© 2022 RBCS. Todos os direitos reservados.