/
Resiliência cibernética

Compreendendo os mandatos de conformidade da UE: tecnologia operacional e sistemas críticos

Na minha primeira postagem ao entender os mandatos de conformidade da UE, discuti o cenário de conformidade como um todo e como diferentes tipos e áreas do setor têm seus próprios mandatos ou orientações sobre segurança cibernética. Hoje, vou me concentrar em regulamentações e controles de segurança específicos para um setor realmente interessante — Sistemas Críticos e Tecnologia Operacional.

Para maior clareza, vamos começar definindo alguns acrônimos comumente usados:

  • PARA — Tecnologia operacional (em contraste com TI, tecnologia da informação)
  • ISSO — Tecnologia da Informação, os sistemas de computador típicos e as redes com as quais todos estamos familiarizados
  • ICS — Sistemas de controle industrial
  • ESCADÃO — Controle de supervisão e aquisição de dados

É importante entender as principais diferenças entre a segurança de OT e de TI antes de nos aprofundarmos na conformidade existente no setor, pois os requisitos fundamentais são bem diferentes. Para aqueles que trabalham na área ou têm experiência lá, provavelmente todos nós já vimos variações no diagrama abaixo:

IT/OT

Em um ambiente de OT, a falha de um sistema ou a inconsistência nos dados pode resultar em um impacto físico real no mundo. Por exemplo, a falha de um sistema de segurança ou a interrupção de uma linha de produção podem levar a resultados mais prejudiciais fisicamente do que falhas similares em TI. Isso, é claro, significa que os próprios sistemas (incluindo software) são construídos com resiliência e redundância em mente — e o que é relevante mandatos de conformidade leve isso em consideração.

Dito isso, vamos analisar alguns dos tipos de conformidade que podem ser aplicados e, em seguida, discutir como microsegmentação e controle o jogo com eles.

Os principais mandatos que vemos na UE são:

  • A Diretiva de Segurança de Redes e Informações, ou NIS-D. Este é um conjunto de controles cibernéticos em toda a UE, criado centralmente com a contribuição de todos os estados, mas com orientação e supervisão fornecidas localmente, país a país.
  • LPM. Semelhante, mas mais focado localmente, o LPM é um mandato francês específico da OT ou “lei de proteção de infraestrutura crítica de informações”. Isso foi parcialmente a base do NIS-D e contém conceitos semelhantes de um operador de serviço essencial. A diferença com o LPM é que ele é um mandato e, portanto, os sistemas considerados “no escopo” do mandato devem seguir as diretrizes de segurança do LPM. Na França, essa lei é regida pela ANSSI (Agence nationale de la sécurité des systèmes d'information — Agência Nacional de Cibersegurança da França), que também supervisiona o NIS-D na região.

Como a microssegmentação se aplica à conformidade do sistema OT

Tanto o NIS-D quanto o LPM mencionam explicitamente algumas áreas-chave.

Para o LPM, as 20 categorias são:

  • Políticas de garantia da informação
  • Acreditação de segurança
  • Mapeamento de rede
  • Manutenção de segurança
  • Registro
  • Correlação e análise de registros
  • Detecção
  • Tratamento de incidentes de segurança
  • Tratamento de alertas de segurança
  • Gestão de crises
  • Identificação
  • Autenticação
  • Controle de acesso e gerenciamento de privilégios
  • Controle de acesso administrativo
  • Sistemas de administração
  • Segregação em sistemas e redes
  • Monitoramento e filtragem de tráfego
  • Acesso remoto
  • Configuração de sistemas
  • Indicadores

Para o NIS-D, os estados membros locais publicam orientações específicas. No Reino Unido, por exemplo, isso é tratado pelo NCSC (Centro Nacional de Segurança Cibernética) — com seus Estrutura de avaliação cibernética (CAFÉ). Para obter mais informações sobre isso, confira este webinar, e leia este papel.

O NIS-D tem um número similar de áreas específicas relacionadas à microssegmentação e visibilidade do fluxo de rede:

  • Processo de gerenciamento de riscos: Seu processo organizacional garante que os riscos de segurança de redes e sistemas de informação relevantes aos serviços essenciais sejam identificado, analisado, priorizado e gerenciado.
  • Segurança de dados: Você mantém uma corrente compreensão dos links de dados usados para transmitir dados que é importante para o seu serviço essencial
  • Dados em trânsito: Você tem identificou e protegeu adequadamente todos os links de dados que transportam dados importantes para a prestação do serviço essencial.
  • Seguro por design: Suas redes e sistemas de informação são segregado em zonas de segurança apropriadas, por exemplo, os sistemas operacionais do serviço essencial são segregados em uma zona altamente confiável e mais segura.
  • Design para resiliência: Os sistemas operacionais do seu serviço essencial são segregado de outros sistemas comerciais e externos por meios técnicos e físicos apropriados, por exemplo, infraestrutura separada de rede e sistema com administração independente de usuários. Os serviços de Internet não são acessíveis a partir dos sistemas operacionais.
  • Gerenciamento de vulnerabilidades: Você mantém um compreensão atual da exposição do seu serviço essencial para vulnerabilidades conhecidas publicamente.
  • Monitoramento de segurança: Além dos limites da sua rede, sua cobertura de monitoramento inclui interno e monitoramento baseado em host.

Podemos ver que, tanto para o LPM quanto para o NIS-D, o Illumio pode ajudar.

Como alcançar a conformidade regulatória com a microssegmentação

Tendo entendido os mandatos, como você pode usar a microssegmentação no campo para atender a esses (e outros) controles? Aqui estão alguns exemplos:

  1. Mapeamento de dependências de aplicativos dos ambientes de OT e TI, incorporando criticamente os limites de TI/OT. Isso pode ser feito por meio da coleta de dados no nível da carga de trabalho ou, mais provavelmente, da coleta de fluxo da infraestrutura de rede no lado do OT para fornecer um mapa rico e de alta fidelidade.
  2. Segmentação ambiental dos ambientes de OT e TI, mantendo canais críticos de monitoramento, registro e controle. O Zero Trust como conceito de segurança de rede nunca foi tão aplicável quanto nesse cenário.
  3. Alertas contra novos fluxos/conexões para o ambiente de OT a partir da TI ou de dentro do próprio ambiente de OT. É importante monitorar o início de novas conexões por dois motivos: primeiro, o OT tende a ser um ambiente mais estático do que o lado de TI mais falante e dinâmico. Em segundo lugar, seja deliberado (atividade maliciosa direcionada para obter acesso aos sistemas ICS/SCADA) ou acidental (vários comprometimentos de OT de alto perfil estão, na verdade, mais próximos dos danos colaterais causados por malwares comuns que conseguem acessar o lado crítico do sistema), o acesso não autorizado e bem-sucedido ao lado crítico da rede é fundamentalmente o que as soluções de microssegmentação evitam.
  4. Avaliação de vulnerabilidade em relação à infraestrutura de OT. Como podemos ver no NIS-D, o gerenciamento de vulnerabilidades é fundamental. Embora o Illumio, por exemplo, não verifique vulnerabilidades, ele as mapeia de acordo com os fluxos de agrupamento e aplicativos observados, mostrando caminhos críticos e ajudando a priorizar a política de microssegmentação e a aplicação de patches.

O cenário em constante evolução

À medida que a agilidade e o monitoramento de sistemas críticos mudam, eles estão cada vez mais conectados a redes e aplicativos menos críticos e, às vezes, até mesmo à Internet. Uma rápida pesquisa no protocolo OT no shodan.io pode ser reveladora! Ao mesmo tempo, o escrutínio sobre a conectividade e a segurança desses sistemas está aumentando, como deveria. Essa justaposição significa que a visibilidade se torna incrivelmente importante, mesmo antes de definir e manter claramente as políticas de microssegmentação.

Mencionados em meu primeiro post, os vários mandatos fornecem um espectro de aplicação — desde leis estritas e obrigatórias (no caso do LPM) até uma posição mais orientadora no momento, no caso do NIS-D. Parte da diferença aqui se resume à maturidade e à duração da existência.

É nos casos mais amplos e menos bem definidos que a interpretação da orientação se torna importante e, assim como o GDPR, o NIS-D leva em consideração a intenção, a implementação técnica e a configuração específica.

Em ambos os casos, acho claro que a visibilidade e a segmentação desses sistemas críticos cada vez mais conectados são o controle fundamental pelo qual podemos protegê-los.

Fique ligado no meu próximo post, onde explorarei os mandatos do setor financeiro na UE.

E para saber mais sobre o Illumio ASP, confira nosso página de arquitetura da solução.

Tópicos relacionados

Artigos relacionados

As 3 verdades do Zero Trust de John Kindervag para agências governamentais
Resiliência cibernética

As 3 verdades do Zero Trust de John Kindervag para agências governamentais

Obtenha informações de John Kindervag sobre as principais verdades do Zero Trust que as agências governamentais precisam conhecer ao cumprirem os mandatos do Zero Trust.

Nossas histórias favoritas do Zero Trust de setembro de 2023
Resiliência cibernética

Nossas histórias favoritas do Zero Trust de setembro de 2023

Aqui estão algumas das histórias e perspectivas do Zero Trust que mais se destacaram para nós neste mês.

Compreendendo os mandatos de conformidade da UE: tecnologia operacional e sistemas críticos
Resiliência cibernética

Compreendendo os mandatos de conformidade da UE: tecnologia operacional e sistemas críticos

Uma discussão sobre os regulamentos técnicos operacionais e controles de segurança específicos para sistemas críticos e tecnologia operacional.

Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?