Você não pode soletrar Zero Trust sem OT

00:02 Carlos Buenano

Eles agora estão encarregados da segurança. Até agora, eles não eram responsáveis por basicamente fornecer segurança. Ok. Obviamente, eles estão preocupados com a interrupção das operações.

00:14 Raghu Nandakumara

Bem-vindo ao The Segment: A Zero Trust Leadership Podcast. Sou seu anfitrião, Raghu Nandakumara, chefe de soluções industriais da Illumio, a empresa de segmentação Zero Trust. Hoje, estou acompanhado por Carlos Buenano, CTO de OT da Armis, líder em segurança cibernética de inteligência de ativos. Carlos traz mais de 30 anos de experiência nas áreas de sistemas de controle e telecomunicações. Ele trabalhou para organizações em todo o mundo, ocupando cargos que variam de arquiteto de soluções a engenheiro principal e consultor de segurança cibernética da ICS. Nos últimos cinco anos, ele se concentrou especificamente na operacionalização de soluções de segurança cibernética em redes industriais. Neste episódio, Carlos se junta a nós para discutir o caminho para a segurança de OT, a importância do Zero Trust em ambientes industriais e como progredir na segurança sem comprometer a produtividade. Então, é um grande prazer dar as boas-vindas a este episódio de The Segment Carlos Buenano, CTO de OT da Armis, líder em segurança de OT. Carlos, bem-vindo ao The Segment.

01:24 Carlos Buenano

Muito, muito obrigado. Obrigado por me receber. É um prazer, um verdadeiro prazer estar aqui.

01:28 Raghu Nandakumara

Oh, acho que o prazer é todo meu. Porque estamos na segunda temporada do podcast e se minhas lembranças estão corretas. Acho que esse é o primeiro episódio em que temos alguém que é especialista em segurança de OT, o que é tão importante nos dias de hoje. Então, acho que o caminho para a segurança de OT não é natural quando as pessoas pensam em carreiras em segurança da informação. Então, conte-nos um pouco sobre sua experiência.

01:51 Carlos Buenano

Sim, então, sou engenheiro eletrônico, me especializo em sistemas de controle. Lembro-me de ir para a universidade e ter aquela única disciplina: sistemas de controle. E eu fiquei viciado. Então, programar meu PLC, configurar o SQL Server e obter informações conectadas a sensores e atuadores e fazer a automação acontecer, isso me deixou viciado desde o início. Ao longo da minha carreira, desenvolvi basicamente as habilidades para ser engenheiro de sistemas de controle. Lembro-me da época em que a rede era, na verdade, parte da transição entre redes zero e redes Ethernet. E eu [estava] muito curioso sobre isso. E eu queria fazer parte disso, mas fazer parte dessa transição e depois misturar toda a rede e os sistemas de controle em um. E então, comecei a projetar redes de controle, o que na verdade foi muito interessante. E tem muito. Na verdade, estava se dedicando mais à configuração de PLCs. O SCADA disse que era o DCS; estava abordando redes, programando e definindo redes de controle que atendem à IEC 62443 e como ela define a segmentação de rede do ponto de vista do Selo Verde. E, lentamente, comecei a se envolver com sistemas, diretórios de acesso, EDRs e a integrar todos esses sistemas diferentes, unindo todos esses sistemas ao domínio. E protegendo esses dispositivos, fazendo backup deles e garantindo que os procedimentos estejam em vigor. Seguindo a ASC 62443 na época, é quase como se eu tivesse acabado de entrar nela e, nos últimos 10 anos, tenho me concentrado apenas na segurança cibernética para ambientes de OT. Você sabe, minha compreensão do ambiente, do ambiente de OT, ao me comunicar com o pessoal de OT, as equipes de engenharia, os gerentes de fábrica e fornecer a eles as informações que eles precisam ouvir, porque na verdade podem ser conversas muito, muito complexas com os gerentes da fábrica porque eles querem proteger a produção. E então precisamos começar a introduzir tópicos de segurança; na verdade, é um dos nossos prazeres.

04:18 Raghu Nandakumara

Eu adoro isso, obrigado. Obrigado porque acho fascinante que você seja alguém cuja experiência é especializada em sistemas de controle, o que significa que, quando você tem essas conversas com gerentes de fábrica, etc. Hoje, você pode ter essas conversas com uma perspectiva muito informada.

04:38 Carlos Buenano

Eu era a única pessoa por trás da programação do laptop, dos PLCs, conectando o cabo. Então, eu entendo exatamente o que os gerentes de fábrica precisam fazer para manter a produção e manter a segurança das pessoas ao fazer isso.

04:53 Raghu Nandakumara

Então, eu só quero voltar ao seu tempo estudando engenharia quando você estuda sistemas de controle. Nesse ponto, você pensa em segurança?

05:01 Carlos Buenano

Não, nunca. Na verdade, todo o meu foco sempre foi a automação. Você sabe, como automatizar. E, claro, estávamos acostumados a nos envolver com os fornecedores, Rockwell, Siemens, por exemplo, Schneider, e aprender suas ferramentas, aprender da maneira mais eficiente de realizar a automação. E quando se trata de sistemas de OT, também existe uma hierarquia interna; você tem os engenheiros de processo que definem o que os clientes precisam fazer, como precisam se comportar, o que é esperado, do ponto de vista da automação. Mas então, você tem os sistemas de controle próximos; eles precisam ser estruturados para entender todas as narrativas produzidas pelos engenheiros de processo e, em seguida, implementá-las. E depois projete e implemente. Então você olha e pensa em outras coisas. Você pensa em padrões, pensa em maneiras de programar modelos para programar os sistemas, para que a próxima pessoa que venha da manutenção precise fazer o necessário para mantê-los, entendê-los [e tê-los] muito bem documentados. Então, na verdade, você está se concentrando mais na implementação desses sistemas de controle e usa o que está disponível. Você usa a rede, conecta a rede e recebe um endereço IP. Se você tem uma rede ou recebe um número de identificação, se você tem uma rede serial e eles têm os gateways e como se comunicam, você configura o servidor SCADA com tags diferentes para obter informações. Portanto, é um grande mundo de conhecimento que você precisa implementar durante a implementação desses sistemas. Então, não há, quase não há espaço para pensar em segurança, na verdade; a questão toda é fazer com que ela funcione. É como qualquer outro projeto, você tem um gerente de projetos, e tudo gira em torno do tempo, um ativo dedicado a entregar esse projeto específico. E quando você está em operação, tudo se resume a atender aos requisitos do ponto de vista da produção e garantir que o dispositivo esteja realmente funcionando como deveria estar funcionando, quando você não pensa na comunicação porque um dos principais requisitos nas redes de OT é comunicar os dispositivos com os quais você precisa se comunicar. Você não pensa em um aplicativo quando eu quero adicionar mais opções quando se trata de uma nova ferramenta para que você possa realmente usá-la. E não, não, não, na verdade você tem um PLC, uma HMI e um servidor SCADA, uma rede que conecta três e, uma vez conectados, não toque nela. Vamos ver. Está funcionando. Na verdade, você precisa passar por um gerenciamento de mudanças muito rigoroso, apenas para garantir que quaisquer alterações feitas, validadas, sejam realmente aprovadas pelos gerentes da fábrica e não afetem negativamente o desempenho da rede. Então, é por isso que, ok, uma vez projetada, você tem uma pessoa que projetou essa rede de controle ou que mais tarde foi essa pessoa. E então foi projetado para poder mudá-lo, você tem um motivo muito específico para alterá-lo.

08:38 Raghu Nandakumara

Obrigado por essa explicação muito detalhada. Vou parafrasear: Então, peço desculpas por meio que banalizar muito isso. Mas acho que, para resumir, é como se a prioridade desses sistemas de controle fosse manter a planta operacional, mantê-la eficiente e segura. Certo? Porém, se eu pensar que essas são as prioridades. Então, se eu enterrar isso em, digamos, um ambiente de desenvolvimento de aplicativos, é como se a equipe de aplicativos se preocupasse com a disponibilidade e a confiabilidade de seu aplicativo. E quase se elas estiverem comprometidas, a segurança fica tipo: “Bem, se o aplicativo não funcionar, quem se importa com a segurança?” Então, agora, está trazendo isso para seu papel hoje? Como você conversa com os gerentes da fábrica ou com quem você interage com esse tipo de contrato para explicá-los sobre como você pode introduzir a segurança de que eles precisam da maneira correta, sem comprometer as coisas que mais lhes interessam?

09:31 Carlos Buenano

Sim, então, essa é uma conversa muito difícil. Você sabe, os gerentes de fábrica e as equipes de engenharia protegem muito as redes. No entanto, existe uma preocupação em basicamente validar o desempenho e depois o design das redes. As comunicações às quais essas redes estão realmente expostas. Então, existem basicamente dois métodos, eu acho, duas estratégias. A primeira é o que é isso para mim? O que é para mim como gerente de fábrica? Como eu posso realmente ou por que eu gostaria de começar com visibilidade? Eu já tenho meus inventários; eu já tenho, eu entendo o que o dispositivo deveria estar fazendo. E então você começa com isso, você começa tipo, ok, então, eu faço inventários atualizados, você entende quais dispositivos você tem executando no final da vida útil que podem potencialmente afetar sua produção? Você realmente pode ter certeza de que esses dispositivos estão, de fato, fazendo o que deveriam fazer? Eles não têm nenhuma configuração incorreta. Quem está realmente fazendo alterações em seu sistema ou em seus PLCs? Você está ciente de quando eles realmente, de fato, estão fazendo as mudanças. Então, a abordagem é, na verdade, mais sobre: Ei, esses são os benefícios que a introdução de um sistema de segurança trará a você e basicamente facilitará alguns dos processos nos quais você precisa trabalhar. E então, talvez, um roteiro dos mais eficientes e eles entendam os pontos problemáticos. E isso dá um exemplo muito, muito específico de um de nossos clientes na equipe. Eles me perguntaram: “Ok, bem, eu tenho um problema com um endereço IP. Sabe, estou tentando implantar esse dispositivo na rede. E ele diz que vai colidir com o endereço IP, e eu não consigo encontrá-lo.” E então descobri que outra pessoa veio até mim e apresentou outro dispositivo, usou um endereço IP que estava livre em sua planilha e depois atualizou a planilha. E então a outra pessoa, tipo, entrou, é tipo, bem, eu queria usar isso. E então eles vieram e usaram a visibilidade, a plataforma de visibilidade, e então tocaram no endereço IP e encontraram dois dispositivos. E então o gerente da fábrica diz: “Isso é simples?” Agora, isso costumava levar semanas para eu descobrir como. E então, quando você realmente expõe esse benefício. Dissemos: “Ok, conte-me mais. O que mais eu posso fazer?” Então, é por isso que eu não posso realmente te dar uma resposta direta em termos de qual é a receita, mas posso te dar as ideias. Envolva-os, ajude-os a entender que a plataforma de segurança que você também usa trará alguns benefícios e, em seguida, destaque os benefícios do lado deles. Como a parte de segurança precisa ser cumprida, eles não se interessarão porque então trarão benefícios. Isso trará algum benefício para toda a organização como tal, mas não especificamente para a equipe.

12:50 Raghu Nandakumara

Isso é fantástico. O rastreamento de endereços IP por meio de uma planilha é engraçado porque me leva de volta aos meus dias como cliente. E essas planilhas ou quem tem as chaves da planilha é rei ou rainha. Adoro como você descreve o que é realmente interessante; não se trata de forçar a agenda de “oh, você precisa proteger”, mas de mostrar a crianças coisas que elas sabem, não estão vendo ou não sabem. Certo? E isso, como você disse, aqueles momentos como: “Meu Deus, é tão fácil?” E eu tenho lutado com isso há anos. Mas eu só sei, como eu acho, que uma das coisas que você abordou muito levemente foi a quantidade de infraestrutura legada em ambientes de OT. E ouvimos muito isso sobre quantas versões muito antigas do Windows continuam sendo executadas, porque elas são muito importantes. Por exemplo, voltando ao que dissemos anteriormente sobre a importância deles para executar isso com segurança. Como você resolve isso?

13:45 Carlos Buenano

Sim. Então, vamos contar a história primeiro. Então, por que temos tantos sistemas legados em ambientes de OT? Certo. Então, quando você está realmente envolvido em um projeto, concordando com o projeto, o primeiro requisito é que a vida útil disso, o que quer que estejamos construindo essa fábrica, essa linha de produção ou o que quer que seja, é de 30 anos. Esse é o primeiro requisito. Como esse é um investimento multibilionário, eles precisam se certificar de que precisam se expandir o máximo possível. Ok. Então, quando realmente entramos no momento em um ambiente, podemos ver que há muitos sistemas legados. Então, esse é o primeiro desafio. Portanto, temos dispositivos que executam o Windows 10, o Windows NT. Na verdade, alguns sistemas estão executando interfaces seriais. Alguns dispositivos, no final da vida útil, na verdade não duram anos, pois são impostos em risco. Isso aconteceu comigo, onde eu na verdade fazia parte da equipe de engenharia e uma linha de produção falhou. E tentamos resolver o problema e descobrimos que o cartão falhou, era o fim da vida útil. E foi o fim da vida por dez anos. Porque eles são projetados de forma tão, bem, tão robusta, eles podem realmente durar anos e anos e anos até falharem. O problema é que fomos às lojas e não conseguimos encontrar peças de reposição porque as últimas peças de reposição foram usadas. E então, é claro, fomos até o fornecedor: “Ei, precisamos de uma entrega emergencial desse cartão específico” e adivinhe? “Nós não o temos; paramos de produzi-lo há muito tempo.” Então, o que você faz? Certo? Porque para substituir o equipamento em si, é preciso um projeto coordenado, ok, porque você precisa entender para que precisa mudá-lo e assim por diante. E acabamos entregando tudo no eBay, encontrando o cartão, comprando-o, mas isso desencadeou um projeto para substituir o equipamento, porque é um sistema que custa $100.000 por hora, se na verdade não estiver funcionando. Então, esses são os desafios com os sistemas legados. É muito, muito comum ver que é o meio ambiente. E a outra coisa é que eles foram projetados para funcionar o tempo todo. E sermos capazes de remediar, executar e fazer qualquer alteração não é tão simples quanto: “Ok, pronto, vamos substituí-lo e substituí-lo pelo próximo”. Não, não, você precisa criar um projeto específico; em alguns casos, isso é um Windows, ou chamamos de janela de desligamento, na qual você tem um tempo muito limitado para fazer essas alterações. Ok, porque na verdade é assim que eles foram projetados para funcionar por 30 anos, e então você pode fazer mudanças. Devem ser pequenas mudanças que possam caber nessa janela, que realmente encerrem o processo. Na verdade, também é impulsionado por um projeto. Portanto, você tem uma tarefa específica e, em seguida, eles serão controlados dizendo: “Ei, preciso instalar uma nova versão de firmware para essa placa específica ou substituí-la”. Mas, se o processo for o ativo que eles precisam alterar, isso faz parte do teste de algumas das outras tarefas do item, com o autor do processo de desligamento, dizendo: “Infelizmente, você precisa esperar mais um ano até que a próxima janela de desligamento o substitua. Porque não podemos nos dar ao luxo de testar essa mudança que estamos fazendo, que é mais benéfica para a empresa ou é motivada pela proteção das pessoas porque, na verdade, está aumentando a segurança.” Então, você pode imaginar que todo o design, o design de longevidade, todos esses desafios diferentes quando se trata de modificar e atualizar sistemas. Ele continua arrastando, arrastando, arrastando, e é por isso que vemos agora tantos sistemas legados.

18:17 Raghu Nandakumara

Eu adoro a história. Quer dizer, eu costumava ficar frustrado quando pensava que tinha longos períodos de mudança em finanças, mas isso nem se compara ao que você está falando. Então, eu só tenho uma pergunta antes de entrarmos na próxima parte. Eu tenho uma pergunta sobre isso. Então, como você deu um exemplo, esses planos são projetados com uma expectativa de vida muito longa, que você mencionou ser de 30 anos, certo? Então, eu vejo que existem dois desafios aqui: proteger o ambiente legado que está funcionando há até 30 anos. Além disso, quando você está protegendo a nova fábrica que está construindo, você quase precisa olhar com 30 anos de antecedência e planejar isso do ponto de vista da segurança. Se eu acertei,

18:57 Carlos Buenano

Sim, não, só isso. E alguns dos sistemas que você encontrará para conseguir isso estão atrasados quando se trata da implementação do padrão para Ethernet, por exemplo. Então, posso dizer que quando eu estava realmente implementando a segmentação de rede ISO, 62443, eu estava criando as zonas e o canal apenas para ter certeza de que havia uma política de lista branca nas comunicações entre dispositivos. E isso apenas dá um exemplo de quão crítico ou desafiador é implementar a segurança em um sistema legado. Portanto, esse é um controlador de vibração específico, uma das partes mais importantes dos negócios, pois mede a duração das operações e, se algo der errado, ele desativa o sistema porque você deseja proteger as pessoas. Então, eles não implementaram gateways. Então, você tem um endereço IP e uma máscara, você não tinha um gateway. Então, você não pode, você não pode nem mesmo direcionar o tráfego para o firewall, muito menos como você o bloqueia? Como você implementa a política se não pode permitir que ela se comunique pelo gateway? Então você pode imaginar, ok, bem, o que fazemos? Quero dizer, isso é que teremos que avaliar o risco. Você cria a avaliação de risco e tenta descobrir o que fazer. E então você tem uma política de lista branca muito boa, cada segmento segmentado e aquele vilão que aparece. Você consegue imaginar um pouco da complexidade que surge quando ele está tentando implementá-lo? E volte à sua pergunta. Então, você tenta realmente projetar em torno da rede de segurança necessária a longo prazo. Mas você precisa criar avaliações de risco que permitam basicamente interagir com o que você tem, trabalhar com o que você tem, criar e minimizar os riscos e implementar a solução de acordo com o que você tem. Então, às vezes você não tem uma opção. E então você tem que ficar basicamente isolado de certa forma, mas a comunicação precisa fluir porque é necessária no processo.

21:23 Raghu Nandakumara

Sim, se você tem algo na rede e não consegue definir o gateway, é melhor que não esteja na rede, certo? Não consigo falar com nada.

21:29 Carlos Buenano

Mas você precisa disso porque acabou de resolver isso. Sim, tudo na HMI eles precisam para recuperar informações, às vezes a realidade, a lógica, a estratégia que envolve o sistema de segurança precisa se comunicar. Em uma situação normal, é difícil: por que eles se comunicam, como, por que, quando e sua segurança. Quando se trata de saber o status, ele precisa estar na rede. Portanto, o sistema SCADA ou DCS precisa obter informações para entender o que é. E você sabe, é um requisito; você tem que tê-lo de qualquer maneira.

22:07 Raghu Nandakumara

Sim. Então, antes de começarmos a falar sobre Zero Trust, eu queria voltar a algo que você disse sobre como, novamente, os gerentes de fábrica se preocupam com eles, certo, mas quando leio, como as notícias de segurança, vemos muita cobertura sobre ataques a fábricas, organizações de energia e serviços públicos, e esse tipo de preocupação real de que os atacantes agora tenham como alvo uma espécie de infraestrutura nacional crítica. Certo? E não necessariamente o site de dados para roubar dados, mas, na verdade, para interromper os serviços ou interromper a produção. Isso não ressoa com o tipo de gerente de fábrica? Tipo, isso não é algo que preocupa eles?

22:48 Carlos Buenano

Definitivamente, é uma preocupação, mas não é a preocupação deles, porque eles não são seguranças, não são responsáveis pela segurança. Até agora, eles não eram responsáveis por basicamente fornecer segurança. Obviamente, eles estão preocupados com a interrupção das operações. Mas eles confiam no design da rede. E o fornecedor que disse isso, na verdade, foi projetado com a segurança em mente. Mas a realidade é que eles não estão realmente preocupados porque esse não é o escopo deles. Atualmente, com a Indústria 4.0, por exemplo, isso está realmente mudando porque os CISOs estão se tornando responsáveis. E por causa disso, eles estão se tornando mais interessados do ponto de vista do nordeste. E então, os gerentes da fábrica e a equipe de engenharia dizem: “Bem, não é mais uma opção”. Você precisa me ajudar a ajudá-lo de alguma forma. E esse conceito está começando a ressoar muito mais. Quero dizer, como podemos, podemos ver os efeitos que os CISOs estão realmente garantindo que essa comunicação seja transmitida à equipe e eles comecem a ajudar na segurança e nos processos que precisam ser seguidos. Ainda existem processos diferentes, eu ainda posso ouvir, sim, eu entendo. Mas a segurança e a produção vêm em primeiro lugar, e depois eu chego à segurança.

24:19 Raghu Nandakumara

Sim. Sim. Não, eu entendo completamente e isso ressoa. Então, com esse tipo de mudança em direção à indústria 4.0, para uma maior integração entre os lados de TI e OT das organizações, estamos vendo uma adoção real de estratégias de Zero Trust em todos os setores do mundo. Em primeiro lugar, o que significa Zero Trust para você como profissional? E, em segundo lugar, o que isso significa nesse espaço em que você opera?

24:47 Carlos Buenano

Olha, é muito importante e relevante, e eu acho que um dos motivadores do ponto de vista da OT, especialmente quando se trata de equipes de engenharia e gerentes de fábrica. Há um benefício muito, muito conhecido quando se trata do Zero Trust: ter uma plataforma que permite fornecer políticas que permitem validar as comunicações que permitem gerenciar dispositivos com segurança com o OT. Isso ressoa muito bem. Na verdade, eu mesmo implantei várias estratégias de Zero Trust em ambientes. E a vantagem é que os gerentes de fábrica, em primeiro lugar, querem dar espaço para que os sistemas gerenciados pelos fornecedores possam entrar e depois fornecer manutenção, diagnósticos e calibrações para seus sistemas. Eles querem fazer isso com segurança, querem entender quando isso acontece e quem está fazendo isso há quanto tempo está acontecendo. Então, isso é realmente muito atraente para eles? Porque bem, antes de tudo, eles recebem uma notificação, alguém quer se conectar, ele decide por quanto tempo eles querem se conectar, a esse dispositivo específico, provavelmente um engenheiro ou estação, ou um empate, ou qualquer coisa que esteja realmente dentro da rede OT que precise de manutenção. Então, isso permite que fornecedores terceirizados entrem com segurança na rede OT e depois sejam monitorados, gravados e validados. Então, isso ressoa muito bem porque tudo faz parte do gerenciamento dos processos de mudança, tornando-se parte desse processo. E eles podem, na verdade, ser basicamente muito bem rastreados.

26:41 Raghu Nandakumara

E como você está vendo a adoção? Porque eu acho que é um ótimo exemplo de um caso de uso perfeito para o Zero Trust. O que você está vendo no espaço OT? O que você está vendo como uma espécie de taxa de adoção do Zero Trust para casos de uso? É um tipo de organização real que está meio que tendo programas reais? Ou ainda é bastante imaturo em comparação com outras verticais?

27:07 Carlos Buenano

Na verdade, fiquei surpreso que isso dependa do setor. Quando você fala sobre petróleo e gás, por exemplo, é obrigatório, ok, não há dúvida. Então, a taxa de adoção é muito, muito alta. A mineração está atrás do transporte e a energia ainda está tentando amadurecer. A manufatura também está tentando amadurecer nisso. Mas você pode realmente ver que isso é um impulso e é uma adoção muito boa de uma metodologia Zero Trust para proteger as redes. Ok.

27:39 Raghu Nandakumara

E essas são verticais em que, como, por exemplo, você mencionou energia, serviços públicos e mineração; o que está impulsionando a adoção acelerada lá? É como os requisitos regulatórios? Ou é apenas o fato de que eles se preocupam com as ameaças?

27:55 Carlos Buenano

É um pouco dos dois. Então, é um pouco dos dois. Além disso, adicionarei os benefícios operacionais. Então, temos ameaças, e elas querem ter certeza de que, internamente, todos os sistemas que estão mantendo têm as políticas de segurança, e são apenas eles que acessam todos os dispositivos dentro da rede OT. E esse nome, é claro, protege contra terceiros que tenham um dispositivo, ativo ou laptop desconhecido conectado à rede, que eles não são isso. Então, isso remove essa preocupação, então você também tem conformidade. Então, só para garantir que eles estejam em conformidade. Quero dizer, depende do país em que você está. Então, você tem o NIS2 na Europa e outros aqui nos EUA. Mas, na verdade, isso também se tornou mais importante porque, na verdade, a regulamentação está se tornando a sexta em vigor, e então eles precisam realmente implementar esses processos. Mas as operações, como mencionei antes, as operações, porque, novamente, a convergência de TI e OT está realmente entre nós, e é importante porque elas usam o problema no momento é: você sabe que TI e OT precisam comparar produtos, porque há muitos sistemas na rede de TI que hoje em dia são usados para fornecer relatórios ou agendar, monitorar a produção e todas essas coisas de que precisam, basicamente para se conectar ao ambiente e obter essas informações. Então, isso está realmente se tornando inevitável. E então, quando a fusão das duas redes se torna mais óbvia, e estamos falando sobre sistemas legados, a superfície de ataque aumenta muito. E então, ter a plataforma ou estrutura Zero Trust realmente minimizará os riscos em todos os diferentes cenários que pudermos imaginar. Você sabe, como você estava dizendo, roubar dados, ransomware, você conhece, qualquer outro vetor de ataque que possa ser explorado.

30:06 Raghu Nandakumara

Então, antes de falarmos sobre os desafios de aplicar zero em toda a infraestrutura legada, vamos falar sobre a necessidade de a TI e a OT convergirem cada vez mais; quais são os desafios de cibersegurança, as ameaças, os riscos, o que quer que você queira dizer, com os quais as organizações se preocupam à medida que essa integração acelera?

30:23 Carlos Buenano

Bem, antes de tudo, é o know-how, então, quando se trata de redes de TI/TO, antes muito diferenciadas, as redes de TO estão executando apenas aquela tarefa específica. A TI é completamente o oposto. Na verdade, a TI fornecerá ferramentas, sistemas e processos projetados para aumentar a eficiência das pessoas, ok, como tal, e, essencialmente, a filosofia entre as duas redes é completamente oposta. Então, a maior preocupação é que você saiba que essa filosofia entra em conflito assim que começamos a abrir as redes de OT nas redes de TI, e isso é um grande desafio. Ajudando as pessoas de TI a entender os requisitos da OT, porque, novamente, elas não estão familiarizadas com ela, também entendendo a dinâmica dos dispositivos em nossa rede de OT e como eles precisam se comportar e quais sistemas precisam se comunicar entre si. Como podemos alcançar essa segmentação? E é uma curva de aprendizado muito difícil e muito íngreme implementar basicamente essas informações ou esses mecanismos no ambiente de OT. E, claro, obter a adesão disso, do ponto de vista da manufatura, do ponto de vista do processo de OT para implementar esses processos, certo? É por isso que existem tantos desafios aqui devido à natureza das redes.

32:03 Raghu Nandakumara

E só perguntar sobre esse desafio é só mais um pouco. Obviamente, em outras verticais, todo o tipo de transformação na nuvem, a transformação digital, é um grande impulsionador, certo? E grandes preocupações sobre como protegemos as cargas de trabalho dos aplicativos à medida que eles migram para a nuvem? Essa também é uma preocupação real no setor de OT? Ou o foco está muito mais nessa convergência OT/TI neste estágio?

32:27 Carlos Buenano

Olha, para ser honesto; somos motivados quando se trata de novas tecnologias e da introdução de tecnologias em ambientes de IoT; somos movidos por essa caneta que os fornecedores usam. E se os fornecedores não o apoiarem, simplesmente não iremos. Tomaremos esse caminho quando se trata de transformação digital, dependendo do setor, dependendo do fabricante, de que, ao desenvolver esses sistemas, você pode ou não ter a possibilidade de instalar um servidor SCADA no hipervisor ou hospedá-lo na nuvem, porque a tecnologia ainda não existe ou o fornecedor não a oferece. Então, por causa disso, eu não acho que seja um motorista. O motorista é muito financeiro, o motorista reduzirá a pegada. Eles estão usando os custos de gerenciamento, os custos de produção, mas não muito sobre segurança.

33:28 Raghu Nandakumara

Entendido. Vamos voltar ao Zero Trust. Quais são os desafios de adotar uma estratégia de Zero Trust quando você tem tanta infraestrutura legada?

33:39 Carlos Buenano

Então, o desafio é, basicamente, como você implementou, como você basicamente é capaz de implementar essas políticas quando precisa fazer tantas mudanças. Como mencionei anteriormente, alguns dos sistemas legados não suportam os requisitos ou a tecnologia necessários para implementar o Zero Trust. Esse é um. Em segundo lugar, os sistemas legados podem não ter o desempenho; eles definitivamente não têm a capacidade de autenticar ou validar quais políticas foram implementadas. E, claro, como temos tempo para implementá-lo. Então, encontrar essa janela, para fazer as alterações para reestruturar ou redefinir um redesenho e, em seguida, criar uma rede para que possamos implementar as mudanças de rede necessárias para que o Zero Trust funcione. Então, esses são basicamente os desafios que enfrentamos.

34:42 Raghu Nandakumara

Então, quando as organizações pedem seu conselho e dizem: “Ok, quero adotar uma estratégia Zero Trust para proteger meu ambiente de TI/OT”, como você as orienta sobre por onde começar e como começar?

34:53 Carlos Buenano

Então, obviamente, essa comunicação, essas que você conhece, você precisa ser muito honesta. Mas sempre existe um limite. Você começa com um limite e eles começam a se aprofundar nos sistemas. Então, basicamente, você pode estabelecer uma nova DMZ, por exemplo, sem precisar fazer muitas alterações na sua rede OT. E, a partir daí, tente encontrar o caminho para os diferentes sistemas para começar a alcançar esse método Zero Trust. Então, protegendo a rede. Você tem que ser muito criativo; você tem que entender a rede, ganhar visibilidade, entender como eles podem se comunicar uns com os outros e então começar a tomar decisões. Você sabe, avaliações de risco. Novamente, a comunicação é sempre importante. Expresse os benefícios do ponto de vista das operações, como mencionei anteriormente. E tente obter a adesão do ponto de vista operacional, pois eles conhecem os processos e qual é a capacidade, do ponto de vista do processo, de começar a implementar esses sistemas. Não é uma tarefa fácil. Você só precisa dividi-lo para não se importar, vamos primeiro criar a visibilidade, eles entendem quais dispositivos precisamos proteger, entendem os dispositivos essenciais para os negócios e depois isolar esses dispositivos essenciais para os negócios e, em seguida, implementar o Zero Trust e começar a expandir como um processo programático, até chegar ao fim. Não será uma jornada muito pequena ou curta; será uma longa jornada. Mas se fizermos isso, passo a passo, pelo menos, podemos atingir o primeiro objetivo, que é proteger a rede. E depois a segunda, depois continue até terminarmos de proteger nossa rede.

36:58 Raghu Nandakumara

Adoro como você expressa isso. E a maneira como você resume isso, porque acho que esse é o caminho real para realmente ver melhorias mensuráveis na segurança, certo? E, como você disse, apesar de todos os desafios que existem nesses ambientes, tentar fazer qualquer coisa em grande escala é praticamente impossível.

37:16 Carlos Buenano

A menos que você tenha projetos novos ou projetos abandonados, é impossível.

37:20 Raghu Nandakumara

Sim. Porque isso meio que é feito à medida que você sai daquela visão macro real. Certo? E você meio que continua refinando, refinando, refinando. Você vê uma oportunidade de aproveitar, por exemplo, aplicar os princípios de segurança Zero Trust a coisas como mensagens de controle? Então, quando um atacante não consegue, digamos, sequestrar um controlador e, essencialmente, inserir uma espécie de mensagem ilegal? E peço desculpas, eu entendi os termos todos errados.

37:52 Carlos Buenano

Está tudo bem. Está tudo bem. Mas eu vejo que a resposta é sim. Ok. A resposta é definitivamente sim. Acho que, à medida que os fornecedores amadurecem na realidade da cibersegurança e nos requisitos, o que não vimos antes é que os fornecedores estão começando a projetar em torno da segurança. Então, eles estão começando a procurar maneiras de autenticar mudanças, mudanças no controlador para garantir que não possam sentir, ok, eles começam a procurar criptografar os protocolos responsáveis por fazer essas alterações. Mas, no momento, estão se tornando disponíveis sistemas que eles podem realmente colocar em linha, onde você tem o dispositivo que você colocou na linha e, em seguida, esse dispositivo se conecta à rede PLC. E então, qualquer configuração que precise ser feita pela rede de um engenheiro com uma sessão nos PLCs, essa comunicação precisa ser autenticada. E eles usam o Zero Trust para autenticar, fornecer controle de acesso, entender, pensar e as políticas de quem pode fazer as mudanças, quais mudanças essa pessoa pode fazer e assim por diante, o que pode realmente ser muito, muito bom em termos de obter acesso para continuar com os sistemas.

39:16 Raghu Nandakumara

Então, quase como um, o equivalente a um WAF?

39:18 Carlos Buenano

Correto, certo.

39:20 Raghu Nandakumara

Então, à medida que avançamos, conversamos um pouco sobre a adoção de estratégias de Zero Trust em vários setores. E nós meio que vemos que as diferentes abordagens pelas quais, em várias regiões, esse avanço está ocorrendo, obviamente, você tem a orientação de, no caso dos EUA, seguir essa direção e adotar uma estratégia de Zero Trust. Por outro lado, digamos que na UE estamos adotando uma abordagem muito mais baseada em conformidade. O que você acha dos prós e contras dessas abordagens e o que precisamos para acelerar isso?

39:52 Carlos Buenano

Sim, então, tudo depende basicamente dos governos e dos países e das regulamentações com as quais eles se sentem confortáveis. Ok, então, você pode realmente ver que em alguns países, como você disse, temos melhores recursos para entender os requisitos. E vemos, por exemplo, que os EUA adotaram o Zero Trust, foram mais como você disse, e depois a conformidade com a Europa, um pouco mais. Mas a realidade é que quanto mais pudermos fazer para proteger os sistemas, melhor. Conformidade Na minha opinião, a estrutura de conformidade é uma ótima maneira de começar para aqueles, porque quando você analisa as estruturas, algumas delas são projetadas para ajudar você a realmente começar a implementar processos para começar a proteger seus sistemas. Ok. Então, e isso é ótimo, é um ótimo começo. Mas você precisa realmente ser um pouco mais minucioso quando se trata de controlar. E eu vou dizer que podemos realmente separar um do outro, ok, porque algumas dessas estruturas exigem autenticação, mas zero trans vai além disso. Então, há muito mais do que a autenticação. Autenticação e validação, mas o Zero Trust vai além do que basicamente quem está realmente acessando, não apenas da perspectiva do usuário, mas da perspectiva do dispositivo. E isso é basicamente um avanço. E isso exige mais maturidade. Mas, na minha opinião, ambos precisam ter melhores chances de serem protegidos. Mas, do ponto de vista operacional, para ser honesto, gosto do fato de que você pode ter um gerenciamento de processos de mudança que podem realmente se vincular ao Zero Trust para basicamente monitorar e validar as mudanças que estão sendo feitas na rede, nos dispositivos ou no processo, para ter mais controle e ser mais completo. E quando se trata de produtividade, processo e integridade.

41:55 Raghu Nandakumara

Essa é uma visão muito interessante. Nunca ouvi ninguém dizer isso sobre aplicar o Zero Trust ao processo em si e usá-lo como um fator para impulsionar melhores práticas. Certo. Então, quase você não está necessariamente impulsionando uma nova tecnologia, adoção, etc. Mas você está apenas dizendo: “Não vou permitir que as coisas se intrometam como parte do processo de mudança neste estágio”.

42:17 Carlos Buenano

Correto. Correto. E esse é o padrão que eu mais gosto.

42:21 Raghu Nandakumara

Então, à medida que nos aproximamos do final, se você for capaz de fornecer essa perspectiva, como você acha que o espaço crítico de infraestrutura nacional hoje está preparado para sobreviver a um ataque cibernético em grande escala? Qual é a sua confiança nisso?

42:38 Carlos Buenano

Então, também é uma pergunta muito difícil. Mas olha, eles têm os recursos, as estruturas, as boas ideias, tudo bem para basicamente proteger os sistemas. Mas a realidade é que, quando se trata de ter recursos humanos que precisam implementar essas pessoas que precisam responder a um incidente específico, ainda estão em desenvolvimento, ainda estão nos estágios iniciais para que elas estejam em uma ótima posição para sobreviver. Acho que não sei se essa é uma boa palavra, mas ser capaz de responder e remediar incidentes em grande escala. Você pode realmente ver que eles têm muito trabalho em andamento. São muitos procedimentos reais, existem muitos mecanismos e estruturas. Mas se houver uma grande escala, você será muito, muito difícil. Só para dar um exemplo do Log4j, todos nós trabalhamos para isso como comunidade. Mas estávamos, de certa forma, muito isolados um do outro. Na verdade, todos estavam fazendo suas próprias coisas e tentando sobreviver de forma independente. E algumas organizações estavam mais preparadas, mas ainda têm muito trabalho a fazer. E alguns deles ainda estão tentando se recuperar. Então, é apenas um exemplo de se temos o que precisamos? Sim, mas podemos realmente implementar o que dissemos que precisávamos fazer? Acho que ainda não estamos prontos.

44:09 Raghu Nandakumara

Gosto da maneira como você expressou isso porque acho que você está apresentando uma imagem de copo meio cheio. Você está otimista de que temos quase as ferramentas disponíveis e que agora precisamos impulsionar a adoção, e falou sobre realmente trabalhar em comunidade, em vez de isoladamente, o que, eu acho, é muito importante para melhorar a segurança. Então, olhando para o futuro, Carlos, certo? Se não falarmos sobre IA em nenhuma conversa, então, tipo, ninguém, ninguém vai falar sobre SEO, o SEO será destruído, certo? Então, como você vê a relevância da IA no espaço de OT, não apenas do ponto de vista da segurança cibernética, mas em termos do que, como seus benefícios para as operações e, é claro, seu uso para garantir isso?

44:56 Carlos Buenano

Então, olha, a IA é uma ferramenta muito, muito poderosa, certo? Então, e você sabe, contanto que você tenha os dados, você pode realmente aproveitar os resultados que lhe deram a automação dos relatórios. Portanto, há muitos benefícios quando se trata de IA. Basicamente, a usamos em nosso sistema de produção para correlacionar informações, criar relatórios que estejam mais em sintonia com a eficiência. Basicamente, gerenciamos os dados de forma que nenhum outro resultado seja positivo. Mas, infelizmente, esse é sempre o outro lado da moeda, certo? Então, ela precisa ser realmente usada para um bom uso, ela precisa ser usada para beneficiar. Já começamos a ver a IA, no ambiente de OT, usada para aproveitar as vulnerabilidades e tirar proveito. Na verdade, já vimos alguns ataques, ataques cibernéticos e o uso de IA. E, infelizmente, explorando as vulnerabilidades desses sistemas legados, eles nem precisam fazer login nas máquinas que usam a IA para entender como explorar basicamente essa vulnerabilidade. Mas, ao mesmo tempo, podemos realmente usar algumas das ferramentas que usam a IA para combater isso. Então, acho que minha posição é ótima, então, desde que a usemos bem na forma de design, se é que gosto de tudo, certo? É como se, sim, pudéssemos usá-lo para melhorar a produção. Podemos usá-lo para melhorar a segurança. Mas, ao mesmo tempo, precisamos ter muito cuidado porque, se não for implementado adequadamente e realmente cair nas mãos erradas, basicamente pode funcionar contra nós.

46:56 Raghu Nandakumara

Sim, com certeza. Certo. E acho que você mencionou isso porque a IA, nas mãos de um invasor, dá a eles a capacidade de ter uma visibilidade e uma análise muito mais detalhadas, o que eles teriam que gastar muitos ciclos fazendo hoje. Então, acho que se eu pensar nisso de uma perspectiva de Zero Trust, é como podemos garantir que a visão deles sobre o ambiente seja a mais limitada possível para que eles possam coletar o mínimo de informações possível para conduzir essa análise?

47:25 Carlos Buenano

Nós segmentamos basicamente, segmentando todas as possibilidades do ponto de vista da autenticação, e elas precisam ser autenticadas. Portanto, as vulnerabilidades não podem ser exploradas porque você precisa entrar. Do ponto de vista crítico para os negócios, você não pode chegar ao ponto em que precisa para realmente afetar a produção porque tem métodos Zero Trust para evitar essa disseminação. Ok, então você tem esse segmento de rede. E é tipo, uau, você chega lá. Mas você pode seguir em frente. Se você chegar lá. Isso é, sim,

48:01 Raghu Nandakumara

Absolutamente Então, vamos terminar com algo divertido. Carlos, qual é a sua analogia favorita do Zero Trust? Então, se Carlos estivesse descrevendo o Zero Trust para uma criança de cinco anos, como você o descreveria?

48:12 Carlos Buenano

É como a parte de segurança, certo? Então, você pode projetar, e eu vou mudar minha analogia por um minuto. Então, você pode projetar uma casa. E é assim que eu explico a segurança para meus filhos: você pode projetar uma casa, e a casa tem janelas e portas. Você está seguro? E eles dizem: “Sim”, ok, e se eu quebrar a janela? Ah. E se eu abrir a fechadura? Então, o que mais você pode fazer? Ok, bem, você pode puxar as barras e suas janelas. Ok, e se eu puder trazer uma rebarbadora e, em seguida, inclinar ao redor do dispositivo e quebrar a janela? Bem, você pode realmente colocar uma porta de enrolar, é assim que eu vejo o Zero Trust. Você sabe, é um conjunto completo de metodologias para garantir que sua casa esteja segura por segmentação para manter os processos de segurança, certo? Então, você realmente precisa definir e, novamente, arriscar, avaliar e depois entender como proteger e implementar os controles. E um desses controles são as câmeras de vídeo, por exemplo, para entender quem está acessando. E o outro controle é apenas ter um sistema de autenticação muito seguro que permita que você entre em casa, e eles, uma vez em casa, tenham as câmeras para realmente ver o que está fazendo. Mas então você entra em uma sala e só tem acesso a essa sala. Esse é o seu quarto; você se senta, deita e dorme lá. Mas você tenta ir para o quarto do seu irmão e não pode porque não tem permissão. Você sabe, isso é realmente divertido.

49:51 Raghu Nandakumara

Eu adoro isso. Parece que você realmente tem conversas do Zero Trust com seus filhos, o que eu gosto muito. Então, Carlos, foi um prazer falar com você hoje. Obrigado por uma visão geral tão esclarecedora da segurança no ambiente de OT, dos desafios do futuro, da relevância do Zero Trust. Foi revelador para mim, que na verdade não entendo esse ambiente. Então, eu realmente agradeço isso. E para os ouvintes, se você ainda não teve a chance, Armis publicou recentemente um fantástico relatório de pesquisa sobre a anatomia da segurança cibernética, uma dissecação do cenário de ataques. Eu encorajo fortemente todos vocês a irem e darem uma olhada nisso. Carlos, muito obrigado.

50:32 Carlos Buenano

Muito obrigado por me receber. Foi divertido.

50:35 Raghu Nandakumara

Obrigado por assistir ao episódio desta semana de The Segment. Voltaremos com nosso próximo episódio em duas semanas. Enquanto isso, para obter mais recursos do Zero Trust, visite nosso site, www.illumio.com, e nos encontre no LinkedIn e no X usando os links em nossas notas do programa. Isso é tudo por hoje. Sou seu anfitrião, Raghu Nandakumara, e voltaremos com mais em breve.

‍