A segurança cibernética de infraestruturas críticas enfrenta um desafio alarmante, conforme revelado por uma recente pesquisa da empresa de gerenciamento de superfície de ataque Censys. O estudo identificou mais de 145.000 Sistemas de Controle Industrial (ICS) expostos à internet em 175 países, criando uma vasta superfície de ataque vulnerável a ameaças cibernéticas[1][2].
Distribuição Geográfica
A distribuição geográfica desses sistemas expostos é preocupante:
- 38% na América do Norte
- 35,4% na Europa
- 22,9% na Ásia
- Percentuais menores na Oceania, América do Sul e África[2]
Os Estados Unidos lideram com mais de 48.000 sistemas expostos, seguidos por países como Turquia, Coreia do Sul, Itália e Canadá[2].
Protocolos e Vulnerabilidades Regionais
A pesquisa identificou vários protocolos comumente usados em ambientes ICS que estão suscetíveis à exposição, incluindo Modbus, IEC 60870-5-104, CODESYS e OPC UA[2]. Curiosamente, há padrões regionais distintos:
- Europa: Maior prevalência de Modbus, S7 e IEC 60870-5-104
- América do Norte: Predominância de Fox, BACnet, ATG e C-more[2]
Alguns protocolos, como EIP, FINS e WDBRPC, são utilizados em ambas as regiões, indicando a necessidade de soluções de segurança transfronteiriças[2].
Implicações para Infraestruturas Críticas
A exposição desses sistemas ICS representa uma ameaça significativa para infraestruturas críticas, incluindo redes elétricas, sistemas de água e instalações de manufatura. Quando expostos online sem proteção adequada, esses sistemas ficam vulneráveis a uma variedade de ameaças, desde violações de dados até interrupções operacionais e danos físicos[4].
Interfaces Homem-Máquina (HMIs)
As HMIs, utilizadas para monitorar e interagir com sistemas ICS, também estão sendo cada vez mais disponibilizadas pela internet para suportar acesso remoto. A maioria das HMIs expostas está localizada nos EUA, seguida por Alemanha, Canadá e França[2].
Um dado preocupante é que 34% das HMIs C-more estão relacionadas a sistemas de água e esgoto, setores frequentemente visados em ataques[1].
Aumento de Malware Específico para ICS
Embora historicamente raros, os ataques direcionados a sistemas ICS estão em ascensão. Nove cepas de malware específicas para ICS foram identificadas, indicando um foco crescente de atores maliciosos em infraestruturas críticas[4].
Um exemplo notável é o FrostyGoop, um malware que explora vulnerabilidades do sistema usando o protocolo Modbus TCP. Inicialmente focado em dispositivos de controle ENCO, o FrostyGoop demonstrou capacidade de atingir qualquer dispositivo que se comunique usando este protocolo[4].
Conclusão
A exposição de mais de 145.000 sistemas ICS em todo o mundo representa um desafio crítico na era da transformação digital. É imperativo que as organizações tomem medidas para identificar e proteger dispositivos ICS expostos, atualizar credenciais padrão e monitorar redes em busca de atividades maliciosas[2].
A complexidade crescente dos ambientes ICS, impulsionada pela adoção de tecnologias da Internet Industrial das Coisas (IIoT), amplia ainda mais a superfície de ataque. Isso ressalta a urgência de medidas proativas para garantir a segurança dos sistemas industriais[4].
Este cenário serve como um alerta para indústrias e formuladores de políticas. O fortalecimento da postura de segurança das redes ICS deve ser priorizado para prevenir consequências potencialmente devastadoras para as economias nacionais e a segurança pública[4].
Assuntos relacionados: FrostyGoop: O Novo Malware que Ameaça Sistemas de Controle Industrial via Protocolo Modbus TCP
Citations:
[1] https://www.securityweek.com/ics-security-145000-systems-exposed-to-web-many-industrial-firms-hit-by-attacks/
[2] https://thehackernews.com/2024/11/over-145000-industrial-control-systems.html
[3] https://oodaloop.com/briefs/cyber/over-145000-industrial-control-systems-across-175-countries-found-exposed-online/
[4] https://hoploninfosec.com/industrial-control-systems-exposed-online/
