Em agosto de 2024, a Halliburton, uma das maiores empresas de serviços de petróleo do mundo, precisou desligar parte dos seus sistemas depois que um terceiro não autorizado acessou sua rede. O ataque foi confirmado pela própria empresa em registro oficial à SEC, a comissão de valores mobiliários dos Estados Unidos. No relatório de resultados do terceiro trimestre, a empresa declarou um impacto de US$ 35 milhões em receita perdida ou adiada, além de uma baixa contábil de US$ 116 milhões relacionada ao incidente. O grupo RansomHub foi apontado como responsável pelo ataque.
Não foi um ataque sofisticado no sentido cinematográfico. Não envolveu nenhuma tecnologia revolucionária. O que aconteceu foi algo que ocorre todos os dias em empresas de todos os portes: um acesso não detectado a tempo, em sistemas que não tinham visibilidade suficiente para que alguém percebesse o que estava acontecendo.
Esse é o ponto central na conversa sobre cibersegurança. O assunto não se limita a firewalls e antivírus, mas sim em saber o que está acontecendo dentro da sua infraestrutura, em tempo real, antes que o problema vire notícia.
Por que ambientes de infraestrutura crítica são os mais visados?
Data centers, redes industriais, ambientes de OT (Operational Technology) e sistemas de controle que operam 24 horas por dia compartilham uma característica que os torna alvos especialmente atrativos para agentes maliciosos: a parada é inaceitável. Isso cria uma pressão que os atacantes conhecem bem. Quando uma empresa não pode se dar ao luxo de ter sua operação interrompida, a probabilidade de pagamento de resgate em ataques de ransomware aumenta significativamente.
Um estudo da Claroty publicado em 2024 revelou que 45% das organizações com sistemas de OT e IoT reportaram impacto financeiro de pelo menos US$ 500 mil em um período de 12 meses em decorrência de ataques cibernéticos. Mais de um quarto delas ultrapassou a marca de US$ 1 milhão em perdas. Os setores mais afetados foram manufatura, energia e mineração.
O ambiente industrial e de data center mudou muito nos últimos anos. A convergência entre redes corporativas de TI e sistemas de OT, que antes operavam de forma isolada, criou novos pontos de entrada para ataques. Cada sensor conectado, cada controlador acessível pela rede, cada sistema de monitoramento remoto é uma superfície possível de ataque. E o problema é que boa parte dessas superfícies permanece sem visibilidade adequada.
O que a maioria das empresas ignora até ser tarde demais
Existe uma ideia muito disseminada de que cibersegurança se resume à camada de proteção de rede: firewalls, segmentação, controle de acesso, sistemas de detecção de intrusão. Essa camada é essencial e não deve ser negligenciada. Mas ela responde apenas a uma parte da equação.
A outra parte é a visibilidade operacional, e é exatamente aqui que a maioria das organizações tem lacunas críticas. Em ambientes de missão crítica, anomalias de temperatura, variações no consumo de energia, comportamentos inesperados de equipamentos e falhas silenciosas de sistemas são sinais que podem indicar desde um problema técnico convencional até o início de uma intrusão. Quando esses sinais não são monitorados de forma contínua e centralizada, o tempo de resposta aumenta. E tempo, em cibersegurança, é tudo.
As dores mais comuns que encontramos em ambientes que ainda não têm maturidade nessa camada de visibilidade são:
- Falta de rastreabilidade de eventos em tempo real, o que impede a correlação entre comportamentos anormais e um possível incidente de segurança.
- Alertas reativos em vez de preditivos: a equipe só sabe que algo aconteceu depois que o impacto já é visível.
- Ambientes distribuídos, com múltiplos pontos de monitoramento sem integração, que geram informação fragmentada e difícil de interpretar.
- Equipes de TI que gerenciam infraestrutura física separadamente das equipes de segurança digital, sem comunicação estruturada entre os dois mundos.
Segurança operacional e segurança de rede: duas camadas que precisam conversar
Uma abordagem madura de cibersegurança em ambientes de infraestrutura crítica trabalha com duas camadas complementares. A primeira é a camada de proteção de rede, que engloba soluções de segmentação, controle de acesso, criptografia, gestão de vulnerabilidades e resposta a incidentes. A segunda é a camada de visibilidade operacional, que garante que qualquer comportamento fora do padrão na infraestrutura física e lógica seja detectado, correlacionado e comunicado antes de se tornar um incidente.
Quando essas duas camadas operam de forma integrada, a posição de segurança da organização muda estruturalmente. O time de segurança passa a ter contexto operacional para avaliar se uma anomalia é um problema técnico isolado ou parte de um padrão de comportamento suspeito. Esse contexto é o que faz a diferença entre detectar uma ameaça em 15 minutos ou perceber o problema só quando os sistemas já estão comprometidos.
Ambientes que ainda operam com monitoramento fragmentado, sem integração entre a camada de TI e a camada física da infraestrutura, estão essencialmente voando às cegas. E voar às cegas em um ambiente de missão crítica não é uma questão de se um incidente vai acontecer, mas de quando.
O que uma empresa precisa revisar antes que o incidente aconteça
Não existe ambiente 100% imune a ataques cibernéticos. O que existe é uma diferença enorme entre organizações que detectam e respondem rapidamente e aquelas que só percebem o problema quando o dano já está instalado. Essa diferença quase sempre passa por três pilares:
- Proteção ativa de rede: segmentação, controle de acesso, gestão de vulnerabilidades e políticas de segurança bem definidas.
- Visibilidade operacional contínua: monitoramento em tempo real de toda a infraestrutura crítica, com capacidade de correlacionar eventos de diferentes origens e reduzir o tempo entre a ocorrência de um evento e a resposta da equipe.
- Plano de resposta a incidentes: processos claros de contenção, notificação e recuperação que possam ser acionados imediatamente quando algo é detectado.
A Halliburton tinha um plano de resposta a incidentes. Isso foi o que limitou o dano a “apenas” US$ 35 milhões num ataque que poderia ter sido muito mais devastador. Mas o plano de resposta só é eficaz quando acionado cedo o suficiente. E isso só acontece quando existe visibilidade em tempo real do que está acontecendo dentro da infraestrutura.
Se a sua organização opera data centers, redes industriais ou qualquer ambiente de missão crítica e ainda não tem clareza sobre o nível de visibilidade que possui sobre sua própria infraestrutura, esse é o ponto de partida mais importante da sua estratégia de cibersegurança. Não o mais sofisticado, não o mais caro. O mais importante.
A Redes Tecnologia desenvolveu o iCIM, um sistema de monitoramento contínuo que garante total previsibilidade e controle operacional, de forma a atender e resolver exatamente esse tipo de problema.
Para conhecer mais sobre o iCIM, leia nosso artigo.
A Redes Tecnologia atua há mais de 20 anos no projeto, implantação e suporte de infraestruturas críticas de TI, com capilaridade nacional e portfólio completo em soluções de redes, data center, conectividade e segurança. Do projeto ao suporte, acompanhamos o desenvolvimento da sua empresa.
