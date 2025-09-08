Este artigo foi desenvolvido com as contribuições de Jeff Kuo e Kelsey Olive.
Os agentes de ameaças mais sofisticados do mundo estão se movendo mais rapidamente, operando de forma mais silenciosa e visando o coração da sociedade moderna: a tecnologia (TO) e a infraestrutura crítica. Os fatos são cruciais: muitos ransomwares, ameaças persistentes avançadas (APTs) e grupos de crime cibernético estão indo além do roubo de dados, visando à interrupção física e até mesmo à sabotagem. A convergência de TI e TO, impulsionada pelas demandas dos negócios, criou uma superfície de ataque ampla e de alto risco. As vulnerabilidades armadas (CVEs) estão sendo exploradas em uma velocidade vertiginosa, geralmente em dias ou horas após a divulgação.
Este blog combina inteligência de ponta da IBM X-Force e novos dados sobre violações de dados relacionados à Tecnologia Operacional (TO) descobertos durante a pesquisa Custo de uma violação de dados 2025.
Para o relatório Cost of a Data Breach 2025 da IBM, nossos parceiros de pesquisa do Ponemon Institute estudaram mais de 6.485 violações. Dessas organizações, 15% indicaram que o incidente afetou seu ambiente de TO e desse grupo, quase um quarto (23%) relatou que o incidente resultou em danos aos seus sistemas ou equipamento de TO.
Não é surpresa que as organizações estejam enfrentando um impacto em seus ambientes de TO como resultado de uma violação. Houve inúmeros exemplos nos últimos anos de agentes de ameaças causando disrupções em TO em vários setores:
A sofisticação técnica e a persistência dos adversários modernos criam o potencial para disrupções simultâneas e multivetoriais, com efeitos em cascata sobre a segurança física, a conformidade regulatória (por exemplo, NERC CIP, NIST CSF, IEC 62443) e a erosão da confiança pública na infraestrutura crítica.
Os adversários atuais são mais diversos, especializados e agressivos do que nunca, combinando recursos de Estados-nação, inovação do cibercrime e oportunismo hacktivista. Seus playbooks evoluem constantemente, com novos grupos e alianças juntando-se a intervenientes legados para ameaçar infraestruturas críticas em todo o mundo.
Agentes de ameaças que buscam causar disrupção operacional estão mirando um espectro restrito de vulnerabilidades, afetando predominantemente dispositivos expostos ao perímetro, como concentradores VPN, gateways de área de trabalho remota e conversores de protocolos de TO. Essas CVEs, uma vez armados, fornecem aos invasores a execução remota de código não autenticado, controle de dispositivos no nível da raiz e, muitas vezes, permitem o desvio direto de mecanismos de autenticação e controle de acesso legados. O impacto operacional é amplificado, pois muitas dessas vulnerabilidades permanecem sem correção em ambientes críticos devido aos requisitos de tempo de atividade do dispositivo, atrasos nas correções do fornecedor ou lacunas na visibilidade dos ativos.
Além disso, a convergência de TI e TO, a proliferação de ferramentas de gerenciamento remoto e a integração com fornecedores terceirizados criaram novos caminhos laterais para os invasores. Parceiros comprometidos da cadeia de suprimentos ou integradores terceirizados são aproveitados como pontos de entrada confiáveis; os serviços de acesso remoto de fornecedores expostos e firewalls mal configurados desgastam ainda mais a segmentação estática. Os adversários exploram as pontes de TI/OT confiáveis, os dispositivos de campo não protegidos e até mesmo os notebooks de manutenção para obter acesso direto às redes de controle de processos e aos sistemas de segurança. Essa superfície de ataque em evolução torna os modelos de segurança perimetral legados insuficientes, enfatizando a necessidade de monitoramento dinâmico de rede, descoberta contínua de ativos e arquitetura informada por ameaças.
Dados do Banco de Dados de Vulnerabilidades da X-Force indicam que foram divulgadas 670 vulnerabilidades no primeiro semestre de 2025 que podem impactar ambientes de TO e, dessas, 11% têm uma Classificação de Severidade CVSS de "Crítica" (pontuação CVSS entre 9,0 e 10,0). Além disso, um quinto (21%) das vulnerabilidades críticas tem código de exploração disponível publicamente.
Houve exemplos notáveis este ano da exploração de vulnerabilidades críticas de TO:
Esses exemplos ilustram a importância de se manter informado sobre quais vulnerabilidades podem estar nos radares dos agentes de ameaças. A X-Force avaliou vários fóruns on-line, mercados, canais de telegrama, salas de bate-papo e discussões para revelar as CVEs mais mencionadas no primeiro semestre de 2025 que poderiam afetar os ambientes de TO/ICS. Esses insights podem ajudar as organizações com suas estratégias de gerenciamento de correções.
Dos 10 principais CVEs mencionados e divulgados no primeiro semestre de 2025 que poderiam afetar o TO, 90% foram ativamente explorados e 70% foram ativamente explorados por APTs. Por exemplo, a CVE mais citada, CVE-2025-0282, teria supostamente sido explorada pelo UNC5221, um “ator de espionagem com suposto vínculo com a China”. Essa vulnerabilidade permite que invasores não autenticados ganhem um ponto de apoio inicial na rede interna por trás de um dispositivo Connect Secure VPN vulnerável. Os invasores podem, então, migrar lateralmente para a rede e potencialmente impactar os sistemas de controle industrial. A segunda vulnerabilidade mais mencionada, CVE-2025-31324, foi relatada como tendo sido ativamente explorada por Chaya_004, “um agente de ameaças chinês”. Essa vulnerabilidade que afeta o SAP NetWeaver Visual Composer pode permitir que um invasor execute código remotamente. Muitas organizações industriais aproveitam o SAP para Planejamento de Recursos Empresariais (ERP) e gestão da cadeia de suprimentos (SCM), que podem interagir diretamente ou influenciar indiretamente os sistemas de TO.
2025 será um ano decisivo para a segurança de OT e da infraestrutura crítica. A convergência de adversários motivados dos estados-nação, a rápida evolução dos ecossistemas de ransomware e a invasão persistente de um conjunto restrito de vulnerabilidades de alto impacto expuseram fraquezas fundamentais dos ambientes legados de OT. Os invasores agora rotineiramente ignoram as defesas perimetrais tradicionais, aproveitando o comprometimento da cadeia de suprimentos, credenciais roubadas e movimento lateral para alcançar resultados prejudiciais aos negócios e críticos.
Este cenário de ameaças exige que as organizações repensem fundamentalmente a forma como o risco de TO é gerenciado. A cibersegurança deve migrar além da conformidade e dos controles de caixa de seleção em direção a um modelo de defesa orientado por inteligência e específico do setor. A sobrevivência não se trata mais apenas de impedir o acesso inicial; exige detecção rápida, contenção eficaz e recuperação resiliente, tudo sustentado pelo envolvimento executivo contínuo e governança em nível de diretoria.
A resiliência operacional a partir de 2026 será determinada pela capacidade de uma organização de priorizar as vulnerabilidades certas, simular cenários de ataque do mundo real, aplicar controles em camadas e impulsionar a responsabilidade pela cibersegurança da sala de controle para a sala da diretoria. Os riscos são existenciais: a continuidade do serviço, a conformidade regulatória, a segurança física e a confiança pública dependem de uma estratégia de defesa cibernética de TO proativa e adaptativa. Incentivamos as organizações a analisarem as seguintes avaliações:
1. Hiperpriorizar o gerenciamento de correções
2. Mapeie as ameaças para o seu setor
3. Faça a read team como eles fazem
4. Defesa em camadas, não “segurança de lista de verificação”
5. Patrocínio em nível de conselho e testes no mundo real
