O cenário operacional de ameaças à tecnologia: insights da IBM X-Force

Especialista em tecnologia operacional trabalhando em um centro de manufatura industrial

Este artigo foi desenvolvido com as contribuições de Jeff Kuo e Kelsey Olive.

Os agentes de ameaças mais sofisticados do mundo estão se movendo mais rapidamente, operando de forma mais silenciosa e visando o coração da sociedade moderna: a tecnologia (TO) e a infraestrutura crítica. Os fatos são cruciais: muitos ransomwares, ameaças persistentes avançadas (APTs) e grupos de crime cibernético estão indo além do roubo de dados, visando à interrupção física e até mesmo à sabotagem. A convergência de TI e TO, impulsionada pelas demandas dos negócios, criou uma superfície de ataque ampla e de alto risco. As vulnerabilidades armadas (CVEs) estão sendo exploradas em uma velocidade vertiginosa, geralmente em dias ou horas após a divulgação. 

Este blog combina inteligência de ponta da IBM X-Force  e novos dados sobre violações de dados relacionados à Tecnologia Operacional (TO) descobertos durante a pesquisa Custo de uma violação de dados 2025.

Principais descobertas

  • Entre as organizações estudadas como parte do relatório de custo das violações de dados deste ano, 15% sofreram incidentes de cibersegurança que afetaram seu ambiente de TO. Desse grupo, quase um quarto relatou que o incidente danificou seus sistemas ou equipamentos de TO. Esses incidentes custam, em média, US$ 4,56 milhões, um pouco acima da média global (US$ 4,44 milhões).
  • Dados do X-Force Vulnerability Database revelaram que, das 670 vulnerabilidades divulgadas no primeiro semestre de 2025 que poderiam afetar a TO, quase a metade (49%) tem Classificação de Gravidade CVSS de “Crítica” ou “Alta”. Um quinto (21%) das vulnerabilidades “críticas” tem código de exploração disponível publicamente.

O custo de uma violação de OT

Para o relatório Cost of a Data Breach 2025 da IBM, nossos parceiros de pesquisa do Ponemon Institute estudaram mais de 6.485 violações. Dessas organizações, 15% indicaram que o incidente afetou seu ambiente de TO e desse grupo, quase um quarto (23%) relatou que o incidente resultou em danos aos seus sistemas ou equipamento de TO.

Dois gráficos de pizza ilustram os resultados de uma pesquisa sobre incidentes de segurança em ambientes de TO. O primeiro gráfico mostra que 15% das organizações sofreram incidentes, enquanto 85% não. O segundo gráfico destaca que 23% dos incidentes causaram danos a sistemas ou equipamentos de TO, enquanto 77% não causaram danos. Os visuais usam segmentos roxo e azul com rótulos numéricos claros.

Não é surpresa que as organizações estejam enfrentando um impacto em seus ambientes de TO como resultado de uma violação. Houve inúmeros exemplos nos últimos anos de agentes de ameaças causando disrupções em TO em vários setores:

  • Desestabilização persistente da rede elétrica e falhas coordenadas em subestações:
    Os invasores estão conseguindo explorar malware específico para ICS, manipulação de protocolos (por exemplo, IEC 104 e DNP3) e explorações de acesso remoto para causar interrupções na rede em múltiplos locais e apagões, frequentemente exigindo a restauração manual da rede elétrica e impactando milhões de clientes de concessionárias de energia.
  • Comprometimento sustentado de operações de tratamento de água, produção de energia e manufatura:
    Agente de ameaças interrompem processos centrais de TO ao manipular ambientes SCADA e Controladores Lógicos Programáveis (PLC), interferindo na dosagem de produtos químicos, na regulação de fluxo e em controles de segurança automatizados, resultando em desacelerações da produção, incidentes ambientais ou condições perigosas para o pessoal das plantas.
  • Interrupções generalizadas em cadeias globais de suprimentos e logística crítica:
    Campanhas de ransomware e malware destrutivo paralisaram armazéns automatizados, centros de distribuição e sistemas de gerenciamento de transporte, atrasando remessas, interrompendo a manufatura just-in-time e expondo as organizações a perdas econômicas e reputacionais em cascata.

A sofisticação técnica e a persistência dos adversários modernos criam o potencial para disrupções simultâneas e multivetoriais, com efeitos em cascata sobre a segurança física, a conformidade regulatória (por exemplo, NERC CIP, NIST CSF, IEC 62443) e a erosão da confiança pública na infraestrutura crítica.

O cenário de vulnerabilidades de TO

Os adversários atuais são mais diversos, especializados e agressivos do que nunca, combinando recursos de Estados-nação, inovação do cibercrime e oportunismo hacktivista. Seus playbooks evoluem constantemente, com novos grupos e alianças juntando-se a intervenientes legados para ameaçar infraestruturas críticas em todo o mundo.

Agentes de ameaças que buscam causar disrupção operacional estão mirando um espectro restrito de vulnerabilidades, afetando predominantemente dispositivos expostos ao perímetro, como concentradores VPN, gateways de área de trabalho remota e conversores de protocolos de TO. Essas CVEs, uma vez armados, fornecem aos invasores a execução remota de código não autenticado, controle de dispositivos no nível da raiz e, muitas vezes, permitem o desvio direto de mecanismos de autenticação e controle de acesso legados. O impacto operacional é amplificado, pois muitas dessas vulnerabilidades permanecem sem correção em ambientes críticos devido aos requisitos de tempo de atividade do dispositivo, atrasos nas correções do fornecedor ou lacunas na visibilidade dos ativos.

Além disso, a convergência de TI e TO, a proliferação de ferramentas de gerenciamento remoto e a integração com fornecedores terceirizados criaram novos caminhos laterais para os invasores. Parceiros comprometidos da cadeia de suprimentos ou integradores terceirizados são aproveitados como pontos de entrada confiáveis; os serviços de acesso remoto de fornecedores expostos e firewalls mal configurados desgastam ainda mais a segmentação estática. Os adversários exploram as pontes de TI/OT confiáveis, os dispositivos de campo não protegidos e até mesmo os notebooks de manutenção para obter acesso direto às redes de controle de processos e aos sistemas de segurança. Essa superfície de ataque em evolução torna os modelos de segurança perimetral legados insuficientes, enfatizando a necessidade de monitoramento dinâmico de rede, descoberta contínua de ativos e arquitetura informada por ameaças.

Dados do Banco de Dados de Vulnerabilidades da X-Force indicam que foram divulgadas 670 vulnerabilidades no primeiro semestre de 2025 que podem impactar ambientes de TO e, dessas, 11% têm uma Classificação de Severidade CVSS de "Crítica" (pontuação CVSS entre 9,0 e 10,0). Além disso, um quinto (21%) das vulnerabilidades críticas tem código de exploração disponível publicamente.

Dois gráficos de pizza ilustram dados sobre vulnerabilidades em ambientes de TO. O primeiro gráfico categoriza as vulnerabilidades por classificação CVSS, mostrando as porcentagens para os níveis baixo, médio, alto e crítico. O segundo gráfico destaca a porcentagem de vulnerabilidades críticas com código de exploração disponível publicamente, marcadas como 21%. Os visuais usam tons de azul e roxo para diferenciação.

Houve exemplos notáveis este ano da exploração de vulnerabilidades críticas de TO:

  • Em maio de 2025, agentes de ameaças exploraram uma vulnerabilidade crítica de execução remota de código no daemon SSH Erlang/OTP (CVE‑2025‑32433), que permite que usuários não autenticados executem comandos arbitrários. Cerca de 70% das tentativas de ataque visavam firewalls e ambientes de TO
  • O NCSC holandês confirmou que os invasores estavam fazendo a exploração da CVE-2025-6543, uma falha grave nos produtos Citrix NetScaler ADC e Gateway, como um dia zero desde o início de maio de 2025, antes da divulgação pública. Isso permitiu que os invasores implementassem shells da web, estabelecessem acesso persistente e potencialmente interrompessem a VPN e os gateways de acesso remoto em setores críticos.
  • Em maio de 2025, a fabricante de aço Nucor interrompeu a produção em várias instalações após uma violação na segurança cibernética. A intrusão envolveu acesso não autorizado a sistemas internos de TI, o que levou ao desligamento das unidades como medida de precaução. Embora classificada como um incidente centrado em TI, a interrupção impactou diretamente as operações industriais e ressalta a forte integração entre os domínios de TI e TO (Tecnologia Operacional), onde as operações foram afetadas.

Esses exemplos ilustram a importância de se manter informado sobre quais vulnerabilidades podem estar nos radares dos agentes de ameaças. A X-Force avaliou vários fóruns on-line, mercados, canais de telegrama, salas de bate-papo e discussões para revelar as CVEs mais mencionadas no primeiro semestre de 2025 que poderiam afetar os ambientes de TO/ICS.  Esses insights podem ajudar as organizações com suas estratégias de gerenciamento de correções.

Gráfico de barras visualizando as 10 CVEs mais mencionadas e que podem afetar os ambientes de TO/SCI no primeiro semestre de 2025. O gráfico destaca identificadores CVE, como CVE-2025-0228 e CVE-2025-3124, com contagens de menções variando de 75 a 1830. As barras horizontais representam o número de menções para cada CVE, enfatizando sua importância relativa.

Dos 10 principais CVEs mencionados e divulgados no primeiro semestre de 2025 que poderiam afetar o TO, 90% foram ativamente explorados e 70% foram ativamente explorados por APTs. Por exemplo, a CVE mais citada, CVE-2025-0282, teria supostamente sido explorada pelo UNC5221, um “ator de espionagem com suposto vínculo com a China”. Essa vulnerabilidade permite que invasores não autenticados ganhem um ponto de apoio inicial na rede interna por trás de um dispositivo Connect Secure VPN vulnerável. Os invasores podem, então, migrar lateralmente para a rede e potencialmente impactar os sistemas de controle industrial. A segunda vulnerabilidade mais mencionada, CVE-2025-31324, foi relatada como tendo sido ativamente explorada por Chaya_004, “um agente de ameaças chinês”. Essa vulnerabilidade que afeta o SAP NetWeaver Visual Composer pode permitir que um invasor execute código remotamente. Muitas organizações industriais aproveitam o SAP para Planejamento de Recursos Empresariais (ERP) e gestão da cadeia de suprimentos (SCM), que podem interagir diretamente ou influenciar indiretamente os sistemas de TO.

Além da detecção: defesa de última geração contra adversários modernos

2025 será um ano decisivo para a segurança de OT e da infraestrutura crítica. A convergência de adversários motivados dos estados-nação, a rápida evolução dos ecossistemas de ransomware e a invasão persistente de um conjunto restrito de vulnerabilidades de alto impacto expuseram fraquezas fundamentais dos ambientes legados de OT. Os invasores agora rotineiramente ignoram as defesas perimetrais tradicionais, aproveitando o comprometimento da cadeia de suprimentos, credenciais roubadas e movimento lateral para alcançar resultados prejudiciais aos negócios e críticos.

Este cenário de ameaças exige que as organizações repensem fundamentalmente a forma como o risco de TO é gerenciado. A cibersegurança deve migrar além da conformidade e dos controles de caixa de seleção em direção a um modelo de defesa orientado por inteligência e específico do setor. A sobrevivência não se trata mais apenas de impedir o acesso inicial; exige detecção rápida, contenção eficaz e recuperação resiliente, tudo sustentado pelo envolvimento executivo contínuo e governança em nível de diretoria.

A resiliência operacional a partir de 2026 será determinada pela capacidade de uma organização de priorizar as vulnerabilidades certas, simular cenários de ataque do mundo real, aplicar controles em camadas e impulsionar a responsabilidade pela cibersegurança da sala de controle para a sala da diretoria. Os riscos são existenciais: a continuidade do serviço, a conformidade regulatória, a segurança física e a confiança pública dependem de uma estratégia de defesa cibernética de TO proativa e adaptativa. Incentivamos as organizações a analisarem as seguintes avaliações:

1. Hiperpriorizar o gerenciamento de correções

  • Faça a correção como se o seu negócio dependesse dela, porque depende. Priorize as vulnerabilidades que estão sendo ativamente exploradas. Use o Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA, MITRE, feeds de inteligência de ameaças e avisos de fornecedores como sua lista de tarefas.
  • Se a aplicação de correções estiver atrasada, implemente segmentação de rede, lista de permissões de aplicativos e intensifique o monitoramento para anomalias de TO/ICS.

2. Mapeie as ameaças para o seu setor

  • Considere a possibilidade de fazer uma avaliação estratégica de ameaças da sua organização para entender as ameaças com maior probabilidade de afetar seu ambiente com base no seu setor e onde você opera geograficamente.
  • Use a Matriz para ICS MITRE ATT&CK e alertas de ISACs setoriais (por exemplo, E-ISAC, MFG-ISAC, Water-ISAC) para mapear as TTPs relevantes para o seu negócio.

3. Faça a read team como eles fazem

4. Defesa em camadas, não “segurança de lista de verificação”

  • Segregue IT e TO, use firewalls, DMZs e gateways unidirecionais.
  • Imponha MFA, faça rotação de credenciais e proíba logins compartilhados em estações de engenharia.
  • Invista em detecção de anomalias e DPI passivo (deep packet inspection) para TO e estabeleça playbooks claros de resposta a incidentes.

5. Patrocínio em nível de conselho e testes no mundo real

  • Trate a segurança de TO como um imperativo de nível C: risco em TO não é apenas um problema de IT — é uma questão negócios principais e segurança. O engajamento do conselho e o patrocínio executivo nessa área são inegociáveis em 2025. Teste suas operações de gestão de crises cibernéticas em experiências altamente imersivas baseadas em cenários reais de adversários.

