CAASM para ambientes OT: como ter visibilidade na Industria 4.0

A Industria 4.0 trouxe ganhos extraordinarios de eficiência, automação e inteligência operacional para fabricas, usinas, refinarias e infraestruturas críticas ao redor do mundo. Porém, ao conectar redes de Tecnologia Operacional (OT) a redes corporativas de TI e a internet, as organizações industriais criaram uma superfície de ataque que cresce de forma exponencial, e que, na maioria dos casos, permanece invisivel para as equipes de segurança.

Essa invisibilidade não é uma falha menor. Ela está no centro dos incidentes mais graves de cibersegurança industrial da última década. A solução passa por uma abordagem que o mercado vem consolidando como CAASM (Cyber Asset Attack Surface Management), e que, quando aplicada a ambientes OT, transforma a capacidade de proteção das organizações industriais.

Neste artigo, exploramos por que o CAASM é essencial para ambientes OT na Industria 4.0, como ele se diferencia das ferramentas tradicionais e de que forma a plataforma EcoTrust implementa essa abordagem na prática.

---

O cenário: convergencia IT/OT é a explosão da superfície de ataque

Durante décadas, redes OT operaram isoladas. Sistemas SCADA, PLCs, RTUs e sensores industriais existiam em redes fisicamente separadas da infraestrutura de TI. A segurança dependia, em grande parte, desse isolamento, o chamado air gap.

A Industria 4.0 mudou isso de forma irreversível. Hoje, dados de produção alimentam dashboards corporativos em tempo real. Dispositivos IIoT (Industrial Internet of Things) transmitem telemetria para plataformas em nuvem. Sistemas MES e ERP trocam informações diretamente com controladores de chao de fabrica. O air gap deixou de existir na prática.

Segundo o relatório "State of OT/ICS Cybersecurity 2024" do SANS Institute, mais de 70% das organizações industriais possuem algum grau de conectividade entre suas redes IT e OT. Ao mesmo tempo, o levantamento da Dragos em seu "Year in Review 2023" identificou que 80% dos ambientes OT analisados tinham visibilidade limitada ou inexistente sobre os ativos conectados a suas redes industriais.

Esses números revelam um paradoxo perigoso: a superfície de ataque se expandiu, mas a capacidade de enxerga-la não acompanhou.

---

Por que ataques a ambientes OT estão se tornando mais frequentes e mais graves

Leia também: 10 motivos para adotar uma plataforma CAASM em 2026

Os números sustentam o senso de urgência. Segundo a IBM X-Force, o setor de manufatura foi o mais atacado globalmente em 2023, pelo terceiro ano consecutivo. O Gartner preve que, até 2025, ataques a ambientes OT terão causado danos físicos a pessoas, uma previsão que já se materializou em incidentes reais.

Alguns casos ilustram a gravidade:

• Colonial Pipeline (2021): Um ataque de ransomware ao maior oleoduto dos Estados Unidos interrompeu o fornecimento de combustivel na costa leste americana por seis dias, gerando pânico de abastecimento e prejuizos estimados em mais de US$ 4,4 milhões só em resgate (o impacto econômico total foi ordens de grandeza maior). A investigação revelou que a empresa tinha visibilidade limitada sobre quais ativos estavam conectados e quais controles estavam efetivamente aplicados.

• Ataque a estação de tratamento de agua em Oldsmar, Florida (2021): Um invasor acessou remotamente o sistema de tratamento de agua e tentou aumentar os níveis de hidroxido de sodio para concentrações potencialmente letais. O acesso ocorreu por meio de uma ferramenta de acesso remoto (TeamViewer) instalada em um computador conectado ao sistema de controle, um ativo que não estava no radar da equipe de segurança.

• Ataques ao setor energetico ucraniano (2015-2023): Desde o ataque com o malware BlackEnergy em 2015 até os ataques mais recentes com Industroyer2, o setor energetico da Ucrania tem sido alvo recorrente de operações cibernéticas que exploram a falta de segmentação e visibilidade em redes OT.

• Triton/TRISIS (2017): Malware projetado especificamente para comprometer sistemas de segurança instrumentada (SIS) em uma planta petroquímica na Arabia Saudita. O objetivo era desabilitar os sistemas de proteção que evitam catástrofes físicas, uma ameaça direta a vidas humanas.

Em todos esses casos, um fator comum se destaca: a falta de visibilidade completa sobre os ativos conectados e sobre os controles de segurança efetivamente implementados. Não se trata apenas de saber que um PLC existe, mas de saber se ele está protegido, atualizado, monitorado e em conformidade com as políticas de segurança.

---

Por que ferramentas tradicionais de segurança falham em ambientes OT

Leia também: Cyber Risk Score: o que é e como medir a postura de segur...

As equipes de segurança de TI possuem arsenais robustos: scanners de vulnerabilidades, EDR, SIEM, firewalls de próxima geração. Porém, essas ferramentas foram projetadas para ambientes de TI e enfrentam limitações críticas quando aplicadas a redes OT.

Tabela comparativa: Segurança IT vs. Segurança OT

Essa tabela evidência por que simplesmente estender ferramentas de TI para o ambiente OT não funciona. Um scan ativo de vulnerabilidades que opera normalmente em servidores pode causar a parada de um PLC ou travar um sistema SCADA, com consequências físicas e financeiras imediatas. Agentes de EDR não podem ser instalados em controladores industriais com sistemas operacionais proprietários. Protocolos como Modbus e DNP3 não são compreendidos por firewalls tradicionais.

O resultado é um cenário em que os ativos mais críticos, aqueles que controlam processos físicos, são justamente os menos visíveis e menos protegidos.

---

O Modelo Purdue e os pontos cegos por nível

Para compreender onde os gaps de visibilidade se concentram em ambientes OT, e útil recorrer ao Modelo Purdue (também conhecido como PERA, Purdue Enterprise Reference Architecture), que organiza os sistemas industriais em níveis hierarquicos:

• Nível 0, Processo físico: Sensores, atuadores, instrumentação de campo.
• Nível 1, Controle básico: PLCs, RTUs, controladores de segurança (SIS).
• Nível 2, Supervisão: Sistemas SCADA, IHMs (interfaces homem-máquina), estações de engenharia.
• Nível 3, Operações de manufatura: Servidores MES, historiadores, gerenciamento de lotes.
• Nível 3.5, DMZ industrial: Zona desmilitarizada entre IT e OT.
• Nível 4-5, TI corporativa e internet: ERP, e-mail, acesso remoto, nuvem.

Na prática, a maioria das organizações tem boa visibilidade nos níveis 4 e 5 (TI corporativa) e visibilidade progressivamente menor conforme desce ao chao de fabrica. Os níveis 0 a 2, onde residem os ativos mais críticos do ponto de vista de segurança física, são frequentemente pontos cegos completos para as ferramentas de segurança corporativas.

A convergencia IT/OT criou conexões que atravéssam esses níveis, muitas vezes sem passar pela DMZ industrial (nível 3.5) como o modelo recomenda. Conexões de acesso remoto direto a estações de engenharia, dispositivos IIoT que se comunicam diretamente com a nuvem, e integradores que conectam laptops a redes de controle durante manutencoes são exemplos cotidianos de violações do modelo que criam caminhos de ataque não mapeados.

---

O que é CAASM e por que ele é diferente para OT

CAASM (Cyber Asset Attack Surface Management) é uma abordagem que consolida dados de múltiplas fontes para criar uma visão unificada de todos os ativos cibernéticos de uma organização, identificando gaps de cobertura de controles de segurança.

A diferença fundamental do CAASM em relação a ferramentas tradicionais de inventário e gestão de ativos e que ele não depende de uma única fonte de dados. Em vez de confiar apenas em um scan de rede ou em um CMDB, o CAASM integra informações de dezenas de fontes, scanners de vulnerabilidades, ferramentas de EDR, plataformas de nuvem, diretorio ativo, sistemas de ITSM, ferramentas de monitoramento de rede OT, e muitas outras, para construir um mapa completo e identificar inconsistências.

Para ambientes OT, essa abordagem e transformadora por varios motivos:

1. Não exige scans ativos intrusivos. O CAASM pode consumir dados de ferramentas de monitoramento passivo de rede OT (como Claroty, Nozomi, Dragos) e cruzar com dados de outras fontes, sem jamais enviar um pacote para a rede industrial.

2. Identifica ativos que nenhuma ferramenta individual enxerga. Ao cruzar dados de múltiplas fontes, o CAASM revela ativos que existem em uma fonte mas não em outra, indicando gaps de cobertura.

3. Mapeia gaps de controles por ativo. Não basta saber que um ativo existe; é preciso saber se ele está coberto por controles adequados. O CAASM identifica, por exemplo, que uma estação de engenharia está no inventário de rede mas não tem agente de EDR, não aparece nos scans de vulnerabilidade e não está coberta pelo backup.

4. Viabiliza a segmentação é a validação do Modelo Purdue. Ao mapear todos os ativos e suas conexões, o CAASM permite validar se a segmentação entre níveis do Modelo Purdue está de fato implementada ou se existem conexões não autorizadas.

---

Gap analysis para controles OT: o diferencial crítico

O conceito central do CAASM pode ser resumido em uma frase que a EcoTrust utiliza como tagline de seu módulo CRS-CAASM: "Os ativos que estão na rede, mas sem proteção."

Em ambientes OT, o gap analysis de controles e particularmente crítico. Considere os seguintes cenários reais:

• Um historiador de processo (nível 3 do Modelo Purdue) está conectado tanto a rede OT quanto a rede corporativa, mas não possui agente de EDR, não está incluido nos scans de vulnerabilidade e roda um sistema operacional sem suporte (Windows Server 2008). Ele e, efetivamente, uma ponte desprotegida entre os mundos IT e OT.

• Estações de engenharia com software de programação de PLCs possuem acesso direto a controladores industriais, mas estão fora do escopo do SIEM corporativo. Qualquer atividade anomala nessas máquinas passa despercebida.

• Dispositivos IIoT instalados por equipes de operação para monitoramento de condição de equipamentos se conectam a internet via redes celulares, sem passar por nenhum controle de segurança da organização. Eles simplesmente não existem no radar da equipe de segurança.

• Switches e roteadores industriais gerenciados por equipes de automação nunca foram incluídos no programa de gestão de vulnerabilidades, mantendo firmwares desatualizados com vulnerabilidades conhecidas.

O CAASM transforma esses cenários de "risco desconhecido" em "risco visível e acionável". Ao consolidar dados de todas as fontes disponíveis e identificar sistemáticamente onde há gaps, a organização pode priorizar ações de remediação com base em risco real.

---

Como a EcoTrust aborda CAASM para ambientes OT

A EcoTrust é uma Plataforma de IA Agêntica para CTEM (Continuous Threat Exposure Management) que integra o CAASM como um de seus módulos fundamentais. O módulo CRS-CAASM da EcoTrust foi projetado para lidar com a complexidade de ambientes que combinam TI, OT e nuvem em uma única superfície de ataque.

Integração com mais de 50 fontes de dados

O CRS-CAASM da EcoTrust se conecta a mais de 50 fontes de dados, incluindo ferramentas específicas de ambientes OT. Isso significa que dados de plataformas de monitoramento de rede industrial, sistemas de gestão de ativos de automação, ferramentas de compliance IEC 62443 e outras fontes OT são consolidados junto com dados de ferramentas de TI (EDR, scanners, CMDB, AD, nuvem) em uma visão unificada.

Identificação automática de ativos sem proteção

A plataforma cruza automaticamente os inventários de diferentes fontes para identificar ativos que estão presentes na rede mas não estão cobertos por um ou mais controles de segurança. Em um ambiente OT, isso pode revelar, por exemplo:

• Estações de engenharia sem EDR
• Servidores de histórico sem backup
• Dispositivos de rede industrial sem gestão de vulnerabilidades
• Pontos de acesso remoto não catalogados
• Ativos conectados a rede OT que não aparecem em nenhuma ferramenta de segurança

Análise de caminhos de movimento lateral

Além de identificar gaps de controles individuais, a EcoTrust mapeia caminhos de movimento lateral, as rotas que um atacante poderia utilizar para se deslocar de um ponto de entrada inicial (frequentemente na rede de TI) até ativos críticos na rede OT. Essa análise é fundamental para validar se a segmentação entre níveis do Modelo Purdue está efetivamente funcionando.

Módulos complementares para visibilidade completa

O CAASM não opera isoladamente na plataforma EcoTrust. Ele se integra com o módulo de Discovery, que identifica ativos expostos e desconhecidos, e com o módulo de Inventory, que mantém um inventário consolidado e continuamente atualizado. Juntos, esses módulos garantem que a organização tenha visibilidade completa da sua superfície de ataque, incluindo os ambientes OT que historicamente permanecem nas sombras.

---

Implementando CAASM para OT: abordagem prática

A implementação de CAASM em ambientes OT exige uma abordagem pragmática que respeite as particularidades desses ambientes. A seguir, uma sequência recomendada:

1. Mapeamento das fontes de dados existentes. Antes de pensar em novas ferramentas, identifique quais fontes de dados já existem na organização que contém informações sobre ativos OT: planilhas de inventário de automação, ferramentas de monitoramento de rede, CMDBs, sistemas de gestão de manutenção (CMMS), diagramas de rede, projetos de integradores.

2. Integração passiva, sem impacto operacional. Conecte o CAASM a essas fontes de dados via APIs, exportações de arquivos ou integrações nativas. O princípio fundamental e: nenhum pacote novo e enviado a rede OT. Toda a inteligência e construida a partir de dados que já estão sendo coletados.

3. Consolidação e deduplicação. O mesmo ativo pode aparecer com nomes diferentes em fontes diferentes. Uma estação de engenharia pode ser "ENG-WS-01" no inventário de automação, "10.20.30.40" no scan de rede e "DESKTOP-A1B2C3" no Active Directory. O CAASM precisa consolidar essas identidades em um único registro.

4. Gap analysis sistemático. Com o inventário consolidado, aplique regras de gap analysis: todo ativo dos níveis 2 e 3 do Modelo Purdue deveria ter EDR? Todo equipamento com IP deveria estar no scan de vulnerabilidades? Todo ponto de acesso remoto deveria estar no inventário de acesso privilegiado?

5. Priorização baseada em risco. Nem todos os gaps tem a mesma criticidade. Um PLC sem monitoramento em uma linha de produção crítica e mais urgente que um sensor de temperatura em uma área de utilidades. A priorização deve considerar o impacto operacional e de segurança física.

6. Monitoramento contínuo. Ambientes OT mudam, novos dispositivos são adicionados durante paradas de manutenção, integradores conectam equipamentos temporários, atualizações de firmware alteram o perfil de risco. O CAASM deve operar de forma contínua, não como um exercício pontual.

---

O custo da invisibilidade

Organizações que operam sem visibilidade adequada sobre seus ativos OT estão, na prática, operando com risco desconhecido. E risco desconhecido não pode ser gerenciado, priorizado ou remediado.

O custo médio de uma violação de dados no setor industrial foi de US$ 4,73 milhões em 2023, segundo o relatório "Cost of a Data Breach" da IBM. Porém, em ambientes OT, o custo vai além do financeiro: paradas de produção, danos ambientais, riscos a segurança de trabalhadores e comunidades vizinhas, e implicações regulatórias que podem comprometer a licença de operação.

O CAASM não elimina todos esses riscos por si só. Mas ele resolve o problema mais fundamental: você não pode proteger o que não consegue ver. Ao fornecer visibilidade completa e identificar sistemáticamente os gaps de proteção, o CAASM transforma a postura de segurança OT de reativa e fragmentada para proativa e baseada em dados.

---

Para aprofundamento, consulte a referência oficial: NIST — Artificial Intelligence.

Conclusão

A convergencia IT/OT na Industria 4.0 e irreversível, e com ela veio uma superfície de ataque que as ferramentas tradicionais de segurança não conseguem mapear completamente. Ambientes OT possuem particularidades, sistemas legados, protocolos proprietários, intolerância a scans ativos, ciclos de vida longos, que exigem uma abordagem diferente.

O CAASM, ao integrar dados de múltiplas fontes sem impactar a operação, oferece a visibilidade que faltava: quais ativos estão na rede, quais controles estão aplicados e, criticamente, onde estão os gaps. Quando combinado com análise de caminhos de movimento lateral e priorização baseada em risco, o CAASM se torna a base para uma estratégia de segurança OT eficaz.

A EcoTrust, como Plataforma de IA Agêntica para CTEM, integra o CAASM com capacidades de discovery, inventário e priorização de risco para oferecer visibilidade completa sobre ambientes híbridos IT/OT. O módulo CRS-CAASM conecta mais de 50 fontes de dados para revelar exatamente aquilo que mais importa: os ativos que estão na rede, mas sem proteção.

Se sua organização opera ambientes OT e busca visibilidade real sobre sua superfície de ataque industrial, conheça o módulo CRS-CAASM da EcoTrust ou solicite uma demonstração para entender como a plataforma pode transformar sua postura de segurança.