22 exercícios de cibersegurança prontos para uso — cenários de ameaças ICS/OT, guias de discussão para nível de diretoria, injeções específicas por setor e kits de facilitação. Desenvolvido com os frameworks CISA CTEP e inteligência de ameaças OT/ICS.
Um agente de ameaça afiliado a um Estado-nação conduz uma campanha de spear-phishing direcionada a pessoal de convergência IT/OT. O movimento lateral para redes OT resulta em acesso do adversário ao HMI SCADA. Tenta-se a manipulação do processo físico em sistemas críticos de produção.
É detectada atividade de reconhecimento do VOLTZITE visando o subsetor de eletricidade. A intrusão nos sistemas de gerenciamento de energia via um fornecedor terceirizado comprometido escala para a potencial perturbação dos controles de estabilidade da rede e dos sistemas de automação de subestações.
Uma intrusão cibernética em uma instalação de fabricação química explora a fronteira de convergência IT/OT. O acesso do adversário aos sistemas de controle distribuído (DCS) cria risco de manipulação não intencional do processo químico, bypass de sistemas de segurança e liberação de materiais perigosos.
Agentes de ameaça exploram vulnerabilidades de acesso remoto no SCADA de uma instalação hidroelétrica para obter controle sobre os sistemas de gerenciamento do fluxo de água. A manipulação não autorizada dos controles das comportas e do gerenciamento de turbinas apresenta consequências catastróficas a jusante.
Um agente de ameaça obtém acesso remoto à rede de tecnologia operacional de uma estação de tratamento de água. Os sistemas de dosagem de produtos químicos são alvo — a modificação não autorizada dos níveis de cloro representa risco imediato à saúde pública e ativa protocolos de resposta de emergência multiagência.
Um ataque cibernético coordenado visando os sistemas de tecnologia operacional de um grande porto perturba a automação de guindastes, o rastreamento de embarcações (AIS) e os sistemas de portão. A convergência IT/OT na infraestrutura portuária cria impactos físicos e cibernéticos simultâneos.
Um ataque sofisticado à infraestrutura Industry 4.0 de uma instalação de fabricação crítica compromete o SCADA de produção, controladores de robótica e sistemas de gestão de qualidade. O adversário pivota a partir de uma conexão VPN de fornecedor OEM para obter acesso OT persistente.
Um afiliado do RansomHub implanta ransomware que se inicia no IT corporativo mas se propaga através da fronteira IT/OT. Os sistemas de produção param. Os operadores enfrentam uma decisão: continuar operações manuais com risco de segurança ou desligar completamente enquanto os atacantes exigem um resgate de vários milhões de dólares.
Um fornecedor confiável de automação OT é comprometido. Um código malicioso embutido em um pacote de atualização de software legítimo é distribuído para 47 sites clientes simultaneamente. O backdoor fornece acesso persistente a redes OT em vários setores de infraestrutura crítica antes da detecção.
Um engenheiro de operações insatisfeito com acesso privilegiado a sistemas OT é recrutado por um serviço de inteligência estrangeiro. Durante 90 dias, o insider exfiltra topologia de rede, configurações SCADA e documentação SIS — fornecendo um roteiro para um futuro ataque destrutivo.
Uma campanha de DDoS sustentada de 96 horas visa interfaces de gerenciamento OT voltadas à internet, servidores historiadores e portais de monitoramento remoto. Combinado com o sequestro seletivo de rotas BGP, os adversários cortam a visibilidade do monitoramento remoto em ativos distribuídos de infraestrutura crítica.
Um pacote malicioso disfarçado de uma biblioteca Python legítima usada em cadeias de ferramentas de automação industrial é baixado 14.000 vezes antes da detecção. O pacote instala um reverse shell que permite acesso persistente a estações de trabalho de engenharia conectadas a ambientes OT.
Um contratante de defesa de Tier 2 é violado via spear-phishing. O adversário exfiltra esquemas OT, diagramas de rede e dados técnicos controlados pelo ITAR ao longo de 6 meses. A violação só é descoberta quando um alerta de inteligência de ameaças do ISAC corresponde a padrões comportamentais.
Ransomware visando sistemas empresariais hospitalares propaga-se para gestão predial, HVAC e dispositivos médicos conectados. Os sistemas de monitoramento de pacientes da UTI ficam offline. As operações clínicas revertem a procedimentos manuais durante horário de pico enquanto os atacantes ameaçam divulgar dados de pacientes.
Um ataque coordenado visa os sistemas de processamento de transações e a rede de caixas eletrônicos de uma grande instituição financeira. DDoS simultâneo nos portais bancários e um comprometimento de mensagens SWIFT cria perturbação ao cliente enquanto adversários tentam transferências internacionais fraudulentas.
Um ator estatal visa a agricultura inteligente e os sistemas de automação de produção de uma grande corporação de processamento de alimentos. A manipulação dos sistemas de dosagem de aditivos químicos e da gestão da cadeia de frio cria um incidente de saúde pública afetando milhões de produtos alimentícios distribuídos.
Um ataque coordenado a provedores de infraestrutura de banda larga rural corta a conectividade de 340.000 assinantes, desabilitando o monitoramento SCADA de ativos OT remotos nos setores de energia, água e agricultura que dependem de backhaul celular e fibra para visibilidade operacional.
Agentes de ameaça comprometem os sistemas de gestão predial (BMS) de um complexo comercial de alta ocupação — HVAC, elevadores, controle de acesso físico e supressão de incêndio são manipulados. O ataque visa um inquilino de infraestrutura crítica que opera sistemas OT dentro das instalações.
GRAPHITE visa os sistemas SCADA de um navio FPSO (Floating Production Storage and Offloading) via um fornecedor de automação comprometido. A manipulação do historiador de processo mascara comportamentos de produção anômalos enquanto os adversários se posicionam nos Sistemas Instrumentados de Segurança para potencial ação destrutiva.
O CEO recebe uma ligação às 2h da manhã: a produção parou em duas instalações. A equipe de IT confirma ransomware. A equipe de OT não pode confirmar o isolamento. A diretoria quer respostas em 4 horas. Este exercício testa a tomada de decisão executiva, comunicação em crise, estratégia de mídia e cronogramas de notificação regulatória.
Um ciberataque coordenado visa simultaneamente a infraestrutura OT de água, gerenciamento de tráfego e serviços de emergência de uma cidade de médio porte. O ataque coincide com um evento de mau tempo severo, aumentando a complexidade da resposta e testando a coordenação interagências sob condições de dupla crise.
Um zero-day em uma plataforma SIEM empresarial amplamente implantada concede ao adversário acesso persistente à rede corporativa. Ao longo de 72 horas, o agente de ameaça pivota em direção a dispositivos de fronteira OT. As equipes de IT e OT lutam para coordenar a resposta através de cadeias de reporte separadas e ferramentas de segurança distintas.