Por que segmentação é a base de tudo em OT Security

Imagine que um ransomware compromete o computador do financeiro. Se a rede de TI e a rede OT são a mesma — ou se há comunicação irrestrita entre elas — o atacante tem acesso direto aos CLPs, IHMs e sistemas SCADA da planta. Foi exatamente isso que aconteceu no caso do Colonial Pipeline em 2021.

Segmentação de rede OT não é paranoia. É a medida de segurança com maior custo-benefício disponível para ambientes industriais. E, ao contrário do que a maioria pensa, pode ser implementada em etapas, sem parar a produção e sem budget de multinacional.

// O modelo de referência

O Purdue Model (também chamado de ISA-95) divide a arquitetura industrial em níveis hierárquicos. A segmentação de rede OT se baseia em criar barreiras entre esses níveis — especialmente entre o Nível 3 (sistemas de gestão de produção) e o Nível 4 (rede corporativa de TI).

Entendendo o Purdue Model na prática

O modelo divide a arquitetura em 5 níveis. Entender onde cada equipamento se encaixa é o pré-requisito para qualquer projeto de segmentação:

NívelO que fica aquiExemplos
Nível 0Processo físicoMotores, válvulas, sensores, atuadores
Nível 1Controle básicoCLPs, controladores de processo, relés
Nível 2SupervisãoIHMs, SCADA local, DCS
Nível 3Gestão de operaçõesHistorian, MES, servidor SCADA
Nível 3.5DMZ IndustrialServidores de replicação, jump server
Nível 4TI CorporativaERP, e-mail, Active Directory, internet

O ponto crítico é a fronteira entre o Nível 3 e o Nível 4. Sem uma barreira bem definida nesse ponto, qualquer problema na rede corporativa pode se propagar diretamente para os sistemas de controle.

Etapa 1 — Mapeamento e inventário de ativos OT

Não é possível proteger o que você não sabe que existe. A primeira etapa é mapear todos os dispositivos conectados à rede OT: CLPs, IHMs, switches industriais, servidores SCADA, historians, conversores de protocolo, câmeras de processo e qualquer outro equipamento que se comunique pela rede.

Para cada dispositivo, documentar:

  • Endereço IP e MAC address
  • Fabricante, modelo e versão de firmware
  • Protocolo de comunicação utilizado (Modbus, EtherNet/IP, PROFINET, DNP3...)
  • Portas abertas e serviços ativos
  • A qual nível do Purdue Model pertence
  • Quem acessa e com qual frequência
// Descoberta comum

Em praticamente todo mapeamento, aparecem dispositivos que "ninguém sabia que existiam" — CLPs de projetos antigos ainda funcionando, conversores de protocolo esquecidos, switches não gerenciáveis com acesso irrestrito. Esses dispositivos são os mais perigosos porque ninguém os monitora.

Etapa 2 — Segmentação com VLANs e firewall

Com o inventário em mãos, a segmentação pode ser implementada em camadas:

VLANs por zona funcional

Criar VLANs separadas para cada grupo de dispositivos OT é o primeiro passo. Uma VLAN para CLPs e IHMs de linha de produção, outra para servidores SCADA, outra para redes de segurança (sensores de gás, sprinklers, CFTV). Switches gerenciáveis já existentes na maioria das plantas suportam VLANs — sem necessidade de novo hardware na maioria dos casos.

Firewall industrial no perímetro IT/OT

O firewall entre as redes IT e OT é a barreira principal. A regra de ouro é default deny: tudo bloqueado por padrão, apenas o necessário liberado explicitamente. As regras típicas permitem:

  • Replicação de dados do Historian para servidores de relatório no Nível 4
  • Acesso de engenheiros de TI ao jump server na DMZ industrial (nunca diretamente ao CLP)
  • Monitoramento passivo por sistemas de detecção de intrusão (IDS)

DMZ industrial — o pulmão entre os mundos

A DMZ industrial (Nível 3.5) é uma zona neutra entre TI e OT. Servidores de replicação, jump servers e proxies de comunicação ficam aqui. Nenhuma conexão direta entre Nível 4 e Nível 3 — toda comunicação passa pela DMZ. Isso isola o ambiente OT mesmo que a rede corporativa seja completamente comprometida.

Etapa 3 — Controle de acesso remoto e monitoramento

Acesso remoto não controlado é um dos vetores de ataque mais comuns em ambientes OT. Fornecedores de CLP com acesso via TeamViewer sem senha, técnicos com VPN permanente mesmo quando não estão trabalhando, portas de acesso remoto abertas que "todo mundo usa".

VPN com autenticação de dois fatores

Todo acesso remoto à rede OT deve passar por VPN com autenticação multifator. O acesso deve ser concedido por sessão — não permanente. Logs de acesso devem ser registrados e revisados periodicamente.

Jump server como ponto único de entrada

Um jump server (ou bastion host) é o único ponto de entrada para acesso remoto ao ambiente OT. Técnicos e fornecedores se conectam ao jump server — que está na DMZ — e de lá acessam os equipamentos específicos que precisam. Nenhum acesso direto externo ao CLP ou IHM.

Monitoramento passivo de tráfego OT

Ferramentas como Claroty, Dragos ou soluções open source como Zeek + Suricata podem monitorar o tráfego na rede OT sem interferir nas comunicações industriais. Qualquer desvio do comportamento normal — um CLP se comunicando com um endereço desconhecido, um volume de tráfego anormal, uma varredura de portas — gera alerta imediato.

Checklist de segmentação OT — por etapa
  • Etapa 1: Inventário completo de ativos OT com IP, modelo e firmware
  • Etapa 1: Mapeamento de fluxos de comunicação entre dispositivos
  • Etapa 2: VLANs por zona funcional nos switches existentes
  • Etapa 2: Firewall industrial no perímetro IT/OT com política default deny
  • Etapa 2: DMZ industrial para comunicação segura entre os ambientes
  • Etapa 3: VPN com MFA para todo acesso remoto
  • Etapa 3: Jump server como único ponto de entrada externo
  • Etapa 3: Monitoramento passivo de tráfego OT com alertas

A Bonvolts implementa segmentação de rede OT do mapeamento ao firewall — com documentação conforme IEC 62443 e relatório técnico de evidências.

Solicitar Diagnóstico OT →
OT Security Segmentação de Rede Purdue Model IEC 62443 VLAN Industrial Firewall OT