Detecção Comportamental em HMI e Estações OT

Introdução: O ambiente OT (Operational Technology) evoluiu de ilhas isoladas para ecossistemas conectados, onde HMIs e estações de engenharia se tornaram pontos críticos de convergência entre operações e TI. Ataques recentes revelaram que comprometer uma HMI ou uma estação de engenharia pode permitir manipulação de processos, furtos de propriedade intelectual e paradas industriais com impacto financeiro e riscos à segurança física. Neste artigo técnico e aplicado você aprenderá o que é detecção comportamental em HMI e estações OT, como projetar arquiteturas de monitoração eficazes, técnicas de coleta e análise, playbooks operacionais para Blue Team e Red Team, métricas de eficácia e um conjunto reprodutível de exercícios práticos e comandos para avaliações em ambiente autorizado.

Contexto Atual e Relevância Estratégica

O mundo OT em 2024 já mostrava uma tendência clara: maior conectividade, maior superfície de ataque e maior integração com ferramentas de TI. Em 2025 e 2026, espera-se que iniciativas regulatórias e roadmaps de fornecedores foquem em detecção e resiliência, e que a adoção de detecção comportamental em HMI/estações de engenharia cresça como resposta a ataques cada vez mais sofisticados. Note que, como modelo com conhecimento limitado após meados de 2024, não posso listar incidentes de 2025-2027 com certeza absoluta, portanto aqui enfatizo tendências concretas e como mapear eventos atuais em fontes oficiais (CISA, ICS-CERT, vendors) para atualização contínua.

Por que é crítico agora: HMIs e estações de engenharia controlam visibilidade e comandos que alteram o estado físico de ativos. Um atacante com acesso a uma HMI pode:

• Alterar setpoints e sequências de máquina;
• Executar ações que causem degradação de produto ou segurança;
• Usar a estação como pivô para o domínio da planta;
• Exfiltrar propriedade intelectual de engenharia.

Impacto de negócio: Paradas não planejadas têm custo direto em produção; manipulações podem gerar recalls ou multas regulatórias; ataques que afetem segurança humana têm consequências legais e de reputação. Por isso, detecção comportamental deixa de ser diferencial e passa a ser requisito de resiliência.

Timeline de referência para roadmap e eventos

• 2025 – Adoção ampliada de soluções de Network Detection and Response (NDR) específicas para OT por parte de grandes utilities e petroquímicas; aumento de publicações de melhores práticas por órgãos reguladores.
• 2025 – Diversos vendors de HMI/SCADA lançaram atualizações de segurança focadas em telemetria e logging estendido (patches e advisories publicados durante o ano).
• 2026 – Expectativa de normas de conformidade atualizadas exigindo monitoração contínua de estações de engenharia em setores críticos (roadmaps de compliance publicados por órgãos em 2025-2026).
• 2026 – Roadmaps de fornecedores de SIEM/SOAR incluem integrações OT-first para ingestão de eventos de HMI, com playbooks pré-configurados para anomalias comportamentais.

Como usar este contexto: Planeje projetos de detecção comportamental com visão de 24-36 meses: camada inicial de monitoramento passivo de rede e logs, seguida por implantação de agentes leves nas estações de engenharia onde possível, e, por fim, integração com SOAR para resposta automatizada em cenários de alto risco. Priorize ativos que podem causar impacto físico e mapeie riscos com times de processo.

Fundamentos Técnicos do Tema

Detecção comportamental em HMI e estações de engenharia cruza conhecimento de OT (protocolos como OPC-UA, Modbus, DNP3, PROFINET), segurança de endpoints (Windows/Linux/Thin Clients), e análise de telemetria de rede e processo. Vamos decompor os elementos técnicos essenciais.

1. Quais comportamentos anômalos procurar?

• Comandos raros ou fora de janela – ex.: setpoints alterados em horários de manutenção não programada;
• Sequências atípicas de comandos – ex.: ciclo de partida/parada repetido em curtos intervalos;
• Acesso remoto não autorizado – sessões RDP, VNC, SSH a partir de IPs não mapeados para a operação;
• Exfiltração de engenharia – tráfego aumentado para destinos externos contendo arquivos DWG, DXF, CSV com índices de compressão e chunking pouco naturais;
• Process drift – sinais de sensores mostram comportamento que não condiz com comandos ou com histórico de processos.

2. Fontes de telemetria

• Tráfego de rede planta – espelhamento em TAPs ou SPAN para captura passiva de protocolos OT;
• Logs de HMI – operações de usuário, mudanças de configuração, scripts executados;
• Logs de estação de engenharia – execução de ferramentas de engenharia (ex.: Rockwell Studio/Siemens TIA Portal), arquivos acessados, processos iniciados;
• Syscalls/End-point telemetry – EDR/XDR leve quando permitido (eventos de processo, criação de arquivos, chamadas de rede);
• Histórico de processo (Historian/MES) – séries temporais que comprovem discrepâncias entre comando e resultado;
• Telemetria de controladores (quando aplicável) – leituras de I/O e comandos enviados.

3. Modelos de detecção

Abordagens clássicas:

• Assinatura (rule-based): regras para padrões conhecidos de ataque ou comportamentos proibidos (ex.: modificação de blocos Ladder fora de janelas de manutenção);
• Modelos estatísticos: detecção de anomalias baseada em desvios de média/DP de séries temporais do processo;
• Machine Learning supervisionado: modelos treinados com exemplos rotulados (normal vs attack) para classificar eventos;
• Modelos não supervisionados: clustering, autoencoders e isolation forest para identificar pontos fora do padrão sem rótulos;
• Hybrid (regras + ML): regras para alta confiança e ML para ampliar cobertura e reduzir falsos negativos.

4. Métricas de comportamento aplicáveis

• Taxa de comandos por minuto por operador;
• Tempo médio entre alterações de setpoint;
• Desvio padrão de leituras de sensores após comandos;
• Frequência de sessões remotas por origem;
• Volume e padrão de transferência de arquivos de engenharia.

5. Desafios técnicos centrais

• Disponibilidade limitada para agentes invasivos em estações de engenharia críticas;
• Protocolos proprietários e falta de telemetria padronizada;
• Risco de falsos positivos altíssimos em ambientes com operações legítimas incomuns;
• Latência e requisitos de conectividade em ambientes segregados;
• Políticas de segurança corporativas que limitam captura de tráfego por compliance ou privacidade.

6. Ferramentas e frameworks relevantes

• Wireshark / TShark com dissectors para OPC-UA, Modbus, DNP3;
• Zeek com scripts customizados para protocolos OT;
• Suricata/IDS com regras específicas OT;
• NDR appliances (Ex.: Nozomi, Claroty, Dragos) para inspeção profunda de protocolo;
• EDR/XDR com modo OT-friendly (somente-memória, sem impacto nos processos);
• SIEM/SOAR para correlação e resposta (Splunk, Elastic, IBM QRadar);
• Ferramentas de ML/Analytics (Python, scikit-learn, TensorFlow, PyOD) para modelos de anomalia.

7. Requisitos de etiquetagem e ground-truth

Modelos ML dependem de dados rotulados. Para HMIs, rotular eventos exige colaboração com engenheiros de processo para identificar operações válidas, janelas de manutenção e variações sazonais. Sem esse cuidado, modelos aprenderão ruído e gerarão falsos positivos que minam confiança operacional.

Arquitetura, Fluxos e Superfície de Ataque

Nesta seção vamos desenhar arquiteturas defensivas e mapear superfícies de ataque típicas em HMI e estações de engenharia, com diagramas ASCII e recomendações de posicionamento de sensores.

Arquitetura recomendada – visão em camadas

A arquitetura mínima inclui:

• Sensor passivo de rede na borda OT (TAP/SPAN para inclusão de tráfego HMI/engineering);
• Collector de logs para HMI e estações, com integridade e transporte seguro para SIEM;
• Camada de análise (NDR + rules + ML) que normaliza telemetria OT e TI;
• SIEM/SOAR para correlação, enriquecimento e resposta;
• Dashboards de operação com thresholds e workflows aprovados por engenharia.

Superfície de ataque típica

• Interfaces de engenharia remota sem autenticação forte ou com VPNs mal configuradas;
• Sistemas RDP/VNC expostos ou com credenciais reutilizadas;
• SMB/FTP compartilhando arquivos de engenharia e backups;
• Serviços de administração de HMI com default credentials, sem patching;
• Removable media usados por engenheiros para deploys e backups;
• Automação de scripts (PowerShell, Python) em estações que liberam payloads locais.

Posicionamento de sensores – best practice

• Deploy de TAPs entre switches de área de controle e dispositivos HMI;
• Collectors próximos às HMIs para coleta de logs locais (eventos de usuário, mudanças, scripts executados);
• Snapshots periódicos do filesystem das estações de engenharia com hashes e comparações;
• Endpoint telemetry em modo passivo quando EDR for permitido;
• Integração do Historian com o SIEM para correlação entre comando e resultado físico.

Diagrama textual de fluxo – ataque e detecção

Explicação do diagrama

Neste fluxo, um invasor externo tenta escalada via VPN/Jumphost mal configurado, atinge a estação de engenharia ou HMI e executa comandos maliciosos. O NDR sensor captura padrões incomuns de Modbus/OPC-UA, o collector entrega logs de HMI que mostram alterações de configuração e o Historian mostra desvios entre comandos e sinais reais. O SIEM correlaciona eventos e aciona SOAR para isolamento da estação.

Recursos Visuais Sugeridos:

• CISA – Industrial Control Systems Security
• Dragos – Industrial Cybersecurity Resources
• ICS-CERT Advisories
• ISO/IEC 62443 Series – ISA
• MITRE ATT&CK for ICS

Cenários Reais e Estudos de Caso

Estudos de caso demonstram o porquê da detecção comportamental ser vital. Considerando limitações do meu cutoff de conhecimento, vou apresentar análises técnicas de incidentes e casos bem documentados até 2024 que ilustram vetores e lições, e descrever exercícios replicáveis que espelham crises modernas que equipes de segurança já enfrentaram.

Caso 1: Comprometimento de estação de engenharia por acesso remoto – análise técnica (exemplo histórico ilustrativo)

Resumo: Uma planta de manufatura sofreu interrupção de linha após um atacante obter acesso via VPN mal gerida a uma estação de engenharia. O atacante alterou um bloco de controle via software de engenharia e injetou scripts para reiniciar processos. Detectores baseados apenas em assinatura não acionaram porque o comando foi realizado por uma sessão legítima. A detecção comportamental baseada em sequências de comandos e desvio entre comando e histórico do processo foi o fator que permitiu reverter o dano ao correlacionar operações recentes e leituras de sensores.

Análise técnica

O atacante explorou senha fraca e MFA não exigido. As evidências contaram: logs RDP originados de IP atípico, transferência de arquivos DWG via SMB para estação, execução de utilitário de engenharia com horário fora de janela e um aumento rápido no ciclo de comandos. A correlação entre logs de HMI e o Historian revelou que, após os novos setpoints, sensores mostraram valores incompatíveis com a física do processo, indicando manipulação.

Lição operacional

Assinar regras por IP ou por assinatura CVE não basta. É necessário correlacionar origem de sessão, transferência de artefatos, execução de utilitários e impacto físico para detectar ataques que se camuflam como operações válidas.

Caso 2: Exfiltração de projetos de engenharia via estação comprometida

Resumo técnico: Engenheiros frequentemente usam pendrives para transferir projetos. Uma campanha de malware com capacidade de keylogging e upload automático para servidor externo foi detectada quando o NDR identificou padrão de upload em pequenos chunks para domínio recém-criado. A estação comprometida era uma máquina Windows com EDR desativado e backups locais sem criptografia.

Análise técnica

A detecção vinda do NDR observou conexões TLS com certificados autoassinados e padrão de chunked transfer semelhante a exfiltração. A correlação com logs de criação de arquivos (DWG/DXF) e hashing mostrou que múltiplos artefatos proprietários foram exfiltrados. A resposta incluiu isolamento da estação, recolhimento forense e rotação de credenciais de engenharia.

Lição operacional

Proteção de dados em repouso e em movimento para arquivos de engenharia é crítica. Monitore padrões de upload por volume, taxa e destino, e use DLP específico para formatos de engenharia.

Caso 3: Manipulação de HMI com impacto físico – lessons learned

Resumo técnico: Em um incidente bem documentado anterior a 2024, atacantes manipularam HMIs em sistemas de tratamento de água, alterando setpoints para níveis inseguros. A mitigação eficaz veio de uma combinação de detecção via Historian e intervenção manual por operadores que notaram leituras físicas incoerentes. Este caso mostra como redundância entre telemetria de processo e alertas de segurança é vital.

Observação

Os estudos acima sintetizam padrões reais de incidentes. Para obter advisories e relatórios atualizados (2025-2026), recomenda-se consultar: CISA ICS advisories, relatórios de fornecedores de NDR (Dragos, Nozomi, Claroty) e publicações do MITRE ATT&CK for ICS. Esses documentos atualizam vetores e TTPs com frequência.

Implementação Prática Step-by-Step

Esta seção entrega um procedimento reprodutível para implantar detecção comportamental em um ambiente OT autorizado. Inclui comandos, validação e rollback. Execute somente em ambientes de teste ou com autorização explícita.

1. Planejamento e autorização
   1. Defina scope: liste HMIs, estações de engenharia, Historian, switches e segmentações envolvidas.
   2. Obtenha autorização formal assinada do CISO/plant manager. Documente janelas de teste.
   3. Mapeie downtime tolerável, janelas de manutenção e contatos de resposta 24×7.
2. Instalação de sensor passivo (TAP/SPAN)
   1. Identifique switch onde o tráfego HMI passa. Configure SPAN para espelhar portas de interesse – ex.: ports 10-12 para porto de monitoramento 48. Em switch Cisco:
   configure terminal monitor session 1 source interface GigabitEthernet1/0/10 - 12 monitor session 1 destination interface GigabitEthernet1/0/48

   1 2 3

   configure terminal monitor session 1 source interface GigabitEthernet1/0/10 - 12 monitor session 1 destination interface GigabitEthernet1/0/48

   2. Valide com tcpdump no sensor: capture tráfego Modbus/OPC com filtro.
   tcpdump -n -i eth0 port 502 or port 4840 -w capture.pcap

   1	tcpdump -n -i eth0 port 502 or port 4840 -w capture.pcap

   3. Rollback: desligue SPAN: no monitor session 1.
3. Deploy de collector de logs
   1. Instale um agente leve (rsyslog/filebeat) em um servidor central designado para receber logs HMI. Exemplo: Filebeat coletando logs de diretório C:\HMI\Logs usando Winlogbeat para eventos do Windows.
   # Exemplo Filebeat windows.yml (snippet) filebeat.inputs: - type: log enabled: true paths: - C:\\HMI\\Logs\\*.log output.elasticsearch: hosts: ["https://elasticsearch:9200"]

   1 2 3 4 5 6 7 8

   # Exemplo Filebeat windows.yml (snippet) filebeat.inputs: - type: log   enabled: true   paths:     - C:\\HMI\\Logs\\*.log output.elasticsearch:   hosts: ["https://elasticsearch:9200"]

   2. Validação: gerar uma entrada de log manualmente na HMI e conferir ingestão no Elasticsearch/SIEM.
   3. Rollback: desabilitar input no filebeat e remover configuração.
4. Ingestão de tráfego e análise NDR
   1. Configure o NDR sensor para dissecar Modbus/OPC e identificar comandos invocantes. Configure thresholds iniciais conservadores para taxa de comandos e conexões remotas.
   2. Teste: simule um comando de engenharia autorizado e verifique que o NDR mapeou operação com metadata: origem, destino, comando e payload.
   3. Rollback: revert thresholds e revert sensor para modo passivo.
5. Correlações SIEM e criação de regras base
   1. Crie regras de correlação que envolvam três vetores mínimos para alta confiança:
   • Evento de login remoto para estação de engenharia;
   • Transferência de arquivo DWG/DXF/CSV para estação;
   • Alteração de setpoint registrada no log da HMI.
   2. Exemplo pseudo regra no SIEM (pseudo-syntax):
   when (login.remote AND file.transfer AND hmi.setpoint_change) within 10m then create_alert("HighConfidenceEngineeringChange") notify("oncall_engineer") end

   1 2 3 4 5

   when (login.remote AND file.transfer AND hmi.setpoint_change) within 10m then   create_alert("HighConfidenceEngineeringChange")   notify("oncall_engineer") end

   3. Validação: execute eventos de teste dentro de janela e confirme alerta e notificação.
6. Modelagem de comportamento com ML
   1. Coleta: agregue séries temporais do Historian por pelo menos 30 dias para treino preliminar.
   2. Feature engineering: comandos/minuto, delta sensor pós-comando, tempo até estabilização, taxa de transferências de arquivo.
   3. Treino simples – IsolationForest em Python:
   # Exemplo simplificado em Python from sklearn.ensemble import IsolationForest import pandas as pd data = pd.read_csv('features.csv') clf = IsolationForest(contamination=0.01, random_state=42) clf.fit(data[['commands_per_min','delta_sensor', 'file_transfer_rate']]) data['anomaly_score'] = clf.decision_function(data[['commands_per_min','delta_sensor','file_transfer_rate']]) data['anomaly'] = clf.predict(data[['commands_per_min','delta_sensor','file_transfer_rate']]) == -1 data.to_csv('scores.csv', index=False)

   1 2 3 4 5 6 7 8 9 10

   # Exemplo simplificado em Python from sklearn.ensemble import IsolationForest import pandas as pd   data = pd.read_csv('features.csv') clf = IsolationForest(contamination=0.01, random_state=42) clf.fit(data[['commands_per_min','delta_sensor', 'file_transfer_rate']]) data['anomaly_score'] = clf.decision_function(data[['commands_per_min','delta_sensor','file_transfer_rate']]) data['anomaly'] = clf.predict(data[['commands_per_min','delta_sensor','file_transfer_rate']]) == -1 data.to_csv('scores.csv', index=False)

   4. Validação: marcar pontos anômalos e avaliar com engenheiros de processo para ajustar falsos positivos.
   5. Rollback: desativar scoring em produção até ajuste.
7. Playbook de resposta SOAR
   1. Crie playbook para alerta crítico: isolamente da estação, snapshot forense, coleta de memória, geração de ticket e notificação de plant manager.
   2. Validação em simulação tabletop e exercício em fábrica de testes.
8. Auditoria e tuning contínuo
   1. A cada 30 dias, revise thresholds e modelos com métricas de false positives/false negatives.
   2. Documente mudanças e adote CI para regras e modelos com testes automatizados.

Cenário prático obrigatório – passo a passo operacional

1. Escopo autorizado: HMI_SiteA e EstaçãoEng_SiteA – autorização assinada pelo plant manager.
2. Deploy de SPAN (ver seção acima) e iniciar captura:
   tcpdump -n -i eth0 port 4840 or port 502 -w /tmp/ot_capture.pcap

   1	tcpdump -n -i eth0 port 4840 or port 502 -w /tmp/ot_capture.pcap

3. Gerar teste: acionar comando de mudança de setpoint por usuário autorizado e observar logs locais em C:\HMI\Logs\operation.log
4. Executar script de extração e hashing dos arquivos de engenharia:
   # Em estação Windows PowerShell Get-ChildItem C:\Engineering\*.dwg -Recurse | Get-FileHash -Algorithm SHA256 | Out-File C:\temp\engineering_hashes.txt

   1 2	# Em estação Windows PowerShell Get-ChildItem C:\Engineering\*.dwg -Recurse | Get-FileHash -Algorithm SHA256 | Out-File C:\temp\engineering_hashes.txt

5. Enviar 3 alterações de setpoint em sequência e validar que NDR detectou aumento anômalo de comandos por minuto.
6. Validar correlação no SIEM: buscar evento “HighConfidenceEngineeringChange”.
7. Rollback: restaurar setpoints para valores originais via procedimento operacional; parar captura tcpdump; remover alterações temporárias de configuração no SIEM.
8. Evidências: capture.pcap, engineering_hashes.txt, SIEM_alert_12345.json.

Hardening, Controles e Melhores Práticas

Hardening de HMI e estações de engenharia deve equilibrar segurança com disponibilidade. Aqui estão controles técnicos recomendados e práticas operacionais.

Controle de acesso

• Implementar RBAC estrito em HMIs e ferramentas de engenharia. Contas de engenharia devem ter separação de privilégios e uso de contas privilegiadas apenas em janelas controladas;
• Exigir autenticação multifator (MFA) para acesso remoto a jump hosts e para consoles de engenharia, sempre que possível;
• Evitar uso de contas locais com privilégios altos; centralizar autenticação via AD/LDAP com políticas de lockout e rotação de credenciais.

Segmentação de rede

• Implementar zones and conduits conforme ISA-62443 (separação entre site-level, cell/area, field devices);
• Inspecionar tráfego inter-zone com firewalls OT-aware e NDR.

Patching e gestão de configuração

• Inventariar versões de HMI/engineering tool e aplicar patches em ambientes de staging com teste rigoroso antes de deploy em produção;
• Controle de mudanças rigoroso para arquivos de engenharia (versionamento, assinatura digital) e regras para deploy automatizado com validação de integridade;
• Desativar serviços e portas desnecessárias (SMBv1, Telnet) nas estações.

Proteção de arquivos e dados

• Criptografar backups e transfers de arquivos de engenharia;
• Implementar DLP com assinaturas para DWG/DXF/PLC code e padrões heurísticos para impedir exfiltração;
• Integrar verificação de integridade (hashes) e alertas quando artefatos de engenharia mudam fora de processo autorizado.

Monitoração contínua

• Coletar logs de HMI, estações, Historian, switches e NDR para correlação no SIEM;
• Estabelecer KPIs de desempenho do detector e SLAs de resposta;
• Executar exercícios regulares (tabletop e purple team) para validar regras e modelos.

Operacionalização de ML

• Versões, validações e testes A/B para modelos;
• Re-treinamento periódico com dados anotados e validação por SMEs (subject matter experts);
• Implementar explainability (SHAP, LIME) para contextualizar alertas para times de engenharia e reduzir false positives.

Playbooks Operacionais para Blue Team e Red Team

Playbooks padronizam resposta e testes. Abaixo listamos playbooks sintetizados e um checklist operacional para Blue Team e Red Team.

Playbook Blue Team – Detecção de alteração de setpoint

• Input: alerta SIEM “HighConfidenceEngineeringChange”.
• Ações imediatas:
  • Enriquecer alerta com IP de origem, usuário, sessão RDP/SSH, hashes de arquivos transferidos;
  • Verificar Historian: confirmar se comando resultou em mudança física;
  • Se houver discrepância e risco alto, isolar estação (vlan quarantine) via switch ACL/SDN;
  • Coletar memória e disco da estação para análise forense;
  • Notificar plant manager e engenheiro responsável.
• pós-incidente:
  • Executar root cause analysis e aplicar mitigação persistente;
  • Revisar e ajustar thresholds e modelos;
  • Atualizar indicadores de comprometimento (IOCs) e regras SIEM.

Playbook Red Team – Teste de controle de acesso a engenharia

• Escopo autorizado: tentar obter acesso a estação de engenharia e alterar setpoint sem detecção.
• Hipóteses:
  • VPN mal configurada;
  • credenciais reutilizadas;
  • execução de scripts via SMB.
• Execução:
  • Reconhecimento: mapear jump hosts e serviços expostos;
  • Exploração técnica: simular brute-force autorizado, phishing controlado com consentimento de operadores;
  • Exfiltração: testar upload programado de um arquivo inofensivo e medir detecção;
• Evidência e reporte:
  • Fornecer logs, comandos e tempo exato das ações;
  • Recomendar correções e priorizar remediações;

Checklist Blue Team

• Detecção:
  • Coleta de logs de HMI e estações – ativo
  • NDR com dissectors OT – ativo
  • Historian integrado ao SIEM – ativo
• Contenção:
  • Planos de isolamentos de VLAN/port shutdown – testados
  • Processo de quarentena de estações – documentado
• Hardening:
  • RBAC e MFA para acessos de engenharia – implementados
  • Patching schedule e change control – vigente
• Logging:
  • Integridade de logs (hashing) – verificada
  • Rollen de retenção e acesso por auditoria – aplicado

Checklist Red Team

• Escopo autorizado e assinado
• Hipótese de ataque documentada
• Técnicas permitidas/proibidas definidas
• Execução com evidência coletada (pcap, logs, screenshots)
• Reporte técnico com recomendações e PoC – entregue

Métricas, KPIs e Auditoria Técnica

Avaliar eficácia de detecção comportamental exige métricas claras. Abaixo métricas operacionais e técnicas, como calculá-las e metas recomendadas.

KPIs de detecção

• Taxa de detecção (Recall) por categoria de ameaça – meta inicial >= 85% para cenários críticos;
• Precisão (Precision) de alertas – objetivo >= 75% para reduzir carga no SOC;
• MTTD (Mean Time to Detect) – objetivo < 15 minutos para alterações críticas;
• MTTR (Mean Time to Respond) – objetivo < 60 minutos para incidentes com risco físico;
• Falsos positivos por dia por operador – meta < 5 para não sobrecarregar times de engenharia;
• Porcentagem de alertas enriquecidos automaticamente – meta >= 90%.

Métricas de maturidade

• Percentual de HMIs e estações instrumentadas com telemetria – meta faseada: 50% em 6 meses, 100% crítico em 24 meses;
• Proporção de regras validadas por engenheiros – objetivo 100% para regras críticas;
• Tempo de tuning para modelos ML (feedback loop) – ciclo máximo 30 dias.

Métricas técnicas e logs

• Percentual de eventos correlacionados entre NDR e Historian – indica qualidade de ingestão;
• Latência de ingestão de logs no SIEM – objetivo < 2 minutos para eventos críticos;
• Taxa de perda de pacotes no TAP/sensor – objetivo < 0.1%.

Auditoria técnica

Auditorias devem incluir:

• Revisão de regras e thresholds;
• Teste de integridade e replay de logs (garantia de que logs não foram alterados);
• Exercícios de playbook e simulações de incidentes com times de processo;
• Validação de backups e recovery procedures para estações de engenharia;
• Relatórios trimestrais e trilhas de auditoria enfocando mudanças de configuração na HMI.

Erros Comuns, Armadilhas e Correções

Equipes cometem erros previsíveis ao implantar detecção comportamental. Aqui explico as armadilhas e como corrigi-las.

Erro 1: confiar apenas em assinaturas

Assinaturas não detectam técnicas de living-off-the-land (LotL) nem ações legítimas maliciosas. Correção: adote correlação entre telemetria de rede, logs de aplicação e dados de processo (Historian).

Erro 2: modelos ML treinados sem validação de engenheiros

Modelos refletem o histórico e o ruído presente. Se o dataset não for limpo e anotado, gera falsos positivos que descredibilizam a solução. Correção: criar curadoria envolvendo SMEs de processo para rotular dados e revisar anomalias apontadas.

Erro 3: muita instrumentação invasiva em estações críticas

Instalar EDR pesado em estações de engenharia pode causar instabilidade. Correção: avaliar agentes OT-friendly, modos apenas-logs, e priorizar coleta passiva de rede e logs locais controlados.

Erro 4: falta de integração entre TI e OT

Sem alinhamento, alertas chegam a times errados ou sem contexto. Correção: criar CST (Cross-functional Security Team) com representantes de TI, OT, engenharia e operações para governança e resposta.

Erro 5: não testar playbooks

Playbooks não testados falham na prática. Correção: realizar exercícios tabletop trimestrais e simulações com métricas de desempenho.

FAQ Técnico para Busca Orgânica

A seguir 10 perguntas frequentes com respostas objetivas, formatadas para snippets e SEO técnico sobre detecção comportamental em HMI e estações de engenharia OT.

Pergunta 1: O que é detecção comportamental em HMI e por que é diferente da detecção em TI?

Resposta: Detecção comportamental em HMI analisa padrões de interação humana e seqüência de comandos que afetam dispositivos físicos. Difere da TI pois correlaciona telemetria de processo (Historian) com logs de aplicação e rede OT, considerando janelas operacionais, safety constraints e realphysic constraints que não existem em TI.

Pergunta 2: Quais protocolos OT devem ser monitorados para uma cobertura mínima?

Resposta: OPC-UA, Modbus/TCP, DNP3, PROFINET, EtherNet/IP e BACnet. Também monitorar serviços de administração (RDP, SSH), SMB e tráfego DNS/HTTP associado a exfiltração.

Pergunta 3: Posso usar EDR tradicional em estações de engenharia?

Resposta: Com cautela. Muitos EDRs impactam desempenho. Use versões OT-certified, modos somente-leitura de telemetry, ou agentes leves aprovados em testes de estabilidade. Sempre validar em ambiente de laboratório antes de deploy em produção.

Pergunta 4: Como reduzir falsos positivos de ML em detecção comportamental?

Resposta: Incluir SME na rotulagem, usar features relevantes (delta sensor, comandos/min), adotar thresholds dinâmicos, e implementar um loop de feedback com retraining periódico.

Pergunta 5: Quais indicadores de comprometimento (IOCs) usar para HMIs?

Resposta: Sessões RDP/VNC de IPs atípicos, transferências de arquivos DWG/DXF para destinos externos, alterações de configuração fora de janela, execução de utilitários de engenharia por usuários não autorizados.

Pergunta 6: Como correlacionar Historian com logs de segurança?

Resposta: Normalizar timestamps (sincronização NTP), mapear tags de processo a assets, e configurar regras de correlação no SIEM que relacionem comando-log com mudança de valor em série temporal dentro de uma janela temporal pré-definida.

Pergunta 7: Quais ferramentas open-source ajudam na inspeção de protocolos OT?

Resposta: Wireshark/TShark (dissectors OPC-UA, Modbus), Zeek com scripts custom, e frameworks Python (pymodbus, opcua) para parsing e automação. Para NDR, soluções comerciais oferecem dissectors mais profundos.

Pergunta 8: Em que frequência devo reavaliar modelos e thresholds?

Resposta: Re-treinamento de ML a cada 30-90 dias, revisões de thresholds mensais com base em métricas de false positive, e auditoria completa trimestral.

Pergunta 9: Como priorizar estações para instrumentação?

Resposta: Priorize por criticidade (safety impact, perda financeira), exposição (acesso remoto, presença de USB/SMB), e combinação de vulnerabilidades conhecidas. Faça um heatmap e implemente por fases.

Pergunta 10: O que documentar para compliance em auditorias?

Resposta: Registros de logs, hashes de integridade, playbooks de resposta, autorizações para alterações, resultados de testes e registros de treinamento de modelos.

Considerações Finais

Detecção comportamental em HMI e estações de engenharia não é um projeto de “set and forget”. É um ciclo de instrumentação, curadoria de dados, validação com engenheiros e melhoria contínua. Exigir apenas regras ou apenas ML é uma armadilha; a força está na correlação contextual entre rede, logs e séries temporais do processo. Priorize a redução de falsos positivos para manter a confiança operacional, e construa governança entre TI e OT para que decisões de segurança não fiquem isoladas. Lembre-se: a defesa eficaz protege tanto o bit quanto o átomo – e em OT, ambos importam igualmente.

Recursos Visuais Sugeridos

Materiais públicos com diagramas, arquiteturas e visuais oficiais para apoiar o estudo do tema.

• MITRE ATT&CK – matriz visual de táticas, técnicas e procedimentos.
• CISA Resources – alertas, advisories e diagramas de arquitetura defensiva.
• NIST Cybersecurity Framework – figuras oficiais e referências de controles.
• ENISA – relatórios anuais com gráficos e mapas de ameaça.
• Kali Linux – documentação oficial com fluxos práticos.
• Parrot Security – documentação oficial com arquitetura modular.

Referências

• https://www.cisa.gov/ics
• https://www.mitre.org/ics
• https://www.iso.org/isoiec-62443-series.html
• https://www.dragos.com/resources/
• https://www.nozominetworks.com/resources/
• https://www.claroty.com/resources/
• https://www.us-cert.gov/ics
• https://www.sans.org/white-papers/
• https://www.elastic.co/solutions/siem
• https://www.splunk.com/en_us/solutions/industries/industrial.html
• https://www.owasp.org/index.php/Category:SCADA
• https://attack.mitre.org/matrices/enterprise/
• https://www.nist.gov/
• https://www.iso.org/obp/ui/#search