Segurança para Indústria de Manufatura: contendo o ransomware que para a sua linha de produção
A convergência TI/OT transformou cada fábrica em um alvo. Veja como a Decripte responde a um ransomware que salta da rede corporativa para o chão de fábrica, recupera a produção e reconstrói a segurança com segmentação TI/OT, monitoramento industrial e plano de resposta ensaiado.
Resposta direta
Para proteger uma indústria de manufatura você precisa tratar a fábrica como dois mundos que se conversam mas não podem se contaminar: a rede de TI (ERP, e-mail, engenharia, Active Directory) e a rede de OT (CLPs, IHMs, SCADA, históricos, robôs). O ransomware que para linhas quase nunca nasce na OT — entra pela TI, se move lateralmente e salta para o chão de fábrica. A defesa combina segmentação real TI/OT no modelo Purdue, monitoramento 24x7 com visibilidade do tráfego OT, gestão de vulnerabilidades que respeita as janelas de manutenção de CLPs e um plano de resposta ensaiado. A Decripte entrega isso com SOC 24x7, Resposta a Incidentes com contenção em até 1 hora, Pentest OT-aware e Gestão de Vulnerabilidades contínua — comece com um diagnóstico gratuito em decripte.io/free.
24/7
SOC monitorando a fronteira TI/OT, SCADA e acessos remotos
<=1h
SLA de contenção para deter o salto TI→OT antes de parar a linha
ISO 27001
Framework de gestão exigido por OEMs e cadeias automotivas
LGPD
PI, projetos e dados de funcionários sob a ANPD mesmo na indústria
Em resumo
- ›O ransomware industrial raramente nasce na OT: ele entra pela TI (phishing, VPN exposta, credencial vazada) e salta para o chão de fábrica pela conexão entre as redes — é esse salto que precisa ser contido em minutos.
- ›Segmentação TI/OT no modelo Purdue, com firewall industrial e DMZ entre os níveis, é a barreira que decide se um incidente de TI vira ou não uma parada de produção.
- ›Visibilidade não pode parar nos logs de TI: o SOC precisa enxergar o tráfego OT (Modbus, OPC-UA, EtherNet/IP, S7) para detectar comandos anômalos a CLPs e SCADA.
- ›Patching em OT é diferente: CLPs e SCADA têm janelas raras e dependência de fornecedor — a gestão de vulnerabilidades usa controles compensatórios quando não dá para corrigir.
- ›Um plano de resposta a incidentes ensaiado, que sabe a diferença entre desligar um e-mail e parar uma prensa no meio do ciclo, evita que a contenção cause mais dano que o ataque.
- ›Backups offline e imutáveis de SCADA, históricos e receitas de processo são o que define se a recuperação leva horas ou semanas.
Cibersegurança para Manufatura
A convergência TI/OT transformou cada fábrica em um alvo. Veja como a Decripte responde a um ransomware que salta da rede corporativa para o chão de fábrica, recupera a produção e reconstrói a segurança com segmentação TI/OT, monitoramento industrial e plano de resposta ensaiado.
Por que a manufatura virou alvo prioritário de ransomware
Durante décadas, o chão de fábrica foi um mundo isolado. CLPs, IHMs e sistemas SCADA rodavam em redes proprietárias, fisicamente separadas da informática corporativa, falando protocolos que ninguém fora da automação conhecia. Essa obscuridade funcionava como uma forma rústica de segurança. O problema é que ela acabou. A Indústria 4.0, a demanda por dados de produção em tempo real, a manutenção preditiva, a integração ERP-MES-SCADA e o acesso remoto de fornecedores derrubaram o muro entre TI e OT. Hoje, o histórico de processo conversa com o data lake na nuvem, o engenheiro acessa a IHM por VPN de casa e o robô recebe ordens de produção que vieram do mesmo Active Directory que autentica o e-mail. A convergência trouxe eficiência — e abriu um caminho direto da caixa de entrada de um operador até a prensa hidráulica.
Para o atacante, a manufatura é um alvo de altíssimo valor por um motivo simples: a tolerância a paradas é quase zero. Uma linha automotiva, uma planta de alimentos com produtos perecíveis, uma siderúrgica com forno que não pode esfriar ou uma farmacêutica com lote em processo não têm o luxo de ficar uma semana offline analisando logs. Cada hora de parada custa dezenas ou centenas de milhares de reais em produção perdida, multas contratuais com montadoras, perecimento de matéria-prima e penalidades de SLA com clientes. Os grupos de ransomware sabem disso. Eles cronometram ataques para o fim de semana ou para o pico de produção, criptografam justamente os servidores que controlam a linha e calibram o resgate sabendo que cada dia parado é uma alavanca de negociação a favor deles.
O que torna a manufatura diferente de um banco ou um hospital
Em TI corporativa, o pior caso costuma ser perda de dados. Em OT, o pior caso é físico: uma sobrepressão, um movimento de robô fora de envelope, um lote farmacêutico contaminado, um forno danificado. Por isso a segurança industrial não protege apenas a confidencialidade e a integridade da informação — ela protege a disponibilidade da produção e a segurança das pessoas no chão de fábrica. Disponibilidade e segurança humana sobem ao topo da pirâmide de prioridades, invertendo a ordem clássica da TI.
Some-se a isso o ativo silencioso que toda fábrica carrega: propriedade intelectual. Receitas de processo, parâmetros de máquina afinados ao longo de anos, projetos de produto, ferramental, fórmulas químicas e know-how de fabricação. Espionagem industrial — por concorrentes ou por atores estatais — busca exatamente esses arquivos, e raramente faz barulho. O roubo de PI pode passar meses despercebido porque, ao contrário do ransomware, não há tela vermelha pedindo bitcoin; há apenas dados saindo lentamente por um canal que ninguém estava monitorando.
A anatomia do ataque: como o ransomware salta da TI para a OT
Entender o caminho do ataque é o que permite cortá-lo. Em quase todos os incidentes industriais que param produção, a sequência é a mesma e não começa no chão de fábrica. Começa em um lugar mundano: um e-mail. Um operador, um analista de PCP ou um engenheiro de processo recebe uma mensagem com um anexo ou um link. O endpoint é comprometido. A partir daí, o atacante está dentro da rede de TI, no Nível 4/5 do modelo Purdue — o mundo do ERP, do e-mail e do Active Directory.
Fase 1 — Foothold e reconhecimento na TI
Com o primeiro endpoint sob controle, o atacante não vai direto para a OT. Ele se estabelece. Coleta credenciais com ferramentas de despejo de memória, mapeia o Active Directory procurando contas de serviço e administradores, identifica os servidores de arquivo e descobre onde estão os backups — porque destruir os backups é parte do plano. Esse período de reconhecimento pode durar dias ou semanas, e é justamente a janela em que um SOC 24x7 com detecção comportamental consegue pegar o intruso antes que ele cause dano irreversível.
Fase 2 — Movimentação lateral e descoberta da ponte para a OT
O ponto crítico do ataque industrial é a descoberta da conexão entre TI e OT. Em fábricas mal segmentadas, essa ponte é trivial: a estação de engenharia que controla os CLPs está no mesmo domínio do Active Directory corporativo; o servidor SCADA tem o agente de e-mail instalado; o operador usa a mesma senha no ERP e na IHM. O atacante encontra uma estação de engenharia, uma jump box mal configurada ou uma conta com acesso duplo, e usa essa ponte para atravessar do Nível 4 (TI) para os Níveis 3, 2 e 1 (supervisão, controle e dispositivos de campo). Em uma rede bem segmentada, ele bate em um firewall industrial e em uma DMZ que não deixam esse tráfego passar — e o ataque morre na fronteira.
O salto TI→OT é o ponto de não retorno
Enquanto o atacante está só na TI, você tem um incidente caro mas gerenciável: restaura servidores, troca senhas, segue em frente. No instante em que ele alcança o servidor SCADA, os históricos de processo e as estações de engenharia, a produção fica refém. Criptografar o SCADA significa que os operadores perdem visibilidade e controle sobre a linha — e parar uma linha sem visibilidade é a única opção segura. Por isso a Decripte trata a contenção do movimento lateral TI→OT como a prioridade número um de qualquer resposta na manufatura, com SLA de até 1 hora para isolar a ponte.
Fase 3 — Detonação no chão de fábrica
Uma vez na OT, o ransomware criptografa o que faz a linha funcionar e enxergar: servidores SCADA e historiadores, estações de operação (HMIs baseadas em Windows), servidores MES e de receitas, e frequentemente também os backups que estavam acessíveis pela rede. Os CLPs em si muitas vezes não são criptografados — eles não rodam Windows — mas ficam órfãos: sem a IHM e sem o SCADA, o operador não tem mais como supervisionar o processo, ler alarmes ou comandar com segurança. O resultado prático é uma parada total, não porque cada máquina foi atacada, mas porque o sistema nervoso que as coordena foi cegado. E é exatamente aí que o atacante manda a nota de resgate, cronometrada para o pior momento possível.
Os dados de manufatura já estão expostos ou à venda? Descubra agora — de graça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
As cinco ameaças que definem o risco de uma fábrica
O mapa de ameaças da manufatura
- ✓Ransomware parando linhas de produção: criptografia de SCADA, históricos e HMIs que cega a operação e força a parada total, com resgate cronometrado para o pico de produção.
- ✓Ataques a ICS/SCADA e OT: comandos não autorizados a CLPs, manipulação de setpoints, desativação de intertravamentos de segurança e exploração de protocolos industriais sem autenticação (Modbus, S7, EtherNet/IP).
- ✓Espionagem industrial e roubo de PI: exfiltração silenciosa de receitas de processo, parâmetros de máquina, projetos e fórmulas — sem tela de resgate, podendo durar meses despercebida.
- ✓Comprometimento de cadeia de suprimentos: ataque que chega pela atualização de software de um fornecedor, pelo acesso remoto de um integrador de automação ou por um componente de OEM já comprometido.
- ✓Movimentação lateral TI→OT: o vetor que conecta todos os outros — a ausência de segmentação que permite que um incidente de e-mail vire uma parada de chão de fábrica.
Essas cinco ameaças não são independentes. Elas se encadeiam. A movimentação lateral TI→OT é o eixo: é ela que transforma um phishing comum em um desastre de produção, que dá ao espião o acesso aos arquivos de PI e que permite que o comprometimento de um fornecedor se propague até os CLPs. Por isso a estratégia de defesa da Decripte não trata cada ameaça isoladamente — ela ataca a estrutura que permite o encadeamento, fechando a fronteira TI/OT, instrumentando os dois lados e ensaiando a resposta para quando uma camada falhar.
O fornecedor como vetor: o elo mais esquecido
Toda fábrica moderna depende de terceiros com acesso profundo: o integrador de automação que mantém os CLPs, o fabricante da máquina (OEM) que faz manutenção remota, o fornecedor de MES, a empresa de telemetria. Cada um desses acessos é uma porta. Quando um integrador usa a mesma credencial de VPN para dez clientes, o comprometimento de um vira o comprometimento de todos. Quando um OEM mantém uma conexão de manutenção permanentemente aberta, ela vira um túnel esperando ser abusado. A segurança da cadeia de suprimentos na manufatura passa por inventariar todos esses acessos remotos, dar a cada um o mínimo privilégio, registrar tudo e monitorar o comportamento — porque o ataque que vem por um fornecedor de confiança não dispara os alarmes óbvios.
OT envelhece diferente de TI
Um servidor de TI vive de 3 a 5 anos. Um CLP ou um sistema SCADA vive de 15 a 25 anos. É comum encontrar no chão de fábrica sistemas operacionais fora de suporte, controladores que não recebem firmware novo desde a instalação e protocolos projetados em uma era em que ninguém imaginava que a rede industrial estaria a um salto da internet. Isso não é negligência — é a realidade de ativos físicos com ciclo de vida longo. A defesa não é trocar tudo; é envolver esses ativos legados em camadas de proteção que compensam o que eles não conseguem fazer sozinhos.
Contenção sob pressão: o que a Decripte faz na primeira hora
Quando uma fábrica nos aciona com a linha parando, não há tempo para deliberação. A primeira hora define se o incidente fica contido na TI ou consome a OT inteira. A Resposta a Incidentes da Decripte opera com SLA de contenção em até 1 hora justamente porque, na manufatura, esse relógio compete diretamente com o relógio do atacante criptografando servidores. Mas conter na indústria não é simplesmente desligar máquinas — desligar a coisa errada na hora errada pode danificar equipamento, arruinar um lote ou criar risco de segurança para quem está no chão de fábrica.
Conter na OT exige saber o que NÃO desligar
Em TI, isolar uma máquina infectada é trivial: tira da rede e segue. Na OT, isolar o servidor SCADA no meio de um ciclo de processo pode deixar uma planta química sem supervisão de pressão, ou parar um forno que precisa de resfriamento controlado. A contenção industrial é cirúrgica: corta-se a ponte TI/OT primeiro — a rota do atacante — preservando o controle local da linha sempre que possível, e coordena-se cada ação com a equipe de automação e o engenheiro de segurança da planta. A Decripte trabalha lado a lado com o time de OT do cliente, nunca por cima dele.
Na prática, a sequência de contenção prioriza isolar a fronteira antes de tudo: bloquear o tráfego entre os níveis de TI e OT, derrubar as conexões de acesso remoto de fornecedores, desabilitar as contas comprometidas no Active Directory e cortar os canais de comando e controle que o atacante usa para se comunicar com a infraestrutura externa. Esses quatro movimentos, executados em paralelo, fazem o atacante perder as mãos sobre o ambiente. Só então a equipe parte para a avaliação do dano já causado na OT e para a decisão, sempre conjunta com a operação, sobre quais sistemas precisam ser parados de forma controlada e quais podem continuar operando em modo manual seguro.
Monitoramento industrial: enxergar o que os logs de TI não mostram
A maioria das fábricas que sofre um ataque de OT descobre tarde demais porque seu monitoramento parava na TI. Coletavam logs do firewall corporativo, do antivírus e do Active Directory — e ficavam completamente cegas para o que acontecia no tráfego industrial. Um comando anômalo a um CLP, uma estação de engenharia se comunicando com um destino que nunca usou, um setpoint sendo alterado fora da janela de operação: nada disso aparece nos logs de TI. O SOC 24x7 da Decripte para manufatura é construído para ver os dois lados.
Visibilidade OT-aware, sem tocar no processo
O monitoramento industrial da Decripte usa coleta passiva do tráfego de rede OT — espelhamento de portas, sem injetar pacotes, sem agentes nos CLPs, sem risco ao processo. A partir desse tráfego, decodificamos os protocolos industriais (Modbus, OPC-UA, EtherNet/IP, S7comm, DNP3 conforme o parque), construímos um inventário automático de todos os ativos de OT — muitas vezes revelando dispositivos que a própria fábrica não sabia que existiam — e estabelecemos uma linha de base do que é comportamento normal. Qualquer desvio dessa base vira um alerta no SOC, 24 horas por dia.
Essa visibilidade muda o jogo da detecção. Em vez de descobrir o ataque quando a linha já parou, o SOC enxerga os sinais da fase de reconhecimento e movimentação lateral: a varredura de rede vindo da TI em direção à OT, a tentativa de autenticação numa estação de engenharia em horário atípico, a primeira comunicação de um historiador com um IP externo. São esses sinais precoces, correlacionados entre os logs de TI e o tráfego de OT, que permitem ao analista intervir enquanto o atacante ainda está do lado de cá da fronteira — antes que o salto aconteça.
O que o SOC da Decripte monitora numa planta industrial
- ✓Tráfego na fronteira TI/OT e na DMZ industrial, procurando movimentação lateral entre níveis Purdue.
- ✓Comandos a CLPs e alterações de setpoint, sinalizando escritas não autorizadas ou fora de janela.
- ✓Acessos remotos de fornecedores e integradores, com correlação de quem, quando e o quê.
- ✓Comportamento de estações de engenharia e HMIs baseadas em Windows, que são os pivôs preferidos do atacante.
- ✓Sinais de exfiltração de PI: transferências volumosas saindo de servidores de projeto e de receita de processo.
- ✓Integridade dos backups de SCADA e históricos, garantindo que estão íntegros e fora do alcance da rede comprometida.
Quanto custaria um incidente em manufatura? Veja o seu risco real antes que ele aconteça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Segmentação TI/OT: a barreira que impede o salto
Se o salto TI→OT é o ponto de não retorno, a segmentação é a muralha que o impede. Mas segmentação na indústria é frequentemente mal compreendida. Muitas fábricas acreditam estar segmentadas porque criaram VLANs separadas para TI e OT — e VLAN não é segurança. Uma VLAN organiza o tráfego, mas não o filtra; um atacante com acesso ao switch atravessa VLANs com facilidade. Segmentação real significa controle de fluxo entre zonas por firewalls que inspecionam e bloqueiam, organizados segundo um modelo de referência reconhecido.
O modelo Purdue como mapa
O modelo de referência Purdue organiza o ambiente industrial em níveis: do Nível 0 (sensores e atuadores no campo) e Nível 1 (CLPs) ao Nível 2 (supervisão/SCADA), Nível 3 (operações de manufatura/MES) e os Níveis 4 e 5 (TI corporativa e internet). Entre o Nível 3 e o Nível 4 fica a peça mais importante da defesa: a DMZ industrial, uma zona desmilitarizada que media toda a comunicação entre os dois mundos. Nenhum tráfego deve atravessar direto de TI para OT — tudo passa pela DMZ, é inspecionado, e só o estritamente necessário segue adiante. É essa arquitetura que transforma um salto trivial numa barreira que o atacante precisa furar nível por nível.
A Decripte estrutura a segmentação respeitando a realidade da planta: não dá para parar a produção para reorganizar a rede de uma vez. O trabalho é faseado. Começamos mapeando todos os fluxos de comunicação que realmente existem entre TI e OT — frequentemente descobrindo conexões que ninguém documentou. Depois desenhamos as zonas e conduítes segundo o modelo Purdue, implementamos a DMZ industrial, e migramos os fluxos legítimos para passarem por ela de forma controlada, um a um, validando que a produção não é afetada a cada passo. O acesso remoto de fornecedores é redirecionado para um broker seguro com autenticação forte, gravação de sessão e acesso por tempo limitado — acabando com os túneis permanentes.
Acesso remoto permanente é a porta dos fundos esquecida
A conexão de manutenção que o OEM deixou aberta há três anos, a VPN que o integrador usa para todos os clientes, o software de acesso remoto instalado numa HMI para 'facilitar' o suporte: cada um desses é um túnel que ignora toda a sua segmentação. A Decripte inventaria e fecha esses acessos, substituindo-os por acesso supervisionado, sob demanda e gravado. Um fornecedor só entra quando precisa, pelo tempo que precisa, fazendo só o que foi autorizado — e com tudo registrado para auditoria.
Gestão de vulnerabilidades em OT: corrigir sem parar a linha
A pergunta que todo gestor industrial faz é: como aplicar correções de segurança em sistemas que não podem ser reiniciados? A resposta honesta é que, em OT, muitas vezes você não pode corrigir — pelo menos não no ritmo da TI. Um CLP crítico só pode receber atualização numa parada programada que acontece duas vezes por ano; um SCADA pode depender de uma versão específica que o fornecedor não certifica em sistema operacional mais novo; uma máquina ainda em garantia perde a cobertura se você alterar seu software. A gestão de vulnerabilidades industrial não ignora isso — ela trabalha com isso.
Quando não dá para corrigir, compense
A Gestão de Vulnerabilidades da Decripte para OT prioriza por risco real, não por severidade teórica. Uma falha grave num CLP que está isolado atrás de uma DMZ, sem rota até a internet, é menos urgente que uma falha média numa HMI exposta à rede de TI. Para o que não pode ser corrigido, aplicamos controles compensatórios: segmentação mais rígida ao redor do ativo vulnerável, regras de firewall que bloqueiam o vetor de exploração, monitoramento reforçado daquele dispositivo no SOC, e desativação de serviços e protocolos que não são usados. A vulnerabilidade continua lá, mas o caminho até ela é fechado.
O processo é contínuo e calibrado para a indústria. Mantemos um inventário vivo dos ativos de OT — alimentado pelo monitoramento passivo, sem varreduras agressivas que poderiam derrubar um controlador frágil. Cruzamos esse inventário com as vulnerabilidades conhecidas e os avisos dos fornecedores e dos órgãos setoriais. Priorizamos pela combinação de severidade, exposição real e criticidade do ativo para a produção. E, fundamentalmente, planejamos a correção em sincronia com as janelas de manutenção da planta — porque a melhor correção do mundo não serve se for aplicada quando a linha está rodando um lote crítico.
Pentest OT-aware: testar a fronteira sem derrubar a produção
Testar a segurança de um ambiente industrial é diferente de testar uma aplicação web. Uma varredura agressiva que seria inofensiva numa rede de TI pode travar um CLP antigo e parar a produção. Por isso o Pentest da Decripte para manufatura é desenhado com extremo cuidado e com regras de engajamento construídas junto com a equipe de OT do cliente. Em ativos sensíveis de OT, privilegiamos a abordagem passiva e a análise de arquitetura; os testes ativos e intrusivos ficam concentrados na TI, na fronteira TI/OT e em ambientes de teste que espelham a produção, nunca na produção crítica sem aprovação explícita e supervisão.
O objetivo do pentest industrial não é só achar vulnerabilidades técnicas — é validar a hipótese central da defesa: o atacante consegue, de fato, saltar da TI para a OT? Simulamos o caminho completo de um adversário realista, do phishing inicial à movimentação lateral, e testamos se a segmentação aguenta, se a DMZ industrial filtra o que deveria, se as estações de engenharia estão protegidas, se os acessos remotos de fornecedores são exploráveis. O resultado é um diagnóstico que mostra exatamente onde a muralha tem brechas — e um plano de correção priorizado por impacto na produção.
O pentest que prova o caso para a diretoria
Muitas vezes o maior valor do pentest industrial é traduzir o risco para a linguagem do negócio. Quando o relatório mostra, em passos concretos, como um e-mail de phishing chega até o servidor SCADA e quanto tempo levaria para a linha parar, a conversa sobre investimento em segurança deixa de ser abstrata. A Decripte entrega o pentest com narrativa executiva e técnica: a diretoria entende o impacto financeiro e operacional, a equipe de OT recebe os detalhes técnicos e o roteiro de correção. É o ponto de partida ideal para estruturar a defesa — e você pode começar com um diagnóstico gratuito de exposição em decripte.io/free antes mesmo de um pentest completo.
Conformidade e continuidade: o que a indústria precisa demonstrar
A segurança industrial cada vez mais é exigência contratual, não escolha. Montadoras impõem requisitos de cibersegurança aos seus fornecedores da cadeia automotiva; multinacionais auditam a maturidade de segurança de quem entra na sua supply chain; certificações como a ISO/IEC 27001 viram pré-requisito para fechar contrato. E embora a fábrica não pareça uma empresa 'de dados', ela está sob a LGPD: dados de funcionários, de prestadores, de clientes corporativos, e a propriedade intelectual que, vazada, gera dano material e regulatório. A ANPD é a autoridade competente, e um vazamento que afete dados pessoais pode exigir comunicação ao órgão e aos titulares.
O que costuma ser exigido de um fornecedor industrial
Sistema de gestão de segurança da informação alinhado à ISO/IEC 27001; capacidade comprovada de detecção e resposta a incidentes; segmentação e controle de acesso à rede de OT; plano de continuidade de negócios e de recuperação de desastres testado; e, para quem lida com dados pessoais, conformidade com a LGPD sob fiscalização da ANPD. Para componentes que tocam meios de pagamento ou dados de cartão em operações específicas, o PCI-DSS pode entrar no escopo. A Decripte ajuda a fábrica a atender e demonstrar cada um desses requisitos.
Mas conformidade sem continuidade é papel. O que de fato protege a produção é a capacidade de se recuperar. Isso significa backups offline e imutáveis dos sistemas que controlam a linha — SCADA, históricos, receitas, configurações de CLP — guardados de forma que o ransomware não consiga alcançá-los pela rede. Significa procedimentos de recuperação testados, não apenas documentados: a fábrica precisa saber, com confiança, quanto tempo leva para restaurar o SCADA e voltar a produzir. E significa ter um plano de resposta a incidentes ensaiado com a participação da operação, porque a primeira vez que a equipe de OT coordena com a equipe de segurança não pode ser durante a crise real.
Anatomia ilustrativa: o ransomware que saltou da rede corporativa para o chão de fábrica
Cenário ilustrativo
Este é um cenário ilustrativo, construído a partir de padrões reais de ataques à manufatura — não descreve um cliente específico. Imagine uma indústria de autopeças de porte médio, com três linhas de produção automatizadas, sistema SCADA supervisionando o processo, MES integrado ao ERP e acesso remoto de dois integradores de automação. TI e OT compartilhavam o mesmo domínio de Active Directory, separados apenas por VLANs. Numa sexta-feira à noite, antes de um fim de semana de produção contínua para cumprir um pedido de montadora, um analista de PCP abriu um anexo que parecia uma ordem de compra revisada. Era o começo.
Comprometimento inicial (sexta, 19h)
O anexo executou um carregador de malware no endpoint do analista de PCP, na rede de TI. O atacante obteve acesso e imediatamente começou a despejar credenciais da memória da máquina, encontrando, entre elas, uma conta de serviço com privilégios elevados. Nenhum alarme tradicional disparou — o antivírus não reconheceu o carregador. O SOC 24x7, porém, registrou um comportamento atípico: uma estação de PCP iniciando varredura de rede fora do horário comercial.
Detecção e acionamento (sexta, 19h40)
A análise comportamental do SOC correlacionou a varredura noturna com tentativas de autenticação contra servidores de arquivo e com o uso da conta de serviço comprometida em máquinas que ela nunca tinha tocado. O analista de plantão classificou como movimentação lateral ativa e acionou a equipe de Resposta a Incidentes da Decripte, iniciando o relógio do SLA de contenção. Em paralelo, contatou o responsável de OT da fábrica — porque o destino da varredura apontava para a fronteira com o chão de fábrica.
Contenção do salto TI→OT (sexta, 20h25)
Dentro da primeira hora, a prioridade foi cortar a ponte. A equipe bloqueou todo o tráfego entre as VLANs de TI e OT no firewall de borda, derrubou as conexões de acesso remoto dos dois integradores, desabilitou a conta de serviço comprometida e as contas de administrador associadas no Active Directory, e cortou a comunicação do endpoint inicial com a infraestrutura externa de comando e controle. O atacante, que já havia alcançado uma estação de engenharia mas ainda não detonara o ransomware na OT, perdeu o acesso ao ambiente industrial. A linha continuou produzindo o fim de semana inteiro.
Erradicação na TI (sábado e domingo)
Com a OT preservada, a equipe trabalhou a TI. Identificou todos os endpoints e contas tocados pelo atacante por meio da telemetria coletada, isolou e reconstruiu as máquinas comprometidas a partir de imagens limpas, forçou a redefinição de credenciais em todo o domínio e removeu os mecanismos de persistência que o atacante havia instalado para garantir retorno. A análise forense confirmou o vetor inicial — o anexo de phishing — e o caminho exato percorrido até a estação de engenharia.
Recuperação e verificação (segunda-feira)
Antes de reabrir qualquer conexão, a equipe validou a integridade dos sistemas de OT — SCADA, históricos e estações de engenharia — confirmando que nenhum havia sido criptografado ou alterado, já que a contenção precoce impediu a detonação. Os acessos remotos dos integradores foram restaurados apenas através de um broker seguro recém-implementado, com autenticação forte e gravação de sessão. A produção seguiu sem nunca ter parado.
Estruturação pós-incidente (semanas seguintes)
O incidente virou o gatilho para reconstruir a arquitetura. A Decripte implementou segmentação TI/OT real segundo o modelo Purdue, com firewall industrial e DMZ entre os níveis, separou o domínio de OT do Active Directory corporativo, estendeu o monitoramento do SOC para o tráfego industrial e instituiu um plano de resposta ensaiado com a equipe de operação.
Lições aprendidas
O ataque provou três coisas que valem para qualquer fábrica: a detecção precoce na TI é o que salva a OT, porque o salto foi contido antes da detonação; VLAN não é segmentação, e a ausência de uma fronteira real quase custou a produção do fim de semana; e o acesso remoto de fornecedores, antes um túnel permanente, era a porta dos fundos que precisava ser fechada. O custo do incidente foi uma fração do que teria sido uma parada de produção com resgate.
Desfecho com a Decripte
Porque o salto TI→OT foi contido na primeira hora, a linha de produção nunca parou e o pedido da montadora foi cumprido no prazo. O que poderia ter sido um fim de semana inteiro de produção perdida, multas contratuais e uma negociação de resgate virou um incidente de TI gerenciado e, mais importante, o ponto de virada para uma arquitetura de segurança industrial madura. A fábrica saiu do incidente com segmentação Purdue real, monitoramento OT-aware no SOC 24x7, acesso de fornecedores sob controle e um plano de resposta ensaiado — preparada para o próximo atacante, que sempre vem.
Não espere o incidente acontecer. Comece a blindar manufatura hoje mesmo.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte responde a um incidente em uma indústria de manufatura
A resposta a incidentes na manufatura é diferente porque o relógio compete com o atacante e com o custo de cada hora de parada, e porque conter na OT exige saber o que não desligar. Estes são os passos que a Decripte segue, sempre lado a lado com a equipe de operação do cliente:
- Acionamento e triagem imediata: classificamos a severidade e identificamos se o atacante já alcançou a fronteira TI/OT ou ainda está contido na rede corporativa — essa é a primeira pergunta que muda toda a estratégia de resposta.
- Contenção do salto TI→OT em até 1 hora: bloqueamos o tráfego entre as redes, derrubamos os acessos remotos de fornecedores, desabilitamos as contas comprometidas e cortamos os canais de comando e controle, fechando a rota do atacante antes que ela alcance o chão de fábrica.
- Coordenação com a operação para decisões físicas: nenhum sistema de OT é parado sem a equipe de automação e o engenheiro de segurança da planta — a contenção é cirúrgica, preserva o controle local quando possível e nunca cria risco para quem está no chão de fábrica.
- Erradicação na TI: identificamos todos os endpoints e contas comprometidos, isolamos e reconstruímos as máquinas a partir de imagens limpas, redefinimos credenciais e removemos os mecanismos de persistência do atacante.
- Análise forense do vetor e do caminho: reconstruímos como o ataque entrou e por onde se moveu, confirmando o ponto exato em que foi contido e preservando as evidências para eventual obrigação regulatória ou ação legal.
- Recuperação verificada da produção: validamos a integridade de SCADA, históricos e estações de engenharia antes de religar conexões, restauramos a partir de backups íntegros quando necessário e confirmamos que a linha volta a operar com segurança.
- Avaliação de impacto a dados pessoais e PI: verificamos se houve exfiltração de dados sob a LGPD ou de propriedade intelectual, orientando sobre eventual comunicação à ANPD e aos titulares quando aplicável.
- Relatório executivo e técnico com plano de hardening: entregamos a cronologia completa, as lições aprendidas e o roteiro priorizado para fechar as brechas que o incidente revelou, transformando a crise no ponto de partida da maturidade.
Como a Decripte estrutura a segurança de uma fábrica
Responder bem a um incidente é necessário, mas o objetivo é que ele não pare a produção. A estruturação da segurança industrial da Decripte se apoia em pilares que, juntos, fecham a rota do ataque e dão à fábrica a capacidade de detectar, conter e se recuperar:
Segmentação TI/OT no modelo Purdue
A fronteira que impede o salto. Implementamos firewall industrial e DMZ entre os níveis de TI e OT, separamos o domínio de OT do Active Directory corporativo, e migramos os fluxos legítimos de forma faseada para que a produção nunca pare durante a transição. VLAN vira controle de fluxo real, inspecionado e bloqueado.
Visibilidade e monitoramento OT-aware 24x7
O SOC da Decripte enxerga os dois mundos. Coleta passiva do tráfego industrial, decodificação dos protocolos de OT, inventário automático de ativos e linha de base de comportamento normal alimentam a detecção 24 horas por dia — pegando o reconhecimento e a movimentação lateral antes que o salto aconteça.
Gestão de vulnerabilidades calibrada para OT
Priorização por risco real e exposição, não por severidade teórica. Inventário vivo sem varreduras agressivas, sincronização das correções com as janelas de manutenção da planta, e controles compensatórios para o que não pode ser corrigido — porque um CLP fora de suporte ainda pode ser protegido pelo que o cerca.
Controle de acesso remoto de fornecedores
Os túneis permanentes de integradores e OEMs viram acesso supervisionado, sob demanda, com autenticação forte e gravação de sessão. Cada fornecedor entra só quando precisa, pelo tempo que precisa, fazendo só o que foi autorizado — fechando a porta dos fundos mais esquecida da indústria.
Continuidade e recuperação testadas
Backups offline e imutáveis de SCADA, históricos, receitas e configurações de CLP, fora do alcance da rede comprometida, com procedimentos de restauração ensaiados — para que a fábrica saiba, com confiança, em quanto tempo volta a produzir depois de um desastre.
Plano de resposta ensaiado com a operação
A primeira vez que a equipe de OT coordena com a equipe de segurança não pode ser na crise real. Construímos e ensaiamos o plano de resposta com a participação da operação, definindo papéis, decisões de parada e comunicação — para que, quando o incidente vier, a resposta seja muscle memory, não improviso.
Planos recomendados para Manufatura
SOC 24x7
Monitoramento contínuo que enxerga a fronteira TI/OT e o tráfego industrial (Modbus, OPC-UA, EtherNet/IP, S7), detectando reconhecimento e movimentação lateral antes que o ataque salte para o chão de fábrica e pare a linha.
Ver plano →Resposta a Incidentes
Contenção do salto TI→OT em até 1 hora, com equipe que sabe o que não desligar na OT e coordena cada ação física com a operação — a diferença entre um incidente de TI gerenciado e um fim de semana de produção perdida.
Ver plano →Pentest
Pentest OT-aware que valida na prática se o atacante consegue saltar da TI para a OT, testando a segmentação e a DMZ industrial sem derrubar a produção, e traduzindo o risco em linguagem executiva para justificar o investimento.
Ver plano →Gestão de Vulnerabilidades
Priorização por risco real e controles compensatórios para ativos de OT que não podem ser corrigidos no ritmo da TI, sincronizando as correções com as janelas de manutenção da planta para nunca interromper a produção.
Ver plano →Perguntas frequentes
Como um ransomware consegue parar minha linha de produção se os CLPs nem rodam Windows?
Na maioria dos casos, o ransomware não criptografa os CLPs diretamente — ele criptografa os sistemas que dão visibilidade e controle sobre eles: os servidores SCADA, os históricos de processo e as estações de operação (HMIs), que normalmente rodam Windows. Sem o SCADA e as IHMs, os operadores ficam cegos: não conseguem supervisionar o processo, ler alarmes nem comandar com segurança. A única opção responsável passa a ser parar a linha. Por isso a defesa foca em impedir que o ataque alcance esses sistemas de supervisão, contendo o salto TI→OT.
Já temos VLANs separando TI e OT. Isso não é segmentação suficiente?
Não. VLAN organiza o tráfego, mas não o filtra — um atacante com acesso ao switch atravessa VLANs com facilidade, e contas ou estações que pertencem aos dois mundos criam pontes diretas. Segmentação real significa firewalls que inspecionam e bloqueiam o fluxo entre as zonas, organizados segundo o modelo Purdue, com uma DMZ industrial mediando toda a comunicação entre TI e OT. A Decripte avalia sua segmentação atual num diagnóstico e, se necessário, implementa a arquitetura faseada sem parar a produção.
Não posso reiniciar meus CLPs e SCADA para aplicar patches. Como faço gestão de vulnerabilidades?
A gestão de vulnerabilidades em OT trabalha com essa restrição, não contra ela. Priorizamos por risco real e exposição: uma falha grave num ativo isolado atrás de uma DMZ é menos urgente que uma falha média num sistema exposto. Para o que não pode ser corrigido no ritmo da TI, aplicamos controles compensatórios — segmentação mais rígida, regras de firewall que bloqueiam o vetor, monitoramento reforçado e desativação de serviços desnecessários — e planejamos as correções possíveis em sincronia com as janelas de manutenção da planta.
O pentest não pode derrubar minha produção?
Um pentest mal planejado pode, e é por isso que o pentest industrial da Decripte é desenhado com regras de engajamento construídas junto com sua equipe de OT. Em ativos sensíveis privilegiamos abordagem passiva e análise de arquitetura; testes ativos e intrusivos ficam na TI, na fronteira TI/OT e em ambientes de teste, nunca na produção crítica sem aprovação explícita e supervisão. O objetivo é validar com segurança se o atacante consegue saltar para a OT — sem causar o dano que estamos tentando prevenir.
Minha fábrica está sob a LGPD mesmo não sendo uma empresa de dados?
Sim. A LGPD se aplica a qualquer organização que trate dados pessoais, e uma fábrica trata muitos: dados de funcionários, prestadores e clientes corporativos, além de propriedade intelectual cujo vazamento gera dano material. A autoridade competente é a ANPD, e um incidente que afete dados pessoais pode exigir comunicação ao órgão e aos titulares. A Decripte avalia o impacto a dados pessoais durante a resposta a incidentes e orienta sobre as obrigações regulatórias aplicáveis.
O acesso remoto dos meus fornecedores de automação é seguro?
Frequentemente é o ponto mais frágil. Túneis de manutenção permanentemente abertos, VPNs que o integrador reutiliza entre vários clientes e softwares de acesso remoto instalados em IHMs para facilitar o suporte são portas que ignoram toda a sua segmentação. A Decripte inventaria todos esses acessos e os substitui por um modelo supervisionado: acesso sob demanda, por tempo limitado, com autenticação forte e gravação de sessão, fechando o vetor de cadeia de suprimentos sem impedir a manutenção legítima.
Quanto tempo a Decripte leva para conter um ataque que está em andamento?
A Resposta a Incidentes opera com SLA de contenção em até 1 hora. Na manufatura, a prioridade absoluta dessa primeira hora é cortar a ponte TI/OT — bloquear o tráfego entre as redes, derrubar acessos remotos, desabilitar contas comprometidas e cortar o comando e controle — para impedir que o atacante alcance o chão de fábrica. Quanto mais cedo somos acionados, maior a chance de conter o incidente ainda na TI, antes que ele pare a produção.
Por onde começar se ainda não sei o tamanho da minha exposição?
Comece pelo diagnóstico gratuito de Gestão de Ameaças em decripte.io/free, que mapeia a exposição externa da sua organização sem nenhum compromisso. A partir dele você entende onde estão as brechas mais urgentes. Para estruturar a defesa completa — segmentação TI/OT, SOC 24x7, gestão de vulnerabilidades e plano de resposta — contrate em decripte.io/start ou fale com nossa equipe pelo formulário em /contato.
Termos do setor
- OT (Tecnologia Operacional)
- Conjunto de hardware e software que monitora e controla processos físicos no chão de fábrica: CLPs, IHMs, sistemas SCADA, históricos de processo, robôs e dispositivos de campo. Diferencia-se da TI por priorizar disponibilidade e segurança física acima da confidencialidade.
- ICS/SCADA
- Sistemas de Controle Industrial (ICS) e, dentro deles, os sistemas de Supervisão, Controle e Aquisição de Dados (SCADA), que dão aos operadores a visibilidade e o comando sobre a linha de produção. Comprometer o SCADA cega a operação e força a parada.
- CLP (Controlador Lógico Programável)
- Dispositivo industrial robusto que executa a lógica de controle de máquinas e processos no chão de fábrica. Tem ciclo de vida de 15 a 25 anos e raramente roda sistemas operacionais convencionais, o que muda completamente a abordagem de correção e monitoramento.
- Modelo Purdue
- Modelo de referência que organiza o ambiente industrial em níveis, do campo (sensores e atuadores) até a TI corporativa e a internet, definindo onde devem ficar as fronteiras de segurança — em especial a DMZ industrial entre os mundos de TI e OT.
- DMZ industrial
- Zona desmilitarizada posicionada entre a rede de TI e a rede de OT que media toda a comunicação entre os dois mundos. Nenhum tráfego atravessa direto de um lado para o outro: tudo passa pela DMZ, é inspecionado e só o estritamente necessário segue adiante.
- Movimentação lateral TI→OT
- Técnica pela qual um atacante que comprometeu a rede corporativa (TI) atravessa para a rede de produção (OT), explorando pontes mal segmentadas como estações de engenharia, contas com acesso duplo ou acessos remotos de fornecedores. É o vetor que transforma um incidente de TI em uma parada de fábrica.
A Decripte protege e responde a incidentes no setor de manufatura.
Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.