Centro de operações de segurança industrial com dashboards de detecção de anomalias por IA
Segurança

IA vs. Hackers Industriais: como sistemas OT estão usando inteligência artificial para detectar ataques em tempo real em 2026

Paulo Campos
Paulo Campos
Especialista em Automação Industrial
24/04/202614 min de leitura

Em janeiro de 2024, um malware desligou o aquecimento de 600 edifícios na Ucrânia durante temperaturas abaixo de zero

O FrostyGoop — nono malware ICS conhecido na história — foi o primeiro a usar com sucesso o protocolo Modbus TCP (porta 502) para manipular sistemas de controle industrial. Escrito em Golang, passou despercebido pela maioria dos antivírus. Duas dias sem aquecimento. Mais de 600 prédios residenciais. Em pleno inverno ucraniano.

Esse não é um caso isolado. No mesmo ano, o CyberArmyofRussia_Reborn demonstrou acesso a dispositivos HMI em instalações de água no Texas, Indiana e New Jersey, com capacidade confirmada de manipular processos operacionais. Em 2025, o grupo KAMACITE — o mesmo responsável pelos apagões da Ucrânia em 2015 e 2016 — foi identificado mapeando sistematicamente control loops industriais nos Estados Unidos.

O mercado de cibersegurança industrial atingiu US$ 21,7 bilhões em 2025, com projeção de US$ 51,1 bilhões até 2035. Mas a maioria das plantas industriais brasileiras ainda trata segurança OT como extensão da segurança de TI. Esse erro custa caro — e os atacantes sabem disso.

IT vs. OT: por que sua equipe de TI não está preparada para proteger o chão de fábrica

As diferenças que mudam tudo

| Aspecto | Redes IT | Redes OT | |---|---|---| | Prioridade | Confidencialidade > Integridade > Disponibilidade | Disponibilidade > Integridade > Confidencialidade | | Ciclo de vida dos equipamentos | 3-5 anos | 15-25 anos (ou mais) | | Patching | Regular, automatizado | Raro, exige janelas de manutenção | | Protocolos | TCP/IP padrão | Modbus, DNP3, OPC UA, Profinet, EtherNet/IP | | Impacto de falha | Perda de dados, prejuízo financeiro | Dano físico, risco à vida, desastre ambiental | | Tolerância a latência | Segundos aceitáveis | Milissegundos podem ser críticos |

Quando um sistema IT é comprometido, você perde dados. Quando um sistema OT é comprometido, você pode perder vidas. Essa diferença de prioridade — disponibilidade acima de tudo — significa que muitas práticas padrão de segurança de TI simplesmente não se aplicam.

Você não reinicia um PLC que controla uma caldeira a 800°C para aplicar um patch. Você não coloca um firewall que adiciona 200ms de latência entre um sensor de pressão e a válvula de alívio.

O estado real da convergência IT/OT

Os dados do Dragos 2025 Year in Review são preocupantes:

  • 81% das avaliações identificaram segmentação IT/OT deficiente
  • 73% dos casos de resposta a incidentes envolveram credenciais VPN ou jumphost comprometidas
  • 82% das organizações não têm plano de resposta a incidentes específico para OT
  • 88% dos tabletop exercises revelaram capacidades de detecção degradadas
  • 56% dos testes de penetração usaram ferramentas living-off-the-land sem disparar alertas

Sistemas OT, IoT e especializados representam 42% dos ativos empresariais, mas concentram 64% do risco médio-alto. E 52% das organizações atribuíram responsabilidade de OT ao CISO/CSO em 2025 — acima de 16% em 2022. A convergência está acontecendo na estrutura organizacional, mas nem sempre na competência técnica.

Vulnerabilidades SCADA, ICS e PLCs: o volume que ninguém esperava

2025 bateu todos os recordes

O ano de 2025 registrou 2.065 CVEs associados a advisories ICS — o maior volume desde que o tracking começou. Foram 508 advisories cobrindo 2.155 vulnerabilidades. E o perfil mudou: pela primeira vez, vulnerabilidades de severidade média (1.019) superaram as de alta (796).

Os tipos mais comuns:

  • Validação de input inadequada: 73 ocorrências
  • Leitura fora dos limites: 57 ocorrências
  • Escrita fora dos limites: 57 ocorrências

Produtos e fabricantes afetados

| Produto | Vulnerabilidades | Criticidade | |---|---|---| | Siemens RUGGEDCOM APE1808 | 11 | Alta | | Advantech WebAccess/SCADA | 5+ CVEs em 2025 | Crítica | | ICONICS Suite (≤10.97.2) | 5 (Palo Alto Unit42) | Alta | | Siemens SINEC NMS | 6 | Alta | | Schneider Electric EcoStruxure | CVE-2024-10575 | Crítica | | Hitachi Energy MicroSCADA | Bypass de autenticação | Crítica |

O dado mais alarmante do Dragos: 70% das vulnerabilidades pesquisadas estavam profundas na rede ICS, não na periferia. 39% podiam causar perda de visão e perda de controle simultaneamente. E 25% não tinham patch ou mitigação disponível.

Como machine learning detecta anomalias em redes industriais

O princípio: aprender o normal para identificar o anormal

Diferente de sistemas baseados em assinaturas (que procuram ataques conhecidos), ML em redes OT aprende o baseline comportamental da rede — quais dispositivos se comunicam com quais, em quais intervalos, com quais payloads — e alerta quando algo foge do padrão.

Algoritmos e performance documentada

| Algoritmo | Acurácia | Contexto | Limitação | |---|---|---|---| | XGBoost | 99% | Detecção de drift e tráfego normal | Requer dados rotulados de qualidade | | Deep Neural Network | 99,84% | Maquinário industrial | Alto custo computacional | | Random Forest | 89-98% | Classificação de anomalias | Variação por dataset | | Autoencoder (ImpAE) | 96% | Dataset SWaT (tratamento de água) | Recall de 67,3% — perde ataques sutis | | Isolation Forest | 84-86% | Sem dados rotulados | Menor precisão em ataques complexos | | Federated Learning | 88,5% F1-score | Detecção distribuída com privacidade | Taxa de falso positivo de 2,7% |

O problema dos falsos positivos

Até 99% dos alertas de sistemas NIDS são falsos positivos no estado atual da indústria. Esse número não é erro — é consequência de sistemas que tratam qualquer desvio estatístico como ameaça.

As técnicas emergentes para reduzir isso:

  • Hybrid ML: combinar múltiplos modelos (ensemble) para cross-validação de alertas
  • Graph Neural Networks (GNNs): modelar relações entre dispositivos OT, não apenas tráfego individual
  • Explainable AI (XAI) com SHAP: atribuir features ao alerta para que o analista avalie contexto
  • Correlação temporal: agrupar alertas relacionados em janelas de tempo ao invés de tratar cada um isoladamente

Exemplo técnico: como funciona na prática

Um sistema de detecção por autoencoder em uma rede SCADA:

  1. Treinamento: o modelo aprende o padrão normal de comunicação Modbus entre PLCs e HMIs durante 30-60 dias de operação normal
  2. Baseline: estabelece envelope de normalidade para volume de tráfego, frequência de polling, valores de registradores
  3. Detecção: quando um PLC começa a receber comandos de escrita em registradores que normalmente são somente leitura, ou de um IP que nunca se comunicou antes, o erro de reconstrução do autoencoder dispara
  4. Alerta contextualizado: o sistema mostra qual dispositivo, qual registrador, qual comando e compara com o histórico

A diferença entre "alerta genérico" e "alerta acionável" é contexto OT. Um IP novo na rede IT pode ser um laptop de visitante. Um IP novo enviando Modbus write para um PLC é uma emergência.

Comparativo de ferramentas 2026: Claroty, Dragos, Microsoft Defender for IoT e Nozomi Networks

Quadro comparativo

| Característica | Claroty | Dragos | MS Defender for IoT | Nozomi Networks | |---|---|---|---|---| | Foco principal | Visibilidade + plataforma unificada | Threat intel + resposta a incidentes | Integração ecossistema Microsoft | IA + analytics de rede | | Deployment | xDome (Cloud) + CTD (on-prem) | Out-of-band / passivo | Azure Cloud + sensores on-prem | Vantage (Cloud) + Guardian (on-prem) | | Protocolos OT | Amplo | 600+ protocolos | Amplo, agentless | Amplo | | Threat intelligence | Team82 (550+ CVEs descobertos) | Líder (23 threat groups rastreados) | Microsoft Threat Intel | Própria | | IA/ML para detecção | Sim | Behavioral analytics ICS-específicos | MITRE ATT&CK for ICS | Múltiplas metodologias de IA | | Gartner MQ 2025 | Líder (#1) | Líder | Líder | Líder | | Peer Insights | 4.8/5.0 (302 reviews) | 4.5/5.0 (104 reviews) | N/D detalhado | 4.9/5.0 (247 reviews) | | Escala | 20% do Fortune 100 | 119 grupos ransomware rastreados | Ecossistema Azure global | 115M ativos, 12.000+ instalações | | Pricing | Enterprise (6-7 dígitos/ano) | Enterprise | ~US$ 15/dispositivo OT | Enterprise |

Quando escolher cada um

Claroty — para quem precisa de visibilidade profunda de ativos e priorização de vulnerabilidades. Funding de US$ 150M em Series F recente, US$ 100M+ em ARR. Ponto fraco: modelo de resposta reativo, depende de SIEM/SOAR externo para enforcement.

Dragos — para quem tem SOC maduro e quer a melhor threat intelligence ICS do mercado. Rastreia 23 threat groups mundiais e 119 grupos de ransomware. Tem equipe dedicada de resposta a incidentes industriais. Ponto fraco: requer equipe qualificada, não é plug-and-play.

Microsoft Defender for IoT — para quem já está no ecossistema Microsoft (Azure, Sentinel, XDR). Custo mais acessível (~US$ 15/dispositivo para OT site-based, incluso em licenças M365 E5 até 5 dispositivos). Ponto fraco: menor profundidade OT-específica comparado aos especialistas.

Nozomi Networks — para quem prioriza visualização de rede e analytics baseados em IA. Maior escala de mercado (115 milhões de ativos monitorados), satisfação excepcional de clientes (NPS nos 90s). Reconhecido como Líder no Forrester Wave IoT Security Q3 2025. Ponto fraco: sem suporte efetivo para ambientes air-gapped.

Lições de ataques reais: de Norsk Hydro a 2025

Norsk Hydro (2019): o caso de referência

Em 19 de março de 2019, o ransomware LockerGoga atingiu a Norsk Hydro. O resultado:

  • 22.000 computadores comprometidos em 170 localidades de 40 países
  • Linhas de produção automatizadas desligadas
  • Fábricas forçadas a operar manualmente com caneta e papel
  • Funcionários aposentados chamados de volta
  • Prejuízo estimado: US$ 67-84 milhões

A Norsk Hydro não pagou o resgate. Compartilhou publicamente todos os aprendizados. A lição mais valiosa: a capacidade de operar manualmente é um fallback necessário, não uma fraqueza.

2024-2025: o volume escalou

Os números do Dragos para 2025 são alarmantes:

  • 708 incidentes de ransomware impactaram entidades industriais apenas no Q1 2025 — 68% na manufatura
  • 119 grupos de ransomware impactando 3.300 organizações industriais (aumento de 49% sobre 2024)
  • Espionagem cibernética chinesa cresceu 150% em 2024, com ataques a manufatura subindo até 300%

Casos notáveis:

  • Stoli Group (2024): ransomware desabilitou sistema ERP, forçou processos manuais. Resultado: falência Chapter 11 em novembro de 2024
  • Kreisel GmbH, Alemanha (2024): ciberataque em fevereiro limitou operações por semanas. Resultado: insolvência em novembro de 2024
  • ELECTRUM, Polônia (dezembro 2025): primeiro ataque coordenado em larga escala a recursos energéticos distribuídos

Brasil: números que assustam

O Brasil sofreu 314,8 bilhões de atividades maliciosas no primeiro semestre de 2025 — 84% de toda a América Latina. Equivalente a aproximadamente 1,5 bilhão de tentativas de ataque por dia útil.

Mais de 87 organizações confirmaram comprometimento por ransomware até outubro de 2025, superando o total de 2024. Ataques a fabricantes de hardware dispararam 191%. Alvos prioritários: indústria, serviços, varejo e construção.

Checklist de segurança OT com IA: implementação em 5 fases

Baseado no framework CISA "Principles for the Secure Integration of AI in OT" (dezembro 2025), publicado conjuntamente por CISA, NSA e FBI, adaptado para o contexto industrial brasileiro.

Fase 1 — Visibilidade (baseline)

  • [ ] Inventário completo de 100% dos ativos OT/IoT
  • [ ] Mapeamento de todas as comunicações e protocolos
  • [ ] Baseline de tráfego normal de controle por 30-60 dias
  • [ ] Identificação de sistemas legados e gaps de segurança
  • [ ] Documentação de todos os acessos remotos existentes

Fase 2 — Segmentação e governança

  • [ ] Segmentação IT/OT com zonas e conduits conforme IEC 62443
  • [ ] Eliminação de acessos remotos não-seguros (VPN/jumphost — vetor de 73% dos incidentes)
  • [ ] Governança unificada IT/OT com CISO responsável
  • [ ] Política de patching OT-specific com janelas de manutenção definidas
  • [ ] Controle de acesso baseado em roles para todos os sistemas de controle

Fase 3 — Detecção com IA

  • [ ] Deploy de monitoramento passivo de rede OT (não intrusivo)
  • [ ] Implementação de detecção comportamental com ML (XGBoost, Random Forest ou Autoencoders)
  • [ ] Configuração de alertas contextualizados para reduzir fadiga (alert aggregation)
  • [ ] Human-in-the-loop obrigatório para todas as decisões safety-critical
  • [ ] Testes contínuos dos modelos contra drift e envenenamento

Fase 4 — Resposta e resiliência

  • [ ] Plano de resposta a incidentes específico para OT com critérios claros de trigger
  • [ ] Tabletop exercises trimestrais com equipes IT e OT juntas
  • [ ] Backups offline e planos de operação manual testados (lição Norsk Hydro)
  • [ ] Testes de penetração OT-specific (56% dos pentests passaram sem alertas em 2025)
  • [ ] Procedimento de comunicação com ANPD e autoridades em caso de incidente

Fase 5 — Maturidade e compliance

  • [ ] Conformidade IEC 62443 com Security Protection Scheme documentado
  • [ ] Alinhamento NIST SP 800-82 Rev. 3
  • [ ] Avaliação contínua com MITRE ATT&CK for ICS
  • [ ] Oversight de fornecedores de IA: transparência de modelo, uso de dados, notificações de atualização
  • [ ] Monitoramento de supply chain de software e firmware

Conclusão: o próximo Norsk Hydro pode ser brasileiro

A Norsk Hydro sobreviveu porque tinha recursos para operar manualmente por semanas e transparência para pedir ajuda. Stoli e Kreisel não tiveram a mesma sorte — ambas quebraram.

Com 314,8 bilhões de atividades maliciosas no primeiro semestre de 2025, o Brasil é o alvo mais atacado da América Latina. E a maioria das plantas industriais brasileiras ainda opera com segmentação IT/OT deficiente, sem plano de resposta a incidentes OT e sem monitoramento comportamental por IA.

A boa notícia: as ferramentas existem, os frameworks estão maduros e o custo de implementação é uma fração do prejuízo de um incidente. O Microsoft Defender for IoT começa em US$ 15 por dispositivo. Um tabletop exercise custa um dia de trabalho da equipe. O inventário de ativos OT pode começar amanhã.

A má notícia: os atacantes também sabem disso — e estão apostando que você vai adiar.

Precisa de ajuda para implementar segurança OT com IA na sua planta? A AI Automação trabalha com CISOs e engenheiros de automação para implementar detecção inteligente sem interromper a operação. Fale conosco — o primeiro passo é o inventário.

Quer Implementar Essas Soluções?

Agende uma consultoria gratuita e descubra como posso transformar sua gráfica

Posts Relacionados

IA na Indústria 4.0: Como as fábricas inteligentes estão revolucionando a produção em 2026
Inteligência Artificial

IA na Indústria 4.0: Como as fábricas inteligentes estão revolucionando a produção em 2026

12 min de leitura

Os riscos ocultos de adotar IA na indústria em 2026: o que ninguém te conta antes de implementar
Inteligência Artificial

Os riscos ocultos de adotar IA na indústria em 2026: o que ninguém te conta antes de implementar

13 min de leitura

Compartilhar no WhatsApp