Las industrias con infraestructura crítica están en mayor riesgo durante la pandemia


La tecnología operativa y los sistemas industriales están cada vez más conectados a la purple de TI, y las organizaciones no tienen las herramientas adecuadas para asegurarlos, según un funcionario de seguridad.

Menos personas trabajando en el sitio debido a la pandemia significa que la infraestructura crítica está en mayor riesgo en industrias como el petróleo y el gas, la fabricación y los servicios públicos, y la mayoría de las organizaciones no tienen las herramientas adecuadas, según Dave Weinstein, director de seguridad de Claroty. , un proveedor de software package OT. «No es una acusación de ellos, es solo la realidad de las operaciones en este nuevo dominio», dijo Weinstein. «Esto es probablemente algo con lo que las organizaciones han estado luchando antes del brote de coronavirus, ahora es más profundo».

En una entrevista con TechRepublic, Weinstein discutió la importancia de cerrar la brecha de ciberseguridad industrial entre los entornos de TI y OT. La entrevista ha sido editada por su extensión y claridad.

VER: Coronavirus: políticas y herramientas críticas de TI que toda empresa necesita (TechRepublic Premium)

Esther Shein
: ¿Qué tan bueno es el trabajo de TI para asegurar los sistemas industriales ya que más empleados trabajan de forma remota debido a COVID-19 restricciones?

Dave Weinstein
: Están luchando, principalmente porque la mayoría de las organizaciones simplemente no tienen las herramientas adecuadas para lidiar con este problema. Los empleados tienen que acceder a los sistemas de forma remota: ingenieros de tecnología operativa, ingenieros, las personas que trabajan en plantas y fábricas que ahora, en muchos casos, no están en el sitio, pero que aún necesitan realizar ciertas actividades, ya sea que estén controlando los dispositivos reales. ellos mismos, proporcionando mantenimiento o análisis.

Los equipos de seguridad de TI que son responsables del aprovisionamiento y monitoreo del acceso (a esos sistemas) deben asegurarse de que exista una solución de administración de identidad para que sepan exactamente quién está en el otro extremo. Deben poder monitorear esas sesiones en tiempo actual y, si es necesario, finalizarlas.

Esther Shein: ¿Qué debería preocupar más a los equipos de seguridad / TI ahora?

Dave Weinstein: Los vectores de ataque están creciendo … y son más profundos ahora en la era del coronavirus dado el hecho de que hay aún menos personas en el sitio. Existe un riesgo asociado con el aprovisionamiento de este tipo de accesos. Sigue siendo el principal vector de amenaza según lo que estamos viendo, según los ataques dirigidos a los sistemas OT.

Esther Shein: ¿Cuál es exactamente el riesgo con el acceso compartido?

Dave Weinstein: Tiene personas con acceso privado directamente a redes de tecnología operativa y no hay controles de seguridad reales en torno a ese acceso: las personas comparten contraseñas a través de correos electrónicos y no hay necesariamente ninguna identificación única asociada con esos accesos.

Esther Shein: ¿Qué errores, si los hay, se están cometiendo con la administración de acceso remoto?

Dave Weinstein: Gran parte del bloqueo y la lucha contra la administración de acceso remoto no está sucediendo, por lo que es claramente necesario ciertamente en la era del coronavirus, pero incluso antes de que ocurriera la pandemia e incluso después de que desaparezca.

Históricamente, las organizaciones han podido salirse con la suya al no adoptar las mejores prácticas con respecto al acceso remoto seguro, por ejemplo, compartiendo contraseñas en texto plano e identificaciones únicas porque la amenaza no aumentó al nivel que es hoy, y la conectividad entre OT y no existía.

En los últimos tres o cuatro años que ha cambiado y las redes OT realmente necesitan adoptar muchos de los controles presentes que damos por sentado en el lado de TI … cosas como métodos seguros para administrar contraseñas o tener una administración de identidad y acceso política. Con nuestros sistemas no necesita una contraseña para iniciar una sesión Logramos esto a través de múltiples formas de acceder al sistema, pero idealmente, queremos eliminar las contraseñas. Permitimos que las organizaciones inicien sesiones haciendo que el administrador haga clic en un botón y otorgue una solicitud de un usuario remoto, por lo que se realiza la verificación.

Una vez que finaliza una sesión (el usuario remoto) no puede volver a entrar, por lo que no le otorga al atacante un acceso persistente sin medios para detectarlo. Por lo tanto, se debe otorgar permiso para cada sesión individual, y una vez que se hace, quedan fuera.

Esther Shein: ¿Hace un seguimiento de las amenazas a las redes OT? ¿Qué estas viendo?

Dave Weinstein: En términos generales, la mayoría de las amenazas que ingresan a la red desde OT están explotando lo que es un nivel creciente de conectividad entre las redes de TI y OT. Tome la fabricación, por ejemplo. Los fabricantes están adoptando iniciativas de transformación digital de la industria 4. en las que llevarán datos desde la fábrica a la nube para ejecutar análisis y, con suerte, aumentar la eficiencia y el rendimiento.

Solía ​​tener un piso de fábrica aislado que tenía un espacio vacío … y ahora hay tantos sistemas que se conectan a la infraestructura OT, por lo que los atacantes toman notas y después de años de tratar de atacar redes OT directamente, están comprometiendo la purple de TI que ahora united states of america Técnicas de ataque tradicionales como el spear phishing. Una vez que está comprometido, se mueven lateralmente a la purple OT.

La mayoría de nuestros esfuerzos se centran en cómo podemos asegurar esa intersección de TI e IoT para que (las organizaciones) puedan esencialmente elevar las barreras de entrada. Ese es el vector de amenaza principal que vemos: es que la mayoría de las amenazas que llegan a la crimson OT provienen de las redes de TI.

También estamos descubriendo que el malware es cada vez más frecuente en entornos OT. Hay muchos dispositivos de TI como máquinas Windows en esas redes y si se infectan, eso provocará una pérdida de visión y, en última instancia, derribar una planta. Nuestra evaluación es que veremos más ransomware a medida para redes OT porque desafortunadamente se ha demostrado que es un modelo comercial viable para ciberdelincuentes y fabricantes y otras organizaciones no pueden permitirse el tiempo de inactividad.

Esther Shein: ¿Cuáles son algunas banderas rojas a tener en cuenta cuando se utiliza el acceso remoto seguro para mover datos dentro y fuera de los sistemas OT?

Dave Weinstein: Una bandera roja es si un tercero realiza operaciones fuera de la ventana ordinary que podría indicar una amenaza o anomalía. Otro podría ser examinar las operaciones en sí mismas y validar que lo que sea que esté haciendo el tercero o el usuario remoto esté en un ámbito de trabajo particular.

Esther Shein: Además del cifrado y la autenticación de dos factores, ¿qué otros buenos pasos de higiene deberían tomar las TI para protegerse contra las amenazas cibernéticas desde una postura de trabajo remota?

Dave Weinstein: Otra sería la tecnología VPN, si está disponible, y asegurarse de que la gente la use para cosas sensibles. Y los equipos de seguridad también deben estar al tanto de las vulnerabilidades recientes asociadas con ciertas soluciones VPN: ellos mismos han sido objetivos importantes para los atacantes. Deben asegurarse de que estén ejecutando soluciones VPN actualizadas y que se hayan aplicado todos los parches. Otros pasos que las personas pueden tomar en su hogar son asegurarse de tener contraseñas seguras en los enrutadores inalámbricos y ejecutar equipos actualizados.

Ver también

dtransf.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2018/08/27/6bc25af3-8136-482f-b0fc-1109f53dc7af/resize/770x/a0e3f5b1e047542ec44b27ee44128e0ed

metamorworks, Getty Illustrations or photos / iStockphoto



Enlace a la noticia unique