Protección del suministro de agua – edición hacker


¿Qué pueden hacer los municipios para proteger mejor sus sistemas de suministro de agua?

Nosotros reportado recientemente sobre un ataque contra el suministro de agua en Oldsmar, Florida, y preocuparse por la posibilidad de ataques futuros e imitadores contra otros sistemas de tratamiento de agua ligeramente defendidos en pequeñas ciudades de todo el mundo y qué se puede hacer para detener tales incursiones.

En el caso de Florida, los delincuentes utilizaron herramientas de acceso remoto para afianzarse y cambiar los niveles de sustancias químicas en el suministro de agua, elevándolos a niveles potencialmente peligrosos.

Eso es preocupante, incluso porque los piratas informáticos normalmente tendrían que adquirir conocimientos específicos sobre los sistemas de gestión de tratamiento de agua, un grupo demográfico muy específico. Eso no es un ataque de «rociar y rezar» está dirigido y lleva algo de tiempo crear y desplegar. Y mientras este incidente no fue un ataque de día cero súper sigiloso, es probable que alguien haya estado interesado en el objetivo durante algún tiempo.

Desde la perspectiva del atacante (es decir, un atacante intencional típico que diseña y ejecuta un ataque bien pensado), ¿cómo podría desarrollarse tal escenario?

Primero, los atacantes identifican el objetivo, recopilan información y forman un system. Una vez que se ha obtenido el acceso, necesitan buscar en la pink los sistemas de command que interactúan directamente con el proceso de tratamiento del agua. Nuevamente, esto puede llevar mucho tiempo y planificación.

Una vez que se han identificado los objetivos potenciales, los atacantes deben comprender qué papel tienen esos objetivos en el proceso químico y qué acceso tienen esos sistemas al equipo físico involucrado en la producción, ya sean válvulas, relés, sensores de nivel, termopares u otros controles.

Luego, tienen que diseñar un ataque específico dentro del contexto que pueden evaluar en el camino, y luego lanzarlo en un momento preciso que tendría las mejores probabilidades de éxito, todo mientras mantienen el acceso no detectado a todos los sistemas de la cadena.

En el caso de Oldsmar, una vez que se lanzó el ataque, existían otros sistemas que proporcionaban información que podía alertar al personal a tiempo para frenar el ataque. Esa es la buena noticia. La mala noticia sería que podrían haber estado bajo un ataque silencioso durante semanas o meses antes del intento genuine de envenenamiento y no lo sabían.

Mi colega Tony Anscombe se pregunta por qué la instalación de Oldsmar no tenía un prepare minuciosamente examinado e implementado de acuerdo con Orientación sectorial de CISA para sistemas de agua y aguas residuales, incluidas medidas como la autenticación de dos factores (2FA) y controles similares. Es muy útil que esas pautas estén disponibles para que los municipios pequeños se aceleren rápidamente, incluso si no tienen acceso a ninjas de ciberseguridad en el private, lo que puede ser muy costoso con los presupuestos típicos de una pequeña ciudad.

Mientras tanto, espere ver futuros intentos de explotación contra otros municipios. Intentos de ransomware sería una tendencia de seguimiento obvia.

¿Qué pueden hacer los pueblos pequeños? Deben tomarse el tiempo para comprender e implementar la guía disponible, que puede ser tan basic como agregar / hacer cumplir 2FA, parchear sistemas, implementar buenos procesos de control de cambios (según los informes de los medios, TeamViewer había sido reemplazado como la solución de acceso remoto en uso en esta planta de tratamiento de agua, aún estaba en funcionamiento, exponiendo la planta a Web a través de una interfaz no requerida) y capacitando al own en ciberhigiene.

Además, realice un ejercicio de práctica asumiendo una infracción y “piense como un pirata informático” para evitar que ingresen. También es una buena idea tener un approach en marcha en caso de que ocurra un ataque de ransomware De esa manera, los pueblos pequeños no se enfrentarán a la insostenible perspectiva de explicar a los ciudadanos por qué simplemente gastaron dinero público para detener un ataque que no debería haber ocurrido en primer lugar.





Enlace a la noticia initial