Cómo proteger nuestra infraestructura crítica de ataques



¿Qué tan preocupados deberíamos estar por un ataque cibernético o físico a la infraestructura nacional? Chris Selling price informa sobre cómo la pandemia, el crecimiento del trabajo remoto e IoT están poniendo en riesgo los activos.

El 2 de febrero, se filtró en línea la compilación más grande de nombres de usuario y contraseñas violados. Conocido como COMB, contenía 3.200 millones de pares únicos de correo electrónico / contraseña, incluidas las credenciales de la planta de agua de Oldsmar en Florida.

Tres días después, un atacante desconocido entró en los sistemas informáticos de Oldsmar e intentó manipular el pH del agua de la ciudad a niveles ácidos peligrosamente altos aumentando el hidróxido de sodio (lejía) 100 veces. Aunque el ataque fue frustrado y los niveles de lejía volvieron a la normalidad, el incidente destacó la facilidad con la que los ciberdelincuentes pueden atacar cada vez más la infraestructura nacional crítica (CNI).

En este caso particular, se pensó que el atacante logró ingresar a los sistemas de Oldsmar a través del software package TeamViewer de la planta, que permite a los supervisores acceder al sistema de forma remota. «En agosto de 2020, nuestros analistas identificaron varias vulnerabilidades y exposiciones de alto riesgo asociadas públicamente con TeamViewer», afirma Evan Kohlmann, director de innovación de la plataforma de inteligencia de amenazas Flashpoint. «Esto incluye un ejemplo que permite que un sitio internet malicioso inicie TeamViewer con parámetros arbitrarios, capturando el hash de la contraseña de la víctima para descifrar la contraseña sin conexión».

Sin embargo, el problema no es exclusivo de TeamViewer. Ya en 2013, el Departamento de Seguridad Nacional (DHS) confirmó que un grupo de hackers iraníes conocido como «SOBH Cyber ​​Jihad» accedió a los sistemas informáticos que controlan la presa Bowman Avenue en Nueva York al menos seis veces, accediendo a archivos confidenciales que contienen nombres de usuario y contraseñas. De manera identical, en 2015 y 2016 Ucrania sufrió una serie de ataques a sus redes eléctricas que se cree que son obra de un grupo de amenaza persistente avanzada patrocinado por Rusia llamado Sandworm, que dejó a 225.000 ucranianos en apagones sostenidos durante varias horas seguidas.

Extremadamente vulnerable
En julio de 2020, un Investigación de CyberNews destacó lo fácil que sería para un atacante ingresar a la infraestructura crítica de EE. UU. a través de sistemas de control industrial (ICS) no seguros. Esto, afirmó, podría ser hecho simplemente por atacantes que utilizan motores de búsqueda y herramientas dedicadas a escanear todos los puertos abiertos y tomar el control de forma remota. Edvardas Mikalauskas, investigador sénior de CyberNews, explica: «Nuestra investigación ha destacado anteriormente que muchos paneles de ICS en los EE. UU. Están críticamente desprotegidos y son de fácil acceso para los actores de amenazas. La infraestructura más vulnerable parece pertenecer al sector de la energía y el agua».

Dilema de seguridad frente a seguridad
De hecho, en su recientemente publicado Informe cibernético de CNI: Riesgo y resiliencia, Bridewell dijo que existe una enorme brecha entre la amenaza percibida de un ciberataque y la amenaza authentic a CNI. Si bien el 78% de las organizaciones tiene «confianza» en que su OT (tecnología operativa) está protegida de las ciberamenazas, y el 28% tiene mucha confianza, parece que CNI se enfrenta a un «asedio cibernético». Según la investigación de Bridewell de 250 tomadores de decisiones de seguridad y TI del Reino Unido en cinco sectores clave de CNI (aviación, productos químicos, energía, transporte y agua), el 86% de las organizaciones han detectado ciberataques en sus entornos OT / ICS en los últimos 12 meses, con casi una cuarta parte (24%) experimenta entre uno y cinco ataques exitosos. El agua y el transporte han sido los sectores que han experimentado los ataques más exitosos. De manera identical, IBM informó un aumento del 2000% en incidentes de seguridad cibernética dirigidos a OT en 2019, la mayoría de ellos relacionados con el malware Echobot IoT (descargue el índice anual de inteligencia de amenazas X-Pressure de IBM aquí).

Para Terry Olaes, director técnico para Norteamérica de la empresa de seguridad informática Skybox Safety, los últimos ataques OT señalan un cambio de intención entre los ciberdelincuentes, además de plantear interrogantes sobre el aumento de las vulnerabilidades críticas de la infraestructura. «La gestión de la infraestructura crítica conlleva varios desafíos», dice. «Implica entornos masivos que no pueden experimentar tiempo de inactividad y donde la seguridad a menudo se prioriza sobre la seguridad. Como resultado, la vulnerabilidad y la remediación en los dispositivos OT solo ocurren alrededor de &#39una o dos veces al año, dejando la puerta trasera abierta de par en par a los malvados atacantes. nuestra infraestructura crítica «.

Scott Nicholson de Bridewell está de acuerdo: «Dentro de un contexto de controles industriales, la consistencia y la disponibilidad del servicio son clave, mientras que la actualización del computer software se considera riesgosa. Parchear los sistemas y mantenerlos actualizados puede ser muy complejo para las organizaciones de OT», agrega.

Otro problema es la demanda de conectividad a World-wide-web, que se ha acelerado en parte por la pandemia de COVID-19. Mientras que tradicionalmente muchas organizaciones dentro de los sectores CNI han administrado Sistemas de Management Industrial (ICS) y aplicaciones críticas en su propia pink privada cerrada, esto está comenzando a cambiar. El auge de la World wide web de las cosas (IoT) ha puesto de reduce los beneficios de la conectividad y existe una creciente necesidad de impulsar la convergencia entre la tecnología operativa crítica, las redes de TI e Internet para la gestión remota. Sin embargo, inevitablemente, esto simplemente aumenta la superficie de ataque potencial y genera una gama más amplia de amenazas.

«Para muchas instalaciones de infraestructura crítica, COVID-19 forzó un cambio abrupto a los empleados que trabajaban desde casa, lo que significa que los equipos de seguridad tuvieron que hacer que las redes de management de producción fueran accesibles de forma remota para mantener los sistemas en funcionamiento», explica Andrea Carcano, cofundadora de Nozomi Networks. . «Sin embargo, desafortunadamente, el acceso remoto es a menudo el camino más fácil para que los atacantes se infiltran en una red».

Scott Nicholson agrega: «Sus redes deben estar segmentadas de World wide web tanto como sea posible». Esto se puede hacer utilizando el modelo Purdue, una estructura jerárquica para las comunicaciones industriales que se desarrolló por primera vez en la década de 1990.

Impresionante seguridad física no es suficiente
Según Joseph Carson de Thycotic, la seguridad física que rodea la infraestructura nacional crítica, como las centrales eléctricas, suele ser muy impresionante. Desafortunadamente, no se puede decir lo mismo de su ciberseguridad. «Tienes puertas, guardias armados, todos estos sensores y sistemas de detección perimetral, pero cuando miras el lado de la seguridad cibernética es realmente bastante preocupante», dice. «No solo es una amenaza el uso de soluciones de escritorio remoto, sino que he visto software program de transmisión de audio instalado, lo que implica que los operadores pueden instalar su propio software para escuchar música mientras monitorean la infraestructura crítica».

Tampoco los desafíos simplemente desaparecerán. El crecimiento de IoT, en specific el aumento de la Industria 4. con su creciente demanda de drones y vehículos autónomos, significa que el potencial de ataque solo será mayor. Al mismo tiempo, la demanda continua de trabajo remoto como resultado de la pandemia proporciona un riesgo adicional, como lo demostró el reciente ataque de TeamViewer a la planta de tratamiento de agua de Florida. De hecho, la lucha contra COVID en sí misma está proporcionando un objetivo para los atacantes cibernéticos.

Andrea Carcano, de Nozomi Networks, concluye: «Hemos seguido viendo un aumento de las amenazas a la infraestructura crítica en los últimos años y no esperamos que esa tendencia termine pronto. Los recientes ataques a las organizaciones de atención médica y aquellos en la lucha contra COVID son recordatorios dramáticos de que los sistemas en los que respondemos son objetivos de alto valor que son vulnerables y están en constante riesgo de ataque «.

Cinco pasos para ayudar a proteger la infraestructura nacional crítica de ataques

  • Acceso remoto seguro: Este suele ser el camino más fácil para que los atacantes se infiltran en una red. Los administradores deben proteger el acceso remoto mediante la protección de terminales, una buena higiene de contraseñas y firewalls de pink.
  • Crear inventario de activos: Si no puede ver todos los dispositivos en la pink, entonces es imposible proteger o segmentar la crimson para una mayor resistencia. Al mantener un inventario en tiempo genuine de todos los activos de la purple, los equipos de seguridad pueden lograr una visibilidad precisa de sus dispositivos, conexiones, comunicaciones y protocolos.
  • Identificar y parchear vulnerabilidades: Las redes industriales contienen miles de dispositivos OT e IoT de varios proveedores. Desafortunadamente, la mayoría no están diseñados para el nivel de seguridad requerido para el entorno de infraestructura crítica. Las herramientas que identifican las vulnerabilidades del sistema, utilizando la Foundation de datos nacional de vulnerabilidades (NVD), pueden ayudar a determinar qué dispositivos están en riesgo, priorizar y recomendar actualizaciones de firmware.
  • Monitorear anomalías: Las soluciones automatizadas de detección de anomalías en la red aprovechan la inteligencia synthetic para ejecutar la detección de anomalías en función de los parámetros reales que se utilizan para controlar el proceso industrial.
  • Integrar redes de OT y TI: OT sabe cómo cumplir los objetivos de producción y mantener la planta en funcionamiento de forma segura, mientras que TI puede abordar los problemas de redes y ciberseguridad. La combinación de ambos puede brindar una mayor resistencia, reduciendo los puntos ciegos y los riesgos de seguridad que rodean a los sistemas de command industrial altamente conectados.

—Historia de Chris Value

Esta historia apareció por primera vez en IFSEC International, Parte de Informa Community y proveedor líder de noticias, artículos, movies y documentos técnicos para la industria de la seguridad y los incendios. IFSEC World wide cubre desarrollos en tecnologías físicas establecidas desde hace mucho tiempo, como videovigilancia, manage de acceso, alarmas contra intrusos / incendios y vigilancia, e innovaciones emergentes en ciberseguridad, drones, edificios inteligentes, domótica, World-wide-web de las cosas y más.

IFSEC International, parte de Informa Community, es un proveedor líder de noticias, artículos, video clips y documentos técnicos para la industria de la seguridad y los incendios. IFSEC Global cubre desarrollos en tecnologías físicas establecidas desde hace mucho tiempo, como videovigilancia, regulate de acceso, … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary