Cómo prevenir otro ataque de ransomware Colonial Pipeline


Tanto el gobierno como las empresas deben dar un paso adelante para combatir los ataques de ransomware contra sistemas críticos antes de que se salgan aún más de regulate.

El ataque de ransomware contra Colonial Pipeline representa un tipo de amenaza relativamente nueva y destructiva contra la infraestructura crítica. Más allá del impacto financiero y operativo para la propia empresa, un ataque de este tipo amenaza con afectar a millones de personas que dependen de la entrega segura y rápida de gas y petróleo.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (TechRepublic)

Pero el incidente también es el último capítulo de una historia que se ha vuelto demasiado common.

Una organización importante es el objetivo de un ciberataque que se realiza a través de una vulnerabilidad, un sistema sin parches o ingeniería social. La organización victimizada llama a las tropas del gobierno para investigar el incidente y a una empresa de seguridad para ayudarlo a recuperarse. Promete apuntalar sus recursos para asegurarse de que esto nunca vuelva a suceder. Y luego esperamos hasta que la próxima gran organización sea atacada de la misma manera.

Un ciberataque que afecte a una gran empresa y a sus clientes o usuarios ya es bastante angustiante. Pero un ataque que afecte directamente a una nación y a sus ciudadanos en standard podría ser realmente devastador. Aunque Colonial Pipeline está trabajando para que todas sus operaciones afectadas vuelvan a funcionar, el incidente podría provocar contratiempos clave.

«Más allá del potencial de aumento de los precios del combustible en el área, esto podría afectar a toda la cadena de suministro», dijo Damon Compact, experto en ciberseguridad de petróleo y gasoline y consultor de seguridad en NCC Group. «Sin forma de trasladar productos refinados de las refinerías en Houston y sin ningún lugar para almacenarlos, es posible que las refinerías tengan que reducir la producción. Dado que las refinerías necesitarán tiempo para volver a la operación ordinary una vez que se restablezca el servicio de la tubería, los suministros de flamable podrían permanecer en niveles subóptimos incluso después de que Colonial se recupere de este incidente «.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Quality)

Colonial Pipeline es responsable de entregar gas, combustible para calefacción y otras formas de petróleo a hogares y organizaciones, lo que representa el 45% del combustible de la costa este. ¿Cómo era vulnerable un proveedor tan importante a un ciberataque severo?

El problema de seguridad con los sistemas de servicios públicos y otra infraestructura crítica es multifacético, según Neal Bridges, experto en ciberseguridad y director de contenido de la firma de capacitación INE.

Primero, aunque el gobierno considera que las empresas de servicios públicos son «infraestructura crítica», la mayoría aún son de propiedad privada y están impulsadas principalmente por las ganancias, dijo Bridges. La ciberseguridad se trata como un centro de costos que afecta el resultado ultimate sin un retorno claro de la inversión, por lo que el gasto en esta área puede pasar desapercibido.

En segundo lugar, la infraestructura más crítica se estableció hace años con una mentalidad de «configúrelo y olvídese» con la seguridad en un lugar bajo en la lista de factores importantes. Ciertos fabricantes incluso obligan a las organizaciones a adoptar un enfoque de «no intervención» en sus sistemas, amenazando con que cualquier endurecimiento interrumpiría el soporte o anularía la garantía, agregó Bridges.

En tercer lugar, el gobierno tiene ciertas pautas para la infraestructura crítica, como Instituto Nacional de Estándares y Tecnología, pero no se pueden hacer cumplir de la misma manera que las regulaciones como Reglamento general de protección de datos o Ley de privacidad del consumidor de California. Entonces, no hay mucho que el gobierno pueda hacer para «castigar» a estas empresas por su falta de controles de ciberseguridad, dijo Bridges.

El FBI y otros han atribuido el ataque a la banda de ransomware DarkSide, una afiliación de ciberdelincuentes que se dirigen a organizaciones grandes y rentables. Se desconoce cómo DarkSide realmente penetró las defensas de Colonial Pipeline o al menos no se ha revelado públicamente. Pero los expertos han ofrecido sus propias teorías.

«Es probable que DarkSide haya encontrado un dispositivo susceptible y conectado a Online y lo haya utilizado para hacerse un hueco dentro de la pink comercial de TI de Colonial», dijo Smaller. «No está claro si el malware se propagó de TI a la tecnología operativa, o si Colonial cerró las operaciones de manera proactiva. De cualquier manera, la arquitectura de la crimson y los controles técnicos estarán bajo escrutinio».

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

El movimiento hacia el trabajo remoto entre tantas organizaciones también puede haber jugado un papel en el ataque.

«Muchos creen que este ataque fue el resultado de que más ingenieros accedieron de forma remota a los sistemas de manage para la tubería desde casa utilizando un application de escritorio remoto como TeamViewer y Microsoft Remote Desktop», dijo Troy Gill, gerente de investigación de seguridad del proveedor de seguridad Zix. «La pandemia obliga a más empleados a trabajar desde casa y, desafortunadamente, muchas organizaciones todavía están tratando de proteger sus dispositivos, puntos de acceso remotos y redes en basic».

El ataque contra Colonial Pipeline no es el primero contra la infraestructura crítica. En febrero, un pirata informático pudo acceder de forma remota a los sistemas en una planta de tratamiento de agua en Florida y agregar una cantidad peligrosa de productos químicos al suministro de agua de la ciudad. En 2020, una serie de ciberataques dirigidos instalaciones de gestión del agua en Israel. Otros tipos de sistemas de infraestructura crítica son igualmente vulnerables, según Bridges.

«Si piensas en plantas de tratamiento de agua, redes eléctricas, sistemas ferroviarios, plantas de energía, todas utilizan las tecnologías que vemos en Colonial Pipeline, lo que significa que podría haber ciberataques latentes esperando en otra infraestructura que respalde otras partes de los EE. UU.», Bridges dicho.

«Los niveles de cloro superiores a cuatro partes por millón comienzan a ser dañinos para los humanos», agregó Bridges. «Envision un actor de amenazas que quisiera dañar, por ejemplo, una instalación militar completa. Si encontraran la planta de tratamiento de agua que da servicio a una base de operaciones especiales, un escuadrón de inteligencia o un grupo de misiles nucleares, podrían piratearlo y cambiar los niveles de cloro para envenenar a toda una comunidad, obligando a la foundation a cerrar sus operaciones «.

Frente a la amenaza de un ciberataque contra sistemas e infraestructura críticos, tanto el gobierno como el sector privado deben intensificar su juego. ¿Cómo? El primer paso es priorizar la seguridad.

«Necesitamos tener conversaciones abiertas y sinceras con las compañías de petróleo y fuel sobre las medidas que están tomando para proteger la infraestructura crítica de la nación», dijo Modest. «En muchos sentidos, el petróleo y el gasoline se autorregulan. La pandemia provocó una reducción drástica de los presupuestos y, a menudo, las unidades de negocio que los financian consideran que la TI y la seguridad de la información no son esenciales. Teniendo en cuenta que las empresas de petróleo y fuel, incluidas empresas de oleoductos: no están tan reguladas como otras infraestructuras críticas, no sería sorprendente que el gobierno federal examinara más de cerca esta parte de nuestra industria energética «.

El siguiente paso es implementar una tecnología como la confianza cero, que limita el acceso a los sistemas clave.

«Todos los principales proveedores de infraestructura, desde energía hasta transporte, sistemas de agua y atención médica y más, deben estar equipados o modernizados con controles de seguridad de confianza cero que permitan a los empleados y contratistas hacer su trabajo de manera más segura y que brinden una protección mucho mayor de infraestructura «, según el director de operaciones de Zentry Protection, Bert Rankin. «Las soluciones de acceso a la pink de confianza cero son un buen comienzo, ya que restringen el acceso solo a aquellas aplicaciones que un empleado o contratista necesita para hacer su trabajo».

Troy Gill de Zix dijo que cree que el FBI y otras agencias gubernamentales que intervienen para ayudar con el ataque Colonial Pipeline es una medida crítica, equivalent a la forma en que el FBI intervino para eliminar los shells website de Microsoft Trade para proteger a las organizaciones. Gill también recomendó a las organizaciones que requieran autenticación multifactor, que realicen auditorías de seguridad periódicas para buscar vulnerabilidades y se aseguren de que se realicen copias de seguridad de los datos críticos con regularidad.

En última instancia, a menos que se ponga el enfoque adecuado en la seguridad en todos los ámbitos, la infraestructura crítica seguirá estando en riesgo.

«Todo lo que necesitan las personas detrás de estos ataques de ransomware es alguien que ejecute una computadora portátil de manera no autorizada en una crimson no segura, como un sistema Wi-Fi doméstico», dijo la presidenta y directora ejecutiva de IAITAM, Barbara Rembiesa. «Hasta que los operadores de sistemas públicos de agua, tuberías de energía, plantas de energía nuclear, puentes, túneles, aeropuertos y otros elementos clave de la infraestructura se tomen en serio la gestión de activos de TI rigurosa y rigurosa, veremos más y más ataques de ransomware como el uno en Colonial Pipeline «.

Ver también

Guardia en la puerta de Colonial Gas

Imagen: Bloomberg / Getty Visuals



Enlace a la noticia initial