El ataque Colonial Pipeline nos recuerda las vulnerabilidades de nuestra infraestructura crítica


El experto en ciberseguridad analiza las muchas formas en que los atacantes podrían haber obtenido acceso a la empresa Colonial Pipeline y nos recuerda por qué la amenaza siempre acecha.

Karen Roby de TechRepublic habló con Vyas Sekar, profesor de ingeniería eléctrica e informática en la Universidad Carnegie Mellon, sobre el ataque de ransomware Colonial Pipeline por parte del grupo de hackers Darkside. La siguiente es una transcripción editada de su conversación.

Karen Roby: Estamos aprendiendo más sobre el ataque de ransomware Colonial Pipeline. Hay muchas capas en esto, y estamos incorporando a Vyas Sekar. Es profesor de ingeniería eléctrica e informática en la Universidad Carnegie Mellon. Solo quiero decir desde el principio que Vyas no está afiliado de ninguna manera con Colonial Pipeline y con esta situación en individual. Pero es, por supuesto, un experto en ciberseguridad. Quiero tratar de desglosar algo de esto solo un poco. Vyas, esta situación ciertamente expuso una gran vulnerabilidad en la industria crítica.

Vyas Sekar: Como dijiste, aquí hay muchas piezas en movimiento. Así que déjame intentar explicarte esto. Creo que lo primero es que esto es lo que llamamos un ataque de ransomware. Alguien se infiltró en su sistema y luego lo retienen para pedir un rescate. Han cifrado o desactivado algunos elementos clave. Y, básicamente, te dicen: «Páganos algo de Bitcoin o criptomoneda y luego lo dejaremos ir». Así que esencialmente te están chantajeando en este momento, por la extorsión. El segundo aspecto de esto es lo que llamaríamos un ataque ciberfísico, es decir, han atravesado un componente conectado a la red o net cibernético para causar que un componente físico, o una infraestructura física, se vea afectado. Entonces, este es un ejemplo de un ataque ciberfísico. Esas son las dos cosas principales de las que debemos preocuparnos. Es ransomware es ciberfísico. Y como mencionaste, se trata de un ataque ciberfísico a un componente de infraestructura crítico, que en este caso eran tuberías.

Karen Roby: Y Vyas, con el trabajo que haces allí en Scilab y en Carnegie Mellon, esto es obviamente algo de lo que ustedes hablan todo el tiempo. ¿Es algo que podrías ver venir?

Vyas Sekar: Sí, creo que deberíamos estar preocupados por eso por la siguiente razón. Creo que ha habido muchas amenazas con el World-wide-web de las cosas a medida que pasan más cosas en la crimson. Y también vemos esta convergencia de lo que era clásicamente TI, o tecnología de la información, y lo que era clásicamente OT, tecnología de operaciones, como sus sistemas de command, sus plantas de energía, sus tuberías. Por lo normal, estaban separados. Pero cada vez más, vemos la convergencia de TI y TO a través de este Net de las cosas. Y es una infraestructura mucho más interconectada. Entonces, lo que significa que sabemos que tales ataques de infraestructura crítica son posibles. Por ejemplo, creo que quizás hace un par de años vimos a la ciudad de Atlanta retenida para pedir rescate. Los sistemas de tráfico, los sistemas de trenes se retuvieron a cambio de rescate. Creo que a principios de este año o el año pasado, hubo un ataque a una instalación de tratamiento de agua en Florida. Por lo tanto, todos forman parte de la misma amenaza emergente en la que las infraestructuras críticas que controlan físicamente partes de las infraestructuras críticas están expuestas a amenazas cibernéticas. Lo vimos venir en el sentido de que es inevitable que sucedan estas cosas.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito)

Karen Roby: Vyas, obviamente la pregunta del millón de dólares es, ¿cómo podemos evitar que esto suceda? Quiero decir, hablamos solo de la explosión de los dispositivos de IoT. Tanta gente trabajando a distancia ahora. Quiero decir, hay tantas vulnerabilidades. Y vulnerabilidades, a menudo, en estos sistemas realmente sofisticados.

Vyas Sekar: Aquí hay un par de cosas. Como dije, estos sistemas son increíblemente complejos. Tienes que hacer un par de cosas. Una es ¿qué puede hacer para evitar que sucedan estas cosas en primer lugar? Y en ese caso, creo que es una higiene cibernética mucho mejor. No desea que la infraestructura crítica esté expuesta a Internet. No desea que un pirata informático al azar encuentre la planta de energía o la tecnología de tubería en Net. De hecho, hay motores de búsqueda, cosas como Shodan, que en realidad le darán una lista de estos componentes vulnerables en Web, que no debería haber. Por lo tanto, ciertamente existen buenas prácticas para mantener algunos de estos componentes fuera de Online, segmentando su pink para que estos dos componentes diferentes no se comuniquen entre sí. E incluso, como dijiste, con cosas como el trabajo remoto y otros tipos de nuevos modos de operación, los usuarios también deben estar seguros.

Es probable que, por ejemplo, en muchos casos, el ransomware ingrese a través de un correo electrónico comercial. Alguien tal vez hizo clic en un correo electrónico de phishing y así es como el malware ingresa a estas infraestructuras críticas. Entonces, también hay un componente de usuario. En este caso, no sé exactamente cómo entró el malware. Y estoy seguro de que lo averiguaremos en los próximos días, y alguien hará un análisis forense del incidente para decirnos cómo entró. Pero Hay muchas formas de que se produzca el ataque. Podría tener componentes vulnerables que estén expuestos, pirateados desde el exterior. Por ejemplo, creo que hubo un ataque en 2016. Básicamente, hay un montón de estas cámaras con prácticas de seguridad muy deficientes, como contraseñas predeterminadas. Así que entré. Ahora estoy dentro de tu pink. Esas son todas buenas prácticas de ciberseguridad que podrían adoptarse para reducir el riesgo de que ocurra este evento.

La segunda es que también podemos hacer cosas como bloquear algunos de estos ataques de forma proactiva en la capa de pink o usar mejores herramientas de seguridad como antivirus tanto como sea posible, firewalls de red o sistemas de detección de intrusiones en la pink, and many others. Todos ellos son parte de su estrategia de defensa en profundidad para detectar y ver si algo salió mal. Finalmente, también necesita tener un mecanismo de recuperación related. Asumes que las cosas saldrán mal. La pregunta es, ¿qué tan rápido puedes recuperarte de eso, porque no puedes ser perfecto en el lado defensivo de las cosas? Así que ciertamente podemos ser mejores en defensa. Ciertamente podemos ser mejores en la detección, pero en algún momento, también es necesario tener una estrategia de recuperación. ¿Tienes copias de seguridad? ¿Tiene alguna forma de reiniciar los sistemas? ¿Tiene alguna forma de encontrar qué más se vio comprometido para sacarlos de la crimson? Por lo tanto, también necesita un system de recuperación.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Top quality)

Muchas, muchas posibilidades de cómo el atacante pudo haber entrado. Una es, tal vez sea una cámara con una contraseña predeterminada en su red y alguien inició sesión, y ahora están dentro de su pink. Algunos de estos ataques también son muy sigilosos en el sentido de que, por ejemplo, traje una unidad USB de casa. Sucedió que tenía malware. Lo conecté. Y simplemente permanece inactivo dentro de una red durante mucho tiempo antes de que suelte algo. Y también hay otros tipos de casos en los que los ataques se realizan en varias etapas, en los que entran en uno, lo piratean y luego hacen un reconocimiento para averiguar qué más hay en la pink. Y entran al siguiente, al siguiente, al siguiente, y finalmente llegan a la tubería. Entonces, puede ser un ataque de varias etapas. Puede que no sea solo la tubería fue la primera orden de entrada.

Y también podría haber otros tipos de cosas en las que, como humanos, en sus computadoras y laptops revisan su correo electrónico. Y todo lo que se necesita es que una persona haya hecho clic en un archivo adjunto aleatorio o haya ingresado un teléfono con un teléfono comprometido a la pink crítica, y luego, ¡boom! Estás dentro. De nuevo, los atacantes tienen muchas, muchas oportunidades para ingresar. Defensores tienes que hacerlo bien todo el tiempo.

Karen Roby: Muy bien, Vyas, estás trabajando con estudiantes todos los días, por supuesto, y entrenando para ser el próximo grupo de expertos en ciberseguridad. ¿Estamos a la par con el número que necesitamos para redoblar nuestros esfuerzos en el futuro? ¿O vamos a ver una escasez actual?

Vyas Sekar: Creo que todos los estudios que he visto dicen que tenemos una escasez de personal capacitado en ciberseguridad. Pero algunas de estas cosas también tienen que ver con el tipo de herramientas que tenemos en la práctica, que incluso si tiene el private, también se trata de brindarles el tipo de herramientas adecuado. Entonces, aquí está este lado de la asimetría. Si soy un atacante, tengo herramientas increíbles, pero los defensores no tienen las herramientas adecuadas. Es como ir a un tiroteo con espadas o lo que sea. Entonces, la investigación, o el enfoque educativo, de Scilab está en el frente educativo, ¿cómo capacitamos a la fuerza laboral? ¿Cómo creamos la próxima generación de trabajadores de ciberseguridad? Y también en el frente de la investigación, ¿cómo le damos a esa fuerza laboral mejores herramientas de la investigación para encontrar proactivamente nuevos vectores de ataque? ¿Cómo defenderlos dentro de la crimson? ¿Cómo hacer estrategias de recuperación? Y así. Así que es tanto entrenar como darles mejores herramientas para luchar contra los atacantes.

Karen Roby: Muy bien, Vyas, esta situación en certain, por supuesto, está en todas las noticias. Creo que realmente abrir algunos ojos para las personas que de otra manera realmente no entenderían cuán importantes podrían ser este tipo de ataques, y tal vez finalmente darse cuenta de que esto es realmente aterrador.

Vyas Sekar: Sí, da miedo. Y hay un montón de estas llamadas de atención que siguen llegando. Creo que SolarWinds fue un ejemplo, el año pasado, donde una pieza crítica de la maquinaria y los datos del gobierno se violan debido a un proveedor externo. Y este es un ejemplo del hackeo de Florida, el hack de Atlanta, ahora este incidente, nos muestra cómo las infraestructuras críticas que conectan las cosas que afectan nuestra vida física cotidiana, ahora mismo, solo Online, también son vulnerables. Definitivamente es una llamada de atención. Y creo que hay estándares y mejores prácticas en las que la gente está trabajando para ponerse al día. Pero todavía estamos tratando de ponernos al día.

Ver también



Enlace a la noticia primary