Mover OT a la nube significa tener en cuenta una nueva serie de riesgos de seguridad


Los sistemas ICS administrados a través de software package en la nube están abiertos a exploits que podrían ser lo suficientemente destructivos como para causar daños físicos a los sistemas industriales. A continuación, le mostramos cómo proteger su pink de tecnología operativa.

iotmachine.jpg

chombosan, Getty Pictures / iStockphoto

En la carrera por trasladar la tecnología operativa (OT) y los sistemas de manage industrial (ICS) a la nube, se han descubierto vulnerabilidades críticas en el preferred software program de gestión de la nube de CODESYS y los controladores lógicos programables (PLC) fabricados por WAGO Corp.

El informe, del equipo de investigación de Claroty, Team82, descubrió siete nuevos CVE, tres que afectan al software package CODESYS y cuatro que afectan a los PLC de WAGO. Las vulnerabilidades se pueden aprovechar de forma remota y permitir que un atacante ingrese a una consola de administración en la nube a través de un solo dispositivo de campo comprometido, o se haga cargo de múltiples PLC y dispositivos OT utilizando una única estación de trabajo comprometida. Según Group82, las vulnerabilidades incluso podrían permitir que un atacante lead to daños físicos a las máquinas y dispositivos en una crimson comprometida.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Premium)

La naturaleza de los ataques es, en esencia, la misma que la de otros ataques tradicionales en plataformas basadas en la nube, dijo Workforce82. Las aplicaciones internet pueden ser atacadas mediante inyección SQL, vulnerabilidades transversales de ruta y exploits de día cero. Desafortunadamente para las organizaciones que mueven su OT a la nube, ninguno de estos exploits fue posible cuando los sistemas se ubicaron en el sitio sin ningún elemento orientado a Internet.

Además de usar ataques a los que todas las plataformas en la nube son vulnerables, Workforce82 dijo que uno de sus enfoques implica obtener acceso no autorizado a una cuenta de operador «utilizando diferentes métodos». Una vez más, estos métodos diferentes probablemente sean similares a otros ataques utilizados para robar credenciales, como el phishing, que ha ido en aumento a medida que más organizaciones pasan a modelos basados ​​en la nube para permitir el trabajo remoto.

Group82 detalló dos enfoques diferentes para obtener acceso a redes OT y components: un enfoque de arriba hacia abajo que implica obtener acceso a una cuenta privilegiada y, por lo tanto, un panel de manage en la nube, y un enfoque de abajo hacia arriba que comienza atacando un dispositivo de punto closing como un PLC desde que pueden ejecutar código remoto malicioso.

Independientemente del método, el resultado final para el atacante es el mismo: acceso y control de una plataforma de administración de OT en la nube y la capacidad de interrumpir dispositivos y negocios. «Un atacante podría detener un programa de PLC responsable de la regulación de la temperatura de la línea de producción, o cambiar las velocidades de centrifugado como fue el caso de Stuxnet. Este tipo de ataques podría provocar daños en la vida serious y afectar los tiempos de producción y la disponibilidad», investigador senior de Team82 Dijo Uri Katz.

También vale la pena señalar que todos los CVE expuestos por Group82 han sido parcheados por CODESYS y WAGO. Asegúrese de buscar actualizaciones si su organización utiliza software package o hardware de cualquiera de las empresas.

Protección de redes OT

Hay muchas buenas razones para trasladar la administración de OT e ICS a la nube: una administración más fácil, una continuidad comercial confiable, análisis de rendimiento, centralización, administración remota y otras ventajas son todas justificaciones.

«En el pasado, hemos aprendido lecciones difíciles sobre otras tecnologías que evolucionaron y adoptaron rápidamente sin la debida consideración por la seguridad. Hoy haríamos bien en prestar atención a esas lecciones nuevamente», dijo Katz.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

Con ese fin, Team82 hace las siguientes recomendaciones para las organizaciones que ya se han trasladado o están considerando la administración en la nube de redes OT e ICS:

  • Cada dispositivo conectado a soluciones en la nube debe tratarse como un elemento de comunicación confiable. Implemente programas de gestión de riesgos de la cadena de suministro que puedan proporcionar información sobre la postura de seguridad del proveedor y las posibles vulnerabilidades.
  • El seguimiento activo de los activos industriales es fundamental. Asegúrese de realizar un seguimiento de las soluciones existentes que no están conectadas a la nube y verifique periódicamente si hay actualizaciones para asegurarse de que el nuevo program con nuevas capacidades se instale de inmediato para mejorar la visibilidad.
  • Implemente una arquitectura de confianza cero para evitar que los atacantes se muevan lateralmente si se penetra en una purple.
  • Las vulnerabilidades en línea son casi imposibles de detectar, así que asegúrese de tener un application que pueda detectar el movimiento lateral y monitorear activamente todo el tráfico de los activos críticos.
  • Los centros de operaciones de seguridad suelen estar centrados en TI. Capacítelos y téngalos listos para responder también a los incidentes de la purple OT.

Cuando esas cosas no son posibles, «como mínimo, las credenciales deben protegerse mediante la autenticación de dos factores, los roles deben definirse, los permisos cuidadosamente orquestados y las identidades administradas como un paso crucial de defensa en profundidad para la nube», dijo Katz. .

Ver también



Enlace a la noticia original