El cálculo de la gestión de riesgos de ransomware está cambiando para OT, ICS e infraestructura crítica


La parálisis es el peor estado en el que pueden encontrarse las empresas cuando se enfrentan a la amenaza, dice el CPO de Claroty.

istock-614154000.jpg

nevarpp, Getty Photographs / iStockphoto

Grant Geyer se incorporó a la empresa de ciberseguridad industrial Claroty en abril de 2020 como director de productos en medio de la pandemia mundial y una explosión de ataques de ransomware. En la primera mitad de 2020, con las restricciones de COVID-19 vigentes, las organizaciones con sede en EE. UU. Experimentaron un aumento del 109% en los ataques de ransomware, mientras que las detecciones de malware common disminuyeron un 24% en todo el mundo.

Los incidentes recientes de ransomware de alto perfil, como el ataque Colonial Pipeline de mayo de 2021, indican que el ransomware no solo es un problema financiero, sino que también afecta la tecnología necesaria para mantener la sociedad en movimiento. «Hemos llegado a un punto de inflexión en el que los eventos que suceden en el mundo cibernético pueden afectar los eventos en el mundo físico», dijo Geyer.

La infraestructura crítica, la tecnología operativa (OT) y los sistemas de regulate industrial (ICS) se están volviendo populares entre los atacantes que buscan objetivos suaves. Además de estar mal preparado para los riesgos de estar conectado a Net, las consecuencias en el mundo serious de un ataque exitoso a la industria y la infraestructura brindan a las víctimas un incentivo serio para pagar.

No hace falta decir que Geyer tiene mucho que decir sobre la amenaza que representa el ransomware para OT, ICS e infraestructura crítica. Las organizaciones que esperan una salida fácil de la amenaza del ransomware no deberían sentirse cómodas: hay un camino largo y complicado por delante de los mundos de TI y OT si Geyer está en lo cierto en su evaluación, y no es el único que piensa de esa manera.

El auge de la industria del ransomware

Piense en los ciberdelincuentes que atacan a las empresas con ransomware, y probablemente sea una sola persona en una habitación oscura, escribiendo furiosamente código malicioso lo que le viene a la mente. No es así, dijo Geyer: el ransomware es lo suficientemente well-liked y rentable como para que haya surgido toda una industria en torno a su desarrollo y distribución.

«Los agentes menos sofisticados están tomando medidas, multiplicadas en función de la facilidad de uso, la implementación, el soporte de la mesa de ayuda y otros factores, lo que hace que sea tan fácil como presionar algunos botones», dijo Geyer.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Top quality)

Geyer no está bromeando sobre la existencia de soporte técnico tanto para los usuarios como para las víctimas de ransomware. Una pequeña empresa de Kentucky que fue víctima de un ataque de ransomware en 2020 recibió un número 1-800 y le dijeron que el atacante estaba «aquí para ayudar». La compañía finalmente pagó $ 150,000 para que se dieran a conocer sus archivos.

Como lo demuestran los recientes ataques de ransomware como Colonial Pipeline y los ataques sin ransomware como el del plan de tratamiento de agua de Oldsmar, Florida, los atacantes se están volviendo más agresivos. Los gobiernos occidentales, dijo Geyer, les han permitido actuar con relativa impunidad. «Están cruzando la línea sin que les golpeen las manos, por lo que la línea continúa moviéndose», dijo Geyer.

Ric Longenecker, CISO de Open up Methods, advierte que es poco possible que la industria del ransomware como servicio siga apuntando a grandes objetivos. «Es posible que estos objetivos más pequeños no garanticen un pago masivo, pero hay menos posibilidades de consecuencias o represalias porque es realmente difícil para las autoridades responder diplomáticamente de igual manera a un ataque que no toca industrias o infraestructura críticas».

En resumen, hay toda una industria basada en extorsionar a las empresas, y no es exigente con el objetivo, siempre que resulte rentable. Y es muy probable que así sea, dado el estado precise de las cosas.

Por qué van en aumento los ataques OT e ICS

La transformación digital está ocurriendo en casi todas las industrias imaginables, y el lado de OT, ICS e infraestructura crítica es solo el último en adoptar el alojamiento en la nube para la administración de redes y dispositivos. Eso es bueno para el registro de datos, el ahorro de costos y la continuidad operativa, pero malo para la seguridad.

«Una computadora portátil en un entorno de TI queda obsoleta después de tres o cuatro años», dijo Geyer. «En OT, la tecnología tiene una vida útil de 15 a 20, incluso 30 años. Esas redes simplemente no están diseñadas para las necesidades de conectividad y seguridad de hoy».

Geyer señala que hubo un aumento del 74% en las vulnerabilidades reveladas en el sector energético entre la segunda mitad de 2018 y la segunda mitad de 2020. «Esto destaca el hecho de que el entorno de OT está plagado de agujeros e incursiones», dijo Geyer.

Hasta que la transformación electronic llegó al mundo de OT, el espacio aéreo period el método estándar para proteger las redes industriales y de infraestructura. Sin una conexión a Internet, no hay riesgo de que los atacantes obtengan acceso. John Dermody, ex consejero de seguridad cibernética en NSC, DHS y DoD, está de acuerdo con la visión de Geyer sobre los problemas que enfrenta el mundo de OT.

«A medida que se integra y se agrega más tecnología a los sistemas industriales, se crean nuevas vías de explotación. A diferencia de los operadores de sistemas de TI que tienen una gran comunidad para identificar vulnerabilidades y un historial de seguridad que se integra en los productos, los operadores de OT pueden tener una visión limitada de las vulnerabilidades acechando en su sistema, esperando ser explotados cuando vean la luz del día (o World wide web) «, dijo Dermody.

Para empeorar las cosas, actualizar las redes OT e ICS no es tan fácil como actualizar la TI, que no es tan crítica para las operaciones. «La segmentación (o la actualización de redes y hardware OT) requeriría una ventana de mantenimiento que pausaría las operaciones y la producción. Requeriría tantos cambios que puede que no sea práctico», dijo Geyer.

El components antiguo y la duda para cerrar las operaciones para abordar un futuro ataque teórico significa que muchas empresas industriales, municipios e infraestructura crítica simplemente están más dispuestas a pagar el rescate. «Cuando Baltimore se enfrentó a un ataque de ransomware en 2019, decidió no pagar ~ $ 10,000 en Bitcoin y terminó perdiendo $ 18 millones en ingresos. Con esa ecuación en mente, pagar tiene más sentido», dijo Geyer.

Prepárese para las sanciones ante la inacción

«Necesitamos cambiar la forma en que las juntas directivas piensan sobre las consecuencias financieras de no proteger sus entornos cibernéticos», dijo Geyer, y agregó que si bien se está produciendo un movimiento para afectar ese cambio, se tomarán medidas del gobierno para que finalmente suceda. «Necesitamos crear un entorno que trate el riesgo cibernético junto con otros tipos de riesgos de cumplimiento y consideraciones comerciales».

Geyer dijo que la administración de Biden está haciendo un buen trabajo en gran medida al abordar la creciente amenaza del ransomware a la industria y la infraestructura, citando la Orden ejecutiva de mayo el establecimiento de programas piloto para certificaciones similares a Power Star para empresas que cumplen con ciertos estándares de seguridad.

Dermody está de acuerdo en que el panorama está cambiando: la directiva de seguridad de oleoductos de la TSA que surgió a raíz del hack de Colonial Pipeline es solo un ejemplo, dijo. «El apetito del gobierno por imponer requisitos obligatorios de ciberseguridad ha aumentado, y es poco possible que los esfuerzos regulatorios del gobierno se limiten solo a ese subsector de infraestructura crítica. El gobierno no tolerará un escenario en el que haya posibles efectos en cascada».

«Ya sea a través de nuevos requisitos regulatorios o mediante una nueva legislación en la colina, es probable que los requisitos de ciberseguridad del gobierno estén ganando más fuerza», dijo Dermody.

Las empresas, como la de Kentucky mencionada anteriormente, a menudo utilizan a terceros y / o compañías de seguros para manejar el pago del ransomware, lo que, según el asesor de seguridad de Splunk, Ryan Kovar, podría llevar a que las empresas eludan las regulaciones. Dermody y Kovar coinciden en que el pago de rescates no resuelve el problema «Descifrar, incluso cuando es 100% exitoso, todavía lleva días o semanas, incluso meses», dijo Kovar.

Dermody cree que las compañías de seguros también deberán tener voz en los nuevos requisitos. «Los proveedores de seguros están buscando activamente formas de mitigar el riesgo, incluso aumentando el costo de las pólizas e incentivando la prevención».

Cómo prepararse para el futuro de la gestión de riesgos de ransomware

Las empresas de infraestructura e industriales tienen que afrontar los hechos: ya sea una regulación gubernamental o las secuelas de un ataque de ransomware, proteger las redes OT e ICS es una prioridad ahora.

Prevenir ataques de phishing, capacitar a los usuarios para reconocer amenazas, filtrar correos electrónicos, establecer reglas de firewall adecuadas, segmentar redes (cuando sea posible) y otras mejores prácticas de ciberseguridad son solo una parte de la protección de redes OT complicadas.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

No asuma que las mejores prácticas incluyen la detección y respuesta de endpoints (EDR) o el software program de plataforma de protección de endpoints (EPP). «Estamos viendo un aumento en los ataques a la infraestructura crítica porque los ataques están funcionando. Hasta que reconozcamos que EDR y EPP van a fallar en los ataques, seguiremos sujetos a más malware y ransomware», dijo el vicepresidente de administración de productos de Illumio. Matt Glenn. Glenn también cree que una buena infraestructura de TI es parte de una buena infraestructura de TO y que apuntalar una implica apuntalar la otra.

Citando a Louis Pasteur, Geyer hace que el resto del proceso sea bastante sencillo: «La fortuna favorece a la mente preparada».

La «tres líneas de defensa«El modelo de ciberseguridad popular en entornos de TI se adapta perfectamente a la adaptación en OT e ICS, dijo Geyer. Para aquellos que no están familiarizados con el modelo, coloca a los propietarios y gerentes de riesgo (TI, equipos de ciberseguridad, and so forth.) en la primera línea. Segundo vienen los grupos de riesgo y cumplimiento que supervisan y monitorean a los equipos de primera línea. Por último, vienen las auditorías internas, y es aquí donde se preparan las mentes.

Reúna a los líderes alrededor de una mesa, recomienda Geyer, y realice ejercicios prácticos de bajo costo en los que todos los interesados ​​en un incidente de seguridad puedan modelar su respuesta. «Ejercicios en tiempo actual como estos muestran cómo piensan los tomadores de decisiones, cómo funciona el proceso y cómo responderá la organización en su conjunto», dijo.

Ejercicios como estos también son una forma clave de crear visibilidad en las redes. Sachin Shah, director de tecnología de OT y Armis, utiliza la protección de una casa contra robos para explicar este paso importante en la enumeración de la pink: «(Yo) caminaría por la casa y verificaría si todas mis ventanas y puertas están cerradas, bloqueadas o posiblemente rotas. . Una vez que he hecho eso, al menos sé cuál es mi riesgo. Puede que necesite instalar mejores cerraduras o más focos, pero sé cuál es mi posición «.

También es importante, dijo Geyer, que las organizaciones sepan dónde deben centrarse sus salvaguardas técnicas. «El ransomware persigue los sistemas Home windows, así que sepa dónde se encuentran en su entorno y cómo son vulnerables, luego tome medidas para remediar el riesgo con actualizaciones y parches de seguridad.

Las organizaciones que toman estos pasos con una mentalidad hacia el crecimiento, el aprendizaje y la mejora finalmente tendrán «una comprensión bien informada de sus vulnerabilidades, incluida una comprensión realista de que las personas van a cometer errores», dijo Dermody. «Es importante comprender y discutir de antemano cómo respondería en una crisis de este tipo. Cuando los servidores se bloquean a su alrededor, no es cuando debe decidir por primera vez si está de acuerdo con pagar un rescate», dijo. .

Las redes de OT, ICS y de infraestructura crítica pueden ser enormes y es fácil que las personas se paralicen en la inacción, dijo Geyer. La parálisis es el peor estado en el que pueden encontrarse las empresas cuando se enfrentan al ransomware.

Ya sea que suceda ahora o en los próximos años, el cálculo de la gestión de riesgos de ransomware está cambiando. Si bien puede ser más rentable pagar un rescate en 2021, la responsabilidad pronto recaerá sobre los líderes empresariales y las juntas directivas para evitar que se produzca un ataque de ransomware. Las organizaciones que quieran prepararse para el futuro harían bien en lidiar con los dolores de cabeza de la prevención antes de que la recuperación se convierta en una carga aún mayor.

Ver también



Enlace a la noticia unique