Cada vez más vulnerabilidades exponen nuestra Infraestructura Nacional Crítica (CNI) a ciberataques de actores de amenazas con motivos geopolíticos o espionaje corporativo, que buscan causar interrupciones, daños económicos o daños a la salud y el bienestar. ser ciudadanos.

Estas vulnerabilidades se encuentran en los sistemas de control industrial (ICS) que son críticos para el funcionamiento del CNI. Si los actores de la amenaza toman el control de cualquiera de estos sistemas, pueden cambiar su funcionamiento o evitar por completo su funcionamiento, lo que podría tener consecuencias de gran alcance.

Para evitar que los actores de amenazas se apoderen de sus ICS, las organizaciones de sectores clave como la energía, la fabricación y los productos farmacéuticos deben saber cuáles son estas vulnerabilidades y qué medidas tomar para mitigarlas.

Sobre el Autor

Amir Preminger es vicepresidente de investigación de Claroty

El aumento de las vulnerabilidades

Nuestra investigación reciente reveló que el número de vulnerabilidades de seguridad de ICS publicadas por la base de datos nacional de vulnerabilidades (NVD) y en los avisos de vulnerabilidad informados por el equipo de respuesta a emergencias cibernéticas del sistema de control industrial (ICS-CERT) había aumentado año tras año.

Descubrimos que la cantidad de avisos ICS-CERT publicados en la primera mitad de 2020 fue casi un tercio más alta que en el mismo período en 2019, ya que las 365 vulnerabilidades reportadas por NVD en 2020 aumentaron en 10.3 % respecto al año anterior.

Para industrias específicas, estos aumentos fueron aún mayores. Por ejemplo, el sector de agua y aguas residuales experimentó un aumento del 122,1% en las vulnerabilidades de ICS-CERT, la fabricación crítica experimentó un aumento del 87,3%, mientras que en el sector energético fue del 58,9%.

Este crecimiento se debe a una serie de factores, incluido el hecho de que los ICS ahora están más conectados a Internet que nunca, pero actualizarlos con las últimas correcciones puede ser problemático. También es importante tener en cuenta que este aumento también se debe en parte a una mayor conciencia de estas vulnerabilidades, y los investigadores y proveedores están priorizando su identificación y resolución de la manera más eficiente posible.

Mayor conectividad

Tradicionalmente, los equipos ICS y las redes de tecnología operativa (OT) en las que operan han estado completamente aislados (o aislados) de las redes informáticas, lo que hace que sea casi imposible para los actores de amenazas atacarlos de forma remota. Sin embargo, en interés de una mayor eficiencia gracias a las tecnologías de automatización, las empresas están integrando cada vez más su infraestructura OT en sus redes informáticas.

A medida que esto se vuelve más común, la responsabilidad de administrar la seguridad de la red OT recae cada vez más en los equipos de seguridad de TI, muchos de los cuales asumen erróneamente que pueden simplemente hacer cumplir los protocolos de seguridad de TI con que son familiares para la red OT. Sin embargo, este no es el caso porque, por ejemplo, la disponibilidad tiene prioridad sobre la protección de datos en las redes OT, lo que significa que es difícil realizar actividades de seguridad de TI estándar como parches y parches. mantenimiento del software. A pesar de esta y otras diferencias evidentes entre TI y OT, las empresas están siguiendo sus planes de integración de TI / OT sin ser más sabias.

Operación remota

Nuestra investigación encontró que más del 70% de las vulnerabilidades liberadas por NVD pueden explotarse de forma remota, destacando que las redes OT vacías ahora son excepcionalmente raras. Por ejemplo, una de las formas en que se ha cerrado el espacio de aire es mediante el uso de estaciones de trabajo de ingeniería (EWS) que se conectan a las redes de TI y OT por necesidad. Dicho vínculo los convierte en un objetivo atractivo para los actores de amenazas porque una vez que se han infiltrado en la red informática, pueden usar el servidor web integrado para cambiar a la red OT. Después de obtener el control, los actores de amenazas pueden obtener acceso a otras áreas del OT, incluidos los controladores lógicos programables (API), que les permiten manipular los procesos físicos.

El estudio también encontró que los productos EWS contenían más de la mitad de las vulnerabilidades descubiertas, mientras que los PLC constituían una cuarta parte. Usando estas vulnerabilidades, los actores de amenazas pueden realizar acciones como la ejecución remota de código (RCE), lo que les permite enviar comandos remotos para establecer la permanencia y realizar movimientos laterales. . RCE fue posible con casi la mitad de las vulnerabilidades identificadas (49%), seguido de la capacidad de leer datos de aplicaciones (41%), causar denegación de servicio (DoS) (39%) y omitir mecanismos de protección (37%).

Divulgación de vulnerabilidades

Si bien puede parecer contradictorio, compartir las vulnerabilidades descubiertas con la comunidad de ICS es esencial para mantener a raya a los actores de amenazas. Esto no solo permite a los proveedores e investigadores encontrar nuevos métodos para mitigar estos riesgos, sino que también alerta a otros usuarios de los mismos sistemas para que tomen medidas para limitar la capacidad de los actores de amenazas para explotar estas vulnerabilidades.

Algunos pueden mostrarse reacios a compartir su conocimiento, ya que creen que podría convertirlos en un objetivo para los actores de amenazas, sin embargo, es importante tener en cuenta que si un proveedor se ve afectado por una gran cantidad de vulnerabilidades, no significa necesariamente La postura de seguridad. En cambio, es más probable que signifique que la empresa está dedicando recursos a probar sus productos con el fin de encontrar estas vulnerabilidades de forma proactiva y trabajar para resolverlas.

Para ayudar a la industria en general, las organizaciones de CNI deben configurar un sistema para recopilar automáticamente información sobre vulnerabilidades reveladas y compararla con su propio ICS. Sin embargo, esto solo puede ser efectivo si todos los proveedores son abiertos sobre sus vulnerabilidades y están dispuestos a compartirlas.

Proteger ICS no siempre es fácil

Los ICS son sistemas intrínsecamente complejos y multifacéticos y no existe una solución simple para mitigar todas las vulnerabilidades presentes. En cambio, se necesita un enfoque de varios niveles.

Como muestra nuestra investigación, CNI y las principales industrias manufactureras deben tomar medidas para proteger las conexiones de acceso telefónico. Esto es ahora más importante que nunca, ya que muchos trabajadores tienen que operar sistemas de forma remota debido a las restricciones en los cierres de COVID-19.

Se deben introducir permisos de acceso granulares que permitan a los trabajadores usar solo las funciones exactas necesarias para realizar sus trabajos para evitar que los actores de amenazas se muevan fácilmente a través de la red y cambien entre dispositivos. Al controlar estos permisos con autenticación multifactor (MFA), las organizaciones pueden frustrar a los piratas informáticos que utilizan técnicas como la fuerza bruta para descifrar contraseñas y obtener acceso a la red. MFA también ayuda a mitigar algunos de los peligros que plantea la ingeniería social, en la que los actores de amenazas utilizan correos electrónicos y sitios web falsos para engañar a los empleados para que revelen sus datos de inicio de sesión. Para reducir aún más el peligro de las amenazas basadas en la ingeniería social, los empleados también deben recibir capacitación sobre cómo detectar correos electrónicos maliciosos y qué hacer si reciben uno.

Además, la colaboración entre los equipos de seguridad de TI y OT es vital para garantizar la seguridad de todo el entorno de ICS. De esta manera, se pueden analizar todas las vulnerabilidades en la red informática para determinar si tendrán un impacto en OT y viceversa. Tal capacidad solo puede ser efectiva si se tiene una visión unificada de las redes de OT y de computadoras, así como con expertos que comprendan los matices entre ellos.

A medida que la conectividad entre OT y TI aumenta inevitablemente debido a las demandas de mayor eficiencia, las vulnerabilidades potenciales que deben mitigarse también aumentarán. Por lo tanto, ahora es más importante que nunca que los equipos de seguridad que trabajan en CNI implementen medidas que les permitan detectar y responder de manera rápida y efectiva a cualquier amenaza, ya sea que ocurra en la red de TI o OT.

Share This
A %d blogueros les gusta esto: