Una y otra vez, los informes de la industria brindan evidencia desalentadora de que nuestros defensores no pueden detectar y prevenir intrusiones de amenazas cibernéticas avanzadas, dirigidas y altamente estructuradas de manera oportuna
La cantidad de incidentes de seguridad cibernética del sistema de control industrial (ICS) está creciendo y, como comunidad, nuestra capacidad para responder de manera efectiva está en duda.
El Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial (ICS-CERT) ha notado varios incidentes y ataques de seguridad de infraestructura crítica que involucraron cambios en los sistemas para incluir ICS orientados a Internet y componentes de control de supervisión y adquisición de datos (SCADA). Los dispositivos ICS/SCADA están siendo comprometidos ya que han captado el interés de los actores de amenazas en todo el mundo. Esto ha sido impulsado por:
• Un enfoque general y una mayor conciencia de las “cosas cibernéticas”.
• Amenazas de alto perfil como Stuxnet, Havex, WannaCry, Petya/NotPetya, Industroyer/CrashOverride y PIPEDREAM y por herramientas ampliamente disponibles de descubrimiento y explotación de vulnerabilidades que incluyen módulos para sistemas de control.
¿Qué hace que estos ataques dirigidos sean diferentes de las amenazas comunes a la seguridad de Internet? En lugar de aprovechar una amplia vulnerabilidad técnica y beneficiarse de la escala, estos atacantes se enfocan en objetivos específicos, elaboran sus ataques y planean quedarse por un tiempo. Un ejemplo de esto es la inclusión de un módulo compatible con ICS diseñado para identificar y extraer datos de servidores OPC para su uso con el troyano de acceso remoto Havex . Además, varios de estos ataques ahora han cruzado al ámbito físico, dañando permanentemente el equipo o incluso derribando sistemas de energía completos . Es importante para nosotros, como defensores cibernéticos, investigar, rastrear y evaluar ataques como estos en sistemas industriales y aprender de ellos mientras consideramos qué pasos tomar en nuestro viaje de mitigación cibernética.
Las prácticas de segmentación y el uso de tecnologías reactivas basadas en firmas conocidas como IDS, IPS para firewalls y tecnología antivirus son necesarias pero no suficientes por sí solas. Los atacantes cibernéticos de interés cuentan con buenos recursos, experiencia y son capaces de aprovechar diversas habilidades. Se basan en el reconocimiento y la planificación. Desarrollan herramientas personalizadas, están orientadas a objetivos y prueban sus ataques contra herramientas de seguridad de primera línea. Son capaces de comprometer la cadena de suministro y pueden explotar conexiones remotas temporales que pueden generar oportunidades generalizadas. Muchas defensas actuales están demostrando ser incapaces de abordar estas ciberamenazas más estructuradas.
Además, la realidad es que la mayoría de las organizaciones todavía son culpables de implementar posturas de ciberseguridad que asumen que los ataques vendrán de afuera hacia adentro. Pero, ¿qué pasa con las amenazas internas? ¿Qué pasa con los actores que ya están dentro a través de la cadena de suministro? ¿Cómo puede lograr el conocimiento de la situación de nuevos activos, modificaciones y cambios dentro de un entorno que está diseñado para ser determinista para permitir la confiabilidad de los procesos? ¿Ha considerado las ramificaciones de los escenarios de adentro hacia afuera, que ocurren cuando los atacantes o adversarios ya están adentro?
Uno de los cambios de paradigma más impactantes que he presenciado en mi carrera está ocurriendo ante nuestros ojos. Es el cambio de preocuparse por las probabilidades de riesgo basadas en amenazas y vulnerabilidades (por ejemplo, el riesgo proverbial = probabilidad de amenaza x impacto de vulnerabilidad) a uno que involucra una disciplina de ingeniería conocida como ingeniería informada cibernéticamente (CCE) basada en consecuencias , que fue desarrollada por los laboratorios nacionales de Idaho. Uno de los principios clave de CCE es centrar la atención en lo que más importa, olvidando la noción de probabilidades de amenazas y vulnerabilidades. La conclusión es que si una acción es posible por medios cibernéticos, entonces debemos asumir que sucederá y que el adversario está en nuestro entorno.
Esto me lleva de vuelta a mis preguntas anteriores: si asumimos que el adversario ya está dentro de su zona desmilitarizada (DMZ) y es residente dentro de su red de tecnología operativa, ¿cómo puede obtener conocimiento de la situación de lo que es esa amenaza persistente avanzada (APT), malware o ransomware está haciendo?
Independientemente de si un ICS tiene un espacio de aire, lo que rara vez ocurre en la actualidad, la respuesta es que, dado el panorama de amenazas actual, las capacidades de monitoreo y detección continuas son imprescindibles dentro de los entornos de red operativos más críticos. Suponiendo que los propietarios de activos apliquen un nivel de rigor en la selección de dicha tecnología para incluir la capacidad de descifrar una amplia variedad de protocolos industriales abiertos y patentados, y que la solución se implemente y ajuste correctamente, estos productos pueden lograr una visibilidad profunda y conocimiento de la situación.
Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Gracias ☺️
Fecha actualizacion el 2022-09-17. Fecha publicacion el 2022-09-17. Autor: Oscar olg Mapa del sitio Fuente: forbes