La evolución de las amenazas, la tecnología, deja al CNI expuesto

El sistemas de control industrial (ICS) que sustentan nuestra infraestructura nacional crítica (CNI) se enfrentan a un riesgo cada vez mayor, y los riesgos inmediatos para ICS y otras tecnologías operativas se pueden ver en la creciente incidencia de ransomware, la conectividad cambiante y una mayor atención.

El ransomware puede tener un efecto devastador en una empresa u organización, como descubrió el NHS del Reino Unido con Quiero llorar en 2017. El impacto de este tipo de ataques significa que se requiere una respuesta inmediata para recuperar las capacidades operativas. El hecho de que los efectos a menudo sean claramente visibles para el público, como fue el caso de Deutsche Bahn cuando las pantallas de información de sus clientes estaban encriptadas, también crea presión para una acción rápida.

Un ejemplo más reciente fue el ataque a Norsk Hydro por el ransomware LockerGoga. Este fue un ataque criminal con motivación financiera, llevado a cabo directamente contra las redes de la empresa. El ataque provocó paros de producción en Europa y EE. UU. Y la empresa volvió a las operaciones manuales mientras se contenía el problema. Afectó a 22,000 computadoras en 170 sitios diferentes en 40 países, y la recuperación tomó más de tres meses y costó al menos £ 45 millones.

Una tendencia inquietante, en particular frente a las infraestructuras críticas, es la forma en que el ransomware está evolucionando con algunas versiones dirigidas específicamente a los sistemas de control industrial, lo que facilita el pago de un rescate por parte de los operadores de infraestructura crítica.

Los cambios en la conectividad a la tecnología operativa es otro factor que está aumentando el riesgo para los sistemas de control. Los cambios incluyen la adopción cada vez mayor de tecnología en la nube para respaldar o procesar datos de tecnología operativa que da como resultado que los datos operativos residan fuera de los límites tradicionales.

Otra vulnerabilidad surge de la mayor integración de las infraestructuras de TI y OT, generalmente por razones comerciales o de productividad válidas, pero que crea un mayor número de rutas de acceso a la tecnología operativa.

Además, el creciente uso de tecnología comercial lista para usar (COTS) significa que la tecnología operativa está en mayor riesgo debido a las técnicas y herramientas de ataque comunes que anteriormente habrían estado limitadas por la tecnología a la infraestructura de TI. Luego está el riesgo del crecimiento del trabajo remoto causado por las restricciones actuales de viaje y distancia, lo que significa un mayor uso del acceso remoto.

Mayor interés en la infraestructura crítica

El reciente intento de ataque a la planta de tratamiento de agua de Oldsmar en Florida es un ejemplo de un intento de explotar el acceso remoto para comprometer la tecnología operativa. El atacante pudo acceder a un software de control industrial para alterar la concentración de hidróxido de sodio en el sistema de tratamiento de 100 ppm a 11,100 ppm. Afortunadamente, en este caso, un operador de la planta alerta notó el cambio y lo revirtió de inmediato, pero si esto no hubiera sucedido, el ataque podría haber afectado la salud de alrededor de 15,000 residentes abastecidos por la planta.

La tecnología operativa también está recibiendo una mayor atención porque hay más información disponible para los atacantes. Las herramientas de búsqueda de Internet dedicadas, como Shodan, ayudan a descubrir dispositivos industriales que están conectados a Internet y las herramientas de piratería tecnológica operativa dedicadas, como «Industroyer», reducen el nivel de conocimiento necesario para intentar un ataque.

Paralelamente, existe un conocimiento cada vez mayor sobre los sistemas industriales y la tecnología operativa, en parte como resultado de la conectividad cambiante y la fusión de tecnologías, pero también de la creciente divulgación de vulnerabilidades.

Entonces, teniendo en cuenta estos riesgos inmediatos, ¿qué se puede hacer?

Comprenda sus sistemas

Este primer consejo es tan antiguo como parte de la tecnología en uso. Es esencial saber qué activos tiene en su tecnología operativa y comprender cómo se relacionan con lo que hace.

Si se revela una vulnerabilidad para un componente, el impacto potencial de la vulnerabilidad solo se puede evaluar adecuadamente si se conoce la proliferación del componente dentro de la infraestructura. La respuesta será muy diferente para un componente de uso limitado en un sistema aislado en comparación con un componente común en múltiples sistemas críticos.

Entender los riesgos

Las evaluaciones de riesgo deben completarse para todos los sistemas críticos y revisarse anualmente, o en respuesta a un cambio significativo en la configuración de la amenaza o del sistema. Las evaluaciones de riesgos deben basarse en escenarios de amenazas creíbles para la organización y deben convertirse en planes de mitigación de riesgos.

Asegúrese de que la infraestructura crítica sea «segura por diseño»

Se reconoce ampliamente que es más fácil y rentable diseñar algo de forma segura desde el principio, en lugar de intentar incorporar características de seguridad en una etapa posterior. Si bien este enfoque solo puede adoptarse para sistemas nuevos, los principios rectores de “seguridad por diseño” deben incorporarse siempre que sea posible.

Además, el enfoque debe ser lo suficientemente amplio para mirar más allá de la tecnología y hacer que las personas y los procesos también sean “seguros por diseño”.

Supervise activamente los sistemas críticos

Es esencial comprender lo que está sucediendo tanto dentro de su red como en los límites, así como tener una línea de base establecida de comportamiento normal para su infraestructura y sistemas. Esto puede ser mucho más fácil de lograr con la mayor disponibilidad de soluciones de monitoreo maduras y específicas para OT.

Esté preparado para responder a incidentes

Finalmente, tiene que haber un plan de respuesta a incidentes probado y comprobado que considere adecuadamente las causas cibernéticas de fallas y oriente las respuestas apropiadas para recuperar los sistemas para restaurar las operaciones en línea con los objetivos comerciales.

Tim Parker es un experto en ciberseguridad de infraestructura nacional crítica en Consultoría PA

Source link

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *