Cómo gestionar eficazmente las ciberamenazas en infraestructuras críticas.
Los delincuentes atacan incansablemente la infraestructura crítica (CRITIS) en todo el mundo y comprometen el Sistema de control industrial (ICS) y los sistemas de control de supervisión y adquisición de datos (SCADA) que controlan estas infraestructuras. En 2010, el gusano Stuxnet se infiltró en numerosos sistemas de control y dañó plantas de energía nuclear. Cinco años después, el ataque de malware BlackEnergy al suministro eléctrico ucraniano se convirtió en el primer ciberataque que provocó un apagón.
Sin embargo, el término CRITIS no solo cubre la red eléctrica, sino también áreas como el ejército, la manufactura, la atención médica, el transporte, el suministro de agua y la producción de alimentos. En 2017, el brote del ransomware WannaCry afectó a varias empresas sanitarias. En 2018, el CERT de EE. UU., Junto con el Centro Nacional Británico de Seguridad Cibernética (NCSC) y el FBI, emitieron una advertencia de que el gobierno ruso había lanzado un ataque a la infraestructura crítica en varias industrias. Además, durante varios años, las amenazas a las reservas de viajes aéreos y los sistemas de transporte público han estado en los titulares. A principios de 2019, la variante de ransomware LockerGoga comenzó a infiltrarse e interrumpir los procesos de producción de las empresas químicas y los productores de aluminio.
Retos importantes
Según una investigación de (ISC) 2, hay un déficit de casi tres millones de expertos en ciberseguridad en todo el mundo, y casi el 60 por ciento de los 1.452 encuestados creían que su empresa tenía un riesgo medio o alto de sufrir ataques virtuales. Los equipos de seguridad existentes apenas pueden manejar la gran cantidad de alertas. Además, a menudo no están lo suficientemente representados en el nivel de la alta dirección para recibir la atención y el apoyo necesarios para iniciativas importantes. Por ejemplo, solo el 31 por ciento de las organizaciones en la industria de la aviación tienen un CISO dedicado.
Para aprovechar al máximo sus recursos existentes, los equipos de seguridad deben poder comprender y priorizar los datos de amenazas y las alertas dentro del contexto de su organización. Esto brinda a los equipos la oportunidad de comunicar fácil y claramente los problemas de seguridad relevantes a la gerencia y de justificar los recursos adicionales necesarios para mejorar los procesos de seguridad.
Cada vez son más los ataques que utilizan múltiples vectores en paralelo y dificultan la defensa. La advertencia del CERT de EE. UU. Mencionada anteriormente menciona una variedad de estos TTP utilizados, incluidos correos electrónicos de phishing, ataques de abrevadero, captura de credenciales y ataques específicos en infraestructuras ICS y SCADA. Al mismo tiempo, la superficie de ataque está creciendo a medida que los operadores de CRITIS migran cada vez más a la nube, introduciendo dispositivos móviles e IoT. Más de dos tercios de los ejecutivos de TI en la industria del petróleo y el gas dijeron que son más vulnerables a las brechas de seguridad debido a la digitalización (la provisión de tecnologías digitales para la automatización avanzada).
Las empresas pueden proteger su panorama digital contra las amenazas solo si tienen una descripción general de toda la infraestructura y la capacidad de evaluar y priorizar continuamente la inteligencia de amenazas.
Muchos sistemas ICS y SCADA se han utilizado durante años y no tienen características de seguridad modernas que puedan proteger contra las amenazas actuales. El número de debilidades reportadas en el área de producción aumentó significativamente en 2018 en comparación con el año anterior. Sin embargo, estos sistemas rara vez se actualizan ya que los operadores temen las interrupciones. A pesar de los crecientes ataques a las infraestructuras críticas, la protección no se ha ampliado. Más bien, se ha vuelto aún peor a medida que los dispositivos y sistemas están cada vez más conectados a Internet sin prestar atención a las implicaciones de seguridad. Aunque los responsables de Tecnología de la información (TI) y Tecnologías operativas (OT) tienen diferentes objetivos, procesos, herramientas y conceptos, deben trabajar juntos a medida que sus entornos se acercan más.
Las encuestas entre los oficiales de seguridad dicen que el 75 por ciento de las empresas asumen que serán víctimas de ataques de ciberseguridad en los sistemas OT / ICS. Sin embargo, solo el 23 por ciento se adhiere a los requisitos legales mínimos de la industria para la seguridad cibernética.
Conclusión
Los titulares sobre ataques a infraestructuras críticas se retratan rápidamente como una sensación. A menudo es difícil encontrar los hechos detrás del informe y comprender el impacto de una campaña cibernética a gran escala en el negocio. No es suficiente actualizar solo los dispositivos ICS y SCADA. Con una plataforma de inteligencia de amenazas confiable, las empresas pueden identificar y responder a las amenazas verdaderamente relevantes.
Consejos para ayudar a las organizaciones a minimizar su riesgo cibernético:
Consolide todas las fuentes de datos de amenazas y vulnerabilidades externas (como OSINT) e internas (SIEM, por ejemplo) en un repositorio central.
Recopile información relacionada con la seguridad sobre toda la infraestructura (local, nube, IoT, sistemas móviles y heredados) mediante la integración de datos de vulnerabilidad e inteligencia de amenazas en el contexto de amenazas activas.
Filtre la información no relevante, evite la sobrecarga debido a demasiadas alertas y navegue fácilmente por cantidades masivas de datos de amenazas para enfocarse en recursos críticos y vulnerabilidades.
Priorice los datos más importantes según la situación individual, con la posibilidad de una adaptación dinámica a medida que se disponga de nuevos datos y conocimientos.
Busque de forma proactiva actividad maliciosa que pueda demostrar un comportamiento malicioso, ataques de denegación de servicio y otras interrupciones y daños potenciales a los clientes, empleados y componentes clave.
Céntrese en aspectos más allá de las medidas reactivas para ayudar a la detección, respuesta y recuperación.